• IT-Karriere:
  • Services:

Whitepaper von der Qualität eines ICO

Schnell begannen Sicherheitsforscher auf Twitter, die Veröffentlichungen zu kommentieren. So schrieb Arrigo Trilulzi: "Dies ist ein Whitepaper, wie es von einem ICO stammen könnte. Ja, das ist als Beleidigung gemeint." Als Initial Coin Offerings (ICO) werden gemeinhin Crowdverkäufe von Kryptowährungen bezeichnet. Im Zuge des Booms gab es zahlreiche Betrugsfälle und viele ICOs, die vor allem durch Abwesenheit kryptographischer Expertise glänzten.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. HiScout GmbH, Berlin

Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist", schreibt er bei Twitter. Bei Ars Technica kommentiert der Sicherheitsforscher Dan Guido, er habe die Exploits des Unternehmens in der vergangenen Woche geprüft, diese würden wie vorgestellt funktionieren. In jedem Fall bleibt ein schlechter Eindruck wegen des fehlenden Disclosure-Prozesses und der übertriebenen Darstellung der Lücken.

Weitere Details lassen die Veröffentlichungen nicht in einem guten Licht erscheinen. Die Domain wurde zum Beispiel mit einem anonymen Whois registriert und das auch erst vor wenigen Tagen: am 22. Februar 2018. Das lässt darauf schließen, dass das Unternehmen mit einem schnellen Marketingstunt bekanntwerden wollte. Dass es den vier Startup-Gründern aus Israel wirklich um die Sicherheit ging, ist eher unwahrscheinlich.

Denn AMD, das für angeblich schlechte Sicherheit gescholtene Unternehmen, wurde nach eigenen Angaben überhaupt nicht vorab über die Probleme informiert. Andere Quellen sprechen von einer Vorlaufzeit von nur 24 Stunden - beides wäre nach gängigen Standards nicht akzeptabel. Mindestens seit dem 22. Februar 2018 wussten die Macher der Webseite ja offenbar, dass sie etwas veröffentlichen wollen. Aus dem Hause des Prozessorherstellers heißt es trotzdem: "Wir prüfen die Veröffentlichungen". Zudem finde man es "ungewöhnlich", auf diese Art und Weise mit den Erkenntnissen konfrontiert zu werden. Das ist recht höflich ausgedrückt.

Der "Nachruf" auf AMD kommt wohl zu früh

Ebenfalls pikant: Fast zur gleichen Zeit mit der Webseite AMDflaws.com ging eine weitere Meldung online. Die Firma Viceroy Research veröffentlichte einen "Nachruf" auf AMD wegen "fataler", also tödlicher Sicherheitsprobleme. Angesichts der aktuellen Veröffentlichungen sei der "meteoritenhafte" Anstieg der AMD-Aktie in keiner Weise gerechtfertigt. Selbst wenn man zu der Einschätzung kommt, dass hier valide Probleme vorgestellt wurden, ist diese Charakterisierung offensichtlich falsch. Keiner der Angriffe kann etwa die Barriere zwischen Userspace- und Kernelspeicher aufheben, wie es bei Meltdown und Spectre der Fall ist.

Was man zu Viceroy wissen sollte: Das Unternehmen hat nicht den besten Ruf. Denn bereits am 6. März 2018 wurde auf dem recht lieblosen gestalteten Wordpress-Blog des Unternehmens eine weitere auffällig schlechte Bewertung eines Unternehmens veröffentlicht - in diesem Fall über den Fernsehsender ProSieben. Dieser arbeite mit Bilanztricks, um die eigenen Zahlen besser dastehen zu lassen. Außerdem drohe dem Unternehmen durch den baldigen Start der Anwendung der Datenschutzgrundverordnung der Tod.

ProSieben wies die Vorwürfe zurück und mittlerweile hat die Bundesanstalt für Finanzaufsicht (Bafin) eine Warnung zu dem Vorgang veröffentlicht. Viceroy habe eine Anlageempfehlung ausgesprochen, ohne dafür nach Paragraph 86 des Wertpapierhandelsgesetzes als entsprechende Institution eingetragen zu sein. Zudem würde die Firma gegen die Impressumpflicht verstoßen.

Kritiker hatten Viceroy Research außerdem vorgeworfen, durch sogenannte Leerverkäufe von Prosieben-Aktien ('short-selling') von Kursverlusten auf Grund der Veröffentlichungen profitieren zu wollen.

Ob im aktuellen Fall von AMD ebenfalls Leerverkäufe getätigt wurden, ist bislang nicht klar. Auch eine Koordinierung zwischen den selbsterklärten Sicherheitsforschern und Viceroy Research lässt sich nicht belegen. Klar ist aber: Nicht alle Informationen von einer Webseite mit einem Logo und Informationen über angeblich kritische Sicherheitslücken sollten ungeprüft übernommen werden. Bereits kurz nach der Veröffentlichung der Details zu Meltdown und Spectre war eine Webseite mit Details zu den angeblichen Angriffen auf CPUs Skyfall und Solace - wie Spectre Titel eines James-Bond-Films - veröffentlicht. Später war bekannt geworden, dass es sich dabei um einen Scherz gehandelt hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 56,53€ (Release: 17. Juli)
  2. (u. a. Deals des Tages: HP 24oh, 24 Zoll LED Full-HD für 95,84€, Acer P6200 Beamer DLP XGA für...
  3. 699€
  4. (u. a. Samsung TU7079 55 Zoll (Modelljahr 2020) für 459€, Samsung LS03R The Frame QLED 49 Zoll...

gadthrawn 23. Mär 2018

auch ohne CVE ist eine Lücke eine Lücke - die übrigens AMD selbst bestätigt hat und...

gadthrawn 23. Mär 2018

Mittlerweile veröffentlicht AMD erste Patches für die Lücken, die AMD selbst übrigens...

gadthrawn 23. Mär 2018

veröffentlicht AMD Sicherheitspatches für die Lücken, die der Autor hier als Quatsch...

Tuxgamer12 21. Mär 2018

Also einfach mal schnell Artikel raushauen, der völlig ungeprüft und unkritisch...

Anonymer Nutzer 15. Mär 2018

nicht verkehrt. Die die rumtönen haben es meist eh vor und viele andere nehmen die...


Folgen Sie uns
       


Drohnenflug am Strand mit Google Earth Studio - Tutorial

Wir zeigen im kurzen Tutorial, wie man in Earth Studio eine einfache Animation erstellt.

Drohnenflug am Strand mit Google Earth Studio - Tutorial Video aufrufen
Alloy Elite 2 im Test: Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung
Alloy Elite 2 im Test
Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung

HyperX verbaut in seiner neuen Gaming-Tastatur erstmals eigene Schalter und lässt der RGB-Beleuchtung sehr viel Raum. Die Verarbeitungsqualität ist hoch, der Preis angemessen.
Ein Test von Tobias Költzsch

  1. Ergonomische Tastatur im Test Logitech erfüllt auch kleine Wünsche
  2. Keyboardio Atreus Programmierbare ergonomische Mini-Tastatur für unterwegs
  3. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Energiewende: Schafft endlich das Brennstoffzellenauto ab!
    Energiewende
    Schafft endlich das Brennstoffzellenauto ab!

    Sie sind teurer und leistungsschwächer als E-Autos und brauchen dreimal so viel Strom. Der Akku hat gewonnen. Wasserstoff sollte für Chemie benutzt werden.
    Ein IMHO von Frank Wunderlich-Pfeiffer

    1. Hyundai Nexo Wasserdampf im Rückspiegel
    2. Brennstoffzellenauto Bayern will 100 Wasserstofftankstellen bauen
    3. Elektromobilität Daimler und Volvo wollen Brennstoffzellen für Lkw entwickeln

      •  /