Co stojí za odhalením bezpečnostních chyb procesorů Ryzen?

V první řadě je vysoce nestandardní způsob, jakým CTS Labs zveřejnily informace o celkem 13 chybách v moderních procesorech AMD. Ten jsme částečně popsali v původním článku a jde o mikrostránky amdflaws.com, které neobsahují žádné technické detaily, s jejichž pomocí by se daly chyby identifikovat. Zato jsou ale plné infografiky a nepodložených předpokladů. Jeden z nich prorokuje, že firmě AMD nejspíše zabere měsíce, než dokáže tyto chyby napravit. To je zvláště zajímavé vzhledem k faktu, že AMD bylo o nich informováno teprve včera, přičemž standardní lhůta je tři měsíce před zveřejněním a v případě Meltdown a Spectre to bylo ještě mnohem déle. 

 

 

Jak je vidět, CTS Labs své rozhodnutí nezmiňovat technické detaily obhajují tím, že nechtějí veřejnost vystavovat nebezpečí, do čehož jen tak mimochodem zahrnují také ohrožení lidských životů. Celé to pak vyznívá jako pečlivě připravená věc zaměřená na vyvolání obav a odporu k procesorům AMD, ale jsou tu i další skutečnosti. 

 

Jistá Viceroy Research Group totiž rovnou připravila dokument AMD - Nekrolog, ve kterém se opravdu nedrží zpět. Píše se rovnou o tom, že dle názoru autorů mají akcie AMD nulovou hodnotu, že AMD musí přestat s prodejem procesorů Ryzen a EPYC v zájmu veřejné bezpečnosti, že pouze jeden procesor Ryzen může ohrozit celou podnikovou síť, atd. To už nelze brát jinak než jako přímý útok na společnost AMD a je třeba se ptát, jak je možné, že se tento 25stránkový dokument objevil nedlouho poté, co CTS Labs zveřejnily své skutečnosti? 

 

 

CTS Labs je sama firma s pouze šesti zaměstnanci a na vytvoření stránek amdflaws.com si měla najmout externí PR firmu. Pak je celkem zřejmé, proč tyto stránky vypadají tak, jak vypadají a pak je tu ještě samotná Viceroy Research Group. To už je pouze tříčlenná firma vedená Johnem Fraserem Perringem, bývalým britským pracovníkem v sociálních službách, který má pod sebou už jen dva mladíky z Austrálie. 

 

Perring dle Reuters tvrdí, že mu někdo v 16:00 v pondělí anonymně poslal pracovní verzi dané zprávy, kterou pak po celý večer analyzoval a založil pak na ní svou zprávu, v níž odsoudil celou firmu AMD k zániku. Už to samo o sobě je naprosto absurdní nehledě na to, zda v procesorech a čipsetech AMD jsou či nejsou nějaké závažné chyby, které by mohly být zneužitelné.

 

Samotné AMD k tomu uvedlo, že zaslané upozornění bylo pro něj naprosté překvapení, které firmě nedalo možnost adekvátně reagovat a vše nasvědčuje tomu, že šlo o předem připravenou věc, která čekala na své zveřejnění na ten pravý čas. Reuters přitom potvrzuje, že už od začátku tohoto měsíce si AMD užívá podstatně zvýšeného zájmu investorů a akcie firmy se začaly živě obchodovat způsobem, jaký nenastal od roku 2010. 

 

Nicméně jsou tu také závěry bezpečnostní firmy Trail of Bits, kterou si CTS Labs zaplatily, aby potvrdila existenci a závažnost nalezených chyb v procesorech AMD. Analytik firmy Trail of Bits měl týden na to, aby si pročetl technické zprávy od CTS a také vyzkoušel kódy, které by mohly být využity pro napadení postižených počítačů, což potvrdil jeho CEO. Daný analytik pak ve svém závěru uvedl, že jde o vskutku reálné bezpečnostní chyby v procesorech AMD a jejich firmwaru, které by mohly být využity pro manipulaci s daty či jejich krádež. Stále je ale zapotřebí k tomuto účelu získat administrátorská práva k danému počítači. 

 

Společnost Trail of Bits se přitom už nedá označit za pochybnou firmičku. Působí od roku 2012 a mezi její zákazníky patří i Facebook nebo DARPA, alespoň dle jejích stránek. Nicméně opravdovost vyzrazených chyb sama o sobě nedokáže smýt očividnou senzacechtivost a zmíněné podezřelé okolnosti. 

 

"We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops."

 

AMD dle svého vyjádření tuto věc stále ještě prošetřuje, ale přesto už uvedla, že považuje jednání jí dříve neznámé firmy CTS Labs za neobvyklé a že nedostala rozumný čas na to, aby si předkládané závěry ověřila.