AMD Zen İşlemcilerde 13 Farklı Güvenlik Açığı Ortaya Çıktı

AMD Zen İşlemcilerde 13 Farklı Güvenlik Açığı Ortaya Çıktı
AMD işlemcilerde bulunan yeni açıklar, Intel’deki Spectre ve Meltdown açıklarına oldukça benziyor. İşlemcilerin önbelleğindeki hassas verilerin okunmasına imkan sağlayan Meltdown ve Spectre açıkları, bir süredir teknoloji dünyasının gündeminde. Pek çok teknoloji şirketi bu açıkları kapatmak veya hafifletmek için büyük çaba gösterirken, yapılan araştırmalarda ortaya yepyeni açıklar çıkıyor. İsrail merkezli güvenlik şirketi CTS-Labs, AMD’nin Ryzen ve […]

Devamı: AMD Zen İşlemcilerde 13 Farklı Güvenlik Açığı Ortaya Çıktı
Kaynak Technopat

Devamı için yukarıdaki bağlantıya tıklayın...

CTS-Labs daha önceden duyulmamış geçmişi olmayan bir firma, bu da bir karalama kampanyası, bence olayı bu boyutu ile aktarsaydınız daha açıklayıcı olurdu. Belirtilen açıklara ulaşma yöntemlerini de detaylı okumak lazım, çok üstün körü bir haber.

Bu haberi yaparken haberin altına Linus Torvalds'ın konuyla alakalı yorumunu eklemek gerekir diye düşünüyorum ve Google+ hesabındaki bir gönderisinde yazdıklarını alıntılıyorum.

1- It looks like the IT security world has hit a new low.

If you work in security, and think you have some morals, I think you might want to add the tag-line

"No, really, I'm not a whore. Pinky promise"

to your business card. Because I thought the whole industry was corrupt before, but it's getting ridiculous.

At what point will security people admit they have an attention-whoring problem?

2- I refuse to link to that garbage. But yes, it looks more like stock manipulation than a security advisory to me.

I'd blame the journalists, but let's face it, it's the security industry that has taught everybody to not be critical of their findings. "Think of the children".

3- No, it's not even the 24 hours. I dislike the "give vendors all the time in the world" model of security disclosure enough that I very much understand why some people then give them no time at all.

You can be corrupt by being too chummy with vendors too.

It's the advisory itself that is garbage, and the attention whoring about it. And how it's lapped up.

When was the last time you saw a security advisory that was basically "if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem"? Yeah.

No, the real problem is the mindless parroting of the security advisory (it's "Top Story" on at least one tech news site right now), because security is so much more important than anything else, and you can never question it.

Security people need to understand that they look like clowns because of it. The whole security industry needs to just admit that they have a lot of shit going on, and they should use - and encourage - some critical thinking.

Genişletmek için tıkla...

Plyra dedi:

Bu haberi yaparken haberin altına Linus Torvalds'ın konuyla alakalı yorumunu eklemek gerekir diye düşünüyorum ve Google+ hesabındaki bir gönderisinde yazdıklarını alıntılıyorum.

Genişletmek için tıkla...

Hocam Türkçe haliyle yazarsanız sevinirim. İngilizce anlamayanlar da anlar.

Birebir değil ama doğru çeviri yapmaya çalıştım. Adamın söylediği tam olmasa da anlatmaya çalıştığı bu. Acayip şekilde Türkçeye çeviremediğim deyim ve kalıplarla dolu. Yani hataları lütfen mazur görün. Bir de bir kalıp kullanmışlar, anlayan anladı, bunu tam üslubuyla çevirirsem ban yerim. Bu nedenle ilgi manyağı ifadesini kullanacağım.
1- Görünüşe göre IT (bilişim teknolojileri) güvenlik sektörü ilk defa bu kadar dibe batmış.
Eğer güvenlik sektöründe çalışıyorsanız, ve biraz iş ahlakınız olduğunu düşünüyorsanız, kartınıza şu satırı eklemeniz gerektiğin düşünüyorum: "Hayır, gerçekten; ben ilgi manyağı değilim. Yemin ederim."
Zaten tüm sektörün yozlaştığını düşünüyordum ama artık iyice saçma hale geliyor. Ne zaman güvenlik sektörü çalışanları ilgi manyaklığı problemleri olduğunu kabul edecekler?
2- Bu çöple bağlantı kurmayı reddediyorum. Ama evet, bana göre güvenlik önerisinden çok borsa manipülasyonu.
Gazetecileri suçlardım, ama yüzleşelim, herkese bulduklarına eleştirel olmamalarını öğreten güvenlik sektörü. "Çocukları düşünün."
3- Hayır, daha 24 saat bile olmadı. Üreticilere dünyadaki tüm zamanı verin tipi açıklamalardan yeterince hoşanmıyorum ve bazı insanların onlara neden hiç zaman vermediğini anlayabiliyorum.
Üreticilerle çok samimi olarak da yozlaşabilirsiniz. Çöp olan önerinin kendisi ve bunun hakkındaki ilgi manyaklığı. Ve insanların buna nasıl gereksizce inandığı.
En son ne zaman basitçe "BIOS veya CPU mikrokodunu kötü amaçlı bir versiyonuyla değiştirirseniz güvenlik probleminiz olabilir." gibi bir öneri duydunuz? Evet.
Hayır, gerçek problem güvenlik önerilerinin beyinsiz papağanlığı, en azından bir teknoloji sitesinde en büyük olay, çünkü güvenlik her şeyden önemli ve bunu sorgulayamazsınız.
Güvenlik sektörü insanları bu nedenle palyaço gibi gözüktüklerinin farkında olmalı. Tüm güvenlik sektörü sadece çok fazla saçmalık döndüğünü kabul etmeli ve biraz eleştirel düşünmeli.
İngilizceniz varsa şunu da okuyun: AMD Security Vulnerability – The Day After - Seems Financially Motivated
Kısaca bütün bu olaylar yozlaşmış güvenlik sektörü ve gördüğü her şeye inan insanların ve haber sitelerinin sonucu.