O sucesso da AMD nas consolas está a preocupar muita gente, e nesse sentido vimos ontem um artigo sobre uma prática da Nvidia contra a AMD. Mas há aparentemente outros interessados em ver a AMD a enterrar-se.
Soube-se à uns dias que a CTS Labs, uma empresa Israelita de segurança veio referir que tinha descoberto 13 falhas de segurança nos processadores AMD, divididas em 4 classes de vulnerabilidades (MasterKey, PSP, Fallout e Chimera), e que tornariam os processadores AMD totalmente inseguros e até inaptos para o mercado.
Há no entanto um conjunto enorme de particulariedade e curiosidades relativas a esta descoberta que levantam sérias questões.
Como se devem recordar, bem recentemente, foram descobertas duas falhas de segurança, o Spectre e o Meltdown, que expuseram falhas de segurança bastante graves nos processadores da maior parte dos fabricantes, sejam eles de processadores móveis ou de secretária. Curiosamente, a AMD foi o único fabricante que, com excepção de uma das variantes do Spectre, se revelou estar à parte do grosso dessas falhas.
Estas duas falhas foram descobertas ao longo de um estudo desenvolvido em simultâneo por várias empresas de segurança, e foram comunicadas pela Google a todas as empresas envolvidas com 90 dias de antecedência, de forma a que, antes da revelação pública, as empresas pudessem tomar medidas que pudessem mitigar, ou eliminar as falhas em questão. É este o procedimento correcto e adoptado pela industria, e tal levou a que os fabricantes de hardware em conjunto com os fabricantes dos sistemas operativos, colocassem patches de segurança nos diversos sistemas que impedissem o uso das falhas.
Desta forma, quando a notícia veio a público, os patches estavam disponibilizados.
Ora uma das particulariedades e curiosidades desta descoberta da CTS Labs é que nunca ninguém tinha ouvido falar desta empresa. Mas mais curioso ainda, é que esta empresa faz o que ninguem faz, e cria por sua iniciativa uma página dedicada às falhas e onde expõem tudo que encontrou, de forma pública, dando conhecimento à AMD apenas 24 horas antes de o fazer. Uma situação que de acordo com o Anandtech, a CTS descreve no seu website como entendendo ser “preferível aos 90 dias“…
A situação apanhou assim tudo e todos desprevenidos. Tivesse a AMD formas de mitigar ou eliminar os problemas, a empresa não lhes deu o tempo necessário para se preparar para a divulgação das falhas, o que teve naturalmente impacto nas acções da AMD.
Mas há mais particulariedades!
Curiosamente, analisando o passado desta empresa (CTS-Labs) sobre pesquisas anteriores do género, o que se verifica… é que não há nenhuma! Este é o primeiro estudo realizado e revelado por esta empresa, isto apesar de ela alegar 16 anos de experiência na área.
Mas mais ainda, no seu texto de revelação de interesses obrigatório por lei, encontra-se a seguinte frase:
…we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports.
Basicamente, a empresa deixa claro que poderá ter, directa ou indirectamente, interesse na performance das segurança das empresas cujos produtos analisa.
Este é um facto que não pode deixar de ser referido, até porque por norma as empresas de segurança não possuem este tipo interesses.
Outro facto curioso é que, apenas 3 horas após a divulgação pública dos dados, a empresa Viceroy Research publicava um artigo acompanhado de um relatório de 25 páginas sobre o tema, onde referia que devido a estas falhas o valor da AMD poderia descer até zero. Aliás, este caso não foi o único e vários artigos relevantes foram publicados em simultâneo com a descoberta, o que revela conhecimento prévio. A CTS-Labs apenas refere sobre o assunto que terá de investigar o que se passou. E questionados sobre quem foi o cliente que pediu a investigação, o referido foi que tal aconteceu por iniciativa própria.
É certamente um conjunto de curiosidades interessante! Talvez o facto de a Intel, o principal concorrente da AMD, ter uma forte presença em Israel, país de origem desta empresa, seja também uma curiosidade. Perante tanta curiosidade certamente poderemos especular.
Mas as particulariedades não terminam aqui!
Dan Guido, um especialista em segurança de chips e CEO da empresa de segurança Trail of Bits, veio igualmente a público revelar que as falhas eram reais, e que tinha passado grande parte da semana anterior a testar a realidade dessas falhas.
É aqui que reside mais uma situação curiosa. A AMD teve conhecimento da situação 24 horas antes da publicação do artigo, mas outras empresas de segurança tiveram conhecimento bastante antes, ao ponto de terem tido pelo menos uma semana para testar as falhas? Porque motivo não foi igualmente dado conhecimento à AMD.
O mais caricato é que todas estas falhas, apesar de reais, não aparentam ser assim tão preocupantes como se faz querer, uma vez que requerem o acontecimento de duas situações em simultâneo para poderem ser exploradas
1 -A instalação de drivers de vendedor, devidamente adulteradas e correctamente assinadas digitalmente e creditadas.
2 – Acessos de administração ao sistema.
No caso do Masterkey, o atacante tem ainda de ter a possibilidade de atualizar a Bios do sistema com uma outra devidamente adulterada!
Sem ser grande perito nesta área o que refiro é que nenhuma destas situações são exactamente fáceis de serem realizáveis. E muito menos a actualização da Bios, cujo controlo (CRC-CHECK) é verificado pela Motherboard e varia de fabricante para fabricante. A CTS-Labs refere por isso que testou a situação usando uma Bios alterada, em várias motherboards, o que levanta ainda mais questões pois esta reconhece que isso eliminou algumas das verificações feitas na instalação da Bios.
Mas voltando aos pontos 1 e 2. A realidade é que perante aquelas duas necessidades, um ataque a um sistema requer uma máquina já totalmente comprometifa. O simples facto de alguem conseguir o certo colocar num sistema uma driver falsa devidamente assinada como verdadeira (ponto 1), e com intuitos maléficos, implica que sistema está totalmente comprometido à partida, quer acedam ao CPU ou não.
Mais ainda, ao se cumprir com o ponto 2, os acessos de administração, estamos igualmente perante um comprometimento total e absoluto do sistema. Aqui o que temos é já uma máquina totalmente controlada, quer possam aceder depois ao CPU para escrita de código malicioso, ou não!
Juntar as duas situações parece-me ser uma situação de muito baixa probabilidade, apesar de não deixar de ser uma possibilidade real. A questão relevante é no entanto saber-se que para existirem as condições para exploração da falha, mesmo que só cumprindo com uma delas, o sistema está já comprometido aceda-se depois ao CPU ou não, sendo que a única diferença é que se tal acontecesse, uma formatação não livrava o sistema de poder continuar a ser usado de forma maléfica.
Esta perspectiva é em tudo semelhante à assumida por David Kanter, um perito em chips e fundador da Real World Technologies
Todas as falhas requerem acesso root.
Se alguem já tem acesso root ao teu sistema, já estás comprometido. É como se alguem entrasse em tua casa e instalasse câmaras video para te espiar.
Mais ainda, a maior parte dos servidores das empresas mais vulneráveis a ataques correm o seu software exposto à internet sobre máquinas virtuais, onde é impossível alterar-se um firmware.
Acima de tudo o relevante aqui é perceber-se que as falhas são reais e requerem investigação para aplicação de correcções. Mas que para elas acontecerem teremos de estar já sob a presença de um sistema já altamente comprometido, e a um nível nada fácil de se atingir.
Seja como for, estas falhas são preocupantes pois caso a AMD não tenha uma solução para elas estas permitirão em sistemas que possam vir a ser afectados, situações até agora inéditas, nomeadamente:
- A capacidade de se tomar o controlo da totalidade da máquina, incluindo as partes que normalmente estão isoladas do Malware.
- A capacidade de se correr código maléfico ainda antes do sistema operativo iniciar, e a persistência do malware mesmo após a re-instalação do OS.
- A possibilidade de se passar o sistema de proteção avançado do Windows 10.
Apesar de as motivações por detrás da forma como foi revelada esta descoberta serem claramente questionáveis, algo que se agrava pela forma como as coisas foram divulgadas, a realidade que os possuidores de sistemas AMD não deverão relaxar na segurança dos seus sistemas evitando instalar software de fontes que não sejam devidamente fidedignas, apesar que, pela gravidade comprometimento do sistema que é necessário, e nada fácil de ser alcançado, não deverão entrar em pânico.
Mais ainda, os detalhes técnicos de como se proceder ao ataque não foram revelados ao público, o que quer dizer que se sabe apenas que as falhas existem, mas não foram divulgados quais os passos dos procedimentos para se poder abusar das mesmas.
O mais caricato de todas estas situações é que muitos dos websites que abordam este assunto parecem esquecer de referir que, pelo facto que este tipo de ataque requer o contornar de uma outra série de medidas de segurança, e um comprometimento total do sistema antes do ataque ao CPU, estas falhas não se revelam tão graves como o Spectre e o Meltdown que afectam os CPUs da Intel, e cujas falhas permitem a execução de código remoto passando sobre todas as seguranças do sistema operativo, de forma directa, e sem necessidade de se comprometer a segurança do mesmo.
Basicamente esta empresa Israelita expôs falhas reais… mas não só as divulgou de uma forma muito pouco correcta e claramente a defender interesses de outros, como houve, acima de tudo, aqui e de forma clara, intenção de se atingir a AMD no coração.
Basicamente, olhando bem para o que é dito, e comparando com um caso mais terra à terra, o que é explicado é que há uma falha de segurança nos processadores AMD caso a máquina em questão seja completamente violada em todos os sentidos. Ou seja é como alertar que os carros de uma marca não são seguros pois se alguem conseguir aceder à nossa carteira e roubar e alterar os dados do titular dos documentos do carro, e cumulativamente caso deixemos a chave desprotegida e alguem a possa clonar, então o carro não só pode ser roubado, como passará a ser propriedade do ladrão.
A falha existe, é real, e devemos agradecer a sua exposição. Mas há coisas estranhas aqui e a prova-lo eis a reacção de Linus Torvald,criador do Linux quando leu o relatório com as falhas, de acordo com os seus posts no Google+. Note-se que estão traduzidos
Parece que o mundo da Segunçança das Tecnologias de Informação atingiu um novo baixo.
Se trabalhas na segurança, e pensas que tens alguma moral, bem pode acrescentar a tag-line,
“Não, a sério. Não sou uma prostituta. Juro”
no teu cartão de apresentação. Porque eu pensava que a Industria era corrupta antes, mas isto está ridículo.
Em que altura é que as pessoas da segurança vão admitir que possuiem um problema de prostituição de atenções?
Num outro comentário, Linus refere:
Quando é que foi a última vez que viram um conselheiro de segurança que basicamente diz ‘Se trocares a Bios ou o Microcódigo do CPU por uma versão maléfica, então tens um problema de segurança’
Basicamente as descobertas são válidas, mas a forma como tudo foi revelado e tirado das devidas proporções não pode ser deixado de se considerar como um ataque claro ao coração da AMD, uma pequena empresa que passou por muitas dificuldades, mas que no entanto está a conseguir sobreviver e crescer graças aos seus negócios nas consolas.
E esse sucesso parece estar a deixar os seus concorrentes muito indispostos.
Repare-se acima de tudo na forma como a GTS-Labs divulga as coisas! Quando questionados sobre diversas situações, nomeadamente a forma pouco correcta e elegante como revelaram as coisas e as tiraram da proporção, eis a sua resposta.
Porque fizeram isto?
Para trazer estes assuntos à atenção do público, e avisar utilizadores e organizações. Em particular pedimos à comunidade para que tome mais atenção à segurança dos produtos AMD antes de os colocarem em sistemas críticos que possa por em risco a vida das pessoas.
Reparem ao que isto chega… Não só na resposta não falam de CPUs AMD, mas de produtos AMD, dando a entender que os GPUs também poderão estar em causa (que não estão), como ainda falam em perdas de vidas… Caricato ao máximo!
Como curiosidade, o Spectre e o Meltdown que afectam os produtos Intel desde à décadas, e como referido, expostos directamente a ataques uma vez que não é preciso passar sobre nenhuma segurança adicional do sistema, quando revelados pela Google não foram de forma nenhuma expostos desta forma. Não se colocou em causa toda a gama de produtos Intel, e nem se falou na possibilidade de perdas de vidas.
Eis uma outra questão respondida pela CTS-Labs:
Quanto tempo até uma solução estar disponível?
Não sabemos. A CTS tem, estado em contacto com peritos da industria para tentar responder à questão. De acordo com alguns peritos, vulnerabilidades como o MasterKey, Ryzenfall e Fallout demoram meses a serem corrigidos. Vulnerabilidades hardware como o Chimera não podem ser resolvidas e requerem que se dê a volta à questão, mas tal pode ser difícil e causar efeitos indesejados.
O que é ridiculo aqui são vários pontos. Primeiro o facto de ter contactado peritos para saber quanto tempo poderia demorar uma correção, mas o fabricante… Aquele que poderia dar a real resposta, esse não foi contactado. Pelo contrário, foi contactado 24 horas antes e apenas para lhes dar conhecimento das falhas. Desconhece-se que a CTS-Labs tenha, até ao momento, falado com a AMD.
Quanto ao Chimera, convêm não esquecer que, como todos os outros, é necessário comprometer-se totalmente a máquina antes de o explorar, algo que não é necessário no Spectre e Meltdown que afecta as máquinas Intel. E estes dois últimos também tiveram uma solução que dá a volta ao problema com efeitos indesejados, não tendo o mundo acabado por isso.
Eis o comentário de Arrigo Triulzi, perito de segurança que já trabalha na área desde 1993.
First read of the AMDFLAWS whitepaper (no real technical details given) is: “over-hyped beyond belief”.
This is a whitepaper worthy of an ICO.
And yes, that is meant to be an insult.
— Arrigo Triulzi (@cynicalsecurity) 13 de março de 2018
As empresas de segurança não foram criadas para colocar os utilizadores em risco comunicando os seus achados ao público sem antes falarem com o produtor sobre questões que podem demorar meses a resolver. Uma empresas de segurança credível e reputável, não entra por metodologias de tentar assustar o mercado, e muito menos cria sites como o “AMDFlaws” para comunicar isto, tal como não usariam um “IntelSecuritySucks” para comunicar as falhas do Spectre, do Meltdown, ou do “Intel Management Engine”. Mas mais ainda, as boas e credíveis firmas de segurança não tiram conclusões, elas fornecem a informação e o contexto necessário, e isto porque o seu objectivo é o de encontrar os problemas e fornecer os dados para a sua correcção e não o de auto publicitarem-se.
Por exemplo, quando a firma de segurança Embedi encontrou recentemente falhas no “Intel Management Engine” ou a F-Secure descobriu problemas com a “Intel’s Active Management Technology”, o que eles fizeram foi enfatizar a comunicação da situação de forma clara e concisa para que a Intel pudesse atuar (na realidade o blog da F-Secure até entra também um bocado em exageros, mas nada perto do que a CTS-Labs faz).
No meio de tudo isto resta um pouco a sanidade da Trail of Bits, a tal empresa já referida anteriormente, e contactada pela CTS-Labs para validar o que encontrou, e que refere no seu blog, apesar que poderia ser ainda mais clara no que diz, o seguinte:
Não há qualquer risco imediato de utilização das vulnerabilidades para a maior parte dos utilizadores. Mesmo que todos os detalhes da falha fossem conhecidos hoje, os atacantes teriam de investir esforços significativos para construir ferramentas de ataque que utilizassem essas vulnerabilidades. É um nível de esforço acima do alcançe da maior parte dos atacantes. (ver https://www.usenix.org/system/files/1401_08-12_mickens.pdf, Figura 1)
Para quem não visitar o link, eis a figura 1 para perceberem a realidade do que seria necessário para um ataque destes:
Acrescenta ainda um parágrafo curioso:
Este tipo de vulnerabilidades não deve surpreender nenhum pesquisador de segurança; falhas semelhantes foram encontradas em outros sistemas embebidos que tentaram acrescentar medidas de segurança.
Pois é… falta saber quais… pois ao contrário do que sucedeu aqui, não houve toda esta publicidade. E daí a ideia generalizada na industria que, apesar das falhas serem reais, pela forma de divulgação e como foi tudo tirado das devidas proporções, isto foi e é um claro ataque à AMD.
NOTA FINAL: Foi descoberto pelo hothardware que o dominio da CTS-Labs aponta para o dominio Amdflaws onde se divulgou as falhas. Curiosamente. mesmo o domínio tendo sido registado pela CTS-Labs, deveria ser ao contrário, ou seja o Amdflaws a apontar para o CTS-Labs. Isto significa que o Amdflaws foi criado com prioridade sobre o domínio da empresa, tornando a situação ainda mais estranha e dando a ideia clara que tudo isto foi preparado para atacar e tentar destruir a AMD.
Acréscimo IMPORTANTE de última hora: A AMD deu a conhecer que irá lançar em breve um patch dos firmwares dos CPUs que resolve os problemas em causa, sem afectar a performance dos seus CPUs. Eis as atualizações previstas pela AMD, e as suas conclusões onde esta refere que as falhas não são efectivamente no hardware, mas sim no firmware e que podem todas ser resolvidas.