La noticia sobre los fallos en los procesadores Ryzen se vuelve contra CTS-Labs

La noticia sobre el descubrimiento de hasta 13 vulnerabilidades y puertas traseras en los procesadores de AMD se ha vuelto contra la compañía que las dio a conocer. CTS-Labs, una start-up israelí hasta ahora poco conocida, copó ayer no pocos titulares tras desvelar que los procesadores Ryzen están afectados múltiples fallos de seguridad; una circunstancia verídica de acuerdo con los primeros hallazgos, pero que ha despertado duras críticas por la forma en la que se ha comunicado, poniendo en duda métodos y e incluso finalidades.

Según CTS-Labs, sus investigadores descubrieron que los últimos procesadores de AMD incorporan una serie de deficiencias en el conocido como Procesador Seguro y el propio chipset. Lo habitual en estos casos es revelar esta información de forma discreta a las compañías implicadas y proporcionar un periodo de varios días antes de hacerla pública, pero la startup no esperó ni 24 horas desde que notificó a AMD.

AMD muestra su sorpresa y Linus Torvalds responde con vehemencia

Dada la falta de tiempo para reaccionar, AMD se limitó en su momento a decir que estaba investigando el asunto. En un segundo comunicado, no obstante, el fabricante de chips muestra una mayor desconfianza acerca de los hechos. Según señala en una nueva página abierta en el sitio oficial:

Acabamos de recibir un informe de una compañía llamada CTS Labs que afirma que hay vulnerabilidades de seguridad potenciales relacionadas con algunos de nuestros procesadores. Estamos investigando activamente y analizando sus hallazgos. Esta compañía era desconocida para AMD hasta ahora y encontramos inusual que una firma de seguridad publique su investigación en la prensa sin proporcionar una cantidad de tiempo razonable para que la compañía pueda investigar y actuar. En AMD la seguridad es una prioridad máxima, y estamos continuamente trabajando para asegurar la seguridad de nuestros usuarios según aparecen nuevas amenazas. Actualizaremos este blog cuando haya más noticias.

Que AMD haya decidido abrir su propio blog para informar sobre los hechos ya resulta llamativo. Pero la suya es posiblemente la respuesta más neutra de algunas de las que se han podido ver últimamente. El bastante más temperamental Linus Torvalds, que no ahorró exabruptos cuando Spectre y Meltdown aparecieron en escena, tampoco ha dudado en criticar duramente a CTS-Labs sin llegar a mentarla:

Parece que el mundo de la seguridad informática ha caído aún más bajo. Si trabajas en seguridad y crees que tienes moral, tal vez quieras añadir una línea descriptiva "No, de verdad, no soy una puta. Promesita" a tu tarjeta de visita. Porque ya creía que toda la industria era corrupta, pero esto está volviéndose ridículo. ¿Cuándo admitirá la gente de seguridad que tiene un problema de attention-whoring?


Según han podido constatar algunos expertos en seguridad, los fallos reportados por CTS-Labs son reales. Gadi Evron, fundador de la compañía de protección Cymmetria, señala que no es necesario el acceso físico a los equipos y que en contra de lo especulado inicialmente Fallout no requiere reflashear la BIOS, pero el hecho es que necesitan privilegios de administración.

Asimismo, Dan Guido, responsable de Trail of Bits, ha señalado que CTS-Labs se puso en contacto con él la semana pasada para validar sus hallazgos. Guido explica que los bugs son reales, están descritos con precisión y que el código de los exploits funciona. También que son fallos nuevos con orígenes técnicos muy antiguos y bien comprendidos, en contraposición con Meltdown y Spectre (cuyas técnicas de explotación son bastante novedosas). No son por tanto comparables.

Información compartida de antemano e intereses económicos

El problema, al menos en su parte más visible, es de ética y estética. Que las vulnerabilidades requieran permisos administrativos hace que su impacto sobre los usuarios de los procesadores afectados sea muy inferior al posible con Meltdown y Spectre. Asimismo, CTS-Labs puede tener intereses económicos en el asunto.

Como buena startup especializada en seguridad informática, la revelación de información sensacional y hasta ahora inédita es una buena forma de atraer financiación, lo que añade un cariz peculiar a la forma en la que fueron publicados sus hallazgos. El cometido de CTS-Labs es encontrar vulnerabilidades, pero su comunicación debe hacerse con tacto y prudencia.

Complicando la situación, CTS-Labs facilitó por adelantado la información a varios medios y organizaciones. Si bien esto no es extraño, que terceras partes tengan en su poder dichos datos antes que AMD levanta sospechas por sus implicaciones estéticas e incluso a nivel de seguridad.

El asunto se retuerce aún más cuando se constata que una de las primeras entidades en hacerse eco de la noticia fue Viceroy Research (PDF), una entidad que ha sido acusada anteriormente de diseminar noticias negativas contra terceras compañías con la intención de realizar operaciones de venta corta.

En este caso Viceroy Research publicó un largo informe de tintes palmariamente catastróficos (titulado "AMD - El obituario") poco después de que el sitio donde se describen las vulnerabilidades fuera activado. El documento está arqueando algunas cejas, puesto que que está compuesto por más de una veintena de páginas prolijas y profusamente ilustradas. Mucho trabajo en muy poco tiempo. Incluso si CTS-Labs no tiene nada que ver con Viceroy, sus métodos de comunicación la exponen a problemas de imagen bastante graves.

Afortunadamente para AMD, los inversores no han reaccionado con la clase de pánico que hubiera podido desear esta clase de organizaciones y sus acciones se mantienen relativamente estables.

Fallos reales, pero con un potencial de explotación aparentemente bajo

Es importante señalar que las vulnerabilidades existen y son por tanto un riesgo para la seguridad de los procesadores afectados. También que explotarlas resulta relativamente complejo. Los usuarios comunes posiblemente tienen poco que temer, no así los administradores que trabajen en grandes empresas sujetas a riesgos de espionaje industrial, donde la implantación de malware persistente podría suponer un problema.

De nuevo, hablamos de un asunto grave, pero con un potencial de explotación aparentemente limitado y que ahora mismo no estaría al alcance de cualquier malhechor. Aquí es donde difiere de Meltdown y Spectre, mucho más "aprovechables" por atacantes.

En cualquier caso, esta revelación no parece que vaya a tener un efecto positivo sobre la imagen CTS-Labs, que ha logrado despertar más preguntas de las que respondió ayer. Ahora falta conocer los hallazgos de AMD, que tiene aún más incentivos si cabe para responder a las alegaciones y aclarar la situación de forma oficial.
bichobola está baneado del subforo por "flames"
El ventilador de mierda se les dio la vuelta a los que empezaron a echarla....
Si es que estaba cantado.
bichobola escribió:El ventilador de mierda se les dio la vuelta a los que empezaron a echarla....


Jajajaja! [plas]
Ya hay tema para la siguiente temporada de Silicon Valley
¡Qué hablen de mi aunque sea mal!, un clásico
Joer con Torvalds... ¿seguro que es extranjero?
Cada día me cae mejor. [amor]
Aquí hay para todos , no se salva nadie
Como estan las empresas de seguridad y microprocesadores menuda guerra hay entre ellas tirandose mierda a paladas.
Pero me parece divertido como usuario ver como grandes compañias se dan caña...
Eso si ningun micro se salva madre mia!!!
Han ido a por AMD descarado

Todavia me acuerdo del juego Uplink, donde tu eras el hacker, y podias hackear empresas y hacerlo publico precisamente para hacer todo esto: sacar una tajada wapa en la bolsa [+risas] [+risas] [+risas]
Ya hay culebrón! Estará Intel actuando desde las sombras? xD
Al final... todos desconectados... tiempo a l tiempo.
pero que le quiten lo bailao, todo el mundo conoce a una firma de seguridad desconocida hasta ahora

ya tienen lo que querían
(mensaje borrado)
La publicidad que ha obtenido CTS no se la quita nadie. Y más si se confirma que dichas vulnerabilidades son ciertas.

Es cierto que se ve que tenían segundas intenciones con el anuncio, pero en cuanto a "trabajo" se ve que no son malos del todo [+risas]


Salu2
iruga escribió:Al final... todos desconectados... tiempo a l tiempo.


Andate jugando, hace un tiempo que me estoy planteando desconectarme y dejar un solo dispositivo para navegar.
Solo dieron 24h a AMD. Eso no se hace así, falta sentido común.

Claramente hay intención de perjudicar a AMD aunque sean ciertos los errores. Está muy bien encontrar fallos y darlos a conocer, pero no de esta forma.

No se quien está detrás, pero es difícil no imaginar a Intel presionando.
Bien por AMD, su blog y su respuesta ;)
Bueno vale, ¿y para cuando la pelí?
Intel detrás, para ver si se desvía la atención sobre sus chapuzas.
Bueno menudo culebrón. Esto de todas formas aunque sea explotable de forma muy limitada, está bien que salga a la luz, porque achucha a los fabricantes a cuidar más los diseños de sus productos. Este año desde luego es el peor de la historia para comprar un procesador, hay que esperar a que parcheen por diseño todas estas chapuzas.
Parece que todos los que estaban echando mierdas en el otro artículo sobre AMD se han quedado callados en éste.

Estaba claro que la intención del equipo que ha descubierto las vulnerabilidades era joder bien a AMD, porque dar un plazo de sólo 24 horas y encima pasar la información a los medios de antemano no es que sea muy correcto. Ahí tienen intereses seguro, bien por tema de bolsa, bien porque Intel esté metida en el ajo. Parece que no les ha salido la jugada tan bien como ellos querían.

Lo bueno es que se hayan descubierto, y que a nivel de usuario no resultan apenas peligrosas. A ver si AMD las resuelve rápido de todas formas.
pacopolo escribió:Parece que todos los que estaban echando mierdas en el otro artículo sobre AMD se han quedado callados en éste.

Estaba claro que la intención del equipo que ha descubierto las vulnerabilidades era joder bien a AMD, porque dar un plazo de sólo 24 horas y encima pasar la información a los medios de antemano no es que sea muy correcto. Ahí tienen intereses seguro, bien por tema de bolsa, bien porque Intel esté metida en el ajo. Parece que no les ha salido la jugada tan bien como ellos querían.

Lo bueno es que se hayan descubierto, y que a nivel de usuario no resultan apenas peligrosas. A ver si AMD las resuelve rápido de todas formas.


Tal como puse en aquel post:

dak51 escribió:Estudio patrocinado por intel despues de ver que no tenia nada para competir contra ryzen. [angelito]
CTS-Labs todavía no ha liberado documentación sobre estos "fallos críticos" de seguridad. Resulta muy interesante...
24 respuestas