Anuncian vulnerabilidades en los CPUs Zen de AMD, pero el asunto huele raro...

Tema en 'Procesadores y Placas Madre' comenzado por FranciscoCL, 13 de Marzo de 2018.

Watchers:
This thread is being watched by 7 users.
  1. FranciscoCL

    FranciscoCL -_- Old School Miembro Regular

    Se incorporó:
    4 de Marzo de 2005
    Mensajes:
    5.233
    Me gusta recibidos:
    1.549
    Puntos de trofeos:
    198
    Esto da para una nota larga, pero lamentablemente ando muy corto de tiempo, así que daré un resumen de lo que he podido leer y unos links al tema.

    El asunto salió a flote esta cerca del mediodía local, con publicaciones en varios sitios tech hablando sobre el anuncio de una compañía de seguridad respecto a 13 vulnerabilidades que habría en varios CPUs de AMD basados en Zen. Parece muy grave (y en realidad tal vez lo sea), pero hay varias cosas raras que llaman la atención:

    - La empresa de seguridad que hizo el descubrimiento y el anuncio es prácticamente desconocida, basada en Israel y cuyo sitio web data recién el año pasado.
    -Le dieron 24 horas de aviso a AMD de las vulnerabilidades antes de hacer el anuncio público /en vez de los meses que hubo con Meltdown y Spectre).
    -Al momento de hacer el anuncio ya tenían completamente diseñado un sitio web del tema, llamado "AMDflaws", con nombres llamtivos para estas vulnerabilidades e íconos o un diseño para cada una. También subieron videos a youtube como dirigidos a público en general (lenguaje más bien básico y general).
    -Otros detalles que se pueden ver en los links y comentarios de foros.
    -Dan a entender que las vulnerabilidades son "muy malas", pero lo que se desprende del mismo documento publicado por ellos al respecto (que curiosamente está alojado en otro sitio y no en el de ellos), las vulnerabilidades requieren que el atacante ya tenga privilegios administrativos e incluso una vulnerabilidad requiere flasheo de BIOS (o sea, te lo tienen que tener bien adentro antes de poder hacer algo, o dicho de otra forma, aunque no existieran estas vulnerabilidades en esa situación estás cagado igual).

    Las opiniones generales de editores y usuarios de foros que saben más que yo del tema, es que es absolutamente irregular dar tan poco tiempo de aviso a AMD, y que pareciera que más que primar el interés general de seguridad, todo está diseñado para causar impacto y darse a conocer. Algunos piensan que todo es falso, y especulan que todo puede estar destinado a guiar una modificación de las acciones de AMD para hacer una ganancia rápida. Yo creo que sí existen pero que no es para tanto y además la compañía me parece muy poco responsable.



    links:
    https://www.techpowerup.com/242328/...d-in-amd-zen-architecture-including-backdoors

    https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond

    https://www.hardocp.com/news/2018/03/13/amd_cpu_attack_vectors_vulnerabilities

    http://www.guru3d.com/news-story/13...doors-discovered-in-amd-ryzen-processors.html
     
    Última modificación: 13 de Marzo de 2018
    A -=Dark][Dawn=-, nibal2 y senbe les gusta esto.
  2. senbe

    senbe Anciano Miembro Regular

    Se incorporó:
    25 de Julio de 2006
    Mensajes:
    10.249
    Me gusta recibidos:
    2.460
    Puntos de trofeos:
    198
    ¿Tan así de vulnerable es la industria que basta un rumor para hacer la pasada bursátil?

    :nono
     
  3. rodrigokfw

    rodrigokfw Capo Miembro Regular

    Se incorporó:
    19 de Octubre de 2007
    Mensajes:
    405
    Me gusta recibidos:
    324
    Puntos de trofeos:
    168
    A FranciscoCL le gusta esto.
  4. FranciscoCL

    FranciscoCL -_- Old School Miembro Regular

    Se incorporó:
    4 de Marzo de 2005
    Mensajes:
    5.233
    Me gusta recibidos:
    1.549
    Puntos de trofeos:
    198
    Son opiniones de algunos, yo no creo que sea tan así. De hecho durante el día las acciones bajaron y luego subieron, pero no conozco la variación habitual, puede que esté dentro de lo normal. Habrá que ver qué pasa en los próximos días.
     
  5. ricm

    ricm Old School Miembro Regular

    Se incorporó:
    28 de Agosto de 2005
    Mensajes:
    6.451
    Me gusta recibidos:
    667
    Puntos de trofeos:
    198
    Y no solo esa industria, basicamente todo en la bolsa se mueve en torno a rumores o info privilegiada.
     
  6. Darknesshell

    Darknesshell Zombie REPORTERO Miembro Regular

    Se incorporó:
    17 de Marzo de 2005
    Mensajes:
    25.911
    Me gusta recibidos:
    5.958
    Puntos de trofeos:
    198
    Página web:
    ¿Casualmente Intel no está instalada en Israel?

    Ahí lo dejo y me retiro lentamente...
     
    A seba y Tbon les gusta esto.
  7. le hu@sito

    le [email protected] Pro Miembro Regular

    Se incorporó:
    20 de Noviembre de 2005
    Mensajes:
    555
    Me gusta recibidos:
    121
    Puntos de trofeos:
    138
    sospechosa la weá
     
  8. Pepo

    Pepo REPORTERO REPORTERO Miembro Regular

    Se incorporó:
    27 de Octubre de 2009
    Mensajes:
    2.139
    Me gusta recibidos:
    702
    Puntos de trofeos:
    148
    Huele a boicot.
     
  9. Tbon

    Tbon All good in the hood Miembro del Equipo Fundador ADMIN Old School

    Se incorporó:
    20 de Enero de 2004
    Mensajes:
    10.337
    Me gusta recibidos:
    675
    Puntos de trofeos:
    198
    Gracias a eso se dan grandes distorsiones como en el caso de Samsung, 3M, BMW o Pfizer (entre muchos otros) que a pesar de contar con enormes bases instaladas en todo el mundo, grandes inversiones, centros de investigacion, Universidades y fabricas en distintos paises, tienen un valor de mercado hasta 10 veces menor que Apple.
     
    A nibal2, rodrigokfw y Darknesshell les gusta esto.
  10. FranciscoCL

    FranciscoCL -_- Old School Miembro Regular

    Se incorporó:
    4 de Marzo de 2005
    Mensajes:
    5.233
    Me gusta recibidos:
    1.549
    Puntos de trofeos:
    198
    Mientras más leo, veo que la opinión general apunta a que está todo orquestado para crear miedo buscando una potencial ganancia con el mercado accionario.

    Al parecer las vulnerabilidades existen, ya que hay una empresa de seguridad radicada en EEUU (TrailOfBits, CEO: Dan Guido) a la que la empresa de Israel le habría pagado 16 mil dólares para confirmar sus hallazgos (les habría mandado la info una semana antes que a AMD). Pero todo el resto apunta a que el objetivo real de esta empresa no es la seguridad realmente:

    - La exageración absolutamente desmedida del real riesgo que estas vulnerabilidades representarían. Lo tildan de "lo peor" pero en la práctica necesitas que tui sistema ya esté comprometido seriamente antes de que se puedan aprovechar de ellas.

    - Según linkedin la empresa tiene 3 (sí, tres) empleados, creada el 2017, con muy poca info. Obviamente deberían ser los mismos 3 que salen en el video que subieron (que tiene fondo falso, de pantalla verde):


    [​IMG]

    [​IMG]

    Y acá hago copy&paste de lo que acaba de poner Guru3D, ya que está muy clarito (inglés):

    ---------------

    We say testing & verification is required. Should you be worried? Well, from what we've read, all four levels of vulnerabilities require actual administrative access towards your PC. This means you'd need to hand out full access to your PC, that would read as alleviated privileges. And yeah, anything and anyone you hand out admin rights would be at risk or compromized anyway.

    At the time of writing, I (Hilbert) am looking at the vulnerability announcements with a healthy amount of skepticism, and so should you. I'd advise we all await what AMD has to say about this, once they have had a chance to digest all information and accusations.

    There are many things that bother me:

    • The 24-hour disclosure opposed to the industry standard 90/180 day is just wrong
    • Domain records for "amdflaws.com" has been created on Feb, 22, 2018.
    • Company is listed only since 2017, linked-in shows very poor company info.
    • Domain registered not directly but through "domainsbyproxy.com".
    • Domain is registered at GoDaddy, privately. No contact information of the domain is public.
    • Their official Youtube Channel with that video, was created March this year. That would be the official company YT channel.
    • Video looks marketed, too well produced.
    • Names like Ryzenfall sounds like somebody from marketing made that up?
    • Precisely 13 flaws? An unlucky number?
    • Whitepaper shows no specific technical detail.
    • Earlier today when the news broke and info was released I did some Google searches on CTS-Labs, it revealed very little, for a proclaimed established security agency.
    • Parts of www.cts-labs.com website are copied from public PDF documents
    • As a security firm, cts-labs website does not even have an SSL certificate active? Thus no https available as an option?
    • cts-labs does not disclose address on website.
    All things combined raise so many red flags, now we can also add this:
    Currently, there is speculation that this information release is an attempt to manipulate the stock price of AMD. The short seller Viceroy Research would possibly play a role in this. That company published relatively quickly after CTS the claim that the 'revelations' would be the death blow for AMD.


    ---------------


    Hace mención a Viceroy Research, una entidad que ya ha estado involucrada en casos turbios de crear "alarma pública" para obtener beneficios económicos. Viceroy publicó en su página (muy poco tiempo después de que CTSLabs hiciera público el tema ) un artículo donde decía que esto era la muerte de AMD y que el valor de sus acciones era 0.0.



    Todo muy turbio.
     
    Última modificación: 13 de Marzo de 2018
    A gfpcware, Zuljin, Darknesshell y 1 persona más les gusta esto.
  11. sir_lestat

    sir_lestat Shay Laren's Fan Miembro del Equipo MOD Miembro Regular

    Se incorporó:
    6 de Junio de 2007
    Mensajes:
    1.219
    Me gusta recibidos:
    289
    Puntos de trofeos:
    198
    yo creo que puede estar INTEL detras de esto, como AMD salio "mejor parado" que intel en los bugs anteriores, puede ser una maniobra para tratar de emparejar la cancha
     
    A rodrigokfw le gusta esto.
  12. rodrigokfw

    rodrigokfw Capo Miembro Regular

    Se incorporó:
    19 de Octubre de 2007
    Mensajes:
    405
    Me gusta recibidos:
    324
    Puntos de trofeos:
    168
  13. Kitsune

    Kitsune Capo Miembro Regular

    Se incorporó:
    5 de Mayo de 2006
    Mensajes:
    437
    Me gusta recibidos:
    92
    Puntos de trofeos:
    123
    Que horror, con esto ya no cabe duda que lo prox que compre será AMD
     
  14. Diego

    Diego Fanático Miembro Regular

    Se incorporó:
    14 de Septiembre de 2009
    Mensajes:
    1.624
    Me gusta recibidos:
    230
    Puntos de trofeos:
    128
    Por cosas como estas es que hace mucho rato que no compro un Intel (estuve a punto, menos mal no pude en su momento). Hubo un tiempo que no quedaba otra que recomendar lo que habia no mas, pero ahora que AMD lanzo Ryzen, no hay donde perderse

    Pd: y la verdad, es que por cosas similares es que tampoco pesco a Nvidia :ninja
     
  15. -=Dark][Dawn=-

    -=Dark][Dawn=- Miembro Regular Miembro Regular

    Se incorporó:
    28 de Julio de 2006
    Mensajes:
    69
    Me gusta recibidos:
    26
    Puntos de trofeos:
    83
    CTS Labs subió un video de prueba de concepto de la vulnerabilidad:

     
    A FranciscoCL le gusta esto.
  16. -=Dark][Dawn=-

    -=Dark][Dawn=- Miembro Regular Miembro Regular

    Se incorporó:
    28 de Julio de 2006
    Mensajes:
    69
    Me gusta recibidos:
    26
    Puntos de trofeos:
    83
    Comunicado de AMD:

    The salient high-level takeaway from AMD is this:

    1. All the issues can be confirmed on related AMD hardware, but require Admin Access at the metal
    2. All the issues are set to be fixed within weeks, not months, through firmware patches and BIOS updates
    3. No performance impact expected
    4. None of these issues are Zen-specific, but relate to the PSP and ASMedia chipsets.
    5. These are not related to the GPZ exploits earlier this year.
    https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research

    • Company asking for investigation of unusual stock trading
    https://www.bloombergquint.com/busi...-vulnerability-says-report-exaggerated-danger

    Todo muy turbio de parte de CTS Labs, por decir lo menos.
     
    A Soujiro, Pepo, FranciscoCL y 1 persona más les gusta esto.
  17. FranciscoCL

    FranciscoCL -_- Old School Miembro Regular

    Se incorporó:
    4 de Marzo de 2005
    Mensajes:
    5.233
    Me gusta recibidos:
    1.549
    Puntos de trofeos:
    198
    Gracias por la info.

    Puede ser que Intel no esté detrás, aunque lo beneficie del punto de vista mediático justo previo al lanzamiento de Ryzen 2. Acá veo codicia y un intento de ganancia rápida (económica y publicitaria) de mala clase, en donde queda claro que el fin de esta empresa no es la seguridad del público.
    Si la empresa (CTC Labs) hubiese seguido las prácticas habituales, es decir, de informar de las vulnerabilidades al afectado con un tiempo prudente (se estila en unos meses) antes de hacerlo público, el tema no hubiese sido mayor que otras cosas que han pasado, ya que AMD dice que en semanas tendrá la mitigación y probablemente sin pérdida de rendimiento.
     
    A Pepo y -=Dark][Dawn=- les gusta esto.
  18. -=Dark][Dawn=-

    -=Dark][Dawn=- Miembro Regular Miembro Regular

    Se incorporó:
    28 de Julio de 2006
    Mensajes:
    69
    Me gusta recibidos:
    26
    Puntos de trofeos:
    83
    Efectivamente, y acá me quedo con lo dicho por Linus Torvals (y que citaron mas arriba):

    the real story should be about bogus security "research" and manipulation of the coverage.


    Linus Torvalds
    It looks like the IT security world has hit a new low.
    If you work in security, and think you have some morals, I think you might want to add the tag-line
    "No, really, I'm not a whore. Pinky promise"
    to your business card. Because I thought the whole industry was corrupt before, but it's getting ridiculous.

    Linus Torvalds
    I refuse to link to that garbage. But yes, it looks more like stock manipulation than a security advisory to me.
    I'd blame the journalists, but let's face it, it's the security industry that has taught everybody to not be critical of their findings. "Think of the children".

    * Sacado de su Google+
     
    A Kitsune y rodrigokfw les gusta esto.
  19. Harima

    Harima Pegao al tarro REPORTERO Miembro Regular

    Se incorporó:
    15 de Mayo de 2008
    Mensajes:
    2.529
    Me gusta recibidos:
    1.560
    Puntos de trofeos:
    198
    https://hardzone.es/2018/03/21/amd-vulnerabilidades-ryzen-parche/

    https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research


     
    A Darknesshell, Pepo y Diego les gusta esto.

Comparte esta página

Share
Cargando...