Wykryto kilkanaście luk w architekturze procesorów AMD
Polecam zaktualizować newsa, sprawa jest bardzo śliska. Firmy jak i specjalistów nikt nie zna (firma z n lat doświadczenia a powstała w 2017?), co przyznało samo AMD. Co więcej, dali jedynie 24 godziny po zgłoszeniu tego do AMD. Ponadto wielu analityków pisze, że całość jest grubymi nićmi szyta.
I jeszcze piszą, jakoby luki miałyby zagrozić chmurom. Poważnie? Przecież to wymaga admina i podpisanych certyfikatów a jedna z luk wymaga AŻ (a nie jedynie) spreparowanego BIOS-u.
I te filmy: https://imgur.com/OkWlIxA :D
Pewnie Intel ma dość gadania o jego lukach, wynajął speców i robią czarny PR AMD. Nie chcą sami babrać się w łajnie, dlatego Intel zaprosił AMD na imprezę.
Brednie. Ewidentnie obliczone na reakcje laikow, ktorzy jak zobacza ze 'vulnerability' to sikaja po nogawkach.
[link] pclab.pl/news77294.html
Jak prawnicy AMD znajda powiazania tej firmy i ludzi na spreparowanych filmikach z Intelem (o co moze byc stosunkowo latwo, poniewaz Intel ma mnostwo rzeczy w Izraelu. Fabryki, centra rozwoju i cuda wianki), to pozew sadowy bedzie epicki.
Oho luki połatają to będzie spadek wydajności o 50%. Dopiero co się śmiali z Intela.
Polecam zaktualizować newsa, sprawa jest bardzo śliska. Firmy jak i specjalistów nikt nie zna (firma z n lat doświadczenia a powstała w 2017?), co przyznało samo AMD. Co więcej, dali jedynie 24 godziny po zgłoszeniu tego do AMD. Ponadto wielu analityków pisze, że całość jest grubymi nićmi szyta.
I jeszcze piszą, jakoby luki miałyby zagrozić chmurom. Poważnie? Przecież to wymaga admina i podpisanych certyfikatów a jedna z luk wymaga AŻ (a nie jedynie) spreparowanego BIOS-u.
I te filmy: https://imgur.com/OkWlIxA :D
No niestety ale na GOLu nie potrafią pisać technicznych artykułów. Wrażenie jest takie, że autor to fanboy intela i się podniecił, że AMD też ma luki po co coś dobrze sprawdzić i rzetelnie napisać. Dla mnie najistotniejsze informacje to są w przed ostatnim akapicie tego artykułu i to powinno być z początku powiedziane...
Aha, czyli jednak mając AMD mogę spać spokojnie. Stawiam, że AMD jednak jest lepiej zabezpieczone niż Intel (o wiele lepiej - może stąd ich niższa wydajność od ostatnich paru lat?), tylko się niebieskim grunt trząsł pod nogami, to robią co mogą, żeby się nadmiar gniewu rozszedł nie tylko po nich. Klasyka w sumie :-)
@Niebieskiej żaby kły, Ryzen (czy tam starszy FX) to inna architektura niż stara, wciąż ulepszana Intela od czasów Pentiuma/pierwszych Core. Intel popełnił kilka grzechów chcąc wycisnąć więcej z jednego rdzenia i stąd właściwie Meltdown. Ryzen na pewno też posiada jakieś luki, zwłaszcza jeżeli AMD zrobiło jakieś uchybienia albo złamało zasady inżynieryjne dla wzrostu mocy. Czas pokaże.
Pewnie Intel ma dość gadania o jego lukach, wynajął speców i robią czarny PR AMD. Nie chcą sami babrać się w łajnie, dlatego Intel zaprosił AMD na imprezę.
@Gholume
Nic dziwnego, że do aktualizacji news, jak tu praktycznie o samych lukach jest napisane bez dogłębnej analizy samej sprawy. Moim zdaniem tutaj jest lepiej to wyjaśnione: https://pclab.pl/news77294.html
Wymagania: zflashowanie biosu płyty głównej i wgranie specjalnie spreparowanego firmware, fizyczny dostęp do komputera, posiadanie uprawnień administratora
Wow, ależ luka. Nie to co te super zabezpieczone kawy, gdzie nie potrzeba nawet uprawnień administratora do wejścia. Całość szyta grubymi nićmi :)
Brednie. Ewidentnie obliczone na reakcje laikow, ktorzy jak zobacza ze 'vulnerability' to sikaja po nogawkach.
[link] pclab.pl/news77294.html
Jak prawnicy AMD znajda powiazania tej firmy i ludzi na spreparowanych filmikach z Intelem (o co moze byc stosunkowo latwo, poniewaz Intel ma mnostwo rzeczy w Izraelu. Fabryki, centra rozwoju i cuda wianki), to pozew sadowy bedzie epicki.
Oj tak, przydałoby się. Trzymam kciuki, żeby AMD miało jaja - czyli tak naprawdę, żeby tym razem pracownicy tej skądinąd zacnej firmy nie odpuścili Intelowi - to nie pierwszy taki atak na nich.
Tytuł newsa fajnie się klika, ale sama treść i wykryte "luki" są absurdalne. GOL-u, nie wstyd Ci?
Obstawiam grę na cenach akcji AMD przed premierą odświeżonych Ryzenów
Ja bym chętnie popatrzał na grę na cenach procesorów. Tak wyłapać 1600 po taniości.
Wiadomość została zaktualizowana o nowe fakty w sprawie - jak tylko pojawią się nowe wieści w temacie, rzecz jasna umieścimy je w newsie ;)
Warto wziąć pod uwagę fakt, iż nowe wątki pojawiają się dosłownie co kilka minut - staramy się trzymać rękę na pulsie, sprawa jest rozwojowa i reagujemy na każde info, które pojawia się w sieci.
Nie zawsze trzeba rzucić newsa, można poczekać ale rozumiem i cieszę się, że teraz news nie oszukuje. ;)
Dalej tytul newsa jest slaby.
"Wykryto kilkanaście clickbaitów na GOLu."
Na teraz to cała sprawa wygląda jak dość słabe prowo :) Obecnie noszę się z zamiarem przesiadki na AMD i mnie osobiście takie "rewelacje" nie odstraszają. Aż 13 luk??? Oni tak serio??? ;)
uwagę zwraca dopisek znajdujący się w informacji o zagrożeniach, wedle którego spółka „może mieć bezpośredni lub niebezpośredni ekonomiczny interes związany z jakością zabezpieczeń firm, które są przedmiotem tego raportu”
I wszystko jasne. Zajęli krótką pozycję na akcjach AMD. Już nie takie wałki robiono na giełdach. Puszcza się plotkę i szybko zarabia na kursie akcji nim plotka zostanie zdementowana. Trzeba przyznać, że postarali się z tym całym raportem i filmikiem, lecz mimo to przejrzano ich bardzo szybko. Raczej nie łatwo będzie im udowodnić przekręt, bo zapewne akcje AMD pożyczali za pośrednictwem słupów w rajach podatkowych.
Po co tworzyć fikcyjne kanały. Intel mógł od razu opublikować to na swoim YouTube. Jeśli to prowokacja z ich strony to żenada. Serio.
Pomijając styl w jakim świat dowidział się o tych rzeczach, jedno jest pewne. Błędy są prawdziwe. Zacytuję specjalistę od zabezpieczeń, Dana Guido, CEO TrailOfBits:
"Regardless of the hype around the release, the bugs are real, accurately described in their technical report (which is not public afaik), and their exploit code works."
"Most commentary I saw didn't doubt the existence of actual vulnerabilities, just criticized the almost parodically-hyped presentation and so-reported lack of vendor notification. TPM bugs are real, and interesting, just not (and quite far from) general-public interesting"
Trail of Bits dostało kasę od CTS, poczekałbym z wyrokiem na bardziej obiektywne analizy.
https://www.gamersnexus.net/industry/3260-assassination-attempt-on-amd-by-viceroy-research-cts-labs
W tym samym czasie inna firma wysmażyła 25-stronicowy paszkwil, w którym pisze m.in. że akcje AMD powinny kosztować 0$ a sprzedaż Ryzenów wstrzymana, bo zagraża bezpieczeństwu publicznemu :P
ps. a tak na marginesie - jedna z luk ma nazwę "RYZENFALL". Serio? Śmierdzi czarnym PR-em na kilometr.
Co jak co, ale informacja o podejrzeniach co do nieautentyczności tych "luk" powinna być na samym początku artykułu a nie, ktoś naczyta się jakie to wielkie luki znaleziono o groźnie brzmiących nazwach a dopiero na końcu drobnym druczkiem, o ile ktoś dotrwa do końca artykułu, gol łaskawie dodał informację, że być może wszystko co zostało wcześniej przedstawione to kłamstwo.
Luki istnieją. Zastrzeżenia budzi sposób ich ujawniania. Tutaj spece z niebezpiecznika opisują co i jak:
"Jeśli masz jeden ze wskazanych w tym artykule procesorów AMD, jesteś podatny i na razie nie możesz z tym zrobić niczego. Łatek brak. Obejść też. Ale to nie oznacza, że powinieneś wyłączyć swój komputer/serwer. Póki co nie są znane żadne ataki wykorzystujące te klasy podatności, które byłyby aktywnie wykonywane w internecie. I pewnie nie prędko się pojawią, bo CTS Labs szczegóły techniczne ujawniło tylko AMD i Microsoftowi.
Ale ponieważ warunkiem koniecznym do wykorzystania podatności są uprawnienia administratorskie albo fizyczny dostęp do sprzętu, najlepiej dobrze zabezpiecz swój komputer przed cudzymi łapskami (dosłownie) i jak zwykle, nie daj się zainfekować złośliwym oprogramowaniem."
Niebezpiecznik: "warunkiem koniecznym do wykorzystania podatności są uprawnienia administratorskie albo fizyczny dostęp do sprzętu"
W 3 przypadkach na 4 warunkiem jest jedno i drugie. Tylko w 1 "wystarczy" mieć admina. No i w każdym przypadku potrzebny jest jeszcze dostęp do podpisanego cyfrowo sterownika.
Łosiu, ponieważ podobnie jak Ty nie jestem specjalistą od cyberbezpieczeństwa, też wgłębiłem się w temat :D [edit]
Z tego co poczytałem, przemyślałem i skonfrontowałem z opiniam dostępnymi w internecie (część linków zamieszczona w postach wyżej), w sprawie nie chodzi tylko o sposób ujawnienia problemu. Wszystko wskazuje na intencje odniesienia korzyści finansowych z tytułu ujawnienia raportu.
Na razie wiadomo, że luki istnieją, natomiast by z nich skorzystać potrzebny jest dostęp do komputera jako root/admin. Niekoniecznie fizyczny, być może wystarczy spreparowny plik exe - najważniejsze, że żeby z tych luk skorzystać musi zawieść pierwszy i podstawowy czynnik bezpieczeństwa: człowiek. Jeżeli admin/inna osoba wskutek pomyłki umożliwi dostęp włamywaczowi, wówczas można z tych luk skorzystać.
Teraz powstaje pytanie: czy dla włamywacza, crackera te luki są do szczęścia koniecznie potrzebne, gdy ma dostęp do komputera na poziomie roota?
No i..... Bo nie do końca wiem co kontrujesz. Ja nie jestem stroną w tym całym cyrku. Piszę tylko, że:
1. Luki są. Nie wnikam co można z nimi zrobić.
2. Ujawnianie jest co najmniej dziwne. Nie spekuluje kto, kogo, co i dlaczego.
Rzeczywiście, to nie Ciebie miałem kontrować. Nawet nie w tej dyskusji.
Przepraszam za przypisanie Ci nie Twoich intencji.
Heh- a nie było niedawno informacji o tym, że Intel miał zainwestować w Izraelu 5 miliardów dolarów w swoje fabryki?
Jedni nam przypisują rolę najgorszych uczestników II-ej wojny światowej, drudzy opublikują informację o lukach tuż przed premierą nowych Ryzenów od AMD - które z Intelem toczy bój na rynku procesorów...
Bo z gojami to jak ze zwierzętami ( ?° ?? ?°)
Dlaczego?
Twoja wypowiedź jest jak skwitowanie słów "Earl Grey nie tak zdrowy, jak przypuszczano" stwierdzeniem:
"Dlatego piję Coca-colę".
CTS Labs nie posiada fizycznej siedziby (jeśli zaprezentowano jakieś biura, to realnie one nie istnieją), co już na starcie budzi spore podejrzenia. Dodatkowo domenę CTS-Labs zarejestrowano w dniu 25-06-2017, adres AMDFlaws.com znacznie później, bo 22-02-2018 roku, a pierwszy film na kanale YouTube wrzucono raptem kilka dni temu.
Wydaje się, iż firma posiada tylko 3 pracowników widocznych na materiałach wideo, przed publikacją raportu nie dysponowała historią swoich działań i jakby tego było mało, jej nazwy używano dość niespójnie, przykładowo w klipie czy na stronie AMDflaws jest to CTS-Labs, zaś w notce prawnej określa się ją jako CTS. Co więcej, stworzony przez nią dokument był cytowany później przez ekspertów z Viceroy Research, a jest to grupa, która zyskała sławę podczas sagi z Capitec Bank, ostatecznie sprowadzając wartość jego rynkowych akcji w dół. Notabene stworzyli oni własny raport w zaledwie 2 godziny po publikacji CTS-Labs, co jest raczej technicznie niemożliwe, biorąc pod uwagę szczegółowość dokumentów. Logicznie należy więc połączyć ze sobą oba podmioty lub potwierdzić istnienie wyłącznie jednego - VR.
Jeśli odszukano winnego lub winnych musi być motyw, a jest nim najpewniej chęć obniżenia akcji AMD w celu późniejszego kupna i odsprzedania ich na giełdzie (Viceroy Research twierdzi nawet, że AMD ma zerową wartość).
[...]zarówno CTS-Labs, jak i Viceroy Research, w których zastrzegają, że wszystko co przedstawili jest wyłącznie teorią, a nie stwierdzeniem autentycznych faktów, zrzucając zarazem konsekwencje ze swych barków. ithardware.pl
CTS Labs przyznaje ponadto, że nie było w stanie sprawdzić wszystkich ataków, które samo opisało, a także nie wie, ile czasu może zająć stworzenie odpowiednich łatek. pclab.pl
Juz widac, ze na kilometry jakas sciema zalatuje z tymi lukami. Zebraly sie dwie firemki by manipulujac akcjami amd zgarnac troche kasy dla siebie.
Jak na moje:
- nieznana nikomu firma publikuje w skandaliczny sposób podatności w procesorach AMD
- akcje AMD idą w dół
- ludzie zainteresowani bałaganem kupują akcje AMD
- sprawa zostaje wyjaśniona przez ludzi mających pojęcie i uznanych za autorytety
- akcje AMD idą w górę
- ktoś sprzedaje akcje
Nie sądzę by po tak mało wiarygodnym raporcie (jak się zdaje) ucierpiały notowania akcji AMD.
Ale rozumowanie jak najbardziej właściwe. Jak nie wiadomo o co chodzi, to prawie zawsze chodzi o pieniądze.
Linus Torvalds już zdążył to wyśmiać. Jak ktoś ma roota i fizyczny dostęp do sprzętu i może flashowac biosa to macie inny problem niż te podatności :D ta firma wcześniej już próbowała wpływać na ceny akcji innych firm.
