Bedrijf achter controversieel AMD-rapport reageert op verwarring na publicatie

Het bedrijf, genaamd CTS, dat dinsdag voor verwarring zorgde door onderzoek naar geclaimde kwetsbaarheden in AMD's Ryzen- en Epyc-platformen heeft in een open brief zijn zienswijze kenbaar gemaakt over de wijze van publicatie.

De open brief is toegevoegd aan de site waarop het Israëlische bedrijf zijn informatie publiceerde. Daarin erkent CTS-cto Ilia Luk-Zilberman dat er 'veel vragen en veel verwarring' is ontstaan door de aanpak van het bedrijf. In het document gaat hij in op de redenen voor de gekozen aanpak en uit hij kritiek aan het huidige model van responsible disclosure. Zo zou deze aanpak, die een bedrijf tijd gunt om met een oplossing te komen, de beslissing om getroffen gebruikers te informeren in de handen leggen van het getroffen bedrijf. Daarnaast claimt hij in de brief dat het onderzoek naar AMD-platformen een jaar geleden is begonnen.

Verder vraagt hij zich af of het verantwoord is om de technische details van een lek te publiceren als het bedrijf nog geen oplossing heeft ontwikkeld, maar de deadline inmiddels is verlopen. Daarom zou CTS ervoor gekozen hebben om AMD samen met het algemene publiek te informeren 'om maximale druk op de fabrikant uit te oefenen'. Zo bleek dat AMD slechts 24 uur van tevoren was ingelicht door CTS, wat het bedrijf veel kritiek opleverde. Luk-Zilberman claimt dat de technische details uit het rapport zijn weggelaten om gebruikers te beschermen. Hij zegt te erkennen dat dit afdoet aan de geloofwaardigheid en dat er daarom is gekozen voor verificatie met externe onderzoekers.

Daarmee doelt hij op verificatie door Dan Guido, de ceo van beveiligingsbedrijf Trail of Bits, die het betaalde voor verificatie. Guido zei na de CTS-publicatie tegen Ars Technica dat hij de technische details van het bedrijf heeft ontvangen en dat hij ervan overtuigd is dat de lekken echt zijn. "Als je eenmaal beheerdersrechten hebt, is het uitvoeren van de exploits niet zo moeilijk", voegde hij daaraan toe. Woensdagavond claimde ook een tweede bekende beveiligingsonderzoeker, Alex Ionescu, dat hij de technische details kent en dat het gaat om 'daadwerkelijke problemen met ontwerp en implementatie die het waard zijn om besproken te worden'. Hij zegt ook dat 'beheerderstoegang en persistence legitieme bedreigingen zijn in Infrastructure as a service'.

De technische details zijn echter nog steeds niet openbaar gemaakt en AMD heeft nog niet gereageerd op de bevindingen, los van een kort bericht op zijn website. De dinsdag door CTS gepubliceerde bevindingen beschrijven verschillende kwetsbaarheden die te maken hebben met de Secure Processor van AMD's Ryzen- en Epyc-platformen. Misbruik ervan vereist doorgaans dat een aanvaller over beheerdersrechten beschikt. De wijze van publicatie stuitte op veel kritiek en er ontstonden vermoedens dat het achterliggende motief was om de aandelenkoers van AMD te beïnvloeden. Zo publiceerde de zogenaamde short seller Viceroy Research kort na de publicatie door CTS een eigen bericht dat de publicatie het einde zou betekenen van AMD.

Reacties (64)

MazeWing

15 maart 2018 09:44

Guru3d had een mooie samenvatting van de vreemde gang van zaken omtrent dit alles:

- The 24-hour disclosure opposed to the industry standard 90/180 day is just wrong, completely unprofessional.
- 13 flaws announced on the 13th of March?
- Domain records for "amdflaws.com" has been created on Feb, 22, 2018.
- Company is listed only since 2017, linked-in shows very poor company info.
- Domain registered not directly but through "domainsbyproxy.com".
- Domain is registered at GoDaddy, privately. No contact information of the domain is public.
- Their official Youtube Channel with that video, was created March this year. That would be the official company YT channel.
- Video looks marketed, too well produced.
- Names like Ryzenfall sounds like somebody from marketing made that up?
- Precisely 13 flaws? An unlucky number?
- Whitepaper shows no specific technical detail.
- Earlier today when the news broke and info was released I did some Google searches on CTS-Labs, it revealed very little, for a proclaimed established security agency.
- Parts of www.cts-labs.com website are copied from public PDF documents
- As a security firm, cts-labs website does not even have an SSL certificate active? Thus no https available as an option?
- cts-labs does not disclose address on website.

Daarnaast had Viceroy Research (een short seller) 2 uur na publicatie door CTS een 32 pagina's tellend document online gezet dat aangeeft dat deze lekken wel eens het einde voor AMD kunnen betekenen.

Dit alles wijst erop dat er een ordinaire poging wordt ondernomen om het aandeel AMD omlaag te krijgen om daar financieel maximaal voordeel uit te halen. Het is mooi om te zien dat vele gebruikers van diverse sites binnen 12 uur behoorlijk wat onderzoek hebben gedaan en de claims van CTS en alles daaromheen behoorlijk in twijfel worden getrokken.

Het zou best kunnen dat er kwetsbaarheden in de processoren zitten, echter is fysieke toegang incl. admin-rechten noodzakelijk. En als je die toch al hebt is je systeem toch al onveilig en zijn er 28364838 andere manieren te bedenken om kwaadaardige zaken met het systeem uit te halen.

lethalnl @MazeWing • 15 maart 2018 10:00

aandeel is met 70 cent gedaald na de 13e, maar is op zich nog redelijk in de lijn die er al was.

na alles te lezen is het shortseller verhaal veel logischer dan dat er serieus wat mis is....

MazeWing

@lethalnl • 15 maart 2018 10:03

Gelukkig valt de schade nog mee. Ook vanwege vele mensen die meteen verder onderzoek zijn gaan doen en vele rariteiten in de hele gang van zaken aantroffen.

Ik hoop wel dat dit door verschillende instanties onderzocht gaat worden want dit is gewoon pure manipulatie van aandelen. Iets wat gewoon strafbaar is.

Superstoned @MazeWing • 15 maart 2018 13:06

Inderdaad. En ik zou niet graag voor dit bedrijf werken - je naam is vanaf nu vooraltijd verbonden met wat duidelijk een scam is. De security gemeenschap vergeet niet zo snel, ik zou het van mijn linked-in afhouden...

engessa @lethalnl • 15 maart 2018 11:32

Voor de mensen die geen idee hebben hoe dat short selling werkt, op Netflix staat een documentaire met de naam 'Dirty Money'. Aflevering 3 met de naam 'Drug Short' gaat over short sellers die pharmaciebedrijven proberen te beinvloeden. Deze aflevering gaat dan over een paar 'goede' maar de tactiek is natuurlijk net zo goed voor iets 'slechts' in te zetten.

kidde

Processors

@engessa • 15 maart 2018 14:28

Simpelst gezegd:
Long is goedkoop kopen, dan duur verkopen
Short is duur verkopen, dan goedkoop kopen

Naked short is zonder garantie dat je ze dan goedkoop kan kopen, tegenwoordig verboden.

NicoJuicy @engessa • 15 maart 2018 12:55

Short selling is eigenlijk speculeren op verlies.

Normaal heb je aandelen en hou je deze in je bezit. Je winst is het verschil tussen aankoop & verkoop.

Met short selling "leen" je eigenlijk aandelen van iemand anders en ga je deze verkopen, je moet op het einde van de periode de aandelen teruggeven aan de ontlener. Als het aandeel ondertussen zakt, heb je minder kapitaal nodig om ze opnieuw aan te kopen en terug te geven, het verschil tussen verkoop & aankoop is je winst.

[Reactie gewijzigd door NicoJuicy op 25 juli 2024 22:31]

BannerFigurezZz @engessa • 15 maart 2018 13:44

Betting on Zero is er nog zo'n eentje. Die gaat over een shortpositie op Herbal Life en daar wordt de positie gebruikt om druk uit te oefenen op het beleid van het bedrijf. Ze gaan gelijk wat dieper in op wat short gaan betekent en kost.

Overigens leuk om beide te zien, aangezien voor een deel dezelfde shortsellers er in voor komen. Geeft gelijk een ander beeld van sommige shortsellers.

CrazyBernie @MazeWing • 15 maart 2018 14:30

Het kan een ordinaire poging zijn om de koers onderuit te halen.
Maar dat terwijzde als het echt waar is dat de secure processor kunt flashen dan is dat een groter probleem dan de meeste mensen hier stellen. Je kunt dan namelijk op een plaats in het process de processor onderscheppen die daarna naar een hosting partij gaat.
Vanaf dan heb je onbeperkt macht over het systeem totdat een admin deze firmware weer gaat overschrijven, en de vraag is of dat zelfs wel kan met een CPU die eenmaal besmet is.

Nu zullen er wel een aantal mensen stellen dat dit doem scenario's zijn die nooit voorkomen maar ik zou iedereen aanraden om even de stukken te lezen over de Equitation group. Deze partij heeft het onder andere voor elkaar gekregen om harddisks zodanig te infecteren dat ze nooit meer normaal te gebruiken zouden zijn.

Voor wat betreft de mensen die stellen dat koers manipulatie strafbaar is , dat is niet het geval mits je aan twee voorwaarden voldoet. 1 het feit wat je meld blijkt ook echt waar te zijn en 2 je moet melden dat een mogelijk belang hebt bij dalen van de koers. CTS heeft zoals het er nu naar uitziet aan beide voldaan dan is het dus koers manipulatie die mag.

Blokker_1999

Netwerk en systeembeheer

@CrazyBernie • 15 maart 2018 17:52

Als je zo georganiseerd bent dat je deze systemen kan beïnvloeden onderweg, zonder dat de eindgebruiker het merkt dan denk ik dat die eindgebruiker grotere problemen heeft.

mr.rage @MazeWing • 15 maart 2018 12:45

Top voor het samenvatten!

Ik vond het inderdaad erg raar hoe ze dit naar voren hadden gebracht.

Ik bedoel, als er al fysieke toegang incl adminrechten benodigd zijn, dan vraag ik me echt af hoe erg we dit allen moeten vinden.

Als diegene thuis zijn bios niet beveiligd heeft en zijn data dan kan iedereen wel wat uitvoeren op die pc.

Wat ik me ook erg afvraag is of Intel hier niet achter zit. Het is misschien ver gezocht maar ze verloren erg veel aandeel omdat AMD met hun 8 en 16 cores kwamen .Daarnaast ook de meltdown/spectre.
Ik hoop dat mensen er niet in trapten want AMD is gewoonweg goed bezig. Ook al zijn ze niet overal het snelste, wij consumenten moeten concurrentie hebben. Het is gewoonweg goed voor de markt en voor onze portomonnee.

Ik hoop dan ook dat ze dat bedrijf die deze onzin meuk online heeft gezet is onder de loep genomen wordt.

[Reactie gewijzigd door mr.rage op 25 juli 2024 22:31]

acst @MazeWing • 15 maart 2018 14:08

Dit alles wijst erop dat er een ordinaire poging wordt ondernomen om het aandeel AMD omlaag te krijgen om daar financieel maximaal voordeel uit te halen. Het is mooi om te zien dat vele gebruikers van diverse sites binnen 12 uur behoorlijk wat onderzoek hebben gedaan en de claims van CTS en alles daaromheen behoorlijk in twijfel worden getrokken.

Als dit echt zo is, dan heeft Viceroy/CTS een groot probleem want dit soort marktmanipulatie is gewoon strafbaar.

THA_ErAsEr @MazeWing • 15 maart 2018 15:30

> Het zou best kunnen dat er kwetsbaarheden in de processoren zitten, echter is fysieke toegang incl. admin-rechten noodzakelijk. En als je die toch al hebt is je systeem toch al onveilig en zijn er 28364838 andere manieren te bedenken om kwaadaardige zaken met het systeem uit te halen.

Is het dan niet eerder een BUG ipv een kwetsbaarheid? Wat zou men meer kunnen doen met deze kwetsbaarheid dan dat men dat zonder zou kunnen? Je hebt namelijk al toegang tot het gehele systeem.

egnappahz 15 maart 2018 08:40

in de publicatie kwam ergens een zin in voor in de aard van 'AMD maar 0$ waard is en dat ze dus maar beter kunnen reageren op deze feiten'.

Het hele document draait niet rond de zwakheden van de gebruikte technologie, maar over de 'zwakheden' van amd. Zulke emotionele ontladingen is, en mag, nooit het doel van zulke publicaties zijn.

daarbovenop, alle "zwakheden" hebben fysieke toegang nodig, en/of root toegang tot het OS. Met deze omstandigheden kan je veel technologieen 'kraken'; ik weet niet goed wat dit met AMD's ryzen productlijn te maken heeft...

Xanaroth @egnappahz • 15 maart 2018 09:04

Vooral dat eerste samen met het laatste is bedenkelijk. Als je als aanvaller fysiek naast de hardware staat en al toegang heeft, danwel remote al controle heeft (beheerdersrechten zijn al verworven) wat boeit het dan nog allemaal. Dan hebben ze dusdanig veel werk verricht om zover te komen dat dit lek er praktisch gezien verder niet meer toe doet, want ze zijn al langs de meeste beveiligingslagen gekomen.
Misschien maakt dit het dingen wel makkelijker of sneller te doen wanneer aanvallers eenmaal zo ver zijn, maar kan me niet voorstellen dat dit een verschil gaat maken in de uitkomst van de aanval/hack.

Om dan gelijk de conclusie te trekken dat het dusdanig kansloos bedrijf is en failliet zal gaan hierop is wel erg extreem gedacht.

batjes @Xanaroth • 15 maart 2018 09:17

Het zou ook niet uit moeten maken. Securitylagen zoals antimalware etc kan namelijk dezelfde exploits gebruiken om te kijken of de exploits niet misbruikt zijn.

Denk niet dat security bedrijven in Israel snel failliet gaan. Israel heeft hier namelijk een groot miljarden budget beschikbaar, mede mogelijk gemaakt door..... Intel.

Ook hierom denk ik niet dat geld in deze een rol speelt. En in combinatie met dit gare excuus nieuwsbericht een dag later... Wordt de indruk enkel groter dat hier een groter spel gespeeld wordt dan een klein bedrijfje wereld beroemd maken of AMD's aandelen te laten kelderen.

MicGlou 15 maart 2018 08:48

Los van of de lekken echt zijn en de korte termijn etc etc., lijkt het tegenwoordig als het om dergelijke 'kwetsbaarheden' gaat alsof we weer terug in de middeleeuwen zijn... "aan de schandpaal!" voor het grote publiek, rotte eieren en stenen gooien... Ik kan mij echt enorm storen aan dergelijke hooghartigheid van 'onderzoekers' die er een sport van lijken te maken om hun '15 minutes of fame' zo schadelijk mogelijk proberen te maken ipv het kiezen voor de eerbare route.

Daarmee bedoel ik uiteraard niet dat ik erop tegen ben dat dergelijke onderzoeken worden gedaan, in tegendeel zelfs... maar er zijn zoveel manieren waarop je de situatie kan benaderen, maar het moet blijkbaar altijd en publique en flink trappend naar de "boosdoener".

Verwijderd 15 maart 2018 09:13

Zeer opvallend dat die CTS jongens een speciale website in het leven hebben geroepen; amdflaws.com
Dat geeft mij aardig het idee dat hier een PR bureau achter zit, ook omdat de CTS videos stock footage i.c.m. green screens gebruiken.

e.e.a. wordt hier op z'n plek gezet https://doublepulsar.com/...rom-cts-labs-f167ea00e4e8

All of the bugs require administrator (or root) access to exploit. This is a significant mitigation.
All of the bugs require the ability to execute code. This is a significant mitigation.
No proof of concept code has been provided.
No technical information has been published.
Nothing is in the wild for this.
It could not lead to a global cyber attack like WannaCry, as it does not provide code execution.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 22:31]

Verwijderd 15 maart 2018 08:36

Ik zou graag een opinie van Tweakers willen zien over de gang van zaken. Wie is dit bedrijf en welke belangen spelen hier? Ik verwacht wel iets meer dan geruchten en vage claims van een onbekend bedrijf.

Om even de buren van Hardware.info te quoten:

Ook heeft de legal disclaimer van CTS Labs’ website een aantal eigenaardige zinnen. Zo melden ze dat “het rapport en alle uitspraken de opinie zijn van CTS en geen verklaring van feiten zijn”.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 22:31]

Thierr86 @Verwijderd • 15 maart 2018 09:23

Kijk naar de "implied volatility" van AMD in de dagen net voor de publicatie: https://marketchameleon.com/Overview/AMD/IV/

Dit toont dat iemand een gigantische positie heeft genomen voor de publicatie, en meteen na de publicatie zijn winst heeft genomen.

Los van of de lekken echt zijn (en in hoeverre ze ernstig zijn vanwege benodigdheid tot admin rechten & bios flashen) was de manier waarop ze dit hebben gedaan 100% manipulatie van de aandelen markt

dehardstyler @Thierr86 • 15 maart 2018 10:18

Maar dat is toch raar ( of ik snap het niet ):

Je gaat eerst super veel aandelen kopen, voor het "normale" bedrag. Dan ga je allemaal fake news genereren, dan dropt de koers toch als je plan lukt? Waarom zou je het dan voor minder verkopen? Of zie ik iets over het hoofd?

edit: Of hij is short gegaan natuurlijk, daar had ik even niet aangedacht...

[Reactie gewijzigd door dehardstyler op 25 juli 2024 22:31]

kidde

Processors

@dehardstyler • 15 maart 2018 14:40

Je kan ook wedden op "turbulentie in de prijs van het aandeel". Of juist stabiliteit. Bij de mini crash van afgelopen januari (-15% in ca 1 week) verloren "professionele gokkers" miljarden omdat ze gewed hadden op stabiliteit maar er kwam turbulentie. De verliezen moesten ze opvangen door geld op te halen met verkoop van aandelen, beurs hard omlaag, met als gevolg: Nog minder stabiliteit; domino!

Pb Pomper @Verwijderd • 15 maart 2018 08:47

Kijk voor de grap eens deze video van Gamers Nexus. Het klinkt allemaal wel heel erg fishy hoor. Zeker dat gebeuren van Viceroy, die vrijwel direct een 25 pagina's tellend analysedocument online had staan na de bekendmaking. Dan is er nog het gebruik van stock achtergronden en images in de video's.
Het document van Viceroy heb ik zelf nog niet doorgenomen, maar het blijkt echt lachwekkend te zijn. Deze kun je trouwens ook vinden bij bovengenoemde video.

Dark_man 15 maart 2018 08:29

Ik vind dit echt zoooooo toevallig dat ik me echt niet kan voorstellen dat Intel er niks mee te maken heeft.

Een paar maanden geleden praatte niemand over beveiligingslekken in CPU's maar toevallig net nadat bekend word dat Intel al decennia onveilige CPU's maakt komt er ineens een schimmig bedrijf met beschuldigingen richting AMD.

We zouden over Intel moeten praten en niet over AMD.

Crp @Dark_man • 15 maart 2018 09:50

Het klinkt toevallig, maar ik (AMD fan) denk niet dat Intel hier achter zit. Als je alles bekijkt en een goede background check doet naar de personen die in dit “bedrijf” zitten, is het gewoon erg amateuristisch en slecht doordacht. Ik denk dat je, of te maken hebt met fanboys die een poging doen AMD negatief in het te brengen. Of aandeelhouders die een poging doen om de koers te beïnvloeden.

Op verschillende threads op Reddit waaronder /r/AMD lees je genoeg over de achtergrond van die gasten. En er klopt gewoon helemaal niks van. Zo claimed iemand Co-founder te zijn geweest van verschillende bedrijven wat niet waar is. En de wijze waarop de website van cts in elkaar gezet is, is gewoon slecht. Ik bedoel alleen al het feit dat ze geen gebruik maken van https als “beveiligings onderzoekers” is al opvallend.

[Reactie gewijzigd door Crp op 25 juli 2024 22:31]

Iblies @Crp • 15 maart 2018 11:37

De achtergrond is niet eens erg belangrijk.

De vraag blijft of de info die ze hebben daadwerkelijk relevant is. En daar is het ook niet eens relevant of zij als bedrijf achter onvolkomenheden zijn gekomen, of dat ze via via allerlei bugs bij elkaar hebben gesprokkeld en die vervolgens publiekelijk bekend willen gaan maken.

De werkwijze die ze volgen kan daarbij veel schade aanrichten aan veel andere bedrijven,
het kan een trend worden waar je niet blij van wordt. AMD lijkt daarbij een relatief kleine vis,
alleen is juist Intel juist de partij die de grootste belangen heeft dat er een vorm van protocol wordt. Die zou echt niet willen dat er info van hun CPU/moederborden gelijk worden vrijgegeven zonder dat ze tijdig een reactie kunnen geven om te patchen.

Overigens niet geheel onmogelijk dat Intel aan het stoken is,
Google voelde zich niet zo lang geleden geroepen om tekortkomingen van MS heel snel naar buiten te laten komen, al lijkt het me nog steeds heel onlogisch omdat de belangen dusdanig groot is dat dat niet de manier is.

Crp @Iblies • 15 maart 2018 12:28

De achtergrond is misschien niet belangrijk. Maar het toont wel hoe amateuristisch, onervaren en ongeloofwaardig deze club is. Mijn gevoel zei niet meteen dat het Intel kon zijn, maar de mogelijkheid is er zeker. Ik vind het juist vreemd waarom Intel dit nu doet (vanwege de hele Meltdown nieuws ja) maar dat is niet iets wat AMD heeft veroorzaakt. En ik zie Intel en AMD juist meer samenwerken de laatste tijd, vandaar dat het mij een beetje onwaarschijnlijk leek.

:update:
Wat me nog opvalt in de whitepaper en waarom ik denk dat Intel hier niets mee te maken heeft is dat er ook hard gezegd word dat AMD maar moet staken met de verkoop van Ryzen/Epyc processors. En dat AMD maar $0 waard zou moeten zijn.

"We believe AMD is worth $0.00, and will have no choice but to file for Chapter 11 Bankruptcy in order to effectively deal with the repercussions of recent discoveries.”

Dat zijn opmerkingen die een professioneel bedrijf niet zou maken in een onderzoek naar beveiligingslekken, dus ook Intel niet. En ik denk dat bij het zien van deze whitepaper Intel dit niet eens had laten publiceren. Het is gewoon erg amateuristisch en proeft naar een soort haat richting AMD (Fanboys?)

[Reactie gewijzigd door Crp op 25 juli 2024 22:31]

j1b2c3 @Crp • 15 maart 2018 19:59

Je weet maar nooit met Intel
https://youtu.be/ctgAzn5Wx8o
Hier worden de slides van een Intel presentatie besproken uit 2017 ,
Het taal gebruik is het zelfde ,
AMD is slecht , totaal niet veilig aanelkaar gelijmde desktop cpus . Ect. Deze revieuw schilders een neutrale kijk op die slides De test resultaten worden er bij gehaald van anandtech en die schilderen even de werkelijkheid voor dat Intel een serieus probleem heeft in de lucratieve servermarkt , AMD Is daar gewoon heer en meester in performance per dollar met hun epyc cpus. AMD 4000 dollar Intel 8000 dollar voor gelijkwaardige performance . En in een single CPU setup wordt het verschil nog groter want dat kost de epyc CPU maar 2000 dollar ... deze verschillen zijn enorm ....
tevens Laat Intel nu ook enorm aanwezig zijn in Israël met 10.000 werknemers over verschillende locaties verspreid.... dan klinkt het aannemelijk dat Intel iets terug probeerde te doen om AMD nu nog eens in een kwaad dag licht te zetten na het hele meltdown en specter debakel. Dat waren serieuze serieuze flaws aan Intels kant. De dingen die nu geshowde worden zouden ook kunnen gebeuren op een Intel machine.

stewie @Dark_man • 15 maart 2018 09:04

En ook een bedrijf uit Israel, waar intel veel van hun CPU's ontwerpt helpt ook niet echt.

Mathijs @stewie • 15 maart 2018 10:59

Waarbij je ook nog op kunt merken dat een groot deel van de aandelen van AMD in handen is van Arabieren. Dus dat het een bedrijf is uit Israël helpt er ook niet bij zullen we maar zeggen.
Wat mij betreft stinkt het behoorlijk vanaf meerdere kanten.

armageddon_2k1 15 maart 2018 08:27

Ik heb een onderbuikgevoel en ik kan het totaal niet staven met feiten of bronnen, maar van de zijlijn kijkende lijkt het alsof er hele vieze spelletjes gespeeld worden en het zal me niks verbazen als Intel hier zijdelings mee te maken heeft.... maarja, zoals ik al zei 'onderbuikgevoel'.

TheGhostInc @armageddon_2k1 • 15 maart 2018 08:32

Ik denk eerder een aandeelhandelaar. Met een fikse koersverandering is meer te verdienen dan 5 jaar cpu's te verkopen.

Maar het is natuurlijk sowieso complete onzin. 13 bugs vinden en dan 24 uur reactietijd. Dus zij gaan beweren dat ze eergisteren die bugs allemaal gevonden hebben? Of mogen zij wel uit eigen belang die bugs onder de pet houden?

Het lijkt een beetje patenttrol achtig. Hopelijk is dit geen nieuwe trend.

Puffino @TheGhostInc • 15 maart 2018 09:00

Maar het is natuurlijk sowieso complete onzin. 13 bugs vinden en dan 24 uur reactietijd. Dus zij gaan beweren dat ze eergisteren die bugs allemaal gevonden hebben? Of mogen zij wel uit eigen belang die bugs onder de pet houden?

Nog erger, wel aangeven dat het onderzoek al een jaar geleden gestart is en dan zeer kort voor deze publicatie AMD pas inlichten.... Lekker dan.

Dit werkt inderdaad achterdocht in de hand.

Heidistein @Puffino • 15 maart 2018 09:22

En, ik realiseer het me nu pas... Zeiden ze niet iets dat Zen prima is, maar dat EPYC en Ryzen stuk zijn? Die CPU's die nog geen jaar uit zijn?...

batumulia @Heidistein • 15 maart 2018 09:52

Give or take een week of 2 en de Zen CPU's zijn een jaar uit. Dat zou betekenen dat het bedrijf gelijk is gestart met speuren naar zwakheden in de infrastructuur. Gezien de Isrealische bedrijven graag zoeken naar exploits en zwakheden lijkt me dit niet geheel onwaarschijnlijk.

Verwijderd @Heidistein • 15 maart 2018 10:31

Blijft vaag, vooral omdat Zen de code naam is voor de onderlaag van zowel EPYC als Ryzen. Ik snap dus echt niet hoe Zen goed kan zijn, maar de andere twee niet.... het is exact hetzelfde

batjes @TheGhostInc • 15 maart 2018 09:25

Is daar net zo veel mee te verdienen als de miljarden die Intel in Israel stopt? We hebben het over tientalllen miljarden.

Vorig jaar 15 miljard, paar jaar geleden 6 miljard, dit jaar weer 5 miljard.

In combinatie met de gang van zaken en dit excuus nieuwsbericht een dag later, Intel die -bewezen- de meest vuile spelletjes gespeelt heeft..... Ik denk dat @armageddon_2k1 er niet zo heel ver naast zal zitten.

Intel hoeft er niet eens direct achter te zitten, CTS zou dit best op eigen houtje gedaan kunnen hebben om zo juist de interesse van Intel op te wekken.

Maar dit kan jaren duren voordat het een keer naar buiten komt, ik hoop dat AMD hard in de verdediging springt en het via het gerecht netjes gaat uitzoeken.

flossed @armageddon_2k1 • 15 maart 2018 08:35

Afwezigheid van amd in deze discussie is significant. Als het een ‘hoax’ was dan zou de pers afdeling van amd weerwoord hebben gegeven. Wat inhoust dat er koortsachtig gewerkt wordt aan een oplossing die samen met een bericht uitgebracht kan worden. Aan de andere kant wordt er gezegd dat deze exploits alleen met beheerrechten uitgevoerd kunnen worden, is er dan nog wel sprake van een exploit. Dus mijn conclusie is dat er meer aan de hand is

[Reactie gewijzigd door flossed op 25 juli 2024 22:31]

Verwijderd @flossed • 15 maart 2018 08:43

Er kan wel degelijk sprake zijn van een exploit ook al zijn er beheerdersrechten nodig. Ook al heb je beheerdersrechten, dan nog is er sprake van isolatie. Het is niet de bedoeling dat een beheerder van een VM geheugen uit kan lezen van de host of een andere VM om maar een voorbeeld te noemen.

Pim0377 @Verwijderd • 15 maart 2018 09:47

Klopt helemaal....maar dan zou het dus eigenlijk alleen als exploit echt schadelijk zijn als je servers hebt die diensten host voor verschillende andere bedrijven / personen?!

Als jij een bedrijf hebt met meerdere servers en vm's daarop en je draait echt niks voor iemand anders, dan is het in een keer een stuk minder kritiek dat deze exploits mogelijk zijn.....of denk ik nou verkeerd??

Verwijderd @Pim0377 • 15 maart 2018 11:36

Laten we eerst afwachten wat de mogelijke mogelijke exploits zijn.

Maar ook als ik een bedrijf heb met meerdere servers en VM's dan wil ik niet dat een stuk software met een security issue een ingang kan zijn tot de rest.

SuperDre @Pim0377 • 15 maart 2018 14:11

Maarja, andere exploits kunnen weer gebruikt worden om beheersrechten te krijgen...

Derk S @flossed • 15 maart 2018 08:42

Als ze slechts 24 uur gehad hebben om te reageren dan is het aannemelijk dat ze gewoon nog niet aan een reactie zijn toegekomen.

Je kunt niet echt een conclusie trekken omdat zowel het onderzoeksbedrijf alsook AMD geen of in ieder geval een zeer slechte statement heeft gemaakt. Laten we hopen dat de situatie ontwikkelt en dan horen we meer.

Verwijderd @flossed • 15 maart 2018 12:45

Uiteraard is er meer aan de hand, maar waarschijnlijk veel meer de juridische kant van zaken dan de gemelde lekken. Als er inderdaad sprake is van koersmanipulatie dan heb je flink gedonder. Afgezien van mogelijke schadeclaims van smaad vanuit AMD of iets dergelijks.
Ik vind het meer dan logisch dat AMD niet direct reageert.

Verwijderd @flossed • 15 maart 2018 13:21

welke afwezigheid ? ze hebben direct gereageerd dat ze de aansteiging serieus nemen en onderzoeken. In het 2de bericht geven ze ook aan dat de manier van uitbrengen zacht gezegd onorthodox is.

Dit is gewoon een proffesionele reactie.

Dat ze niet inhoudelijk in gaan op een whitepaper die door een amateur is gemaakt lijkt mij volstrekt logisch.

Als je dezelfde maastaaf wat betreft tussen de regels lezen die je nu tegenover AMD aanhoud ook bij CTS gebruikt dan kom je ook bij de conclusie dat er aan het verhaal van CTS een heel naar luchtje zit.

Dus nee om nu de response AMD verdacht te noemen getuigt toch echt van een eigen bias

hjvg @armageddon_2k1 • 15 maart 2018 08:48

klopt dat idee heb ik ook nieuwe cpu van amd komt er aan en het komt intel wel goed uit dat er nu in eens negatieve info komt over amd.

zie ook dit stukje tekst

Of bovenstaande opvallende zakken rondom het beveiligingsbedrijf allemaal berusten op toeval, zal de tijd moeten uitwijzen. Sommige beveiligingsonderzoekers melden dat de onveiligheden legitiem zijn, maar door CTS Labs uit proportie gehaald zijn. Ze melden dat de problemen niet uniek zijn voor AMD en dat er administratorrechten benodigd zijn voor een groot deel van de bugs,

bron:https://nl.hardware.info/

wat dus impliceert dat deze bugs ook op intel platform aanwezig kunnen zijn maar de onderzoekers van CTS zijn dus alleen maar bezig met amd en houden intel er buiten

[Reactie gewijzigd door hjvg op 25 juli 2024 22:31]

horizon1978 15 maart 2018 08:32

Het blijft gewoon niet correct dat de afgesproken termijn op dit gebied niet gehandhaafd is.
Plus dat Viceroy research gebeuren maakt het er voor CTS niet beter op.

robvanwijk

Netwerk en systeembeheer

15 maart 2018 09:17

Verder vraagt hij zich af of het verantwoord is om de technische details van een lek te publiceren als het bedrijf nog geen oplossing heeft ontwikkeld, maar de deadline inmiddels is verlopen.

In theorie een interessante vraag... maar compleet absurd als de deadline op slechts 24 uur gezet was. "Het huidige systeem is niet perfect, dus laten we iets doen wat nog veel slechter is en ons dan afvragen waarom onze nieuwe aanpak voor allerlei lastige beslissingen zorgt."

rjberg 15 maart 2018 09:23

Over die systemen als AMD's secure processor en intel's management engine, vindt ik het nog steeds belachelijk om die in cpu's te stoppen. Helemaal omdat ze geen uit knop hebben.

Als je die functionaliteit moet bieden voor sysadmins, maak dan aparte moederborden met die co processor aan boord, of op een aparte socket op dat moederbord. Dan is in ieder geval de boel optioneel, in plaats van verplicht. Dan kun je ook dingen uitschakelbaar maken vanaf het bios.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: