Sigurnosni propusti u AMD procesorima?

Da li sigurnosni propusti u proizvodima ili slučajevi curenja podataka sve više postaju samo afere, a sve manje realan problem?

Doba povećane pažnje široke javnosti prema informatičkoj bezbednosti je u svojoj ranoj fazi. Tek što smo postali svesni da su procesori koje koristimo godinama izgrađeni na nedovoljno siguran način (Meltdown i Spectre), koji bi se mogao eksploatisati od strane spretnih hakera i ugroziti bezbednost naših računara i podataka na njima, svet su zatresle i druge afere. Prva među njima je ona koja se tiče navodnog dostavljanja podataka korisnika kompanije Facebook kompaniji Cambridge Analytica za potrebe njihove analize te upotrebe u kampanji Donalda Trampa (Trump) u trci za predsednika SAD.

Nekako u isto vreme, nezavisna istraživanja su lansirana u svim delovima informatičke javnosti koja pokušava da pronađe još eventualnih bezbednosnih propusta kako u hardveru, tako u softveru, ali i načinu upotrebe ličnih podataka, i to sve dok sitno odbrojavamo do početka uvođenja GDPR (General Data Protection Regulation) inicijative u Evropskoj uniji.

Otvorene oči istraživača

Javno objavljivanje Meltdown i Spectre sigurnosnih propusta u modernim procesorima je, gotovo preko noći, popularizovalo ne samo priču o bezbednosti informacija i platformi za njihovu obradu, već i istraživačke napore u ovom domenu, koji su godinama (ako ne i decenijama) bili u zapećku. Nismo morali dugo da čekamo da se široj javnosti obrati još jedan istraživački tim sa nalazima koji pokazuju još jednu dubinu nedovoljno bezbednih računarskih rešenja koje svakodnevno koristimo.

Novi igrač u sajber-bezbednosnom prostoru, po imenu CTS-Labs, dolazi iz Izraela, a javnosti je početkom marta predstavljen rad na temu identifikacije četiri klase potencijalnih ranjivosti AMD-ovih procesora pod imenima Ryzen, Epyc, Ryzen Pro i Ryzen Mobile. Izuzetno je važno napomenuti da je ova istraživačka kompanija, koja dolazi iz države gde Intel ima izuzetno snažno uporište, kompaniji AMD „dala” informaciju o svom radu samo 24 časa pre no što je javnosti čitava studija predstavljena. Podsećanja radi, Intelu (i AMD-u) su nalazi studija za Meltdown i Spectre dati mnogo, mnogo ranije (mereno u mesecima, ne danima). Zaista, pravo je iznenađenje da nije „ispoštovana” praksa po kojoj se instituciji ovog tipa informacija o problemu pruža 90 dana pre javnog objavljivanja. AMD je 13. marta, ubrzo nakon dobijanja informacije, objavio da je pomenuta istraživačka laboratorija iznela dokaze o potencijalnim problemima AMD-ovih procesora i da će vrlo brzo imati informacije na ovu temu. Prvi odgovor AMD-a nije sadržao zvanično prihvatanje ovih navoda, ali nije ih ni demantovao.

Teoretičarima zavere će, sasvim sigurno, biti interesantno da je sajt, na kome se nalaze obrazloženja o potencijalnim problemima AMD-ovih procesora, registrovan 22. februara ove godine, a da je vrlo verovatno i nekoliko važnih medija i medijskih pojedinaca imalo informaciju o pomenutim problemima i pre nego što je AMD zvanično obavešten. CTS-Labs je kompanija koja je sa radom počela prošle godine. Pomenuti rad je prvi javni proizvod njihovog rada, a na internetu se ne može naći popis njihovih dosadašnjih klijenata. Kao šlag na tortu dolazi informacija da je ova istraživačka kompanija za potrebe medijske kampanje pomenutog rada unajmila i kompaniju koja se bavi PR-om (Public Relations – odnosi sa javnošću).

Suštinski, rad prepoznaje izazove u kontekstu AMD rešenja Secure Processor i Promontory čipset. Secure Processor je integralni deo AMD-ovih procesora dok je pomenuti čipset tehnologija koju je AMD inkorporirao u svoja rešenja ugovorom sa tajvanskom kompanijom ASMedia.

Izazovi koje je ova kompanija predstavila nalaze se u tabeli na kraju ovog teksta.

Za razumevanje šireg konteksta onoga što se desilo, neophodno je razumeti malo bolje kompaniju CTS-Labs. Prema dostupnim intervjuima sa osnivačima ove kompanije, radi se o tročlanom timu eksperata sa iskustvom iz oblasti sigurnosti i finansijske industrije. Kompanija je nastala početkom 2017. godine sa zadatkom da se usredsredi na hardverske izazove u bezbednosti, smatrajući da su problemi u hardveru tržišna niša koja će se pokazati isplativom. Sudeći prema događajima s kraja prošle i početka tekuće godine – bili su u pravu.

Ova kompanija se bavi analizom sigurnosti proizvoda i sistema kompanija koje ih unajme. Prema njihovim rečima, ukoliko je kompanija vlasnik intelektualne svojine koju im predaje, oni će u svojoj analizi isporučiti i kôd koji pokazuje eventualno utvrđenu manu, dok će u slučaju da su unajmljeni od strane korisnika, samo dokumentovati otkriveno ponašanje, ali ne i programski kôd.

Sajt amdflaws.com, koji je registrovan gotovo mesec dana pre no što je AMD-u predočen skup bezbednosnih izazova, na čak devet mesta nudi mogućnost da se preuzme rad kojim se dokumentuju problemi. Sasvim je jasno da za izradu ovog sajta bilo potrebno značajno vreme.

U konkretnom slučaju, analizirali su proizvode kompanije ASMedia, čiju je tehnologiju AMD koristio prilikom izrade sopstvenih čipseta. Analizom ASMedia rešenja, istraživači su brzo uočili da su isti problemi „preneti” i u AMD čipset, te su odlučili da javnosti predoče ono što su našli. Interesantno je da su osnivači ove kompanije otkrili da im ASMedia nije bila klijent, već je čitav projekat bio neka vrsta testa. U konkretnom slučaju, CTS-Labs je koristio i eksternog proveravača, a svoje nalaze su podelili, pored AMD-a, i sa kompanijama Microsoft, HP i Dell. Eksterni proveravač je, prema navodima novinske agencija Reuters, na ime svog rada kompaniji CTS-Labs naplatio sumu od 16.000 američkih dolara.

Problemi koji su pronađeni u procesoru (SP) predstavljaju izazove koji vrlo verovatno mogu da se jave isključivo na AMD platformi, koja je izgrađena kao proširenje Trustonic-t-Base rešenja kompanije Trustonic. Sa druge strane, problemi sa ASMedia čipsetom su potencijalno opasniji jer su ugrađeni u mnoge proizvode i imaju dvojnu prirodu u hardveru i softveru. CTS-Labs je uspeo da pronađe probleme u USB kontrolerima ove kompanije koje koristi isti čipset, a koji se ugrađuju u mnoge ploče.

Reakcije

Svega nedelju dana nakon zvanične objave na svom sajtu, AMD je izašao sa odgovorom da uočeni problemi zahtevaju da haker poseduje administratorske privilegije na host sistemu. Dodatno, uočeni problemi gotovo sigurno nisu primenjivi u virtuelizovanoj arhitekturi jer se iz virtuelizovanog OS-a ne može pristupiti hardveru domaćinskog servera, što je neophodno radi iskorišćenja sigurnosnih propusta. AMD najavljuje da će sve probleme koji su navedeni u studiji rešiti softverskim zakrpama. Datum izdavanja softverske zakrpe nije objavljen, iako je rečeno da se može očekivati u narednim nedeljama.

„AMD mora prestati sa prodajom Ryzen i Epyc čipova zbog javne sigurnosti”. Ovo je citat iz javno objavljenog teksta nazvanog „AMD – čitulja” kompanije Viceroy Research, objavljenog na 25 stranica, manje od 24 časa nakon javnog objavljivanja sigurnosnih propusta od strane kompanije CTS-Labs. Interesantno je i to da se u tekstu kompanije Viceroy Research pominje da AMD kao kompanija „sada vredi nula dolara i da nema izbora no da podnese zahtev za bankrot”.

Osim brze i, čini se, poprilično odmerene i gospodske reakcije AMD-a, reagovala je i informatička javnost koja je u potezu kompanije CTS-Labs prepoznala želju za slavom. Naime, kako AMD Ryzen procesori dobijaju na pažnji, kako dobrim performansama, tako i ranije uočenim problemima sa Meltdown i Spectre ranjivostima koje više štete nanose ljutom konkurentu – čini se da je ovo pravi trenutak za „napad”.

Postavlja se niz pitanja na ovu temu. Zbog čega je ova relativno mlada kompanija odlučila da probleme u ASMedia čipsetu „testira” u novim AMD procesorima, a ne u, recimo, matičnim pločama raznoraznih proizvođača koji imaju Intelove čipsete? ASMedia USB kontroleri se nalaze na preko deset miliona ploča koje su trenutno u upotrebi u svetu i velika većina tih ploča bazirana na Intel čipsetu. Izbegavanje standardne procedure davanja 90 do 180 dana kompaniji čiji se proizvod smatra nebezbednim i registracije u javni sistem sigurnosnih nepravilnosti (CVE, Common Vulnerabilities and Exposures) deluju itekako sumnjivo.

Reakcije mnogih imena koja zaslužuju poštovanje, uključujući Linusa Torvaldsa, veoma su interesantne u svojoj prirodi odbacivanja ozbiljnosti u domenu zaštite bezbednosti računarskih sistema. Dominantan je glas koji ukazuje na to da se ovde vrlo verovatno radi o pokušaju obaranja vrednosti akcija kompanije AMD. Važno je napomenuti i da jedan od problema koje je pronašao CTS-Labs, iako se bavi AMD SP (Secure Processor) čipom, nema nikakve veze sa problemom koji je javnosti u januaru ove godine predočio Kfir Koen (Cfir Cohen) iz Googleovog tima za sigurnost u oblaku. Ovaj gospodin je AMD-u predočio svoje nalaze krajem septembra, a AMD je pronašao rešenje te implementirao isto u zakrpi uoči isteka 90 dana koje je pronalazač „dao” AMD-u. U tom slučaju, uobičajena procedura je ispoštovana u potpunosti.

Nova stvarnost

Vest više nije da je neka istraživačka kompanija, ma iz koje države dolazila, pronašla sigurnosne propuste u hardveru velikih računarskih kompanija. Meltdown i Spectre napadi su se pobrinuli da javnost, kako stručna tako i korisnička, bude itekako spremna na neočekivane, a potencijalno ozbiljne sigurnosne propuste.

Postoji vest da je to sada urađeno na način koji nam govori o nizu motiva koje ovakvi poduhvati mogu koristiti kao podlogu. Dovoljno je detaljnije ući u ono što piše u dostupnim materijalima koje imamo na sajtu, a to je da je sve ove probleme moguće pokazati na stvarnim uređajima ukoliko posedujete administratorske privilegije i/ili sposobnost flešovanja BIOS-a na računaru koji koristite. Da se razumemo odmah, sa tim svako može napraviti problem bilo kom računaru na milion i jedan način, čak i da nije sjajan haker. Drugo, unajmljivanje PR firme i izbacivanje specijalnog sajta, uz davanje svega 24 časa kompaniji AMD da reaguje na uočene probleme, zvuči, ako ne neverovatno, onda tendenciozno. Pre no što optužimo konkurenciju za ovakvo nešto, moramo shvatiti da su oni koji ne žele skok cena AMD-ovih akcija ljudi u čije je motive veoma, veoma teško ući. To nije i neće biti naš posao.

Ipak, naš je posao da ukažemo da se na tržištu sve više pojavljuju bolje ili lošije koordinisani napadi na tehnološke kompanije, u čijoj žiži su navodni sigurnosni izazovi u hardveru, sa uticajem na stotine hiljada ili milione računara širom planete. Javnost treba da očekuje ovakve bombastične vesti i da ih posmatra sa dozom skepse jer, nakon što su Meltdown i Spectre probili barijeru, scena je sada otvorena i za lošije glumce i siromašnija pozorišta, kojima želja nije da publiku nasmeje ili rasplače, već da strah raširi internetom, rušeći sa sobom vrednosti akcija i čitave kompanije.

• • •

Kao što sa velikom pažnjom pomažemo roditeljima, rođacima i poznanicima, ali i deci, da sa skepsom nastupaju prema korisnicima društvenih mreža sa kojima su u kontaktu, moramo prepoznati mesto i vreme da uključimo sopstveni aparat za sumnju, kako bismo se sačuvali od iracionalnog osećaja da računari koje koristimo nisu bezbedni. Bez sumnje, kompanije oko nas su usredsređene na profit od prodaje tehnologije. Ipak, tog profita neće biti ukoliko im sigurnost ne bude osnovna mantra, kojom će svoje zaposlene, partnere, kupce, investitore i sve druge voditi kroz napredak tehnologije. Na kraju, ukoliko i sami ne uložimo dodatni napor da razumemo prirodu informacione i tehnološke sigurnosti oko nas, doći ćemo u situaciju pomenutih roditelja, rođaka i poznanika, ali i dece, gde radoznalost premašuje sposobnost filtracije sadržaja. Našim je generacijama dato da ovu tranziciju u hiperpovezanu budućnost napravimo sigurnijim mestom za život onih koji dolaze. Od njih smo ovu Zemlju, svakako, pozajmili na korišćenje.

Momir ĐEKIĆ