Otto giorni fa la compagnia israeliana CTS-Labs, specializzata in sicurezza informatica, pubblicò un report in cui si esplicitavano una serie di falle, catalogate dalla stessa compagnia come estremamente pericolose, che avrebbero reso estremamente insicuro l’utilizzo delle nuove CPU Ryzen ed EPYC di AMD nel settore Enterprise.
Il report ha colpito il settore informatico come un fulmine a ciel sereno in quanto, dopo Spectre e Meltdown, nessuno si aspettava una nuova ondata di pericolosi Bug, soprattutto a carico delle CPU di AMD. Proprio quest’ultima, infatti, si è detta estremamente fiduciosa riguardo le qualità di sicurezza dei prodotti basati sull’uArch Zen. Propri questi ultimi, al contrario delle CPU Intel, sono passati praticamente indenni attraverso i bug Spectre e Meltdown.
Tornando al report di CTS-Labs, la stessa AMD ne è rimasta spiazzata, e nelle prime ore ha evitato qualsiasi comunicato stampa, al fine di indagare sulle falle descritte. CTS-Labs, secondo le norme in vigore tra i big del mercato informatico, avrebbe dovuto dare un preavviso di almeno 60 giorni ad AMD, così che quest'ultima potesse porvi rimedio prima dell'annuncio pubblico. Invece CTS-Labs ha atteso appena 24 ore. L'iter corretto, al contrario, è stato seguito da Google con Intel, la quale è stata avvertita riguardo le falle denominate Spectre e Meltdown più di due mesi prima della loro pubblicazione.
Il report di CTS-Labs, comunque, nonostante queste zone grigie di condotta, ha fatto il giro del web, ed anche dei mercati finanziari, con relativo crollo delle azioni di AMD. Proprio per questo in molti credono – a nostro parere giustamente – che questa mossa possa essere servita a qualcuno o per effettuare una vantaggiosa compra-vendita di azioni AMD, o per evitare che le azioni AMD possano salire eccessivamente in futuro (Le brutte notizie, anche se false, sono dure a morire). Il nome dato ad alcuni Bug, in ultimo, lascia adito a ben pochi dubbi sul perché di questo report: "Ryzenfall 1, 2, 3, 4". Ed è stato addirittura apero un sito dedicato, chiamato AMDFlaws! Sembrerebbe quasi una campagna di marketing denigratorio ...
Continuando, nei giorni seguenti in molti hanno cominciato a studiare queste falle, ed alla fine si è giunti ad una conclusione univoca: sono bug che possono rivelarsi gravi, ma richiedono la partecipazione attiva dell’amministratore di sistema affinché possano risultare pericolosi (Inoltre non colpiscono direttamente le CPU di AMD, ma i chipset utilizzati da AMD, prodotti da AsMedia!). Utilizzando una metafora, possiamo affermare che se noi lasciamo il cancello del giardino aperto, la chiavi di casa nella toppa esterna della porta, il garage aperto e la macchina con le chiavi inserite, allora un ladro potrebbe rubarci praticamente tutto. Noi siamo l’Amministratore di Sistema, ed il ladro l’eventuale Hacker. Le chiavi inserite nella toppa della porta e nel cruscotto dell’auto sono i Bug riscontrati da CTS-Labs.
AMD, alla fine, ha comunque ammesso che questi Bug esistono, e sebbene siano quasi impossibili da sfruttare, ha deciso di porvi rimedio con una patch correttiva, con la collaborazione di AsMedia.
Noi di B&C non siamo qui per elargire sentenze o condanne, ma una cosa è certa: c’è del marcio in Danimarca.