Según CTS-Labs, sus investigadores descubrieron que los últimos procesadores de AMD incorporan una serie de deficiencias en el conocido como Procesador Seguro y el propio chipset. Lo habitual en estos casos es revelar esta información de forma discreta a las compañías implicadas y proporcionar un periodo de varios días antes de hacerla pública, pero la startup no esperó ni 24 horas desde que notificó a AMD.
AMD muestra su sorpresa y Linus Torvalds responde con vehemencia
Dada la falta de tiempo para reaccionar, AMD se limitó en su momento a decir que estaba investigando el asunto. En un segundo comunicado, no obstante, el fabricante de chips muestra una mayor desconfianza acerca de los hechos. Según señala en una nueva página abierta en el sitio oficial:
Acabamos de recibir un informe de una compañía llamada CTS Labs que afirma que hay vulnerabilidades de seguridad potenciales relacionadas con algunos de nuestros procesadores. Estamos investigando activamente y analizando sus hallazgos. Esta compañía era desconocida para AMD hasta ahora y encontramos inusual que una firma de seguridad publique su investigación en la prensa sin proporcionar una cantidad de tiempo razonable para que la compañía pueda investigar y actuar. En AMD la seguridad es una prioridad máxima, y estamos continuamente trabajando para asegurar la seguridad de nuestros usuarios según aparecen nuevas amenazas. Actualizaremos este blog cuando haya más noticias.
Que AMD haya decidido abrir su propio blog para informar sobre los hechos ya resulta llamativo. Pero la suya es posiblemente la respuesta más neutra de algunas de las que se han podido ver últimamente. El bastante más temperamental Linus Torvalds, que no ahorró exabruptos cuando Spectre y Meltdown aparecieron en escena, tampoco ha dudado en criticar duramente a CTS-Labs sin llegar a mentarla:
Parece que el mundo de la seguridad informática ha caído aún más bajo. Si trabajas en seguridad y crees que tienes moral, tal vez quieras añadir una línea descriptiva "No, de verdad, no soy una puta. Promesita" a tu tarjeta de visita. Porque ya creía que toda la industria era corrupta, pero esto está volviéndose ridículo. ¿Cuándo admitirá la gente de seguridad que tiene un problema de attention-whoring?
Según han podido constatar algunos expertos en seguridad, los fallos reportados por CTS-Labs son reales. Gadi Evron, fundador de la compañía de protección Cymmetria, señala que no es necesario el acceso físico a los equipos y que en contra de lo especulado inicialmente Fallout no requiere reflashear la BIOS, pero el hecho es que necesitan privilegios de administración.
Asimismo, Dan Guido, responsable de Trail of Bits, ha señalado que CTS-Labs se puso en contacto con él la semana pasada para validar sus hallazgos. Guido explica que los bugs son reales, están descritos con precisión y que el código de los exploits funciona. También que son fallos nuevos con orígenes técnicos muy antiguos y bien comprendidos, en contraposición con Meltdown y Spectre (cuyas técnicas de explotación son bastante novedosas). No son por tanto comparables.
Información compartida de antemano e intereses económicos
El problema, al menos en su parte más visible, es de ética y estética. Que las vulnerabilidades requieran permisos administrativos hace que su impacto sobre los usuarios de los procesadores afectados sea muy inferior al posible con Meltdown y Spectre. Asimismo, CTS-Labs puede tener intereses económicos en el asunto.
Como buena startup especializada en seguridad informática, la revelación de información sensacional y hasta ahora inédita es una buena forma de atraer financiación, lo que añade un cariz peculiar a la forma en la que fueron publicados sus hallazgos. El cometido de CTS-Labs es encontrar vulnerabilidades, pero su comunicación debe hacerse con tacto y prudencia.
Complicando la situación, CTS-Labs facilitó por adelantado la información a varios medios y organizaciones. Si bien esto no es extraño, que terceras partes tengan en su poder dichos datos antes que AMD levanta sospechas por sus implicaciones estéticas e incluso a nivel de seguridad.
El asunto se retuerce aún más cuando se constata que una de las primeras entidades en hacerse eco de la noticia fue Viceroy Research (PDF), una entidad que ha sido acusada anteriormente de diseminar noticias negativas contra terceras compañías con la intención de realizar operaciones de venta corta.
En este caso Viceroy Research publicó un largo informe de tintes palmariamente catastróficos (titulado "AMD - El obituario") poco después de que el sitio donde se describen las vulnerabilidades fuera activado. El documento está arqueando algunas cejas, puesto que que está compuesto por más de una veintena de páginas prolijas y profusamente ilustradas. Mucho trabajo en muy poco tiempo. Incluso si CTS-Labs no tiene nada que ver con Viceroy, sus métodos de comunicación la exponen a problemas de imagen bastante graves.
Afortunadamente para AMD, los inversores no han reaccionado con la clase de pánico que hubiera podido desear esta clase de organizaciones y sus acciones se mantienen relativamente estables.
Fallos reales, pero con un potencial de explotación aparentemente bajo
Es importante señalar que las vulnerabilidades existen y son por tanto un riesgo para la seguridad de los procesadores afectados. También que explotarlas resulta relativamente complejo. Los usuarios comunes posiblemente tienen poco que temer, no así los administradores que trabajen en grandes empresas sujetas a riesgos de espionaje industrial, donde la implantación de malware persistente podría suponer un problema.
De nuevo, hablamos de un asunto grave, pero con un potencial de explotación aparentemente limitado y que ahora mismo no estaría al alcance de cualquier malhechor. Aquí es donde difiere de Meltdown y Spectre, mucho más "aprovechables" por atacantes.
En cualquier caso, esta revelación no parece que vaya a tener un efecto positivo sobre la imagen CTS-Labs, que ha logrado despertar más preguntas de las que respondió ayer. Ahora falta conocer los hallazgos de AMD, que tiene aún más incentivos si cabe para responder a las alegaciones y aclarar la situación de forma oficial.
