Ainda sem resposta por parte da AMD, relatório do CTS Labs vem sofrendo ceticismo de diversos especialistas

Ontem repercutiu na internet um relatório do CTS Labs apontando 13 falhas graves de segurança dos sistemas baseados na microarquitetura Zen da AMD. A AMD afirma estar estudando o relatório e até o momento ainda não publicou uma resposta definitiva sobre as alegadas vulnerabilidades, porém enquanto isso não acontece, muitas críticas vem surgindo acerca desse relatório.

A primeira já foi apontada pela própria AMD em sua primeira comunicação oficial sobre o caso. Em nota, a empresa criticou o período extremamente curto de tempo entre receber o alerta sobre a falha e a divulgação pública. Em comparação, o caso Meltdown/Spectre já era conhecido desde a metade de 2017 por empresas como Intel, AMD e Google, antes de ser amplamente divulgada no começo de 2018. A AMD afirma que o intervalo foi de apenas 24 horas, nesse caso, totalmente fora dos padrões praticados pela indústria.

A segunda crítica é direcionada ao próprio relatório, apontado como muito menos consistente do que o apresentado no caso Meltdown/Spectre. Em alguns momentos, a divulgação é acusada de ser excessivamente panfletária, especialmente em sua postura bastante agressiva em relação especificamente à AMD. Algumas das vulnerabilidades apontadas também já começam a ser contestadas por nomes grandes na indústria, caso do Linus Trovalds, criador do Linux, publicou no Google Plus (sim, essa rede social, e obviamente apostagem só foi descoberta porque replicaram em redes sociais realmente utilizadas):

- Continua após a publicidade -

Um dos elementos que mais tiram o impacto acerca das falhas de segurança apresentadas é a necessidade de contato físico com os computadores e acesso a nível de administrador para realizar alguns dos ataques. Em algumas das variantes, seria necessário realizar o flash de uma BIOS modificada para tornar o sistema suscetível ao ataque, um procedimento muito complexo de ser realizado e que, em teoria, poderia ser aplicado a praticamente qualquer outro microchip, não somente CPUs Ryzen.

O terceiro principal elemento criticado é a falta de credibilidade do CTS Labs, por se tratar de uma empresa de segurança com pouco tempo no mercado e sem referências anteriores, sendo desconhecida pela grande maioria da indústria. O domínio do CTS Labs foi cadastrado apenas em junho do ano passado, e seu canal no YouTube foi criado a menos de uma semana.  No caso Meltdown/Spectre, o grupo Project Zero da Google foi o principal divulgador da vulnerabilidade, sendo que além da credibilidade muito maior na indústria, focou principalmente nos aspectos técnicos descobertos, ao invés de ataques mais direcionados às marcas envolvidas.

Quando as coisas ficam cômicas
Outra parte da crítica ao trabalho do CTS Labs é relacionado ao design e apresentação de seu site e seus vídeos. Em algumas das entrevistas apresentadas ao longo do vídeo, com um claro tom de terror dos entrevistados acerca das vulnerabilidades, ficou evidente o uso de imagens de bancos online de fotos para criação do cenário, algo que fica visível nesse comparativo abaixo.

O uso de imagens prontas também fica claro no próprio logo da empresa, que foi levemente modificado também a partir de uma figura disponível em um banco de imagens, como apontou o Gamer Nexus:

- Continua após a publicidade -

Nesse campo começamos a cair em críticas que não são consistentes. Atacar a qualidade das artes ou do website de uma empresa de segurança digital e, principalmente, de uma firma com pouco tempo de operação, não é uma forma de comprovar falta de qualidade no relatório divulgado.

As coisas começam a beirar o absurdo através da segunda voz mais ativa (e com certeza a mais enfática) sobre esse caso. O Viceroy Research publicou um artigo chamado "AMD - The Obituary", (AMD, o obituário, em tradução livre para o português). O PDF foi claramente desenvolvido para atacar a fabricante de processadores, baseando-se totalmente no relatório do CTS Labs e usando algumas fontes adicionais para dados sobre os processadores em si ou artigos básicos para embasar explicações sobre o funcionamento da CPU. O resultado é um conteúdo totalmente sem credibilidade, evidentemente criado apenas para criar incertezas acerca dos produtos da AMD, e "amplificando" a divulgação das vulnerabilidades alegadas pelo CTS Labs. O tom panfletário acaba comprometendo a sensível situação de suas alegações, ao invés de as ajudando a ganhar consistência.

Entre as pérolas está a afirmação que o valor de mercado atual da AMD deveria ser de US$ 0.00. Falando em ações, durante o dia de ontem houve pouca variação nas ações na empresa, e hoje há um ligeiro recuo de 2% nos valores dos papéis da companhia, algo longe de exibir um grande impacto do caso e bem atrás de outras quedas recentes.

 

 

E agora?
Enquanto a AMD não traz uma resposta oficial ou outras organizações independentes publicam mais acerca do assunto, não há muito para se avançar no caso. Há vários motivos para se tornar cético em relação ao CTS Labs, tanto por sua postura bastante direcionada à AMD quanto sua incipiência no mercado e ações fora dos padrões considerados profissionais, porém ao final de toda essa lambança, o que realmente importa é qual o grau real de risco que existe nas supostas falhas apresentadas pelo relatório. Nenhum sistema é invulnerável ou livre de falhas, porém se realmente for muito improvável o uso dessas brechas de segurança, ou mesmo se confirme que elas não procedem, não há motivos para o consumidor se preocupar.

Tags
amd
  • Redator: Diego Kerber

    Diego Kerber

    Formado em Jornalismo pela Universidade Federal de Santa Catarina (UFSC), Diego Kerber é aficionado por tecnologia desde os oito anos, quando ganhou seu primeiro computador, um 486 DX2. Fã de jogos, especialmente os de estratégia, Diego atua no Adrenaline desde 2010 desenvolvendo artigos e vídeo para o site e canal do YouTube

Qual vai ser o melhor game de setembro de 2020?

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.