OPINIÃO: Revelação das falhas de segurança dos processadores Ryzen é envolto em mistério e muito amadorismo

OPINIÃO: Revelação das falhas de segurança dos processadores Ryzen é envolto em mistério e muito amadorismo

Estamos apenas no terceiro mês de 2018 mas o mundo do hardware, mais precisamente dos processadores, já está completamente bagunçado, com as revelações de falhas críticas de segurança Metdown e Spectre, pelos competentes pesquisadores do Google Projet Zero, e mais recentemente, com as declarações de uma desconhecida  empresa israelense chamada CTS-Labs com a divulgação de falhas nos processadores Ryzen da AMD.

Tanto Metldown como Spectre afetam a AMD, porém em menor grau, a mais prejudicada é realmente a Intel, que tem sim bastante culpa no cartório, já que inclusive optou por lançar a 8ª geração mesmo sabendo das falhas.

E é justamente nesse ponto que começa todas as teorias conspiratórias e hipóteses sobre a veracidade do trabalho da CTS-Labs e a revelação das tais 13 falhas de segurança dos processadores Ryzen, divididas pelas empresa em 4 classes: Masterkey, Ryzenfall, Fallout e Chimera.

Pegando como referência a forma como os pesquisadores do Google conduziram a investigação e revelação das falhas Meltdown e Specte, e a cartilha básica das boas práticas da segurança da informação, o que a CTS-Labs fez até agora foi tentar alçar seu nome aos holofotes, sem medir consequências justamente no campo da segurança.

O que manda o figurino, e que é realmente importante para casos como esse, é que a empresa responsável pelo produto com as tais brechas seja comunicada com no mínimo 90 dias de antecedência. A CTS-Labs deu um prazo para a AMD de absurdos 24 horas.

Conforme contamos aqui um pouco da história de Jann Horn, pesquisador de 22 anos que integra o Google Project Zero, e que foi o responsável direto pelo descobrimento das falhas Meltdown e Spectre, o comunicado à Intel sobre os problemas aconteceu no dia 1 de junho do ano passado. A revelação pública sobre as falhas aconteceu apenas no inicio de 2018.

Nesse meio tempo deu pra Intel começar a se preparar tanto para enfrentar a avalanche de críticas e processos, como para pensar em soluções que resolvam o problema, que obviamente são amplificadas quando o caso vai pra mídia.

De forma nenhuma eu acho que a Intel foi transparente com toda a situação, poré todo esse período que ela teve para se planejar são essenciais no campo da segurança da informação.

No caso da AMD com a CTS-Labs tudo ainda está completamente estranho e mal contado. Em declaração ao site Motherboard.com, Dan Guido, fundador da empresa de segurança Trail of Bits, disse que teve acesso a todos os documentos envolvendo as falhas, antes que elas fosse publicadas pela CTS-Labs, e que tudo o que foi revelado é legítimo!

Para serem exploradas as falhas necessitam de acesso físico ao computador e que o cibercriminoso ganhe privilégios de administrador, o que já possibilitaria que esse anúncio ao mundo fosse feito de forma mais cautelosa, que no mínimo a AMD tivesse o tempo hábil de estudar o problema.

A forma como a CTS-Labs jogou isso aos quatro ventos, inclusive acaba atrapalhando o andamento da AMD em relação aos esclarecimentos sobre as falhas.

Na nota oficial divulgada pela AMD, fica bem claro a desconfiança em relação as revelações, “Acabamos de receber o relatório de uma empresa chamada CTS Labs afirmando que há vulnerabilidades de segurança em potencial relacionadas a alguns de nossos produtos. Estamos investigando de forma ativa e analisando suas conclusões. Essa empresa é desconhecida da AMD e achamos incomum que uma empresa de segurança divulgue sua pesquisa à imprensa sem prover uma quantidade razoável de tempo para que a desenvolvedora investigue as descobertas”

Quando a AMD diz que se trata de uma empresa desconhecida, ela não está tentando desqualificar o trabalho da CTS-Labs, é que realmente ninguém a conhece. 

A CTS-Labs é uma empresa jovem, muito jovem, fundada no ano passado. O domínio do seu site, o cts-labs.com foi registrado no dia 25 de junho de 2007, e o site AMDflaws.com. uma página dedicada a falar sobre as falhas descobertas por ela, foi registrado em 22 de fevereiro de 2018.

A companhia foi fundada Yaron Luk-Zilberman, Ilia Luk-Zilberman e Ido Li On, três ex-alunos da unidade 8200 do exército israelense. A conta no Youtube da CTS-Labs foi registrada há 3 dias. Até o momento o canal conta com 2 vídeos, ambos sobre as falhas dos processadores Ryzen. Em um dos vídeos aparece os membros da companhia comentando sobre o problema.

Ao fundo aparecem imagens de escritórios, mas que não são os escritórios da CTS-Lab, tudo foi gravado em um chroma key muito meia boca, com imagens ao fundo retiradas de um banco de imagens, o Shutterstock

Tudo parece ser feito as coxas, um descuido que chega ao seu ápice com essa velocidade em que a AMD foi comunicada e o quanto de tempo isso caiu na mídia, com a imprensa mundial citando o nome da CTS-Labs, emergindo uma empresa até o momento sem relevância.

Tod Beardsley, diretor de pesquisa da Rapid7, diz que todos os problemas parecem ser baseados em ter acesso privilegiado às máquinas afetadas, e que para o invasor precisaria ter a capacidade de atualizar a BIOS em execução, a capacidade de executar o código como administrador local ou a capacidade de executar drivers não assinados, e que no final das contas os usuários da AMD não estão mais prejudicados hoje do que estariam antes de todo o fuzuê causado pela CTS-Labs.

Linus Torvals, o criador do Linux, se manifestou sobre o caso em uma mensagem no Google Plus dizendo que parece que o mundo da segurança da informação atingiu uma nova baixa, e que parece muito mais como uma manipulação de ações do que um aviso real de segurança.

Uma possível manipulação de ações, essa é a justificativa que Jake Williams, da Rendition Infosec, atribui a forma como a CTS-Labs tornou pública essas falhas. Vale pontuar que Yaron Luk-Zilberman, CFO da CTS-Labs também é o fundador e diretor-gerente da NineWells Capital, um fundo que investe em ações públicas, essa informação aparece inclusive no site da CTS-Labs. No momento da publicação e do alarde feito pela CTS-Labs as ações da AMD caíram 1,59%.

Outro ponto estranhíssimo, é que uma empresa chamada Viceroy Research publicou um PDF de 25 páginas tratando como se fosse o “obituário da AMD”, que ela teria que fechar as portas com essa revelação da CTS-Labs. Esse arquivo foi revelado quase ao mesmo tempo em que o site da CTS Lab sobre as falhas dos processadores Ryzen foi ao ar.

Tem muitas pontas soltas nessa história..


Siga o Harware.com.br no Instagram

Sobre o Autor

Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X