Hace unos días, salieron reportes que los procesadores AMD tenían 13 fallos de seguridad. Esos fallos, según algunos técnicos que tenían acceso a los mismos, son reales. Esto colocaría a AMD al mismo nivel que Intel en fallos, al menos en principio, y crea un dolor de cabeza a los técnicos al momento de aplicar parches. De hecho, se calcula que se podrían sacar parches para estas vulnerabilidades, tal como hizo Intel con Meltdown y también la misma AMD con Spectre.
Pero, en todas estas noticias hay algo que huele a podrido. Muy a podrido.
CTS-Labs ¿Quien te conoce?
El olor feo arranca con la compañía que supuestamente descubrió las vulnerabilidades, que reiteramos, son reales. La empresa israelí, CTS-Labs, era hasta ahora una desconocida en el campo de la seguridad informática. Seguramente con este reporte, intentarían hacerse de un nombre. Pero hay varias cosas extrañas.
La primera, es que no existían hace 9 meses. Según consta, su dominio se registró al poco de conocerse Meltdown en algunas empresas a las que se hizo llegar el exploit para generar parches. Sus oficinas, según se ven en los vídeos, son vídeos de stock con Chroma, y su web y su logo, también son genéricos. Como si todo se hubiera hecho con prisa.
Por otra parte, las firmas de seguridad atacaron a esta empresa, porque contrario a lo que realizan otras empresas, no dio un tiempo prudencial a AMD y a otras compañías para atacar las vulnerabilidades con parches, sino solo 24hs.
Si el propósito de las empresas dedicadas a la seguridad informática es ayudar a prevenir este tipo de fallas y colaborar con empresas grandes de software y hardware a cambio de honorarios, ¿Porque darían solo 24hs, tiempo claramente escaso para generar cualquier parche?
La opinión de muchas empresas de seguridad y de usuarios en general, es que la liberación de este reporte sin dar tiempos mínimos para informar o corregir los errores, constituye una campaña de desprestigio hacia AMD.
¿Habrá alguien detrás de esto? ¿O será solo el accionar torpe de una empresa de seguridad que recién empieza?
¿La mano que mece la cuna?
Menos de tres horas después que CTS-Labs publicó su informe, una empresa llamada Viceroy Research, publicó un reporte de 25 páginas (!), con el sugestivo título “AMD, el obituario“.
Ese objetivo informe, contiene frases memorables. No, en serio, parece escrito para que la gente tenga pánico de la marca AMD, y arranque los procesadores de sus ordenadores y realice una quema ritual de los mismos. Por ejemplo, afirman que “tan solo un chip Ryzen podría hacer peligrar toda seguridad la red de una empresa”. Otra frase destacable es “Los chips de AMD son componentes defectuosos en productos de seguridad”. Y la frutilla del postre es esta: “Creemos que AMD vale 0$ y no tiene otra opción pedir su bancarrota”.
Tras leer este informe, al ver su tono, y al notar la celeridad y por sobre todo, la extensión del mismo, muchos sospechan que Viceroy Research Está detrás de esta campaña.
Primero, no hay forma que en tan poco tiempo hayan analizado a fondo los exploits, entendido su gravedad, y escrito un informe tan largo y detallado. Evidentemente ellos tuvieron acceso a esa información mucho tiempo antes.
Por otra parte, una simple búsqueda en Google sobre Viceroy Research, nos muestra que no es una empresa que suela jugar limpio. Este grupo es una empresa ópera a la baja en bolsa. Es decir, pública reportes que intentan destruir la credibilidad de empresa, utilizando reportes verdaderos en su mayoría y hacer bajar su cotización en la bolsa y lograr ganar dinero a traves de lo que se concoe como una venta corta.
Casos recientes de esto por parte de esta empresa, son Steinhoff International Holdings, que tras un devastador informe, su CEO presentó la renuncia y sus acciones se desplomaron. Bueno, pero no es el único caso. En el mismo tiempo, está firma presentó informes del mismo tono sobre otras empresas, en un intento de hacer caer sus acciones. El caso de AMD, parece mucho más elaborado, pero sigue el mismo patrón.
Tal vez por esta razón, los accionistas de AMD no entraron en pánico y sus acciones se mantienen estables.
La verdad de las vulnerabilidades de AMD
Las vulnerabilidades encontradas son reales. Aun así, son muy distintas a Meltdown y Spectre. Estas ultimas, utilizan métodos novedosos para su ejecución, mientras que las descubiertas en AMD, utilizan técnicas ya conocidas en seguridad informática.
¿Son mas problemáticas que Meltdown y Spectre? Son distintas. para empezar, para ejecutar estas vulnerabilidades de forma correcta, se necesitan permisos de administración en el equipo. Eso hace que sean menos posible realizar este tipo de ataque. Meltdown y Spectre no necesitan dichos permisos para ejecutarse.
Por otra parte, estos problemas pueden corregirse sin problemas con parches, que debido a la cuestionable celeridad de CTS Labs, ni AMD ni otras compañías han podido elaborar.
Sea cual sea el caso, la credibilidad de CTS Labs, la que no sabemos si es una empresa fantasma real, se sigue desplomando. A las criticas de numerosos especialistas, se suman las de el mismo Linus Torvalds, cuestionado sus motivos al revelar de esta forma los fallos.
CTS Labs, por su parte, se defiende diciendo que, al liberar al publico la vulnerabilidad, se mueve a las empresas a trabajar mas rápido. Sin comentarios.
Por lo pronto, si tienes un procesador AMD, no le prendas fuego aun, pues si bien las vulnerabilidades existen, no son tan catastróficas.