image

AMD-processoren niet kwetsbaar voor nieuwe cpu-aanvallen

zondag 19 mei 2019, 10:20 door Redactie, 17 reacties

Processoren van AMD zijn niet kwetsbaar voor de nieuwe cpu-aanvallen die deze week werden onthuld, zo heeft de fabrikant bekendgemaakt. De aanvallen worden ZombieLoad, RIDL en Fallout genoemd en maken het mogelijk voor een aanvaller om gevoelige gegevens te stelen. Alleen het uitvoeren van JavaScript in de browser van een slachtoffer is al voldoende om bijvoorbeeld wachtwoorden buit te maken.

Onderzoekers van de Vrije Universiteit speelden een belangrijke rol bij het onderzoek. In een verklaring stelt AMD dat gebaseerd op eigen onderzoek en discussies met de onderzoekers het denkt dat de eigen processoren niet kwetsbaar voor de aanvallen zijn. Dit komt door de "hardwarematige beveiligingscontroles" in de processoren. Het zou AMD naar eigen zeggen niet zijn gelukt om de aanvallen tegen de eigen processoren uit te voeren en de fabrikant is niet bekend met anderen die hier wel in zijn geslaagd.

De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Reacties (17)
19-05-2019, 11:43 door [Account Verwijderd]
De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.
19-05-2019, 12:16 door Anoniem
Door Kili Manjaro:Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Tsja,als een bepaalt merk ergens goed uitkomt maken ze daar gebruik van,dat heet reclame,maar uit jou reactie kan ik opmaken dat ze gebruikers van AMD processoren in het ongewisse hadden moeten laten?

Gr.Q
19-05-2019, 13:34 door Anoniem
Wel heel toevallig dat dit altijd uit Amerika komt.
19-05-2019, 14:23 door Anoniem
Door Kili Manjaro:
De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Zuur geneuzel.

Het is misschien vervelend voor je , maar in een commerciële en competitieve omgeving is het het heel normaal om je eigen prestaties te benoemen als de concurrent iets laat liggen.
Volkomen terecht dat AMD dit resultaat claimt - vooral omdat het waar is en een echt verschil - er wordt een hoop marketing op smallere basis gedaan dan dit.

Het wil niet zeggen dat AMD altijd en eeuwig beter zal zijn, maar Intel laat de laatste tijd duidelijk gaten vallen , zowel in architectuur (deze bugs) als in fabricage.
19-05-2019, 16:30 door Anoniem
Door Kili Manjaro:
De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.
Wat een onzin om dit hier toe te passen. Het is maar wat jij er in ziet.
Mag AMD niet eens meer uitleggen waarom ze voor genoemde aanvallen niet kwetsbaar zijn?
Deze vraag ligt namelijk bij veel mensen op de tong: "Zijn AMD-processoren ook kwetsbaar?"

Wat de fabrikant heeft gepubliceerd is niet meer dan voorzien in een behoefte,
te weten het antwoord op de vraag of AMD-processoren voor deze aanvallen kwetsbaar zijn of niet en waarom.
19-05-2019, 17:27 door Anoniem
Door Kili Manjaro:
Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Vergelijkbaar als het door jezelf gebruikte OS op te hemelen en dat andere OS af te kraken?
20-05-2019, 04:31 door Eric-Jan H te D
" … AMD believes that our hardware paging architecture and protection checks help AMD processors not be affected by many side-channel vulnerabilities, regardless of whether Simultaneous Multi-Threading (SMT) is enabled or disabled. … "

Let op "many" niet "any"
20-05-2019, 08:59 door Anoniem
Door Kili Manjaro:
De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Buiten dat "op de borst kloppen" gebruikelijk is in de commerciele wereld, moet je ook eens kijken wat ze hebben geschreven: Een whitepaper. Daarin wordt informatie gedeeld die normaal niet beschikbaar gesteld wordt. Hert belangrijke woord hierin is "waarom".

Als Intel die whitepaper leest, kunnen ze de daaruit opgedane kennis misschien gebruiken om hun systemen ook beter te beveiligen. Zoiets is heel gebruikelijk in de security community.

Peter
20-05-2019, 10:13 door Anoniem
Door Kili Manjaro: Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.
Heb je de verklaring en de whitepaper ook gelezen? Als je zelfs maar begint te lezen zie je dat de formulering niet zo stellig is als security.nl het brengt: "we believe ...". Ze claimen helemaal niet dat er niets mis kan zijn met hun processoren, ze claimen alleen maar dat ze op basis van eigen onderzoek geloven dat het goed zit. Die slag om de arm maakt het meteen al een heel stuk minder hoogmoedig dan jij het interpreteert en dan security.nl het presenteert.

Je mag verwachten dat een processorfabrikant inderdaad de issues onderzoekt, je mag verwachten dat ze werkelijk de expertise hebben om die te onderzoeken (ze ontwerpen die processoren tenslotte zelf, de kennis en het denkniveau zijn aanwezig), en je mag verwachten dat als de uitkomst daadwerkelijk is dat een aantal issues hun niet raakt dat ze dat naar buiten zullen brengen. Het is dus wel degelijk mogelijk dat het klopt wat ze zeggen.

Verder hoeven ze echt niet heilig te zijn om in deze situatie niet te liegen, ze hoeven alleen maar verstandig te zijn. Intel was hoogmoedig en "valt" nu in de zin dat het marktaandeel verliest. Als AMD nu hoogmoedig is kan het later net zo hard vallen. Als ze snappen wat goed voor ze is maken ze niet dezelfde blunder.

Weet ik zeker dat ze het netjes spelen? Natuurlijk niet, net zo min als jij zeker kan weten dat dit hoogmoed is. Je kan per ongeluk gelijk hebben, maar ik snap in ieder geval dat wat ik net beschreef ook waar kan zijn en ik snap dus dat ik het soort stelligheid waarmee jij hoogmoed ziet niet kan onderbouwen. Ik ben niet feilloos, ik denk echt wel eens dat ik iets zeker weet terwijl ik er falikant naast zit, maar ik probeer in ieder geval om niet stellig te zijn als ik daar geen goede basis voor heb.

Helaas zie ik in onze cultuur steeds meer dat bedachtzaamheid door branie wordt vervangen. Mensen lijken elkaar aan te praten dat zeker doen belangrijker is dan zeker zijn. Misschien is de misvatting dat om zekerheid uit te stralen het nodig zou zijn om te doen alsof je het allemaal wel weet. Iemand die werkelijk zelfverzekerd is kan heel zelfverzekerd melden dat hij iets niet weet. De kracht daarvan is dat het een basis geeft om ofwel erachter te proberen te komen hoe het dan wel zit, ofwel om de onzekerheid van de situatie mee te nemen in de besluitvorming. Als je jezelf en/of anderen wijs maakt dat je iets zeker weet dan levert dat slechtere situatiebeoordelingen en slechtere beslissingen op.

Branie is ironisch genoeg een duidelijke vorm van hoogmoed. Je lijkt zelf precies te doen waar je AMD van beschuldigt.
20-05-2019, 11:09 door Bitje-scheef
Hulde voor AMD.
20-05-2019, 11:57 door Anoniem
Door Anoniem: Wel heel toevallig dat dit altijd uit Amerika komt.
En fijn dat landen met export-restricties er daardoor minder last van hebben, wel zo eerlijk.
20-05-2019, 12:02 door Anoniem
Ze zijn er niet zo zeker van.3waab
Er staat : het denkt dat de eigen processoren niet kwetsbaar voor de aanvallen zijn.

Dat "denkt" Intel natuurlijk ook. :)
20-05-2019, 14:49 door Anoniem
Toch knap dat AMD met 8% van het geld van Intel elke keer beter is. De snelste 386dx, de eerst gekozen 64 bit instructie set voor x86, de snelste procs met laagste tdp, de eerste dual cores, eerste quad cores, eerste hexacores op x86. En nu wederom de veiligste hypertreading.
20-05-2019, 16:50 door Anoniem
Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Uit de whitepaper:
In conclusion, AMD microprocessors have many micro-architectural mechanisms that allow for speculative execution. For software that cannot use the natural isolation that the TLB provides to prevent speculative execution into memory, AMD provides other software techniques to prevent speculative execution. [...]
AMD believes that our hardware paging architecture and protection checks help AMD processors not be affected by many side-channel vulnerabilities, regardless of whether Simultaneous Multi-Threading (SMT) is enabled or disabled.

aka: Ja, ook wij zijn vatbaar voor speculative execution, maar wij _geloven_ dat wij niet vatbaar zijn voor dit type. Dus de whitepaper an sich is niet erg borstklopperig. Dank je wel AMD voor de technische informatie waardoor wij beter naar bugs kunnen zoeken.
21-05-2019, 06:25 door spatieman
Door Anoniem: Toch knap dat AMD met 8% van het geld van Intel elke keer beter is. De snelste 386dx, de eerst gekozen 64 bit instructie set voor x86, de snelste procs met laagste tdp, de eerste dual cores, eerste quad cores, eerste hexacores op x86. En nu wederom de veiligste hypertreading.

ja, inc hitte en afbranden..
21-05-2019, 07:51 door Anoniem
Door Anoniem: Toch knap dat AMD met 8% van het geld van Intel elke keer beter is. De snelste 386dx, de eerst gekozen 64 bit instructie set voor x86, de snelste procs met laagste tdp, de eerste dual cores, eerste quad cores, eerste hexacores op x86. En nu wederom de veiligste hypertreading.
Het knappe is dat je hun "reclame" gelooft.
21-05-2019, 15:24 door Anoniem
Door Kili Manjaro:
De processorfabrikant heeft ook een nieuw whitepaper gepubliceerd waarin het uitlegt waarom veel van de sidechannelaanvallen die onderzoekers de afgelopen jaren tegen processors demonstreerden niet tegen AMD-processoren werken (pdf). Voor Intel-klanten is dat een ander verhaal. In het geval van ZombieLoad, RIDL en Fallout zouden alle Intel-processoren sinds 2008 kwetsbaar zijn.

Jezelf op de borst kloppen dat je beter bent dan de concurrent. Vroeger of later worden er ook wel een paar lekken in AMD processoren ontdekt. Hoogmoed komt voor de val.

Onzin, dat is geen hoogmeod. Dit is hoogmoed: https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-university-to-suppress-knowledge-of-mds-vulnerability
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.