Vulnerabilità CPU AMD, CTS Labs risponde ai sospetti sul proprio comportamento

16 Marzo 2018 36

Dopo aver rilasciato, un paio di giorni fa, un report in cui si muovono accuse piuttosto pesanti nei confronti di AMD, basate sulla scoperta di alcune falle di sicurezza all'interno dei processori Ryzen, CTS Labs ha dovuto fornire spiegazioni sulle sospette modalità di pubblicazione dello stesso report, legate principalmente alle tempistiche di rilascio, e aggiungere dettagli riguardanti le vulnerabilità.

Interrogati da AnandTech sul preavviso di sole 24 ore offerto ad AMD, i portavoce di CTS Labs si sono giustificati affermando che, anche con mesi e mesi di preavviso, AMD non avrebbe comunque potuto risolvere il problema e che quindi si sono trovati ad effettuare una scelta tra due opzioni. La prima prevedeva di avvisare AMD e attendere, secondo i ricercatori, anche più di un anno prima di rendere pubblica la scoperta, lasciando così che gli utenti continuassero a comprare e utilizzare un hardware potenzialmente pericoloso. La seconda opzione, invece, era quella di fornire i dettagli ad AMD e, praticamente in contemporanea, rendere pubblico il report. In questo modo avrebbero dato agli utenti la possibilità di scegliere se continuare a ad utilizzare i loro processori o acquistarne nuovi, consapevoli dei possibili rischi.

Possibilità o meno di trovare una soluzione per AMD a parte, il comportamento di CTS Labs non è stato sicuramente corretto. Uno dei casi analoghi più recenti, quello che ha interessato Intel con Meltdown e Spectre, ha infatti avuto un preavviso di oltre 200 giorni. Chiara indicazione di come la volontà non fosse soltanto quella di affossare e mettere in difficoltà una azienda.

A rendere ancora più sospetto il comportamento dell'azienda israeliana è poi la storia della società stessa. Nata soltanto un anno fa, alla sua prima scoperta importante, e con un dominio all'interno del quale sono stati pubblicati finora tutti i documenti che è stato registrato poco prima della pubblicazione stessa.

Un tentativo di racimolare visibilità e di far conoscere il proprio nome? Non ci sentiamo di escludere questa ipotesi ma, anche in questo caso CTS Labs avrebbe potuto giocare meglio le sue carte.

Sempre in queste ore, CTS Labs ha anche pubblicato un secondo documento contenente tutte le nuove informazioni sulle vulnerabilità che potete trovare a questo indirizzo.

A seguito di queste nuove informazioni tendiamo comunque a credere che le vulnerabilità siano effettivamente presenti, ma ancora non condividiamo le modalità scelte da CTS Labs per la loro divulgazione. Nel frattempo, comunque, aspettiamo di scoprire quale sarà la risposta di AMD a seguito delle verifiche che il team addetto alla sicurezza sta svolgendo a proposito di queste vulnerabilità.

Oggi uno dei migliori acquisti nella fascia media? Huawei Mate 10 Pro, in offerta oggi da Cellularishop a 425 euro oppure da Amazon a 489 euro.

36

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
andrea55

In pratica hanno ammesso candidamente di aver divulgato queste falle (o montato ad arte a seconda della futura risposta di Amd) appositamente per favorire la concorrenza

Marco Seregni

X nulla invece. Se ti aspetti risultati negativi sul momento ma sei positivo sul lungo termine vendere prima dei risultati per poi ricomprare è un'ottima strategia. Piuttosto è sospetto che nell'ultimo anno abbiano venduto azioni il fondo arabo (che non ricordo il nome) che ha una disponibilità praticamente infinita e la stessa lisa su. E quando un amministratore delegato vende senza un motivo specifico (es. Bezos che ha venduto quote di Amazon per finanziare blue origin) allora due domande te le fai

NaXter24R

So che è complessa, ma ci son state tante speculazioni, non ultima la mossa fatta da Morgan Stanley (se non erro era lei, ma comunque, una grossa banca) che un minuto prima della comunicazione dei risultati finanziari, ha venduto tantissime azioni, facendo abbassare parecchio il prezzo (erano sui 15$ al tempo) per poi ricomprarle non appena son arrivate a 9. Ora, liberi di farlo, ma il tempismo è comunque sospetto

Marco Seregni

Fai molti più soldi con l'Inside Trading con una notizia del genere se te la giochi bene che con un bonifico di Intel

Marco Seregni

Intel ogni anno fattura più della quotazione di AMD, AMD le fa concorrenza sì ma per le briciole. Se anche AMD avesse tutto il mercato consumer comunque Intel rimarrebbe in attivo. Per intel era molto più pericolosa la fusione Broadcom Qualcomm (che guardacaso è stata bloccata da Trump... mhm... vogliamo vedere quanti soldi Inte ha donato alla campagna elettorale di Donal?)

Marco Seregni

bah, la situazione di AMD in borsa è parecchio complicata, è da un anno che oscilla tra 10 e 14 dollari, questa vicenda non ha influenzato particolarmente i movimenti già di per sè parecchio turbolenti

DeeoK

È passato oltre un decennio ed AMD anche prima dell'avvento delle cpu Core (con le quali Intel ha sbancato) mi pare fosse intorno al 20%.
In questi anni Intel si è inserita in praticamente tutti i settori tranne il mobile, non basta Ryzen a scalzarla e ci vorrà sicuramente almeno un decennio.
La "lotta" fra AMD ed Intel viene troppo banalizzata. Pare che bastino due o tre anni di magra per far fallire un gigante come Intel quando non ne sono bastati 15 per AMD.

Hereticus

La mia motherboard (intel X99) ha controller USB Asmedia...

Giuseppe Nicolò

Che le vulnerabilità esistano o meno, che CTS Labs sia credibile o meno, la notizia ha già sicuramente avuto un impatto negativo su AMD.

Aniene

Se il concorrente si chiama AMD e rischia di diventare un vero competitor (come fu ai tempi degli Atlon) io ci vedo eccome le loro zampacce. Mia personalissima opinione.

DeeoK

Per una cosa del genere non servono miliardi. Fai conto che pare che il CEO di Trail of Bits abbia ricevuto un assegno da 16.000$.
Non investi miliardi in una campagna diffamatoria (fatta male) contro un concorrente che risica il 10% del mercato.

DeeoK

È praticamente ovunque.

Repox Ray

Roba di ASmedia su chipset Intel? Davvero?

Aniene

No guarda, al di fuori degli USA non spende cifre del genere. La spesa più alta avuta in un paese straniero è l'investimento di 175Mln in India.
Trovami traccia di un investimento uguale o superiore a 5mld di Euro da parte di Intel fuori dagli USA.

DeeoK

Intel investe un sacco ovunque e tutta la faccenda è così maldestra che reputo improbabile un coinvolgimento di Intel.

TeoCrysis

Come è stato già detto da molti, le azioni di questa società sembrano più finalizzate a danneggiare AMD da un punto di vista finanziario che aiutare gli utenti. Proprio ora che Intel è in difficoltà e sta perdendo il suo ruolo da monopolista...

DKDIB

<<
[...] tendiamo comunque a credere che le vulnerabilità siano effettivamente presenti [...]
>>

Se le vulnerabilità fossero reali, non si sarebbe stato alcun bisogno di fare questa pagliacciata.
Sarebbe bastato seguire un iter consolidato e sarebbero state le vulnerabilità stesse, ad avere un impatto sul mercato (come accaduto per Meltdown).

In questo momento, la vicenda puzza talmente tanto, da mettere in discussione la neutralità (e quindi la credibilità) di CTS Labs.
Ne consegue che qualsiasi documento dovessero pubblicare CTS Labs, non avrebbe alcun valore senza una verifica da parte di terzi. In pratica come se fosse stata Intel, a produrlo (esempio assolutamente casuale...).

Aniene

Mah, io mi baso sui fatti, Intel investe miliardi di dollari in Israele e prevede di aumentare gli investimenti. E qui siamo di fronte ad un palese esempio di principio di "causa ed effetto" a mio avviso.

DeeoK

Onestamente non penso sia stata Intel: è stato fatto tutto in maniera così grossolana che sembra organizzato da truffatori di serie b.

DeeoK

Come detto da AnandTech stessa, parecchie cose puzzano.
In primis hanno detto che con Intel non si sarebbero comportati allo stesso modo, in secundis i problemi elencati riguarderebbero più ASMedia, presente anche su chip Intel.
La faccenda continua a puzzare parecchio.

Mauricio

Come paga i propri dipendenti questa CTS? Qual è il suo "core business"? Chi sono i loro clienti? Fatturato, investitori... e tante altre domande bisognerebbe farli.

Lo Stalin Di Turno

Se leggi l'articolo orgiginario del cts, citano che per sfruttare questi "bachi" devi avere accesso ai diritti amministrativi, non sono cose che vai ad ottenere con 2 righe di codice.
Che poi la causa sarebbe secondo loro non amd ma asmedia che ha fornito i chipset per le nuove piattaforme ryzen.

Andrej Peribar

FUD di questa portata non lo vedevo dai tempi di ms vs linux

Questo a prescindere se le falle siano più o meno gravi.

Estremamente vergognoso.

mig86

ti sei dimenticato /s

NaXter24R

Il punto è che queste "vulnerabilità" sono riassumibili con: avendo permessi elevati alla macchina, quindi credenziali varie e soprattutto la possibilità di flashare bios custom, possono esserci problemi.
Come ha detto qualcuno, se lasci un postit davanti al pc con le tue credenziali, non è una questione di produttore o di architettura, la falla nella sicurezza è altrove

NaXter24R

La cosa triste è che anche volendoli trascinare in tribunale, per diffamazione (se leggete il report c'è da piangere) e perchè comunque il mercato azionario ne ha risentito, non si recupera nulla.

ctretre

??? Ovviamente dando per scontato che i bachi siano descritti e provati...
Se sei certo che non sono provati potresti farlo notare a chi ha scritto l'articolo.

Aniene

Just saying...
http : // www . jpost . com/Jpost-Tech/Business-and-Innovation/Intel-to-invest-45-billion-in-Israel-in-2018-543017

Aniene

Basta sapere quanto Intel investe in Isreale per capire il doppiopesismo di CTS in merito alla celerità nella pubblicazione delle vulnerabilità sui procio AMD.

faber80_

dov'erano questi paladini negli ultimi 20 anni di meltdown ?

Rieducational Channel

Per fortuna che esistono società serie come CTS Labs che non nascondono nulla e che ci permettono di fare acquisti consapevoli.

Lo Stalin Di Turno

Fake news/shitstorm sarebbero un bene... beata ignoranza...

faber80_

"...Un tentativo di racimolare visibilità e di far conoscere il proprio nome?.."
No, un bonifico intel inside.

R4nd0mH3r0

La prima prevedeva di avvisare AMD e attendere, secondo i ricercatori, anche più di un anno prima di rendere pubblica la scoperta, lasciando così che gli utenti continuassero a comprare e utilizzare un hardware potenzialmente pericoloso

lol intel ha avuto 200 giorni di preavviso, sono passati ulteriori mesi da quando è uscita pubblicamente la vulnerabilità e parlano di CPU bug free dopo la prima metà dell'anno.
Ad AMD hanno dato 24 ore.
Tralasciando il fatto che quindi AD OGGI e per svariati mesi, non ci saranno prodotti "sicuri" nè da una parte nè dall'altra, quindi la seconda parte della frase che ho citato è un emerita vaccata

ctretre

anche se fosse, sarebbe un bene, e si spera in qualche ripicca, a sua volta vendicata.
Tanto meglio se questo serve a eliminare questi bug

kedwir

Cts Labs powered by Intel...

Huawei MateBook: X Pro 2019 e 14 ufficiali, prezzi Italia del 13 | VIDEO

Recensione Lenovo Yoga Book C930: il ritorno del convertibile 4 in 1

Devolo Magic 2: Powerline a 2400 Mbps e Wi-Fi Mesh | Video

Xiaomi Notebook Pro e MacOS: binomio possibile? Video