De chief technology officer van securitybedrijf CTS-Labs heeft gereageerd op de ophef die is ontstaan nadat het bedrijf eerder deze week verschillende kwetsbaarheden in de chipsets van AMD openbaarde. Ook beveiligingsonderzoeker Dan Guido, die door het bedrijf werd ingeschakeld om de bevindingen te verifiëren, heeft een verklaring gegeven.

CTS-Labs kwam dinsdag met een speciale website genaamd amdflaws.com waarop 13 kwetsbaarheden met spannend klinkende namen werden omschreven. Wat direct opviel was dat de presentatie een zeer hoog marketinggehalte had. Daarnaast waren er geen CVE-nummers vermeld waarmee kwetsbaarheden normaliter worden aangegeven en had AMD geen tijd gekregen om de problemen te verhelpen. Slechts 24 uur voor de publicatie was de chipfabrikant ingelicht.

De werkwijze zorgde voor felle reacties onder beveiligingsexperts. In een brief op amdflaws.com (pdf) schrijft CTO Ilia Luk-Zilberman dat er ongeveer een jaar geleden werd begonnen met het onderzoeken van ASMedia-chips, waarin verschillende backdoors werden aangetroffen om de chip over te nemen. AMD maakt ook gebruik van deze chips en de exploit die voor de ASMedia-chips was ontwikkeld bleek ook te werken op een Ryzen-systeem dat de onderzoekers hadden aangeschaft. Vervolgens werd het onderzoek naar AMD gestart, wat verschillende kwetsbaarheden opleverde.

Wat betreft het onderwerp van "responsible disclosure", waarbij een leverancier of fabrikant van te voren over een kwetsbaarheid wordt ingelicht zodat er een update kan worden ontwikkeld, is dit volgens Luk-Zilberman geen goede werkwijze. Gebruikers worden namelijk pas na het verschijnen van een update gewaarschuwd dat er een probleem is en ze een patch moeten installeren. In de tussentijd lopen ze echter risico, aldus de CTO. Daarnaast is er nog de mogelijkheid dat een fabrikant niet op tijd met een update komt en de onderzoeker het probleem openbaar maakt en op die manier gebruikers risico laat lopen.

Luk-Zilberman stelt dat het beter is om gebruikers en de fabrikant meteen op "dag nul" te waarschuwen dat er kwetsbaarheden aanwezig zijn en wat de impact is. De technische details worden echter pas gegeven als het probleem is verholpen. Op deze manier wordt de fabrikant onder druk gezet om met een oplossing te komen en loopt het publiek geen risico. Om het publiek te overtuigen dat het om een echt probleem gaat moeten de bevindingen door een derde partij worden gevalideerd.

Hiervoor schakelde CTS-Labs onderzoeker Dan Guido van securitybedrijf Trail of Bits in. Guido kreeg echter flinke kritiek te verduren en heeft inmiddels op Twitter allerlei vragen over het onderzoek en de relatie met CTS-Labs beantwoord. Luk-Zilberman merkt op dat het beter was geweest om vijf verschillende "third party" onderzoekers in te schakelen, om zo alle twijfel weg te nemen. AMD heeft na de eerste reactie, dat het geen tijd had gekregen en een onderzoek heeft ingesteld, geen verdere updates gegeven.