Abo
  • Services:

Ryzenfall: CTS Labs rechtfertigt sich für seine Disclosure-Strategie

Das umstrittene Sicherheitsunternehmen CTS Labs findet seine Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips richtig. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure.

Artikel veröffentlicht am ,
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt.
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt. (Bild: Marc Sauter/Golem.de)

Angeblich "tödliche" Sicherheitslücken in aktuellen Ryzen- und Eypc-Chips von AMD haben in dieser Woche für Diskussionen in der Sicherheitsszene gesorgt. Die Probleme wurden von einer eher unbekannten israelischen Sicherheitsfirma ohne vorherige Warnung veröffentlicht.

Stellenmarkt
  1. Enercon GmbH, Aurich
  2. GALERIA Kaufhof GmbH, Köln

Der CTO des Unternehmens CTS Labs, Ilia Luk-Zilberman, kritisiert in einem offenen Brief, dass die meisten Hersteller ihre Nutzer nicht über ein mögliches Problem informieren, nachdem dieses gemeldet wurde. In diesem Zeitraum, der je nach Auslegung der Regeln meist zwischen 45 und 90 Tagen liegt, habe der Hersteller die gesamte Kontrolle über den Prozess.

Luk-Zilberman schlägt vor, künftig bereits an Tag 0 grundlegende Informationen und einen detaillierten Bericht mit technischen Details bereitzustellen, nachdem das Problem behoben wurde. Kritiker hatten bemängelt, dass CTS Labs AMD nur sehr wenig Zeit gegeben hatte, um auf das Problem zu reagieren. Grundsätzlich kann auch die Veröffentlichung weniger Informationen dazu führen, dass Angreifer Sicherheitslücken per Reverse-Engineering finden und ausnutzen, bevor sie geschlossen werden.

Kritiker vermuten gezielte Kursmanipulation

Außerdem hatte das Unternehmen zugegeben, Berichte über Sicherheitsprobleme gegen Geld auch Hedgefonds oder anderen Händlern bereitzustellen. Wegen der unzureichenden Details und der Verwendung bestimmter Wörter in dem Whitepaper vermuten viele Kritiker, dass mit dem einseitigen Disclosure-Prozess der Aktienkurs von AMD manipuliert werden sollte, um schnelles Geld zu verdienen.

Über die gemeldeten Probleme wird nach wie vor diskutiert. Für eine Ausnutzung gibt es recht hohe Hürden, so muss einmal das Bios/UEFI neu geflasht werden, für die anderen Exploits werden bereits Administratorrechte benötigt. Einige Sicherheitsforscher wie Dan Guido gehen allerdings davon aus, dass eine kurzzeitige Kompromittierung auf diesem Wege dauerhaft etabliert werden könnte ('Persistenz'). Bislang konnten nur wenige Forscher die Exploits selbst in Augenschein nehmen.

Tatsächlich sind die vorgestellten Lücken wohl durchaus valide Angriffe auf den Plattform Security Processor von AMD. Da der PSP auf einen ARM-Prozessor (Cortex-A5) zurückgreift, könnten auch andere Plattformen betroffen sein. Kritisiert wurden von den meisten auch nicht die Sicherheitslücken an sich, sondern die irreführende und teils gezielt überzogene Darstellung der Folgen.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)
  2. (-60%) 39,99€
  3. 14,99€
  4. 4,99€

1st1 16. Mär 2018

https://www.heise.de/security/meldung/Hintertueren-in-USB-Controllern-auch-in-Intel...

David64Bit 15. Mär 2018

Vor allem ist das dann kein AMD spezifisches Problem. Ein gehacktes Bios kann ich genau...

gutenmorgen123 15. Mär 2018

Das geht viel einfacher und sicherer, nennt sich "short gehen" https://www.gevestor.de...

pica 15. Mär 2018

oder müssen die Mitarbeiter immer noch in einem virtuellen, per GreenScreen projiziertem...

David64Bit 15. Mär 2018

Da denke ich aber, dass sich das relativ einfach mit Codeabgleich lösen lässt...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Echo Link: Amazon hält sich für Sonos
Echo Link
Amazon hält sich für Sonos

Sonos ist offenbar für Amazon ein Vorbild. Anders ist die Existenz des Echo Link und des Echo Link Amp nicht zu erklären. Aber ohne ein Ökosystem wie das von Sonos sind die Produkte völlig unsinnig.
Ein IMHO von Ingo Pakalski

  1. Smarte Echo-Lautsprecher Amazon macht Alexa schlauer
  2. Amazon Alexa Echo-Lautsprecher können bald über Skype telefonieren
  3. Zusatzbox Amazon bringt Alexa mit Echo Auto in jedes Auto

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

    •  /