Raport o 13 lukach znalezionych w procesorach AMD Ryzen jest nieprawdziwy?

Sprawa związana z błędami w zabezpieczeniach procesorów zdaje się nabierać kształtów, ukazując jednocześnie swoje drugie dno.

Wczoraj światem hardware wstrząsnęła wieść o wykryciu przez grupę CTS Labs aż 13 luk w topowej serii procesorów AMD Ryzen. Miały one w znacznym stopniu zagrażać bezpieczeństwu użytkowników, jednak część osób zaczęła doszukiwać się tu drugiego dna i podważać autentyczność zebranych danych. Kim jest spółka stojąca za powstaniem wspomnianego dokumentu? To teoretycznie izraelska firma zajmująca się na co dzień badaniem cyberprzestępczości, która swoje przemyślenia wrzuciła na witrynę amdflaws.com. Jak się jednak okazuje, CTS Labs nie posiada fizycznej siedziby (jeśli zaprezentowano jakieś biura, to realnie one nie istnieją), co już na starcie budzi spore podejrzenia. Dodatkowo domenę CTS-Labs zarejestrowano w dniu 25-06-2017, adres AMDFlaws.com znacznie później, bo 22-02-2018 roku, a pierwszy film na kanale YouTube wrzucono raptem kilka dni temu.

Wiele dowodów wskazuje na to, że zaprezentowany wczoraj raport o 13 lukach w zabezpieczeniach procesorów AMD Ryzen jest fałszywy, a całość miała za zadanie obniżyć wartość giełdową firmy

Wydaje się, iż firma posiada tylko 3 pracowników widocznych na materiałach wideo, przed publikacją raportu nie dysponowała historią swoich działań i jakby tego było mało, jej nazwy używano dość niespójnie, przykładowo w klipie czy na stronie AMDflaws jest to CTS-Labs, zaś w notce prawnej określa się ją jako CTS. Co więcej, stworzony przez nią dokument był cytowany później przez ekspertów z Viceroy Research, a jest to grupa, która zyskała sławę podczas sagi z Capitec Bank, ostatecznie sprowadzając wartość jego rynkowych akcji w dół. Notabene stworzyli oni własny raport w zaledwie 2 godziny po publikacji CTS-Labs, co jest raczej technicznie niemożliwe, biorąc pod uwagę szczegółowość dokumentów. Logicznie należy więc połączyć ze sobą oba podmioty lub potwierdzić istnienie wyłącznie jednego - VR. 

Jeśli odszukano winnego lub winnych musi być motyw, a jest nim najpewniej chęć obniżenia akcji AMD w celu późniejszego kupna i odsprzedania ich na giełdzie (Viceroy Research twierdzi nawet, że AMD ma zerową wartość). Kolejnym dowodem obciążającym podejrzanych jest fakt poinformowania o sytuacji zainteresowanej strony dosłownie na 24 godziny przed oficjalnym ujawnieniem raportu, a badacze pałający się zagadnieniami bezpieczeństwa są zobowiązani przestrzegać 90-dniowej procedury informacyjnej, podczas której dana firma ma szansę naprawić potencjalne błędy. CTS-Labs nie wrzuciło również żadnych konkretnych technicznych danych, a jedynie te mogące wpłynąć na rynkową wartość AMD. Na koniec warto wspomnieć o oświadczeniach zarówno CTS-Labs, jak i Viceroy Research, w których zastrzegają, że wszystko co przedstawili jest wyłącznie teorią, a nie stwierdzeniem autentycznych faktów, zrzucając zarazem konsekwencje ze swych barków. Poza tym, jak słusznie zauważają niektórzy, do wszelkich negatywnych działań na komputerach wyposażonych w Ryzeny hakerzy potrzebują maksymalnych uprawnień administracyjnych, które i bez dodatkowych luk dawałoby im ogromne możliwości.