• Masterbitz

CTS Labs Envió a AMD y otras Compañías un paquete de Investigación con código de Prueba de Concepto


CTS Labs, la empresa de investigación de seguridad de TI con sede en Israel que se encuentra detrás del explosivo informe de vulnerabilidades de seguridad de AMD Ryzen del martes, respondió a las preguntas formuladas por TechPowerUp. Uno de los más grandes, que también está en la mente de los escépticos, es la ominosa falta de código de prueba de concepto o binarios que forman parte de su informe público inicial (en contraste con los informes de Meltdown / Spectre que entraron en detalles técnicos). sobre el exploit). CTS Labs declaró a TechPowerUp que ha enviado a AMD, junto con otras grandes empresas de tecnología, un "paquete completo de investigación", que incluye "informes técnicos completos sobre las vulnerabilidades", "código de explotación funcional de prueba de concepto" y " instrucciones sobre cómo reproducir cada vulnerabilidad ". Estableció que además de AMD, el paquete de investigación se envió a Microsoft, HP, Dell, Symantec, FireEye y Cisco Systems, para ayudarlos a desarrollar parches y mitigación. Una práctica no escrita pero generalmente aceptada en la industria de seguridad de TI al descubrir tales vulnerabilidades, es que los investigadores le den a las compañías en cuestión al menos 90 días para diseñar un parche de software, fortalecer la infraestructura o implementar otras medidas de mitigación. 90 días está en marcado contraste con las 24 horas que AMD obtuvo de CTS Labs. CTS Labs confirmó a TechPowerUp que efectivamente compartió su paquete de investigación con AMD (y las otras compañías) solo 24 horas antes de hacer público su informe, pero instó a aquellos descontentos con esta decisión a mirar la situación de manera objetiva. "Si miras la situación de la siguiente manera: en este momento el público conoce las vulnerabilidades y sus implicaciones, AMD está completamente informado y desarrollando parches, y las principales compañías de seguridad también están informadas y trabajando en la mitigación".

Esto contrasta con la consecuencia involuntaria de mantener a Meltdown / Spectre fuera del dominio público durante más de medio año, lo que permite a los altos ejecutivos de Intel deshacerse de las acciones de la compañía y a los grandes proveedores de computación en la nube fortalecer su infraestructura, dándose una ventaja competitiva sobre proveedores más pequeños. Pero a diferencia de Meltdown / Spectre, estas vulnerabilidades no afectan a toda la industria (es decir, no afectan a Intel), lo que coloca a AMD en desventaja tanto en los mercados bursátiles como en los mercados minoristas. CTS Labs, a través de la secuencia de sus acciones, ha intentado trasladar la carga de la prueba de sí mismo a AMD, que es extremadamente poco común en la industria de la seguridad de TI. Con la falta de pruebas de concepto de estas vulnerabilidades en el dominio público, se está desarrollando un entorno de miedo, incertidumbre y duda (FUD), con AMD ocupado en probar sus chips para estas vulnerabilidades, y aún muy lejos de lanzando parches, si las vulnerabilidades son reales. Esto coloca a cualquiera con una posición de cortocircuito contra las acciones de AMD con una clara ventaja. La estrategia de las relaciones con los inversores de AMD y las comunicaciones corporativas ahora debería ser disipar muchos de esos temores entre las personas sin acceso a la prueba de concepto, y pedir a los inversores que se abstengan de ceder ante el FUD.


0 vistas
  • Facebook
  • Twitter
  • YouTube
  • Instagram

© 2016 Derechos Reservados a Masterbitz Review