Objeveny zranitelnosti v procesorech AMD. Okolnosti budí podezření z manipulace akcií

89
Křemíkový čip zblízka (foto: Fritzchens Fritz)

Netrvalo dlouho od Meltdownu a Spectre a opět jsou zde zprávy o bezpečnostních zranitelnostech v procesorech. Nicméně tentokrát se vzrušujícími novými variacemi. Chyby publikované na webu AMDflaws.com jsou jednak nalezené v procesorech Ryzen a Epyc, zatímco na Meltdown a Spectre byl bit nejvíce Intel. A vedle toho je to spojené s hodně podezřelými praktikami, které budou nakonec možná ještě zajímavější než publikované chyby.

 

Chyby (ve firmwaru?) procesorů Ryzen a Epyc

Chyby jsou celkem čtyři (každá však s různými variantami, takže bylo publikováno také číslo 13) a ohlásila je doposud neznámá bezpečnostní firma CTS-Labs. Není úplně jasné, zda jde v některých případech o chyby hardwaru, pravděpodobné jde spíš o chyby v ovladačích nebo firmwaru. Ve zveřejněném whitepaperu totiž nejsou konkrétní mechanismy popsané. Má ale jít o čtyři chyby, útočící buď na čipové sady X370/B350/A320 nebo AMD Secure Processor (neboli také PSP) v procesorech Ryzen a Epyc a umožňují spuštění kódu na tomto koprocesoru nebo čipsetu. Tím by byly podobné útokům na Intel ME, kdy zranitelnost dovoluje malwaru dostat se pod úroveň operačního systému. Zdá se, že všechny tyto zranitelnosti vyžadují od útočníka privilegovaný administrátorský přístup k systému, což omezuje jejich závažnost. V případě nějakého jiného bezpečnostního průlomu ale hrozí prohloubením infekce do firmwaru stroje, kde je malware těžší odhalit.

amdflaws-zranitelnosti-cts-labs
Web AMDflaws.com

První z chyb dostala (jak je dnes móda) jméno MasterKey a umožňuje napadením Secure Processoru deaktivovat některé bezpečnostní funkce, jako například šifrování virtuálních strojů SEV. Exploit ale vyžaduje, aby uživatel nahrál do desky upravený BIOS (respektive UEFI), a tudíž je riziko poměrně nízké. Možná je ale na čase dávat pozor na aktualizace přicházející z nedůvěryhodných zdrojů. Pokud deska vyžaduje podepsaný firmware, mělo by to tento útok znemožnit. Útok se týká Epycu i Ryzenů.

Druhý exploit nazvaný Ryzenfall zřejmě používá slabé místo nějakého ovladače (jako podmínka je uveden podepsaný ovladač od výrobce) a také dokáže útočníkovi dodat přístup do Secure Processoru a provést v něm nějaký kód. Exploit by údajně měl umožňovat přístup do běžně zapovězených oblastí paměti například SMM režimu, nebo prolomení Windows Isolated User Mode a Isolated Kernel Mode. Útočník ale opět musí nejprve mít administrátorský přístup, tedy dostat se do situace, kdy již má napadený systém pod kontrolou. Třetí chyba Fallout je zřejmě prakticky stejná, ale útočí na zavaděč (bootloader) Secure Processoru. Díra je patrně opět zprostředkována ovladačem, což by mělo umožnit poměrně rychlou opravu, a i zde je nutné mít nejprve administrátorský přístup. Fallout se týká jen Epycu, zatímco Ryzenfall jen Ryzenů.

Čtvrtá chyba Chimera je možná nejzajímavější, směřuje na čipovou sadu Promontory (B350, X370, A320), tedy jen na platformu AM4. Nebezpečím je zde spuštění útočného kódu na procesorovém jádře použitém uvnitř tohoto čipsetu. CTS-Labs toto označuje jako backdoor a označuje čipset za nebezpečný, jelikož má jít o licencovaný design firmy ASMedia, ovšem v dokumentu pro to nejsou nějaké důkazy, takže těžko mít jistou, zda zde není situace trošku dramatizována (některá místa v PDF působí jak senzacechtivá a dost možná zavádějící, informace o backdoorech je například uváděna v souvislosti s routery Asusu, což je úplně jiný produkt). Škodlivý kód v čipsetu by ale vzhledem k funkcím této komponenty mohl mít přístup k síťovému provozu, paměti, i třeba klávesnici. Opět ale jde o útok vyžadující administrátorský přístup k systému a zřejmě konkrétní ovladač podepsaný od výrobce, jehož opravou by tedy přístup měl být také zamezen.

Web AMDflaws: přehled variant zranitelností
Web AMDflaws: přehled variant zranitelností

Podezřelé okolnosti

AMD zatím nebylo schopné existenci chyb potvrdit, ani sdělit nějaký plán nebo odhad, kdy budou dostupné opravy. CTS-Labs mu totiž poskytlo pouze 24hodinovou lhůtu před zveřejněním. To je jemně řečeno neobvyklé a velmi nedostatečné, standard je 90 dní a v případě chyb Spectre a Meltdown nastalo odhalení až více než po půl roce. Tato politika se označuje jako „zodpovědné odhalení chyb“, právě proto, že dává čas na opravu zranitelností předtím, než se informace dostane ven a může být zneužita. Navíc se zdá (tvrdí to například AnandTech), že firma pravděpodobně předběžně informovala média, aby si zajistila maximální publicitu, a snad některé oslovila dokonce ještě před zpravením AMD coby výrobce. To uvádí, že tato hlášení nyní analyzuje a přidalo obvyklé ujištění, že bezpečnost staví na první místo. V oficiálním prohlášení také upozorňuje na absenci standardní lhůty umožňující opravu chyb. Prohlášení má být aktualizováno, až bude mít firma více informací, takže na se dívejte na tuto stránku, pokud chcete sledovat status oprav.

We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops.

Kupodivu se zdá, že CTS-Labs konzultovalo zranitelnosti s jinou bezpečnostní firmou Trail of Bits týden předem. Cílem zřejmě bylo, aby je tato renomovanější společnost před odhalením potvrdila (což dává reportu důvěryhodnost), ale celou tuto dobu se CTS-Labs nevysvětlitelně bránila tomu, konzultovat AMD a požádat o potvrzení je, což by byl standardní postup.

Spekulantská firma v pozadí?

Indicií, že zde místo standardního bezpečnostního výzkumu jde o nekalé záměry, je docela dost. O samotné firmě zatím nikdo neslyšel, založena byla loni a „AMDFlaws“ je její první publikace. Závažná indikace neupřímnosti je už to, že firma dala na opravu chyb jen 24 hodin místo standardních 90 dní. Nezvyklé také je, že CTS-Labs neodpovídá na otázky a komunikuje za ni PR agentura, doménu má zase zaregistrovanou přes proxy. Zároveň po odhaleních chyb se také vynořila investiční poradenská firma Viceroy Research (také informovaná předem) se zprávou bombasticky pojmenovanou „Nekrolog“ hovořící o tom, že AMD na základě těchto chyb zkrachuje a že reálná hodnota akcií je nula. Viceroy Research měl vystoupit na CNBC, ale to bylo nakonec zrušeno, asi právě pro podezření z manipulace. Viceroy údajně v minulosti podobně „útočil“ na akcie firem v Jihoafrické republice.

Asi nejpodezřelejším ukazatelem nicméně je klauzule v „disclaimeru“, tedy v různých legálních poznámkách, kterými se firmy brání možným právním problémům. V této sekci je totiž uvedeno, že CTS-Labs může mít přímo nebo nepřímo finanční prospěch na tom, jak se změní ceny některých dotčených cenných papírů. U seriózní bezpečnostní firmy by se přitom dalo čekat spíš opak, takže firma v podstatě přiznává, že má zájem na snížení ceny akcií AMD. Přitom se zároveň zdá, že její CFO předtím pracoval nebo stále pracuje v investičním fondu a také některé dokumenty na webu firmy prozrazují formulacemi finanční a nikoliv IT pozadí. V disclaimeru je dokonce uvedena i standardní zodpovědnosti se zříkající klauzule, že „nejde o investiční doporučení“, což také není prvek typický v bezpečnostním výzkumu.

CTS is a research organization. This website is intended for general information and educational purposes. This website does not offer the reader any recommendations or professional advice. The opinions expressed in this report are not investment advice nor should they be construed as investment advice or any recommendation of any kind. (…)

(…) Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports.

A právě subjekty ve finančním sektoru by pomocí podobné manipulace mohly vydělat, pokud by se jim podařilo vyvolat paniku a předtím provedly spekulaci na pokles ve velkém měřítku. V tomto období byl údajně zaregistrován nadprůměrný objem obchodů s opcemi akcií AMD, který by mohl takovou manipulaci provázet. Chování firmy CTS-Labs – zvlášť v kontrastu s tím, jak byl řešen Meltdown a Spectre – budí silné podezření, že průběh odhalení těchto údajných chyb byl zvolen hlavně s cílem manipulovat cenou akcií. To je asi pravděpodobnější vysvětlení, než že by šlo třeba o objednávku na diskreditaci AMD od konkurenta. To zmiňujeme proto, že se asi objeví spekulace jdoucí tímto směrem. Ale je asi silně nepravděpodobné, že by si například Intel dovolil tak okatou manipulaci. Ta by mu ostatně po provalení víc uškodila než pomohla, takže Intel bych zde nepodezříval.

Objeveny zranitelnosti v procesorech AMD. Okolnosti budí podezření z manipulace akcií

Ohodnoťte tento článek!
4 (80%) 1 hlas/ů

89 KOMENTÁŘE

    • IMHO všechno ukazuje na to, že to byl pokus o manipulaci akcií. Tak gigantická firma jako Intel si podle mě něco takového ani nemůže dovolit, protože by to byl hodně velkej skandál a na rozdíl od nějakýho „Viceroy Research“ se prostě jednoduše neschovají před následky.

      teoreticky je možné, že firmy dělají tenhle výzkum a když u konkurence něco najdou, tak dají tip nějakému výzkumníkovi. Ale to je něco, co je v pořádku. Problém, je když je to odhaleno manipulativně a nezodpovědně, jako tady. A to si jsem skoro úplně jistej, že by Intel nikdy neudělal, protože z toho by hned mohla bejt drsná žaloba, akcionáři by taky nebyli rádi a nejspíš by padaly hlavy ve vedení – tudíž by to nikdo neschválil.

      • Respektive je tedy samozřejmě celkem dobrá šance, že ten Viceroy Research je taky jenom figurka, které někdo nahrál materiály a nechal ho udělat špinavou práci, ale i tam platí, že ten někdo byl nějakej finanční machinátor, ne Intel.

          • Ale věnoval, jen jaksi Benet na stránkách nepíše, že dané informace mohou hýbat cenami akcií a on z toho může profitovat. Hnízdo, co místo psaní bludů (nic jiného jsem od tebe nikdy nečetl) psát články? Ať se pobavím.

          • harry, kdyz se podivam cim ty jsi prispel do diskuse zde, musim uznat, ze ses nezmohl ani na ty bludy. jen kopat do hrace, to ti jde, nebo jsi o tom asi presvedcen. To jen k tem bludum.

            Bennet, byvaly zamestnanec AMD, na popud samotneho AMD vytvoril FUD na zaklade smyslenek ktere nicim nepodlozil. Program GPP slouzi k tomu, aby herni znacky vyrobce odlisily produkty s nvidii od tech druhych. Bennet na zaklade vlastnich spekulaci vymyslel olbrimy mafiansky konstrukt na vydirani vendoru, ktery honza bez dalsiho prevzal, prestoze to smrdi odshora az dolu.

            https://pcgamesn.com/nvidia-geforce-partner-program-amd-impact

            But we’ve done our own digging into the story and from what we’ve uncovered the truth of the matter is the transparency Nvidia are chasing is about making it clear which graphics card range from a company is based on GeForce tech and which are running AMD’s GPUs. It’s not about stopping a company from having a separate AMD-based gaming brand.

            That means Asus could have a Republic of Gamers Mars brand, which only sells Nvidia, but also a Republic of Gamers Ares brand that is exclusively AMD-based. GPP isn’t going to stop any company from selling AMD GPUs as specifically gaming graphics cards.

            Dehonestacni AMD antimarketing je zde citit na sto honu. Ale Honza ma asi zrovna rymu.

          • Hmm, odpovis mi napred na otazku, proc zde reagujes po dvou dnech, zatimco na jine reagujes? Protoze jinak si mohu treba myslet, ze se snazis, abych si tve reakce nevsiml, kdyz mne okazale dva dny ignorujes.

          • Nuze dobra. Pak bud ale priste laskave opatrnejsi s vyroky „Odpověď pořád žádná, takže počítám, že sis to vymyslel na fleku?“ Ja mam totiz taky na praci jine veci nez prochazet abandoned threads.

            Zrejme vis, ze Bennet kritizoval sveho casu AMD tak ze se dostal na blacklist a AMD prestali zvat HOCP na eventy – to same jako Charlie Demerijan vs nvidia. Na foru na nej nejakej snazivej fanAtik vytah ze delal u AMD. Bennet prohlasil, ze u AMD uz nepracuje a zadny syndrom vykopnuteho zamestnance u nej nehrozi. Tak mam dojem, jestli si to nechtej u nekoho vyzehlit.

            A ted – co tedy moje namitky? Mas ty nejake podklady pro svoje tvrzeni v clanku krome naprosto nicim nepodlozenych tvrzeni Benneta?

          • hnizdo> Ty si tú jeho minulosť (ak je pravdivá) ale uviedol v kontexte, akoby mal kvôli tomu straniť AMD. Že bol v minulosti obvinený zo stranenia práve Nvidii a teraz naopak AMD, to mne skôr pripadá ako indícia, že je skutočne nestranný.
            Samozrejme že by si mohol niečo „žehliť“, ale prečo by žehlil u slabého AMD a poštval si naopak silnú Nvidiu? Logika… Nehovoriac o tom, že tvoja teória o „žehlení“ je obyčajná špekulácia – to je to, za čo tak rád kritizuješ ostatných kedykoľvek sa ti to hodí.

          • Jan Olšan 23.3.2018 at 18:19
            https://www.reddit.com/r/Amd/comments/47k8lz/hardocp_bias_against_amd/

            „Kyle is a joke. He’s been especially butthurt ever since AMD opted to not send him free Fury samples, and that was BECAUSE of the pre-existing bias he had against AMD. When a bunch of readers called him out on those shenanigans, he started banning people and any who remotely ‚dissented‘ against him or the site.“

            A najednou jemu da AMD vedet? Jemu, kdo je na blacklistu? Na tomhle stavis svuj dehonestacni clanek.

            „A můžu link?“ Docela drze, ne? A muzu prosit objektivni novinarinu, bez toho abys z nepodlozenych tvrzeni Benneta vytvoril konstrukt typu „Poškození konkurence na trhu vlivem těchto zákulisních praktik tedy může být závažnější, než co by vyplývalo z čistě mechanického výklady těchto smluv.“ Kde mas linky ty, ktere podkladaji tyhle tvoje konstrukce? Zakulisni praktiky zverejnene na webu nvidie, wtf? Mas Bennetovo tvrzeni, nic vic.

            ifkopifko 24.3.2018 at 8:18 Ale Mhlo, o tom se tu celou dobu bavime, co je spekulace a co jsou fakta. Treba ten zdejsi clanek o GPP, to jsou cire spekulace, od podezrele osoby, bez dokladu a s pochybnym pocatkem. Zatimco zde u tohoto clanku se hned na zacatku neopomene uvest, ze udajna bezpecnostni firma je pochybna, z duvodu, ktere jsou minimalne diskutabilni. Meritum veci, to je to co ti nikdy nic nerikalo.

          • V tom threadu není ani fň o tom, že by byl Bennet bývalý zaměstananec AMD, jak jsi výš tvrdil.
            Jestli jo, tak dej pls link na konkrétní komentář, prošel jsem to a nenašel nic, ale je to 200 postů.

          • Honzo je vazne „dojemne“, jak se snazis dobrat pravdy. Je velka skoda ze nereagujes na zadnou z mych namitek, ktere ukazuji, ze tak cinis jen kdyz se ti to hodi. Takze ten konkretni cca dva roky stary post zacnu hledat az tehdy, az reflektujes to co ti vytykam vyse.

          • Hele, řeknu ti to na rovinu: mám s tebou zkušenost, že si jseš schopnej vymýšlet blbosti a s klidem to tady postovat jako fakta (teda v podstatě lži, když je to vědomě?). Tudíž když tu něco tvrdíš, tak to nevezmu bez nějakého dokladu, nebo aspoň aniž bych věděl, kdes to četl. A zdá se, že jsem to v tomhle případě přesně trefil, tak co se čilíš? Bylo to zdá se oprávněné podezření.

            Sorry, ale tak funguje reputace a viz taky tu bajku s tím pasáčkem a vlkem.

            HardOCP je médium, který se ti nemusí momentálně líbit, ale funguje i s tím Bennettem skoro 20 let. Jejich story o spolupráci AMD a Intelu se potvrdilo. Jejich story o GPP se mezitím docela potvrdilo taky, protože ty změny v brandingu MSI, Gigabyte a Asusu přesně sedí na to, co psal.

            Takže ano, jejich zpráva není úplně nedůvěryhodná, abych tak řekl. Situace je zcela nesrovnatelná s tím, když si někdo prostě snaží tlačit svoje osobní představy. Tvoje „námitky“ mi obecně přijdou, že bys chtěl, aby byli všichni takový fanouši/antifanouši jako jsi ty sám, sorry.

          • Dobre, tak narovinu?
            Ja mam s tebou zkusenost, ze zatimco se tu produciruji agresivni psychopati, PR trollove a lhari typu tromba, bezznohy a dalsich, postuji tu zrejme okamzite prokazatelne lzi a demagogie, a nevyprovokovane napadaji ostatni uzivatele stylem, ktery tu za dob Maliny neprichazel v uvahu, a nema u nas prakticky obdoby ani na ubohem ddw, ty jsi najednou neviditelny. Ale po mne, ktery se snazi vzdy zustat slusny, se vozis. Bias.

            Nemuzes jmenovat zadne moje tvrzeni, ktere bys mohl oznacit za vymysl nebo dokonce za lez, to bys totiz musel dokazat, absence dukazu neni dukaz. Na zaklade teto logiky je tvuj clanek o GPP odshora az dolu vylhany, protoze jedine co se potvrdilo, je verejny text nvidia GPP – tedy oddeleni gaming brandu pro jeji produkty. Vsechno ostatni, jako omezovani konkurence, vydirani vendoru, pokuty – je VYMYSL Benneta – a tvuj. Opakovane jsem te vyzyval, at pro tyhle blaboly poskytnes nejake podklady, a nic. Takze dle tvoji logiky, kdo tady lze?

            Co se tyce HOCP, i Demerijan se svym semiaccurate nebo Stach uz je tu dlouho a presto to nema s nejakou objektivitou nebo fakty co delat, a to nic nemeni na tom, ze Demerijan obcas dostane dobrej tip.

            A pokdu srovnam oba clanky o bezpecnostich hrozbach v chipsetech amd a gpp programu, kde zavaznost tech hrozeb je nesrovnatelne vetsi nez nejaky marketing, tak je vyzneni clanku a tvuj bias naprosto jednoznacny.

            A dorazis to tim, ze prebiras nesmyslne osoceni tromba a dalsich zdejsich nepokryte rudych uderniku o nejakem mem fanouskovstvi. Ja chci vsem merit stejnym metrem. A to narozdil od tebe, nepisu do novin.

          • hnizdo> Popravde, teraz neviem či sa snažíš oklamať sám seba. Čo si tu popísal v minulosti zainteresovaní vedia. Ty určite nepatríš medzi tých, ktorí by mali právo sťažovať sa na úroveň diskusie. V minulosti tu lietali bany a mazali sa celé vlákna (s rozumom) a ja som pokojne za, lebo naozaj sa to tu ťažko číta.

            A čo sa tvojho výroku týka: Áno, mohlo by sa zdať, že chceš všetko merať jedným metrom, ALE vždy si veľmi pozorne vyberieš aký meter práve použiť, aby ti vyšlo to, čo si želáš. Ak si myslíš že je to nenápadné, mýliš sa.

          • ifkopifko 28.3.2018 at 13:17 “ ALE vždy si veľmi pozorne vyberieš aký meter práve použiť, aby ti vyšlo to, čo si želáš. “ Mistre, do vaseho pole expertizy bych si ve vasi pritomnosti vstoupit nikdy nedovolil.

            “ Čo si tu popísal v minulosti zainteresovaní vedia.“ Ale nepovidej! Ano? Co treba? Nejlepe odkazem, abychom mohli porovnavat.

        • Máš pravdu, bludy zde šíříš jen ty a jsem rád, že to přiznáváš. Co má společné zjištěné chyby u AMD s GPP? Navíc ten článek neříká úplně vše, respektive je zajímavé, že výrobci „mimo záznam“ hovoří jinak. Ale chápu, pro tebe jeden článek znamená absolutní pravdu, místo toho si to ověřit u více zdrojů. To že v diskuzích vždy pouze napadáš a urážíš je pravda a ještě se cítíš dotčený a svádíš to na jiné. To je tvůj boj.

          • Nevim jestli ma smysl na tuhle chaotickou zmet vubec reagovat, ale preci. Jestli jsem to ja kdo se venuje misto argumentace napadani a dehonestaci ponecham na ctenarich, je to videt zcela jasne zde i v historii. Pokud mas potrebu lhat, vyber si neco, co nelze vyvratit mnozstvim prikladu, at to nepusobi tak hloupe. Narozdil od Honzova clanku, ja si informace overil u vice zdroju z toho jeden jsem uvedl, a ani jeden clanek nepovazuji za absolutni pravdu. A stejne jako to Honza ucinil zde a NEucinil u clanku o GPP, sleduji mozne motivy a pozadi. Je na kazdem cemu da vahu, nicmene novinar ma informovat o vsech moznostech. To je to co Honzovi vytykam. Myslim ze jsem to napsal dostatecne jasne.

  1. „The opinions expressed in this report are not investment advice nor should they be construed as investment advice or any recommendation of any kind. (…)
    (…) Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports.“
    To jsou docela standardni klauzule. Nerika to nic jineho, ze jim dost mozna firmy plati za vyhledavani chyb, aby pak mohli rict „vidite, jsme bezpecni“.

  2. JIinak do článku už jsem to necpal, ale tam je spousta vtipnejch věcí.
    Ten report toho Viceroy vyšel v řádu hodin, ale má 33 stran (!) – tak určitě neměli echo předem 🙂
    Ta bezpečnostní firma do svýho videa, kde jsou jako v sídle firmy použila stock videa a naklíčovala tam týpky přes greesn screen 🙂
    https://imgur.com/OkWlIxA
    Taky tam v podmínkách varujou, že na stránce nejsou fakta, ale „názory“.
    A vymiňujou si právo tu stránku neaktualizovat a ponechat tam star informace i když už přestanou platit a nebudou přesné. 🙂

    Myslím, že se toho asi najde i víc. Ale jako smrdící věci sem, smrdící věci tam, hlavně je na tom sprostý, že tím nezodpovědným odhalením vystavili riziku uživatele, což je přeseně ten důvod, proč je ta praxe 90 dní, kterou zodpovědný firmy ctí. Sice nebyl zveřejněnej Proof of Concept, ale pořád tím zdrželi vývoj oprav a mezitím ty chyby s těmi hinty někdo může objevit nezávisle. Čili se zpronevěřili snaze zlepšit IT bezpečnost, kterou by bezpečnostní výzkumníci měli především sledovat.

  3. Vy to tady zlehcujete, ale ty chyby jsou realne!!!
    Pokud dokaze vir nahrat do desky jiny BIOS, coz mozne je, tak se to opravdu muze stat.
    Tohle je nemene tak zavazne jako afera Melta/Spektra. Takze POZOR!!!!!

  4. Chyby zveřejněny v pondělí, včera byl sice hodně nadprůměrný objem obchodů (více než trojnásobný) a dost velká volatilita, ale AMD z toho nakonec vyšlo vítězně, když akcie o 1 % posílily, přestože trh o 0,7 % klesl.

    • no … nevím kdo tady hýká … už i AMD potvrdilo, že chyby jsou skutečné s tím, že s podobnými věcmi se zabývají AMD s Intelem rok co rok každý den a je jasné, že vzhledem k potřebě admin práv je jasné, jaké kategorie uživatelů se tyto hrozby týkají. Takže žádné drama a pro tebe malá rada, neonanuj na diit, nedělá ti to dobře …

      • Ááno, chyby jsou skutečné, chyby dělají všichni, tedy i AMD, stejně jako Intel a milion dalších firem, protože proč? Protože nikdo není dokonalý. Ale hlavně jde o to, že když se nějaká tahle chyba objeví, tak to slouží v prvé řadě k nějakým bulvárním spekulacím … Ten napsal o AMD že je bakané (protože za tím stojí Intel, ten novinář a ten web by nevzniknul jen tak z plezíru asi, že, protože lidi dneska nezjištně nehnou prstem a za 30 stříbrných ochotně vypnou mozek), protože před měsícem byl bakaný Intel a o informační vyváženost nám jde přece především, že.
        Zamysli se třeba jenom nad tím, nakolik ta mediální šaškárna s Meldown a Spectre, byla založená na pravdě. Joo, jasné, v Blesku psali a na Nově dávali, ale fakta ku*va, fakta! Postihlo to konkrétně nějak Tebe? Nebo znáš alespoň někoho koho to nějak postihlo? …. a tohle s AMD je úplně to samé, jenom v bleděmodrém …
        A pro Tebe taky malá rada, už jsi dost starý, tak používej ten prejt co máš v lebce, Ty „AMD potvrdilo …“, když už chceš psát tyhle blbosti, tak to alespoň ozdrojuj, protože co kdybys to třeba jenom blbě pochopil a blamuješ se tady úplně zbytečně …

        • Meltdown/Spectre rozhodně nebyla srovnatelná věc s tímhle, ani vzdáleně. Tam to bylo pojaté zodpovědně a profesionálně. Ten kontrast mezi tou úrovní zveřejněných materiálů a přístupem je hodně velký.

          • Já nevím jestli Meltdown/Spektre byla nebo nebyla srovnatelná, to nevíte ani Vy v tuto chvíli, takže jsem ani nic nesrovnával. Já jen píšu, že media umí uplést z ho*na bič a ještě s ním zapráskat, to je všechno …

        • zbytečně se rozčiluješ, já žádné spectre/meltdown neřeším a neřešil bych ani tyto věci, pokud bych byl majitelem AMD procesoru. Umím se na webu chovat jako člověk … Jak jsem napsal, AMD potvrdilo a už jen z principu vlastní ješitnosti nebudu uvádět zdroj … :DDD

    • Což to je asi prkotina, web, do kterého se nezadávají osobní údaje nebo registrace a není nějak citlivé, že na něm budete viděn, IMHO nemusí https mít, takové to plošné prosazování mi přijde zbytečné. Samozřejmě by u bezpečnostní firmy člověk čekal, že to budou mít kvůli profesionálnímu vystupování, ale když nemají, tak na tom nevidím nic špatného.
      Nebo to aspoň není nic markantního proti těm ostatním podezřelým rysům 🙂

      • Že HTTPS stačí jen tam, kde se pracuje s citlivými údaji a že je zbytečné ho plošně nasazovat jsou bohužel velmi rozšířené omyly. Vysvětlím, proč by měl být protokol HTTPS nasazen úplně na všech webech:

        1) HTTPS nezajišťuje pouze utajení komunikace*, ale kromě toho také ověřuje s kým komunikujeme a jestli někdo zprávy po cestě nemění. Nikdo vám tedy do komunikace nic nepřidá a ni nezmění, ať už jde o malware nebo o reklamu. Odhadem tak polovina free WiFi hotspotů nějakým způsobem manipuluje s přenášeným obsahem. HTTPS tomu zabrání.

        2) Koexistence HTTPS a HTTP přináší bezpečnostní rizika, která se pak řeší obskurními způsoby. A to znamená další rizika.

        3) Náklady na nasazení HTTPS jsou mizivé. Certifikát lze zísat zadarmo, konfigurace je jen o málo složitější a vytížení HW je nepatrně nižší (o jednoty procent).

        4) HTTPS umožňuje nasazení HTTP/2. Ten je sice standardem definován i nad nešifrovaným spojením, ale v prohlížečích a web serverech je implementován pouze nad HTTPS.

        * Sluší se dodat, že úplnou anonymitu HTTPS nezaručuje a ani k tomu nebylo navržené. Z odchycené komunikace lze ve většině případů poznat na jaký web uživatel jde. Někdy je možné poznat i na jakou konkrétní stránku se dívá.

    • Proč? Chápu, že naučit se cizí jazyk, konkrétně anglicky a případně zhodnocení česky dělá problém, ale na základě informací vyplouvajících na povrch by jsi asi takovou blbost nenapsal.

    • Vlko: nechápu, proč máš potřebu sem cpát ty rasistický narážky nebo co to má být. Jednou už jsem ti to smazal, proč si myslíš, že to je OK sem psát znovu? Ne že by to byl nějakej silenej kalibr, ale prostě to sem nepatří a bylo to navíc úplně bez souvislosti.
      Zadruhé, ten pokus o doxing je něco, co teda podle mě je těžce přes čáru, takže asi požádám, abys dostal ban.

      • Ked je niekto raz napríklad „žltý“, tak bude vždy „žltý“ a predstierať (cenzurovať), že to tak neni nič nezmení na tom fakte. Ale dnes je to moderné? ..či

        Slniečkari a vítači su proste všade, ale chápem, však ťa zato platia.

        Tak čaves 😀

        • Asi ti to nedochází. Tohle je IT web, takže ať už máš potřebu ventilovat cokoliv (popravdě fakt nechápu, o co ti tam jako šlo), tak to sem nepatří.
          U Broadcomu to byl blbej kometář, tady už to bylo i úplně offtopic.

          (Edit:)
          2. Že mi vadí, že nám tu někdo plevelí diskusi urážlivejma termínama – ty víš, co si tam psal – neznamená, že jsem sluníčkář. To jenom znamená, že trvám na nějakých standardech slušného chování. Že je dneska někdo neuznává, vypovídá akorát o jeho nízké úrovni. A naopak, když se to bude tolerovat, tak to bude jenom horší a horší. A to by jinak mělo vadit všem, však v ČR už některejm ostudám začínají vadit Slováci, což mi teda taky pěkně pije krev.
          3. Narážka na to, že by mě za *tohle* někdo platit… nevím, jestli mám mít vztek, že mě takhle někdo uráží, nebo se divit, jak může být někdo takhle hloupej.

          • Neviem aký rasizmus sa mi tu snažís podsúvať? K akej rase patrí AMD? To aj Babisovske cnews je tiež hanobenie nejakej rasy?
            Mám pocit, že niektorí ľudia sú už dobre vygumovany mediami.
            Offtopic som nebol, vyjadroval som sa k AMD..

          • 1) Podívej se pořádně, co je Mladá Fornta a.s. (ne, není to Babišovo).
            2) Mě nevadilo, že ses vyjadřoval k AMD, mě vadilo, že si tam z nějakýho důvodu zapletl urážlivé poznámky na Číňany(?). Proč, to taky nechápu.

          • Aby som sa vyjadril správne a v práve. Je vyjadrenie sikmooke AMD prejav rasizmu v tejto „novinke“? Je označenie diskutera v diskusii jeho pravim menom, nie priezviskom a neuvedenim adresy v diskusii jej porušením, ci vseobecnim porušením zakonov ČR, po ktorej by malo nastať banovanim diskutera? Vyjadrila sama oslovená strana, že nesúhlasí a žiada nápravu? Ma pán Olsan, zamestnanec MFD.as, právo fabulavat svoje názory ako právny názor zákonov. Poprosil by som vyjadrenie nadriadeného pracovníka spomenutého zamestnanca k porušeniu zákona a pravidlá ktorého dôsledkom má byt zabanovanie účtu menom Vlko. Podľa odpovede samozrejme vyhodnotim svoje ďalšie právne kroky.. Dakujem

          • Hele Vlko, kdyz 2 napisou ze jsou asiati zluti a zluti, tak to nemusi byt stejne. Zalezi, jestli je to mysleno hanlive nebo ne. Pokud je to mysleno hanlive, tak je to rasisticke. Pokud je to mysleno humorne nebo jako dokresleni neceho, tak to podle meho hanlive neni a je treba to posuzovt v kontextu. To nema co delat se slunickarema a vitacema, protoze tohle samo o sobe je uz hanlive, takze k tomu sklony zjevne mas.

          • @J. Olsan.. poznamka k prilisne korektnosti (ted to nemyslim osobne na Vas) celkove.
            Treba v Asii se rika evropanum v nekterych zemich „white skin“, v prekladu „bila kuze“. Mne to prijde srandovni, protoze si vzpomenu na Majovky, kde Indiani rikali belochum „bila tvar“ 🙂

          • Jan Olšan 14.3.2018 at 20:02 „To jenom znamená, že trvám na nějakých standardech slušného chování. Že je dneska někdo neuznává, vypovídá akorát o jeho nízké úrovni. A naopak, když se to bude tolerovat, tak to bude jenom horší a horší. “

            Dneska jsi Honzo dosahl miry pokrytectvi, ktera je neprimo umerna tem standardum slusneho chovani, ktere tu udrzujes. Obe tyto hodnoty lze vyjadrit pouze pomoci limitnich vyrazu.

  5. Meltdown a Spectre se moc v akciích neprojevily, to si může ověřit každý sám. Stejně tak jako každý si může najít z posledních měsíců názory edukovaných investorů, kdy jeden vyjmenuje 10 důvodů, proč akcie AMD padnou hluboko pod 10 dolarů a stejně tak naopak jsou názory podepřené 10 důvody, proč AMD bude atakovat hranici 20 dolarů ještě letos. Je to vážně legrace, sledovat reakce z řad novinářů, kteří, aby psali o seznacích, analyzují jak spadnou akcie Intelu nebo AMD a jak jsou vše smrdící akciové podvody, ale žádný z těchto novinářů se neohlédne zpět, aby řekl, před třemi měsící jsem se mýlil. V podstatě jde o to nabejtit na takovéto novinky čtenáře a ještě lépe, aby se pak jak děti mezi sebou přeli o za pár týdnů nepodstatných událostech…