Gisteren was een bewogen dag: ergens midden op de dag kwam het Israëlische beveiligingsbedrijf CTS Labs op de proppen met 13 vermeende 'kritieke beveiligingslekken' in AMD Ryzen en Epyc processors. Het volledige verloop van de dag en meer informatie over de bugs zelf vind je terug in ons artikel van gisteren.
Vandaag, een 24-tal uur later, zijn er al heel veel personen die CTS Labs doorgelicht hebben om te achterhalen of de claims van het bedrijf gerechtigd zijn. Uit die onderzoeken zijn de volgende zaken naar boven gekomen.
Als eerste worden er serieuze twijfels geuit over de manier waarop de lekken aan het licht zijn gebracht. In het geval van Spectre en Meltdown was de whitepaper gericht op de fouten en de onderliggende technologie. De whitepapers over Ryzenfall, Fallout en Chimera zijn echter vrij aanvallend opgesteld en lijken beïnvloed door emoties. Ook de timing is cruciaal: AMD heeft pas 24 uur voor publicatie melding gekregen van de bugs. Hieronder een tweetal quotes uit de whitepaper:
The Ryzen chipset, a core system component that AMD outsourced to a Taiwanese chip manufacturer, ASMedia, is currently being shipped with exploitable manufacturer backdoors inside.
We note with concern that AMD’s outsource partner, ASMedia, is a subsidiary of ASUSTeK Computer, a company that has recently been penalized by the Federal Trade Commission for neglecting security vulnerabilities and put under mandatory external security audits for the next 20 years.
Ook heeft de legal disclaimer van CTS Labs’ website een aantal eigenaardige zinnen. Zo melden ze dat “het rapport en alle uitspraken de opinie zijn van CTS en geen verklaring van feiten zijn”. Ook zeggen ze dat “ze vertrouwen hebben in hun analyse en geloven dat deze objectief is, maar dat ze, direct of indirect, een economische interesse kunnen hebben in de prestaties van de beveiliging van de betrokken bedrijven."
De twee domeinen, CTS-labs.com en AMDFlaws.com, werden respectievelijk geregistreerd op 25/06/2017 en 22/02/2018. Die eerste is omstreeks de tijd dat de Meltdown-bugs gemeld werden aan Intel.
Ook de interview-video heeft verdachte kenmerken: als eerste zijn er de uitgeschakelde reacties. Dit heeft op zich niet zo veel betekenis, maar de combinatie met het overduidelijk gebruik van een green screen om een kantoor te creëren is opmerkelijk. Ook het logo van CTS Labs heeft overeenkomsten met een bestaand shutterstock-logo.
CTS Labs heeft ondertussen echter ook een interview gegeven aan Tom's Hardware en Ilia Luk-Zilberman, CTS Labs' CTO, heeft een brief online gezet met grotendeels dezelfde informatie. De CTO beweert dat het huidige model van publiceren, meestal een 90-tal dagen na het alarmeren van de betrokken bedrijven, niet logisch is. Het is in dat geval de keuze van de fabrikant om het probleem bekend te maken. In plaats van "er is een probleem, we werken er aan", is het meestal "er was een probleem, hier is de oplossing, geen reden tot paniek".
Het 90-dagen 'model' heeft ook andere nadelen, zoals het feit dat gebruikers soms gevaar lopen, omdat het bedrijf niet snel genoeg reageert en de kwetsbaarheid bekend wordt gemaakt vóór er een patch is, aldus Luk-Zilberman. Volgens CTS Labs is het beter om iedereen direct in te lichten en de technische details pas openbaar te maken nadat er een patch beschikbaar is.
Gezien het een nieuw bedrijf is, wist CTS dat het op tegenstand kon rekenen. Om hun legitimiteit te bewijzen lieten ze hun claims verifiëren door een derde partij, namelijk Dan Guido van (het wél legitieme) trailofbits. Luk-Zilberman geeft echter toe dat ze meer externe partijen hadden moeten inhuren om de twijfels te doen verdwijnen.
Na een initieel statement dat het de claims aan het onderzoeken was, enkele uren na de publicatie van CTS Labs, blijft het intussen stil bij AMD. Of bovenstaande opvallende zakken rondom het beveiligingsbedrijf allemaal berusten op toeval, zal de tijd moeten uitwijzen. Sommige beveiligingsonderzoekers melden dat de onveiligheden legitiem zijn, maar door CTS Labs uit proportie gehaald zijn. Ze melden dat de problemen niet uniek zijn voor AMD en dat er administratorrechten benodigd zijn voor een groot deel van de bugs, wat sowieso gevaarlijk is, bugs of niet. Wordt ongetwijfeld vervolgd.
Voetnoot: Er heerst veel onduidelijk rondom de beschuldigingen van CTS Labs aan AMD. Hoewel de situatie en de impact ervan nog niet duidelijk zijn, hebben we toch besloten om deze stand van zaken te publiceren. Baseer hier echter nog geen definitieve mening op - we kunnen niet garanderen dat alle bovenstaande informatie van externe bronnen klopt, en deze berichtgeving is dan ook niet bedoeld als onderschrijving of bevestiging vanuit Hardware.Info. Voor echte duidelijkheid blijft het wachten op een uitgebreidere reactie van AMD.
Bronnen: Gamersnexus, Tom's Hardware
