Las 13 vulnerabilidades de Ryzen

whoololon

Pues como ya más de uno sabrá, no hace mucho se ha corrido (con perdón) la noticia de que se han descubierto hasta 13 vulnerabilidades de distinto nivel, que afectan a la nueva plataforma de AMD, los procesadores Ryzen.

En dicha noticia, la empresa CTS-Labs ha difundido un informe en el que detalla las incidencias de seguridad ocurridas durante sus análisis sobre ésta familia de procesadores.

Dicho informe les fue remitido a AMD 24 horas antes de hacerse público.
La respuesta por parte de AMD, ha sido la siguiente:

"We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops. "

Hasta aquí la noticia, ahora aprendamos algo sobre CTS-Labs...
...que aparece así en Linkedin...

"Sobre nosotros
CTS provides security consulting to semiconductor and embedded systems manufacturers.
Our company brings 16 years of expertise in cyber-security and cryptography into the developing field of semiconductor security.
Sitio web
http://www.cts-labs.com
Sede
Tel Aviv
Año de creación
2017
Tipo de empresa
De financiación privada.
Especialidades
Firmware Authentication, Cryptographic Hardware Logic, Secure Design and Code Review, Secure Storage for Cryptographic Secrets, Mitigation against Memory Corruption, Data Encryption, In-Depth Auditing, Security Compliance, Vulnerability Research"

(Fijáos en los números.)

...que dispone de una amplia plantilla de personal...
...y de entre todos ellos destacaría su director financiero...
...que dice tener licenciatura y master en la universidad de Yale... en filosofía. También está relacionado con una empresa de gestión de inversiones en Nueva York, de la que fue director general.

Su hermano, que sospecho es el cerebro de esa panda de estómagos, ha iniciado más de media docena de empresas, no ha acabado ninguna de las licenciaturas que inició, pero eso sí, tiene una sonrisa encantadora.

Y finalmente destacaría al único que tiene un título relacionado con el mundillo del silicio, su director ejecutivo, que sinceramente dudo que tenga la capacidad necesaria para la hazaña que se supone han realizado.

En resumen, que si a ésto le sumamos que dichas vulnerabilidades hay que comunicarlas con 90 días de antelación para que la empresa en cuestión, en éste caso AMD, las solvente o emita un comunicado con la información necesaria, personalmente tengo la convicción de que no es más que un torpedo lanzado con intereses espurios, ya que pese a que éstas vulnerabilidades existen realmente, poco tiene que ver con el interés por la ciberseguridad.

¿Qué opináis vosotros?

Fassou

Tiene mala pinta en todos los casos, tanto si hay algo de verdad en todas las suposiciones versadas por estos "supuestos" expertos, como si es una jugada de difamación enfocada a ganar dinero rápido en la bolsa (que parece que no habría funcionado) o para sacar rendimiento a unos (muchos) clicks.

Veremos como sigue la cosa, y lo que va publicando AMD en la página habilitada con este propósito, que enlazas arriba.

Salu2!

cobito

No me había enterado de este asunto (últimamente ando algo liado). La verdad es que es todo muy extraño. No sé qué clase de rentabilidad querrían sacar desprestigiando a AMD, pero si son vulnerabilidades verdaderamente explotables estoy seguro de que hay estados y organizaciones que hubieran pagado una auténtica pasta gansa por tener en exclusiva esta información.