A tegnapi napon számoltunk be arról, hogy a CTSLabs biztonsági résekre bukkant az újabb AMD platformokban, de az ügy váratlanul nagy port kavart, mivel egyre több IT biztonsági szakember véli úgy, hogy az egész valamiféle lejáratási kísérlet. Linus Torvalds viszonylag gyorsan megosztotta a véleményét, ami jó szokásához híven erősre sikeredett. A Linux atyja szerint az IT biztonság új mélypontra süllyedt, így ha bárki biztonsági szakemberként dolgozik jobban teszi, ha ráírja a névjegykártyájára: "Nem, tényleg nem vagyok ribanc. Becsszó!". A jellemzően szókimondó szakember úgy gondolta korábban is, hogy az egész iparág korrupt, de állítása szerint egész kezd nevetségessé válni.
Linus Torvalds magát a jelentést nem volt hajlandó belinkelni, ugyanis "egy szemétnek" tartja, de elmondta, hogy szerinte az érintet vállalatok az AMD részvényárfolyamát akarják manipulálni. Ez manapság egy könnyű pénzszerzési lehetőség, mivel gyakorlatilag alapítani kell pár startupot, akik jól lejáratják a kiszemelt céget, majd a kellően alacsony árú részvényekből bevásárolnak, és innentől kezdve már csak a hasznot kell figyelni.
A tegnapi napon a CTSLabs állításaihoz nem fűztünk különösebb kommentárt, de minden esetben igyekeztünk kiemelni, hogy magához a támadáshoz is eleve emelt szintű rendszergazdai jogosultság kell. Mivel mára az ügyben számos szakember megszólalt, így leírjuk, hogy jellemzően mi is a bajuk a CTSLabs jelentésével. Az egyik legfőbb tényező, hogy ha bárki egy rendszeren emelt szintű rendszergazdai jogosultságot szerez, akkor onnantól kezdve a gép felett már át lett véve az irányítás. Ez nem nagy újdonság az iparág számára, elvégre az emelt szintű rendszergazdai jogkört rossz dolgokra is lehet használni. És igen általánosan elmondható, hogy ha ebben a módban egy támadó bármilyen rosszindulatú kódot telepít, akkor abból bizony általánosan baj lesz.
Ezért is nagyon érdekes a CTSLabs jelentésében az, hogy a legtöbb biztonsági rés kihasználásának elengedhetetlen feltétele az emelt szintű rendszergazdai jogosultság előzetes megszerzése. És itt az a pont, ami sokaknak nehezen értelmezhető, mivel ha egy támadó már valahogy elérte ezt, akkor gyakorlatilag megvan amiért jött, még mielőtt egyáltalán alkalmazta volna a CTSLabs felfedezéseit. Ettől függetlenül az emelt szintű rendszergazdai jog mellett élő sebezhetőségek is számítanak az iparnak, de valójában ilyenekből napi szinten fedeznek fel akár többet is, amelyek különösebb hírverést azért nem kapnak, mivel már maga a feltétel, hogy előbb valamilyen módon emelt szintű rendszergazdai jogosultságot kell szerezni, jelentősen csökkenti a támadás kivitelezhetőségének kockázatát.
Hasonló a helyzet annál a biztonsági résnél is, amely kihasználásához előbb egy olyan, speciálisan kialakított BIOS állományt kell beégetni a gépbe, amely tartalmazza az előre lefordított ártalmas programot. Egy jól kialakított konfigurációnál ehhez a művelethez is emelt szintű rendszergazdai jogosultság szükséges, tehát ismét ugyanott vagyunk, ahol az előbb. De persze nyilván, ha egy támadónak valahogy sikerül egy adott rendszer BIOS-át kicserélni egy ártalmas kóddal ellátott verzióra, akkor az minden esetben rossz dolgokhoz fog vezetni.
Az egyébként fontos tényező, hogy senki sem állítja be úgy a CTSLabs munkáját, hogy az hazugság lenne. Leginkább azt éri kritika, hogy egy jól konfigurált rendszerben mindegyik sebezhetőség kihasználása gyakorlatilag ahhoz van kötve, hogy a támadó emelt szintű rendszergazdai jogot szerezzen. Tehát igazából már azelőtt átveszi az adott gép felett az irányítást, mielőtt a CTSLabs által bemutatott támadások bármelyikéhez hozzányúlt volna.
A fentiek mellett Linus Torvalds, tőzsdei manipulálásra vonatkozó véleményét még az is alátámasztja, hogy maga a CTS Labs teljesen ismeretlen név az IT biztonság területén, mindössze 24 órát adtak az AMD-nek, hogy bármit is reagáljon az iparágon belül szokás 90 napos határidő helyett, illetve a vállalat nagyon érdekes módon megpróbálja védeni magát a jognyilatkozatában. Ebben ugyanis szerepel az, hogy csak véleményeket fogalmaznak meg, nem pedig tényeket, illetve felhívják a figyelmet arra, hogy közvetlen vagy közvetett módon gazdasági érdekeltséget szerezhetnek a jelentés által tárgyalt vállalat a részvényeiben.
Szintén kiderült, hogy maga a vállalat elérhetetlennek tűnik, ahogy a publikusan megadott Bevel PR ügynökség is. A YouTube-ra felkerült videó sem valódi irodában készült, amit sokan furcsának találtak, de igazából a nagyobb cégek is vesznek fel anyagokat zöld háttér mellett, majd mögéjük raknak egy szép képet. Ez önmagában nem jelent semmit, bár a fentiek tudatában valóban gyanús, főleg úgy, hogy az említett videóhoz hozzá sem lehet szólni, tehát a felhasználói véleményeknek vagy esetleg kérdéseknek a CTS Labs egyáltalán nem szeretne teret adni.
A CTS Labs kódjait egyébként a Trail of Bits hitelesítette. Az említett cég talán az egyetlen olyan érintettje a sztorinak, amelyre tényleg az mondható, hogy nem csak papíron létezik. Mindenesetre szintén nem megszokott az iparágon belül, hogy egy jelentés felfedezéseit csupán egyetlen egy független szereplő hitelesíti. Az persze nem elképzelhetetlen, hogy a CTS Labs több IT biztonsággal foglalkozó céget is felkeresett, csak a legtöbbjük nem adta a nevét ehhez, így végül csupán egy hitelesítésre tudtak hivatkozni. Ráadásul a helyzetet súlyosbítja, hogy egyik bejelentett sebezhetőség sem rendelkezik CVE bejegyzéssel és Mitre számmal, amelyek alapvető igénynek számítanak ezen a területen.
A történet legérdekesebb szála viszont kétségtelenül a Viceroy Research, amely vállalat kiadott egy igen méretes saját jelentést a CTS Labs anyagára építve, amit ráadásul csupán három órán belül dobták össze. Ez azért furcsa, mert elméletben nem szerezhettek tudomást a sebezhetőségekről a publikus megjelenés előtt, hiszen látszólag semmi közük az AMD-hez, az egyes országok kormányaihoz, vagy az egyéb gyártókhoz. A Viceroy Research tehát mindössze három röpke óra alatt elemezte a CTS Labs jelentését, elkérték hitelesítést (nekik legalább sikerült elérni őket), majd még jutott idejük egy 25 oldalas írás megfogalmazására és legépelésére is, amiben az a konklúzió születik, hogy szerintük az AMD piaci értéke 0,00 dollár, így a vállalatnak nincs más lehetősége, mint csődöt jelenteni. És még egyszer kihangsúlyozzuk, hogy mindezt csupán három órán belül. Ráadásul apróbb adalék, hogy a Viceroy Research egy olyan szervezet, amelynek anonim tagjai vannak. Saját állításuk szerint függetlenek csoportja, akik másképp látják a világot, méghozzá arc és név nélkül.
