Flere stiller spørsmål om troverdigheten til de angivelige AMD-sårbarhetene som en samlet IT-presse, inkludert digi.no, har omtalt det siste døgnet. Enkelte mener at det hele er et stunt som er gjort for å få aksjekursen til AMD til falle. Andre peker på at det skal svært mye til for å utnytte sårbarhetene, dersom de i det hele tatt eksisterer.
Som digi.no skrev tidligere i dag, ble ikke AMD informert om sårbarhetene mer et døgn før det til nå ukjente, israelske IT-sikkerhetsselskapet CTS Labs offentliggjorde opplysninger om funnene. Riktignok inkluderer dette ikke noen teknisk rapport, men også det er det flere som reagerer på. Det kan virke som at det tiltenkte publikumet for avsløringen er noen helt andre enn IT-sikkerhetseksperter.
Bakgrunn: AMD fikk bare et døgn på seg til å rette nyoppdagede, alvorlige prosessorsårbarheter
Kursmanipulering
The Register omtaler noen av disse uttalelsene. Blant annet skriver Jake Williams i Rendition Infosec at han er temmelig overbevist om at det hele dreier seg om manipulering av aksjekursen til AMD. Han peker på at det i et whitepaper-dokument som CTS Labs har opprettet, opplyses at selskapet har direkte eller indirekte interesser i aksjekursutviklingen til selskapene som omtales i rapporten.
Dette betyr ikke at sårbarhetene ikke eksisterer, men at CTS Labs har enda mer interesse av å få oppmerksomhet rundt denne nyheten enn det som ofte er tilfellet ved slike avsløringer.
First read of the AMDFLAWS whitepaper (no real technical details given) is: “over-hyped beyond belief”.
This is a whitepaper worthy of an ICO.
And yes, that is meant to be an insult.
— Arrigo Triulzi (@cynicalsecurity) 13. mars 2018
Bør ikke avskrives helt riktig ennå
Matthew Garrett, en velkjent bidragsyter til Linux-kjernen, skriver likevel i en serie med twittermeldinger at det vil være en feil å avskrive disse sårbarhetene selv om de framstår som svært overdrevne – blant annet ved at det i de fleste tilfeller kreves root- eller admin-tilgang til systemet, kanskje også fysisk tilgang i noen tilfeller.
En anonym bruker på Redit trekker fram en rekke opplysninger som får det hele til å virke litt tvilsomt. Ingenting av det er direkte bevis på at det dreier seg om svindel, men alt svekker troverdigheten til CTSLabs som et selskap som hevder å være eksperter på IT-sikkerhet, riktignok med fokus på maskinvare.
Forklarer mangel på ansvarlig avsløring
Teknologidirektøren hos CTS Labs, Ilia Luk-Zilberman, har i ettertid skrevet et åpent brev hvor han redegjør for hvorfor selskapet ikke har fulgt vanlige retningslinjer for ansvarlig avsløring av sårbarhetene.
Han begrunner det hele med at det er vanskelig å tro at CTS Labs er de eneste som har oppdaget disse sårbarhetene. Han skriver videre at han mener at det i stedet for å holde sårbarhetene hemmelig, mens man venter på at leverandøren skal løse problemet, bør varsle offentligheten om at det finnes sårbarheter og forklare hvilken betydning dette har. Dette samtidig som at de virkelig tekniske detaljene holdes skjult inntil problemet er løst.
Det er uansett for tidlig å konkludere med noe i denne saken. Det er mye som skurrer. Men før man snakker om ren juks og svindel, må AMD få tid til å granske påstandene.
Leste du denne? AMD deler ut gratis prosessor til kunder. Nødvendig for å løse kinkig problem