AMD colpita da due azioni legali perché avrebbe mentito sulla vulnerabilità a Spectre

AMD colpita da due azioni legali perché avrebbe mentito sulla vulnerabilità a Spectre

L'ultima vittima delle azioni legali nate a seguito della diffusione sulle informazioni relative a Spectre e Meltdown è AMD, che si è vista citata in causa. La ragione: avrebbe cambiato la sua versione sulla vulnerabilità. Ma le cose non stanno così

di pubblicata il , alle 09:01 nel canale Sicurezza
AMDSpectre
 

Non solo Intel: anche AMD è stata coinvolta in due differenti azioni legali riguardanti Spectre. Due studi legali hanno infatti portato l'azienda in tribunale affermando che avrebbe rappresentato incorrettamente il rischio di sfruttamento di Spectre e che avrebbe cambiato la sua posizione nel secondo aggiornamento sulla situazione. AMD ha già risposto affermando che si tratta di "affermazioni senza fondamento" e che si difenderà in tribunale.

L'azienda di Sunnyvale ha diffuso queste dichiarazioni all'indomani della diffusione delle informazioni su Spectre:

  • Variante 1 (Spectre): risolta da aggiornamenti del software e/o del sistema operativo che saranno resi disponibili dai produttori dei sistemi. Ci si attende un impatto trascurabile sulle prestazioni.
  • Variante 2 (Spectre): differenze nell'architettura di AMD implicano che ci sia un rischio pressoché pari a zero di sfruttare questa variante. La vulnerabilità alla Variante 2 non è stata dimostrata finora sui processori AMD.
  • Variante 3 (Meltdown): nessuna vulnerabilità dei prodotti AMD per via di differenze nell'architettura.

La chiave in questo passaggio è il fatto che AMD abbia scritto "rischio pressoché pari a zero" (near-zero risk) di vulnerabilità alla variante 2. Dopo qualche giorno l'azienda ha comunicato ulteriori dettagli:

La Variante 2 di GPZ (Branch Target Injection o Spectre) è valida per i processori AMD.

  • Anche se riteniamo che l'architettura dei processori AMD renda difficile sfruttare la variante 2, continuiamo a lavorare a stretto contatto con il settore su questa minaccia. Abbiamo definito dei passi aggiuntivi che prevedono una combinazione di aggiornamenti al microcodice del processore e patch per i sistemi operativi che renderemo disponibili ai clienti e partner di AMD per mitigare ulteriormente la minaccia.
  • AMD renderà disponibili aggiornamenti del microcodice opzionali per i nostri clienti e partner per i processori Ryzen ed EPYC a partire da questa settimana.
  • I fornitori di software Linux hanno cominciato a diramare patch per i sistemi AMD, e stiamo lavorando a stretto contatto con Microsoft sulle tempistiche di distribuzione delle loro patch. Siamo altresì lavorando con la comunità Linux sullo sviluppo delle mitigazioni software "return trampoline" (retpoline).

Nella documentazione depositata in una delle due cause, riportata da Wccftech, si può leggere che

In un articolo sul blog, la squadra di Project Zero ha affermato che una di queste falle di sicurezza - una vulnerabilità chiamata "Spectre" - permette a terze parti di ottenere password e altri dati sensibili dalla memoria di un sistema. In risposta all'annuncio di Project Zero, un portavoce di AMD ha avvisato gli investitori che, anche se i suoi chip erano vulnerabili a una variante di Spectre, c'era un "rischio pressoché pari a zero" che i chip di AMD fossero vulnerabili alla seconda variante di Spectre.

Quindi, l'undici gennaio 2018, dopo la chiusura dei mercati, AMD ha rilasciato un comunicato stampa intitolato "Un aggiornamento sulla sicurezza dei processori AMD", riconoscendo che i suoi chip erano, di fatto, soggetti a entrambe le varianti della falla di sicurezza Spectre.

Il problema di base sta nel modo in cui AMD ha costruito la prima dichiarazione: l'azienda afferma che c'è "un rischio vicino a zero". Nell'aggiornamento, sembrerebbe che l'azienda abbia riconosciuto la vulnerabilità, ma così non è. Di fatto, "quasi zero" non è "zero". Il vecchio detto italiano "prevenire è meglio che curare" è ben noto negli ambiti di sicurezza, dove un "rischio quasi nullo" può fare la differenza rispetto a un rischio nullo.

Proprio per meglio tutelare quegli ambienti ove è necessaria la massima sicurezza, AMD ha voluto rilasciare un aggiornamento facoltativo e da applicare ai sistemi. Si tratta di un modo per escludere a priori qualsivoglia superficie di attacco, sebbene non siano ancora state prodotte prove che l'architettura AMD sia vulnerabile. La parola chiave, poi, è "facoltativo": dal momento che non c'è una proof of concept che dimostra la vulnerabilità, non c'è necessità di un aggiornamento obbligatorio.

Questa è la ragione per cui AMD ha dichiarato che le accuse rivoltele dagli avvocati siano "senza fondamento". Di fatto, l'azienda non ha cambiato posizione riguardo la sicurezza dei suoi processori. Sarà ora un giudice a decidere chi ha ragione.

37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gyammy8519 Gennaio 2018, 09:59 #1
Eh già, avrebbero dovuto scrivere rischio pari a 0.0.
Quindi secondo questi qui esiste il concetto di zero rischi in assoluto, bene.
Poi se succede qualcosa "eh ma avevano scritto 0.0, cialtroni!"
Fortuna che si tratta di amd, pagherà senza fiatare altrimenti la shitstorm riecheggerà per secoli.
Opteranium19 Gennaio 2018, 10:14 #2
si attaccano a tutto pur di succhiare. Che pena.
Zappa198119 Gennaio 2018, 10:29 #3
senza contare che sono vulnerabilità che la gente comune cioè il 99.9% dell intero pianeta non si accorgerà mai di avere... un casino mediatico per niente insomma come sempre
marcram19 Gennaio 2018, 10:34 #4
Intanto, dopo queste "azioni legali pubblicizzate", sai quanti che erano partiti in quarta per comprare processori AMD dopo lo scandalo Intel si sono bloccati di colpo con i dubbi...
calabar19 Gennaio 2018, 10:34 #5
Beh per lo meno l'articolo fa un po' di chiarezza sulla situazione dei processori AMD, che non era chiara a tutti.

La causa legale mi sembra un po' tirata per i capelli, vediamo cosa ne uscirà dai tribunali.
Piuttosto sarebbe stato interessante leggere le esatte motivazioni con cui sono state aperte le cause, per capire cosa esattamente stanno contestando.
Gyammy8519 Gennaio 2018, 10:37 #6
Originariamente inviato da: marcram
Intanto, dopo queste "azioni legali pubblicizzate", sai quanti che erano partiti in quarta per comprare processori AMD dopo lo scandalo Intel si sono bloccati di colpo con i dubbi...


...e sono andati a comprare di nuovo intel che è una garanzia
lookgl19 Gennaio 2018, 10:50 #7
Originariamente inviato da: Zappa1981
senza contare che sono vulnerabilità che la gente comune cioè il 99.9% dell intero pianeta non si accorgerà mai di avere... un casino mediatico per niente insomma come sempre


Che poi Spectre è una vulnerabilità talmente complessa da sfruttare che sarebbe interessante capire anche quanti programmatori sarebbero capaci di usarla.
calabar19 Gennaio 2018, 11:00 #8
Originariamente inviato da: lookgl
Che poi Spectre è una vulnerabilità talmente complessa da sfruttare che sarebbe interessante capire anche quanti programmatori sarebbero capaci di usarla.

Ne bastano pochi che rivendono poi l'exploit sul mercato nero. Una barca di soldi senza agire in prima persona.
Grizlod®19 Gennaio 2018, 11:40 #9
Va beh che gli americani sono fatti a modo loro, ma che 2 studi legali si sveglino la mattina e decidano di intraprendere una causa contro AMD, imho puzza; ci dev'essere qualcuno dietro le quinte. Cioè i 2 studi legali lavorino per terzi...

Credo però dovranno dimostrare (loro o chi per loro) di entrare in un sistema AMD
via 'spectre' dal web (non in laboratorio) e carpire per esempio le password home-banking di un utente senza che abbia installato la patch di MS e che riescano ad estirpare $ dallo stesso cc.

Almeno, penso contestino tanto...
tuttodigitale19 Gennaio 2018, 11:54 #10
Originariamente inviato da: Gyammy85
...e sono andati a comprare di nuovo intel che è una garanzia


https://techreport.com/news/33130/i...are-old-and-new

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^