Anuncian vulnerabilidades en los CPUs Zen de AMD, pero el asunto huele raro...

Se incorporó
4 Marzo 2005
Mensajes
7.831
Esto da para una nota larga, pero lamentablemente ando muy corto de tiempo, así que daré un resumen de lo que he podido leer y unos links al tema.

El asunto salió a flote esta cerca del mediodía local, con publicaciones en varios sitios tech hablando sobre el anuncio de una compañía de seguridad respecto a 13 vulnerabilidades que habría en varios CPUs de AMD basados en Zen. Parece muy grave (y en realidad tal vez lo sea), pero hay varias cosas raras que llaman la atención:

- La empresa de seguridad que hizo el descubrimiento y el anuncio es prácticamente desconocida, basada en Israel y cuyo sitio web data recién el año pasado.
-Le dieron 24 horas de aviso a AMD de las vulnerabilidades antes de hacer el anuncio público /en vez de los meses que hubo con Meltdown y Spectre).
-Al momento de hacer el anuncio ya tenían completamente diseñado un sitio web del tema, llamado "AMDflaws", con nombres llamtivos para estas vulnerabilidades e íconos o un diseño para cada una. También subieron videos a youtube como dirigidos a público en general (lenguaje más bien básico y general).
-Otros detalles que se pueden ver en los links y comentarios de foros.
-Dan a entender que las vulnerabilidades son "muy malas", pero lo que se desprende del mismo documento publicado por ellos al respecto (que curiosamente está alojado en otro sitio y no en el de ellos), las vulnerabilidades requieren que el atacante ya tenga privilegios administrativos e incluso una vulnerabilidad requiere flasheo de BIOS (o sea, te lo tienen que tener bien adentro antes de poder hacer algo, o dicho de otra forma, aunque no existieran estas vulnerabilidades en esa situación estás cagado igual).

Las opiniones generales de editores y usuarios de foros que saben más que yo del tema, es que es absolutamente irregular dar tan poco tiempo de aviso a AMD, y que pareciera que más que primar el interés general de seguridad, todo está diseñado para causar impacto y darse a conocer. Algunos piensan que todo es falso, y especulan que todo puede estar destinado a guiar una modificación de las acciones de AMD para hacer una ganancia rápida. Yo creo que sí existen pero que no es para tanto y además la compañía me parece muy poco responsable.



links:
https://www.techpowerup.com/242328/...d-in-amd-zen-architecture-including-backdoors

https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond

https://www.hardocp.com/news/2018/03/13/amd_cpu_attack_vectors_vulnerabilities

http://www.guru3d.com/news-story/13...doors-discovered-in-amd-ryzen-processors.html
 
Última modificación:

senbe

Asesino de ferrules.
Miembro del Equipo
MOD
Se incorporó
25 Julio 2006
Mensajes
12.058
¿Tan así de vulnerable es la industria que basta un rumor para hacer la pasada bursátil?

:nono
 
Upvote 0
Se incorporó
4 Marzo 2005
Mensajes
7.831
¿Tan así de vulnerable es la industria que basta un rumor para hacer la pasada bursátil?

:nono

Son opiniones de algunos, yo no creo que sea tan así. De hecho durante el día las acciones bajaron y luego subieron, pero no conozco la variación habitual, puede que esté dentro de lo normal. Habrá que ver qué pasa en los próximos días.
 
Upvote 0

Tbon

Simulation?
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.680
Y no solo esa industria, basicamente todo en la bolsa se mueve en torno a rumores o info privilegiada.

Gracias a eso se dan grandes distorsiones como en el caso de Samsung, 3M, BMW o Pfizer (entre muchos otros) que a pesar de contar con enormes bases instaladas en todo el mundo, grandes inversiones, centros de investigacion, Universidades y fabricas en distintos paises, tienen un valor de mercado hasta 10 veces menor que Apple.
 
Upvote 0
Se incorporó
4 Marzo 2005
Mensajes
7.831
Mientras más leo, veo que la opinión general apunta a que está todo orquestado para crear miedo buscando una potencial ganancia con el mercado accionario.

Al parecer las vulnerabilidades existen, ya que hay una empresa de seguridad radicada en EEUU (TrailOfBits, CEO: Dan Guido) a la que la empresa de Israel le habría pagado 16 mil dólares para confirmar sus hallazgos (les habría mandado la info una semana antes que a AMD). Pero todo el resto apunta a que el objetivo real de esta empresa no es la seguridad realmente:

- La exageración absolutamente desmedida del real riesgo que estas vulnerabilidades representarían. Lo tildan de "lo peor" pero en la práctica necesitas que tui sistema ya esté comprometido seriamente antes de que se puedan aprovechar de ellas.

- Según linkedin la empresa tiene 3 (sí, tres) empleados, creada el 2017, con muy poca info. Obviamente deberían ser los mismos 3 que salen en el video que subieron (que tiene fondo falso, de pantalla verde):


2j31l50.png


98286


Y acá hago copy&paste de lo que acaba de poner Guru3D, ya que está muy clarito (inglés):

---------------

We say testing & verification is required. Should you be worried? Well, from what we've read, all four levels of vulnerabilities require actual administrative access towards your PC. This means you'd need to hand out full access to your PC, that would read as alleviated privileges. And yeah, anything and anyone you hand out admin rights would be at risk or compromized anyway.

At the time of writing, I (Hilbert) am looking at the vulnerability announcements with a healthy amount of skepticism, and so should you. I'd advise we all await what AMD has to say about this, once they have had a chance to digest all information and accusations.

There are many things that bother me:

  • The 24-hour disclosure opposed to the industry standard 90/180 day is just wrong
  • Domain records for "amdflaws.com" has been created on Feb, 22, 2018.
  • Company is listed only since 2017, linked-in shows very poor company info.
  • Domain registered not directly but through "domainsbyproxy.com".
  • Domain is registered at GoDaddy, privately. No contact information of the domain is public.
  • Their official Youtube Channel with that video, was created March this year. That would be the official company YT channel.
  • Video looks marketed, too well produced.
  • Names like Ryzenfall sounds like somebody from marketing made that up?
  • Precisely 13 flaws? An unlucky number?
  • Whitepaper shows no specific technical detail.
  • Earlier today when the news broke and info was released I did some Google searches on CTS-Labs, it revealed very little, for a proclaimed established security agency.
  • Parts of www.cts-labs.com website are copied from public PDF documents
  • As a security firm, cts-labs website does not even have an SSL certificate active? Thus no https available as an option?
  • cts-labs does not disclose address on website.
All things combined raise so many red flags, now we can also add this:
Currently, there is speculation that this information release is an attempt to manipulate the stock price of AMD. The short seller Viceroy Research would possibly play a role in this. That company published relatively quickly after CTS the claim that the 'revelations' would be the death blow for AMD.


---------------


Hace mención a Viceroy Research, una entidad que ya ha estado involucrada en casos turbios de crear "alarma pública" para obtener beneficios económicos. Viceroy publicó en su página (muy poco tiempo después de que CTSLabs hiciera público el tema ) un artículo donde decía que esto era la muerte de AMD y que el valor de sus acciones era 0.0.



Todo muy turbio.
 
Última modificación:
Upvote 0

sir_lestat

Shay Laren's Fan
Se incorporó
6 Junio 2007
Mensajes
1.252
yo creo que puede estar INTEL detras de esto, como AMD salio "mejor parado" que intel en los bugs anteriores, puede ser una maniobra para tratar de emparejar la cancha
 
Upvote 0

Diego

Fanático
Se incorporó
14 Septiembre 2009
Mensajes
1.717
Que horror, con esto ya no cabe duda que lo prox que compre será AMD

Por cosas como estas es que hace mucho rato que no compro un Intel (estuve a punto, menos mal no pude en su momento). Hubo un tiempo que no quedaba otra que recomendar lo que habia no mas, pero ahora que AMD lanzo Ryzen, no hay donde perderse

Pd: y la verdad, es que por cosas similares es que tampoco pesco a Nvidia :ninja
 
Upvote 0

-=Dark][Dawn=-

Miembro Regular
Se incorporó
28 Julio 2006
Mensajes
74
Comunicado de AMD:

The salient high-level takeaway from AMD is this:

  1. All the issues can be confirmed on related AMD hardware, but require Admin Access at the metal
  2. All the issues are set to be fixed within weeks, not months, through firmware patches and BIOS updates
  3. No performance impact expected
  4. None of these issues are Zen-specific, but relate to the PSP and ASMedia chipsets.
  5. These are not related to the GPZ exploits earlier this year.
https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research

  • Company asking for investigation of unusual stock trading
https://www.bloombergquint.com/busi...-vulnerability-says-report-exaggerated-danger

Todo muy turbio de parte de CTS Labs, por decir lo menos.
 
Upvote 0
Se incorporó
4 Marzo 2005
Mensajes
7.831
Comunicado de AMD:

The salient high-level takeaway from AMD is this:

  1. All the issues can be confirmed on related AMD hardware, but require Admin Access at the metal
  2. All the issues are set to be fixed within weeks, not months, through firmware patches and BIOS updates
  3. No performance impact expected
  4. None of these issues are Zen-specific, but relate to the PSP and ASMedia chipsets.
  5. These are not related to the GPZ exploits earlier this year.
https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research

  • Company asking for investigation of unusual stock trading
https://www.bloombergquint.com/busi...-vulnerability-says-report-exaggerated-danger

Todo muy turbio de parte de CTS Labs, por decir lo menos.

Gracias por la info.

Puede ser que Intel no esté detrás, aunque lo beneficie del punto de vista mediático justo previo al lanzamiento de Ryzen 2. Acá veo codicia y un intento de ganancia rápida (económica y publicitaria) de mala clase, en donde queda claro que el fin de esta empresa no es la seguridad del público.
Si la empresa (CTC Labs) hubiese seguido las prácticas habituales, es decir, de informar de las vulnerabilidades al afectado con un tiempo prudente (se estila en unos meses) antes de hacerlo público, el tema no hubiese sido mayor que otras cosas que han pasado, ya que AMD dice que en semanas tendrá la mitigación y probablemente sin pérdida de rendimiento.
 
Upvote 0

-=Dark][Dawn=-

Miembro Regular
Se incorporó
28 Julio 2006
Mensajes
74
Gracias por la info.

Puede ser que Intel no esté detrás, aunque lo beneficie del punto de vista mediático justo previo al lanzamiento de Ryzen 2. Acá veo codicia y un intento de ganancia rápida (económica y publicitaria) de mala clase, en donde queda claro que el fin de esta empresa no es la seguridad del público.
Si la empresa (CTC Labs) hubiese seguido las prácticas habituales, es decir, de informar de las vulnerabilidades al afectado con un tiempo prudente (se estila en unos meses) antes de hacerlo público, el tema no hubiese sido mayor que otras cosas que han pasado, ya que AMD dice que en semanas tendrá la mitigación y probablemente sin pérdida de rendimiento.

Efectivamente, y acá me quedo con lo dicho por Linus Torvals (y que citaron mas arriba):

the real story should be about bogus security "research" and manipulation of the coverage.


Linus Torvalds
It looks like the IT security world has hit a new low.
If you work in security, and think you have some morals, I think you might want to add the tag-line
"No, really, I'm not a whore. Pinky promise"
to your business card. Because I thought the whole industry was corrupt before, but it's getting ridiculous.

Linus Torvalds
I refuse to link to that garbage. But yes, it looks more like stock manipulation than a security advisory to me.
I'd blame the journalists, but let's face it, it's the security industry that has taught everybody to not be critical of their findings. "Think of the children".

* Sacado de su Google+
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
https://hardzone.es/2018/03/21/amd-vulnerabilidades-ryzen-parche/

https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research


Las vulnerabilidades se solucionarán con una simple actualización de la BIOS
Tras el análisis de las vulnerabilidades, AMD ha confirmado que tendrá lista una solución en tan solo unas semanas, que se distribuirá a los fabricantes de placas base para que sea implementada en la BIOS de estas. Esta afirmación llama bastante la atención dado que la compañía CTS-Labs afirmaba que, el motivo por el que no les habían dado más tiempo a AMD, era que se tardaría bastante tiempo en parchear estos problemas de manera efectiva.

El AMD PSP (Platform Security Processor) es un coprocesador ARM que reside dentro del propio die, llevando a cabo labores de seguridad del mismo modo que el Intel Management Engine o el Apple Secure Enclave. Como tal, es donde se centran la mayoría de las vulnerabilidades descubiertas por CTS-Labs, pero el acceso a él no es sencillo (aunque no imposible). El hecho es que, si estas vulnerabilidades se hubieran filtrado a posibles atacantes con malas intenciones, aun así debieran de haber tenido que invertir bastante recursos en cuanto a tiempo para poder fabricar herramientas con las que poder emplearlas, algo que está generalmente más allá de las posibilidades de los atacantes.

En resumidas cuentas: este problema siempre ha sido una tormenta en un vaso de agua.
 
Upvote 0
Subir