Začátkem minulého týdne se ozvala do té doby neznámá společnost CTS Labs, která kontaktovala řadu médií a analytiků. Rozeslala odkazy na vlastnoručně vytvořený web amdflaws.com, kde vyjmenovává řadu údajných kritických bezpečnostních hrozeb platforem AMD. Prakticky hned poté kontaktovala společnost Viceroy Research finanční analytiky, kterým předala zprávu, že vzhledem k bezpečnostním bugům odhaleným společností CTS Labs je hodnota akcií AMD nulová.

• Podvodná firma vytvořila web kritizující zabezpečení procesorů AMD

V tu chvíli už většina osob, která situaci sledovala, odtušila, že tu něco neklape. To se záhy potvrdilo. Nejprve vyšlo najevo, že Viceroy Research je známý manipulátor cen akcií, který je za své chování v několika zemích souzen nebo vyšetřován. Záhy vyšlo najevo, že CTS Labs byla založena teprve loni, její web byl spuštěn letos, nemá žádné zákazníky, celkem tři zaměstnance (kteří všichni tři vystupují v jí zveřejněných videích) a záběry interiérů společnosti jsou ve skutečnosti fotky stažené z internetu. Perličkou pak byly informace o stránkách, kde CTS Labs přiznávala, že informace na webu nemusí být pravdivé a že je nebude měnit ani aktualizovat, i kdyby se na situaci cokoli změnilo. Dále, že společnost může mít přímé i nepřímé ekonomické zájmy související se zveřejněným analýzy.

Několik reálných bezpečnostních analytiků pak upozornilo, že je záležitost úsměvná i z technologického hlediska. Arrigo Triulzi označil analýzy CTS Labs za „neuvěřitelně přehnané“. Vyšlo totiž najevo, že údajné bezpečnostní slabiny vzniknou teprve tehdy, když (např.) člověk s místním přístupem k systému a administrátorským oprávněním nahraje do systému hacknutý, ale skutečným vydavatelem digitálně podepsaný ovladač. Nebo pokud do sestavy naflashuje hacknutý BIOS.

Dovolím si ocitovat stručné shrnutí „bugů“ a jejich následků, které v diskusi k našemu původnímu článku zveřejnil náš čtenář Jan Ringoš:

Pokud jde o stanovisko AMD, vydala společnost nejdříve krátké oznámení, ve kterém uvedla, že ze strany CTS Labs byla na situaci upozorněna méně než 24 hodin před zveřejněním webu a zprávy CTS Labs. Nyní doplnila výsledky prvotní analýzy:

• Masterkey + PSP PE: Aktualizace firmwaru (BIOS) bude během pár týdnů, bez dopadu na výkon.
• Ryzenfall + Fallout: Aktualizace firmwaru (BIOS) bude během pár týdnů, bez dopadu na výkon.
• Chimera: Pracuje na aktualizaci (BIOS), který sníží rizika, jedná dále s autorem návrhu čipsetu na dalším řešení. Opět bez dopadu na výkon.

I když se nové BIOSy nakonec nějakým způsobem dostanou do většiny sestav, jejich flashování za účelem zabezpečení v podstatě postrádá smysl. Pokud má totiž někdo k sestavě fyzický přístup, administrátorská oprávnění a může do ní nainstalovat hacknutý (ovšem výrobcem digitálně podepsaný) ovladač či BIOS, pak je zkrátka jedno, jestli se bezpečnostní procesor zachová tak nebo onak, protože administrátor zkrátka už k systému plný přístup má.

Kompletní vyjádření AMD najdete zde.