15/03/2018 di Redazione

Bug nei chip di Amd: Cts-Labs risponde alle critiche

L’azienda israeliana che ha divulgato le presunte vulnerabilità nei processori Ryzen ed Epyc ha deciso di spiegare perché non abbia rispettato 90 giorni prima di pubblicare il report con le proprie scoperte. Il vendor californiano sta ancora analizzando i

immagine.jpg

Non si placa, com’era prevedibile, la tempesta mediatica su Amd. L’azienda californiana è stata accusata nelle ultime ore dalla società di sicurezza israeliana Cts-Labs di aver commercializzato processori (serie Ryzen ed Epyc) contenenti una dozzina di bug di diverse gravità, che consentirebbero ad hacker esperti di manomettere e infettare i Pc basati sulle Cpu vulnerabili. Una notizia, condensata in un report pubblicato dalla stessa compagnia israeliana, che si è ovviamente guadagnata i primi posti sulle testate specialiste e generaliste. Ieri ne abbiamo parlato qui. Ma fin da subito sono emerse delle stranezze, a partire dall’aura di mistero che aleggia su Cts-Labs: una realtà nata soltanto l’anno scorso, composta da sei persone e il cui primo lavoro è stato proprio quello di mettere pubblicamente alla gogna Amd spiattellando le proprie scoperte su un sito dedicato, molto ben progettato e ricco di nomi evocativi (le falle sono state battezzate Ryzenfall, Masterkey, Fallout e Chimera).

Solleticata dai complottisti, la Rete ha iniziato a interrogarsi fin dalle prime ore su un possibile tentativo di infangare pesantemente l’immagine del chip maker di Sunnyvale, arrivando addirittura a condizionarne il titolo in Borsa. Il punto interrogativo principale riguarda il modus operandi di Cts-Labs, che ha deciso di divulgare le proprie scoperte sul Web (senza però scendere nei tecnicismi, in modo da preservare la sicurezza degli utenti) dopo sole 24 ore dal passaggio di informazioni al primo e diretto interessato, vale a dire Amd.

Nella community che si occupa di cybersicurezza è pratica ormai consolidata attendere novanta giorni dalla comunicazione al vendor del problema alla cosiddetta public disclosure, allo scopo di dare il tempo necessario al produttore di sviluppare patch funzionanti. Un comportamento che ha fatto storcere il naso a molti, compreso il “padre” di Linux: Linus Torvalds ha definito il report di Cts-Labs “un tentativo di manipolare il mercato, più che un bollettino di sicurezza”.

Analizzando complessivamente tutti questi elementi verrebbe da dare ragione a Torvalds, se non fosse che le ricerche della società israeliana sono state giudicate serie e provate dai fatti da altri osservatori. È il caso, ad esempio, dell’azienda di sicurezza Trail of Bits, che ha potuto consultare il materiale di Cts-Labs affermando che tutte le falle esistono e sono pienamente sfruttabili. E nella serata italiana di ieri è giunta una precisazione proprio dalla compagnia israeliana, a sostegno della propria tesi.

 

 

“Dobbiamo cambiare le modalità di divulgazione delle vulnerabilità”

Il Cto Ilia Luk-Zilberman ha pubblicato una lettera a questo indirizzo, con l’obiettivo di spiegare perché la propria azienda abbia deciso di divulgare il report senza far trascorrere i novanta giorni. Il lavoro di analisi di Luk-Zilberman e soci iniziò un anno fa, quando il laboratorio decise di avviare delle indagini sui chip di Asmedia, società taiwanese a cui Amd conferì nel 2014 la produzione delle proprie soluzioni in outsourcing.

La compagnia israeliana non impiegò molto, a quanto pare, a trovare delle backdoor nei chip Asm1042, Asm1142 e Asm1143: bug che stavano per essere resi noti alla community, se non fosse che Cts-Labs decise poi di concentrarsi anche sui componenti di Amd, proprio in virtù dell’accordo di outsourcing siglato con Asmedia. “Abbiamo acquistato un computer Ryzen e il proof-of-concept del nostro exploit ha funzionato subito, senza modifiche”, ha scritto Luk-Zilberman.

“A essere onesti, è stato uno shock e non siamo riusciti a capire perché le backdoor presenti non fossero state rimosse” da Amd, ha spiegato il Cto, aggiungendo come fosse stato in seguito naturale analizzare più in profondità i processori del gruppo californiano. Dopo dei lavori preparatori, le vulnerabilità iniziarono a spuntare come funghi: “Una dopo l’altra. E non parlo di complicati bug, ma di errori basilari, come una scrittura completamente errata dei meccanismi di firma digitale”.

Da dove è nata poi la volontà di divulgare queste importanti scoperte in un modo così “particolare”? Luk-Zilberman non si è tirato indietro, spiegando: “Credo che la struttura attuale della responsible disclosure abbia un difetto molto serio. Se una vulnerabilità viene individuata da un ricercatore, quest’ultimo dovrebbe lavorare fianco a fianco con il vendor per escogitare una soluzione all’interno di un periodo di tempo definito, dopodiché il ricercatore può rendere nota a tutti la propria scoperta”.

“Ma il problema, secondo me”, continua il Cto, “è che in questo arco temporale sta al vendor decidere se avvisare i propri clienti. E, per quanto ho potuto vedere finora, è molto raro che questo accada […]. E se questo non succede? Il ricercatore pubblica tutto? Con dettagli tecnici ed exploit? Mettendo i consumatori a rischio? Non riesco a capire come si possa aver accettato questo modello fino ad oggi […]. Perché i clienti dovrebbero pagare per la mancanza di responsabilità delle aziende […]. Si può sicuramente fare di meglio”.

 

 

Ed ecco, infine, la proposta di Cts-Labs. “Dovremmo avvisare il pubblico e il vendor in contemporanea, nel giorno zero, rendendo note le vulnerabilità e il loro impatto. Senza però divulgare i dettagli tecnici prima che le falle non siano state risolte […]. Ma questo modello ha un problema: come convincere il pubblico che si sta dicendo la verità se non è possibile comunicare ulteriori informazioni. E nelle ultime 24 ore abbiamo pagato il prezzo di questo scetticismo. Secondo noi la soluzione migliore è contare su una conferma terza, indipendente, come abbiamo fatto con Trail Of Bits. Tornando indietro, avremmo chiesto una verifica a cinque soggetti. Una lezione di cui terremo conto per la prossima volta”, ha concluso Luk-Zilberman.

Il mercato è ancora in attesa di una risposta da parte di Amd, che si è presa giustamente del tempo per analizzare il materiale di Cts-Labs. “Stiamo studiando e analizzando i loro risultati”, ha sottolineato il produttore in una nota, rimarcando come la società israeliana fosse “precedentemente sconosciuta” e come sia “insolito che un’azienda di sicurezza renda nota la propria ricerca sulla stampa senza fornire un periodo di tempo ragionevole per intervenire […]. Per Amd la sicurezza è una priorità assoluta e vogliamo continuare a lavorare per garantirla”.

 

ARTICOLI CORRELATI