Sospechoso grupo de "expertos" clama que AMD tiene mas de 13 vulnerabilidades

Últimamente se ha esparcido noticias de que un supuesto grupo de "expertos" (que curiosamente no tiene ningún estudio o información ni nada sobre de donde vienen o porque surgieron) llamado "Viceroy Resarch" en el sitio AMDFlaws (claramente diseñado para atacar a AMD) saco un "whitepaper" o estudio en el que se menciona de que la tecnologia Ryzen, incluyendo EPIC tiene mas de 13 vulnerabilidades criticas y backdoors.

La cosa se pone candente cuando muchos de los sitios de hardware comenzaron a replicar la información en sus sitios hasta que expertos analizaron el whitepaper y empezaron a ver serios problemas en el expediente.

Varios sitios empezaron a retractar dicho papel y los supuestos detalles de dichas "fallas".
Varias de las fallas incluso llevan nombres específicamente mencionando la tecnología o la compañía AMD.

Algunos expertos incluso llegan a mencionar de que el sitio fue probablemente pagado por intereses de INTEL para sacar la atención de ellos por Spectre y Meltdown y pasarlo en contra de AMD como lo hicieron con el famoso error TLB (que procesadores intel también han tenido dicha falla sin el drama ni daño a la reputación)

www.phoronix.com/scan.php?page=news_item&px=AMDFLAWS-Vulnerability-Outted
twitter.com/ScottWapnerCNBC/status/973597591400337408
www.tomshardware.com/news/amd-flaws-ryzenfall-masterkey-fallout-chimera,36656.html


Lo que también lo hace sospechoso, es como este grupo apareció de la nada y comento de supuestas fallas.. pero no de manera benigna como lo hace google y otros grupos que cazan problemas. Ya que en ves de darle el reporte a los grupos para analizarse y solucionarse (como con Spectre, que se conocía el problema desde junio pasado y fue revelado por diciembre). El grupo "AMDflaws" fue directamente a la prensa y esparció su supuesto estudio por todos lados.

AMD ha respondido de manera directa en varios de sus sitios:

We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops.

Tom's Hardware tambien menciona lo inusual de esta compañia..

CTS-Labs released the information in an unusual fashion. Typically, semiconductor vendors are given 90 days to respond to vulnerabilities before they're disclosed to the public, but CTS-Labs provided AMD with only a 24-hour notice.

Varios analistas han visto las supuestas fallas y varias de estas requieren contacto DIRECTO con la maquina de manera física y flashear un bios.
Otros que el whitepaper es demasiado genérico y no tiene información suficiente o información concreta a diferencia de otras investigaciones que dieron con las vulnerabilidades de SPECTRE y MELTDOWN.


Recordemos que es todavía mas sospechoso por un hecho en particular.. ya que AMD esta apunto de sacar su "refresh" del popular Ryzen (llamado Zen+ o Pinnacle Ridge). La Tecnologia Ryzen, Que le ha sacado aproximadamente el 10% del "marketshare" a intel en solo un año ha sido un sucedo para AMD.
Asi que varios expertos indican que puede ser un truco sucio para alentar las ventas de AMD con la famosa técnica de "FUD" (Fear, Uncertain, Doubt)

Otra posible causa de que quieran afectar a AMD en este momento, es la manipulación de STOCK. Que lamentablemente AMD ha sufrido por años por ciertos grupos (en donde excelentes noticias de productos siempre significa que el stock de AMD pierde valor).


En otras noticias, Nvidia esta siendo atacado por su nueva forma de hacer negocios que muchos expertos claman son completamente anti competitivos y parecidos a las técnicas sucias que Intel usaba para evitar que AMD vendiera sus procesadores.
Incluyendo la disminución del numero de chips entregados si no venden exclusivamente Nvidia.

La cosa se pone mas candente en el thread en reddit.

www.reddit.com/r/Amd/comments/845w8e/alleged_amd_zen_security_flaws_megathread/

En donde muestran que no solo los "expertos" usaron videos con imágenes de stock (aka falsos). Si no también hicieron varios comentarios que no tiene nada que ver con lo técnico. Haciéndolos parecer trolls muy elaborados.

www.reddit.com/r/Amd/comments/846gpm/how_cts_labs_created_their_offices_out_of_thin_air/

Y parece que ya tienen historial de estudios y análisis controversiales y no exactamente éticos, diseñados para dañar el valor de las empresas.

www.moneyweb.co.za/in-depth/investigations/viceroy-unmasked/
www.nytimes.com/reuters/2018/03/12/business/12reuters-prosieben-media-accounts.html

En pocas palabras, parece ser una compañía específicamente diseñada y contratada para manipular el stock de empresas para que "interesados" puedan comprar stock de la empresa a mas bajo costo o tener ganancias con las diferencias de precio.

El Drama continua, ya que ahora la compañía que saco esas supuestas "vulnerabilidades" se defiende ahora diciendo que no tienen nada que ver con la compañía llamada Viceroy (que son conocidos por hacer manipulación de stocks usando mentiras o reportes fraudulentos)

No solo eso, si no que CTSLabs ha cambiado de nombre varias veces, ya que ellos son trabajadores de inteligencia militar de Israel y son conocidos por infectar computadoras y sistemas con malware especifico de espionaje y crear troyanos del mismo tipo.



Para resumir:

* CTsLabs saco sospechosamente un informe de "vulnerabilidades" en Ryzen y en EPYC.
* CTSLabs dio solo 1 dia de aviso a AMD antes de hacer publica la informacion en ves de los usuales 60 o 90 días que se les da a compañías para que reparen los problemas.
* El estudio de CTSLabs fue usado y manipulado por Viceroy (compañía conocida en manipulación de stock en donde inventan crímenes o errores en empresas para hacerlas que bajen de valor y así ganar dinero vendiendo o comprando acciones de la empresa).
* El papel puesto por Viceroy es increíblemente sospechoso, ya que fue escrito mucho antes de que se hiciera la revelación al publico o a otros grupos de la existencia de estos errores. Por lo que es obvio que VICEROY compro, contrato a CTSLabs para sacar suciedad o esta relacionado con CTSLabs de manera directa o indirecta por razones de negocios antes de seguridad o beneficio al publico.
* Manipulación de dicha información en donde no dicen de manera técnica como explotar los errores. Lo dicen de manera generica y al ser confrontados (en una entrevista con Anandtech) demuestran que no tienen un conocimiento alto al respecto.
* El reporte de Viceroy fue especificamente diseñado para dañar el stock de AMD, ya que tenia lineas en donde dice que el stock de AMD no debe de valer NADA y que la empresa debe de ponerse en bancarrota por dicho error.
* Se rehusaron mencionar que todas las fallas antes mencionadas requieren a) Acceso físico b) Acceso de Administrador c) Instalación de Drivers o Instalación de BIOSmodificados y afectados o requieren que tenga un chipset de ASmedia que tiene una vulnerabilidad incluida(que técnicamente afecta igualmente a INTEL, pero SCTlabs se enfoco exclusivamente en AMD.
* Al ser cuestionados sobre quien "compro" o pidió ese estudio sobre las vulnerabilidades de AMD, se rehusaron a responder y incluso se precipitaron para abandonar la entrevista lo mas rápido posible.
* El otro supuesto experto que avalo las vulnerabilidades (para hacer el reporte mas legitimo) resulto que esta relacionado con uno de los miembros de SCTlabs (ambos expertos israelies que trabajaron en los mismos grupos).
* Expertos como Linus Torvals se mofo del reporte y diciendo que parece mas una manipulación de stock que una advertencia de seguridad técnica.
* Ctslabs al ver que su reporte no tenia el efecto esperado (daño al stock) si no que genero un repudio casi universal de expertos.. se ha puesto ahora a la defensiva, modificando el reporte y poniendo "disclosures" y otros bloqueos legales o "clarificaciones".



Mas información:

www.anandtech.com/show/12536/our-interesting-call-with-cts-labs
www.zdnet.com/article/linus-torvalds-slams-cts-labs-over-amd-vulnerability-report/
www.realworldtech.com/forum/?threadid=175139&curpostid=175169
www.reddit.com/r/Amd/comments/84tftt/clarification_about_the_recent_vulnerabilities/
blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/

Un buen análisis de todo el problema:

seekingalpha.com/article/4157242-amd-cts-labs-story-failed-stock-manipulation

Creí haber dejado un comentario hace unos días, supongo que solo lo pensé y ya olvidé lo que quise escribir entonces.

En fin, AMD seguirá hacia arriba, la única opción real de Intel es crear un producto realmente competitivo en precio. Ojalá lo saquen, la competencia leal sería buena para variar.