Abo
  • Services:

Whitepaper von der Qualität eines ICO

Schnell begannen Sicherheitsforscher auf Twitter, die Veröffentlichungen zu kommentieren. So schrieb Arrigo Trilulzi: "Dies ist ein Whitepaper, wie es von einem ICO stammen könnte. Ja, das ist als Beleidigung gemeint." Als Initial Coin Offerings (ICO) werden gemeinhin Crowdverkäufe von Kryptowährungen bezeichnet. Im Zuge des Booms gab es zahlreiche Betrugsfälle und viele ICOs, die vor allem durch Abwesenheit kryptographischer Expertise glänzten.

Stellenmarkt
  1. Pfennigparade SIGMETA GmbH, Stuttgart
  2. State Street Bank International GmbH, München

Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist", schreibt er bei Twitter. Bei Ars Technica kommentiert der Sicherheitsforscher Dan Guido, er habe die Exploits des Unternehmens in der vergangenen Woche geprüft, diese würden wie vorgestellt funktionieren. In jedem Fall bleibt ein schlechter Eindruck wegen des fehlenden Disclosure-Prozesses und der übertriebenen Darstellung der Lücken.

Weitere Details lassen die Veröffentlichungen nicht in einem guten Licht erscheinen. Die Domain wurde zum Beispiel mit einem anonymen Whois registriert und das auch erst vor wenigen Tagen: am 22. Februar 2018. Das lässt darauf schließen, dass das Unternehmen mit einem schnellen Marketingstunt bekanntwerden wollte. Dass es den vier Startup-Gründern aus Israel wirklich um die Sicherheit ging, ist eher unwahrscheinlich.

Denn AMD, das für angeblich schlechte Sicherheit gescholtene Unternehmen, wurde nach eigenen Angaben überhaupt nicht vorab über die Probleme informiert. Andere Quellen sprechen von einer Vorlaufzeit von nur 24 Stunden - beides wäre nach gängigen Standards nicht akzeptabel. Mindestens seit dem 22. Februar 2018 wussten die Macher der Webseite ja offenbar, dass sie etwas veröffentlichen wollen. Aus dem Hause des Prozessorherstellers heißt es trotzdem: "Wir prüfen die Veröffentlichungen". Zudem finde man es "ungewöhnlich", auf diese Art und Weise mit den Erkenntnissen konfrontiert zu werden. Das ist recht höflich ausgedrückt.

Der "Nachruf" auf AMD kommt wohl zu früh

Ebenfalls pikant: Fast zur gleichen Zeit mit der Webseite AMDflaws.com ging eine weitere Meldung online. Die Firma Viceroy Research veröffentlichte einen "Nachruf" auf AMD wegen "fataler", also tödlicher Sicherheitsprobleme. Angesichts der aktuellen Veröffentlichungen sei der "meteoritenhafte" Anstieg der AMD-Aktie in keiner Weise gerechtfertigt. Selbst wenn man zu der Einschätzung kommt, dass hier valide Probleme vorgestellt wurden, ist diese Charakterisierung offensichtlich falsch. Keiner der Angriffe kann etwa die Barriere zwischen Userspace- und Kernelspeicher aufheben, wie es bei Meltdown und Spectre der Fall ist.

Was man zu Viceroy wissen sollte: Das Unternehmen hat nicht den besten Ruf. Denn bereits am 6. März 2018 wurde auf dem recht lieblosen gestalteten Wordpress-Blog des Unternehmens eine weitere auffällig schlechte Bewertung eines Unternehmens veröffentlicht - in diesem Fall über den Fernsehsender ProSieben. Dieser arbeite mit Bilanztricks, um die eigenen Zahlen besser dastehen zu lassen. Außerdem drohe dem Unternehmen durch den baldigen Start der Anwendung der Datenschutzgrundverordnung der Tod.

ProSieben wies die Vorwürfe zurück und mittlerweile hat die Bundesanstalt für Finanzaufsicht (Bafin) eine Warnung zu dem Vorgang veröffentlicht. Viceroy habe eine Anlageempfehlung ausgesprochen, ohne dafür nach Paragraph 86 des Wertpapierhandelsgesetzes als entsprechende Institution eingetragen zu sein. Zudem würde die Firma gegen die Impressumpflicht verstoßen.

Kritiker hatten Viceroy Research außerdem vorgeworfen, durch sogenannte Leerverkäufe von Prosieben-Aktien ('short-selling') von Kursverlusten auf Grund der Veröffentlichungen profitieren zu wollen.

Ob im aktuellen Fall von AMD ebenfalls Leerverkäufe getätigt wurden, ist bislang nicht klar. Auch eine Koordinierung zwischen den selbsterklärten Sicherheitsforschern und Viceroy Research lässt sich nicht belegen. Klar ist aber: Nicht alle Informationen von einer Webseite mit einem Logo und Informationen über angeblich kritische Sicherheitslücken sollten ungeprüft übernommen werden. Bereits kurz nach der Veröffentlichung der Details zu Meltdown und Spectre war eine Webseite mit Details zu den angeblichen Angriffen auf CPUs Skyfall und Solace - wie Spectre Titel eines James-Bond-Films - veröffentlicht. Später war bekannt geworden, dass es sich dabei um einen Scherz gehandelt hatte.

 Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 3,40€
  2. 4,00€
  3. 4,99€

gadthrawn 23. Mär 2018

auch ohne CVE ist eine Lücke eine Lücke - die übrigens AMD selbst bestätigt hat und...

gadthrawn 23. Mär 2018

Mittlerweile veröffentlicht AMD erste Patches für die Lücken, die AMD selbst übrigens...

gadthrawn 23. Mär 2018

veröffentlicht AMD Sicherheitspatches für die Lücken, die der Autor hier als Quatsch...

Tuxgamer12 21. Mär 2018

Also einfach mal schnell Artikel raushauen, der völlig ungeprüft und unkritisch...

DY 15. Mär 2018

nicht verkehrt. Die die rumtönen haben es meist eh vor und viele andere nehmen die...


Folgen Sie uns
       


God of War - Interview mit Cory Barlog (Gamescom 2018)

Cory Barlog spricht auf der Gamescom 2018 darüber, wie viel von seinem Privatleben in das Actionspiel geflossen ist.

God of War - Interview mit Cory Barlog (Gamescom 2018) Video aufrufen
Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  2. TU Graz Der Roboter als E-Tankwart
  3. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen

IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

    •  /