Whitepaper von der Qualität eines ICO

Schnell begannen Sicherheitsforscher auf Twitter, die Veröffentlichungen zu kommentieren. So schrieb Arrigo Trilulzi: "Dies ist ein Whitepaper, wie es von einem ICO stammen könnte. Ja, das ist als Beleidigung gemeint." Als Initial Coin Offerings (ICO) werden gemeinhin Crowdverkäufe von Kryptowährungen bezeichnet. Im Zuge des Booms gab es zahlreiche Betrugsfälle und viele ICOs, die vor allem durch Abwesenheit kryptographischer Expertise glänzten.

Stellenmarkt
  1. Web DevOps Engineer - Beschäftigte*r in der IT-Systemtechnik (d/m/w)
    Technische Universität Berlin, Berlin
  2. Senior Manager (m/w/d) - CRM & Sales Processes
    Villeroy & Boch AG Hauptverwaltung, Mettlach
Detailsuche

Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist", schreibt er bei Twitter. Bei Ars Technica kommentiert der Sicherheitsforscher Dan Guido, er habe die Exploits des Unternehmens in der vergangenen Woche geprüft, diese würden wie vorgestellt funktionieren. In jedem Fall bleibt ein schlechter Eindruck wegen des fehlenden Disclosure-Prozesses und der übertriebenen Darstellung der Lücken.

Weitere Details lassen die Veröffentlichungen nicht in einem guten Licht erscheinen. Die Domain wurde zum Beispiel mit einem anonymen Whois registriert und das auch erst vor wenigen Tagen: am 22. Februar 2018. Das lässt darauf schließen, dass das Unternehmen mit einem schnellen Marketingstunt bekanntwerden wollte. Dass es den vier Startup-Gründern aus Israel wirklich um die Sicherheit ging, ist eher unwahrscheinlich.

Denn AMD, das für angeblich schlechte Sicherheit gescholtene Unternehmen, wurde nach eigenen Angaben überhaupt nicht vorab über die Probleme informiert. Andere Quellen sprechen von einer Vorlaufzeit von nur 24 Stunden - beides wäre nach gängigen Standards nicht akzeptabel. Mindestens seit dem 22. Februar 2018 wussten die Macher der Webseite ja offenbar, dass sie etwas veröffentlichen wollen. Aus dem Hause des Prozessorherstellers heißt es trotzdem: "Wir prüfen die Veröffentlichungen". Zudem finde man es "ungewöhnlich", auf diese Art und Weise mit den Erkenntnissen konfrontiert zu werden. Das ist recht höflich ausgedrückt.

Der "Nachruf" auf AMD kommt wohl zu früh

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Ebenfalls pikant: Fast zur gleichen Zeit mit der Webseite AMDflaws.com ging eine weitere Meldung online. Die Firma Viceroy Research veröffentlichte einen "Nachruf" auf AMD wegen "fataler", also tödlicher Sicherheitsprobleme. Angesichts der aktuellen Veröffentlichungen sei der "meteoritenhafte" Anstieg der AMD-Aktie in keiner Weise gerechtfertigt. Selbst wenn man zu der Einschätzung kommt, dass hier valide Probleme vorgestellt wurden, ist diese Charakterisierung offensichtlich falsch. Keiner der Angriffe kann etwa die Barriere zwischen Userspace- und Kernelspeicher aufheben, wie es bei Meltdown und Spectre der Fall ist.

Was man zu Viceroy wissen sollte: Das Unternehmen hat nicht den besten Ruf. Denn bereits am 6. März 2018 wurde auf dem recht lieblosen gestalteten Wordpress-Blog des Unternehmens eine weitere auffällig schlechte Bewertung eines Unternehmens veröffentlicht - in diesem Fall über den Fernsehsender ProSieben. Dieser arbeite mit Bilanztricks, um die eigenen Zahlen besser dastehen zu lassen. Außerdem drohe dem Unternehmen durch den baldigen Start der Anwendung der Datenschutzgrundverordnung der Tod.

ProSieben wies die Vorwürfe zurück und mittlerweile hat die Bundesanstalt für Finanzaufsicht (Bafin) eine Warnung zu dem Vorgang veröffentlicht. Viceroy habe eine Anlageempfehlung ausgesprochen, ohne dafür nach Paragraph 86 des Wertpapierhandelsgesetzes als entsprechende Institution eingetragen zu sein. Zudem würde die Firma gegen die Impressumpflicht verstoßen.

Kritiker hatten Viceroy Research außerdem vorgeworfen, durch sogenannte Leerverkäufe von Prosieben-Aktien ('short-selling') von Kursverlusten auf Grund der Veröffentlichungen profitieren zu wollen.

Ob im aktuellen Fall von AMD ebenfalls Leerverkäufe getätigt wurden, ist bislang nicht klar. Auch eine Koordinierung zwischen den selbsterklärten Sicherheitsforschern und Viceroy Research lässt sich nicht belegen. Klar ist aber: Nicht alle Informationen von einer Webseite mit einem Logo und Informationen über angeblich kritische Sicherheitslücken sollten ungeprüft übernommen werden. Bereits kurz nach der Veröffentlichung der Details zu Meltdown und Spectre war eine Webseite mit Details zu den angeblichen Angriffen auf CPUs Skyfall und Solace - wie Spectre Titel eines James-Bond-Films - veröffentlicht. Später war bekannt geworden, dass es sich dabei um einen Scherz gehandelt hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
  1.  
  2. 1
  3. 2


gadthrawn 23. Mär 2018

auch ohne CVE ist eine Lücke eine Lücke - die übrigens AMD selbst bestätigt hat und...

gadthrawn 23. Mär 2018

Mittlerweile veröffentlicht AMD erste Patches für die Lücken, die AMD selbst übrigens...

gadthrawn 23. Mär 2018

veröffentlicht AMD Sicherheitspatches für die Lücken, die der Autor hier als Quatsch...

Tuxgamer12 21. Mär 2018

Also einfach mal schnell Artikel raushauen, der völlig ungeprüft und unkritisch...

Anonymer Nutzer 15. Mär 2018

nicht verkehrt. Die die rumtönen haben es meist eh vor und viele andere nehmen die...



Aktuell auf der Startseite von Golem.de
Apple
Macbook Pro bekommt Notch und Magsafe

Apple hat das Macbook Pro in neuem Gehäuse, mit neuem SoC, einem eigenen Magsafe-Ladeport und Mini-LED-Display mit Kerbe vorgestellt.

Apple: Macbook Pro bekommt Notch und Magsafe
Artikel
  1. Displayreinigung: Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
    Displayreinigung
    Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste

    Fast unbemerkt hat Apple den eigentlichen Star des Events von Mitte Oktober 2021 in seinen Onlineshop aufgenommen: ein Poliertuch.

  2. In-Ears: Apple stellt Airpods 3 vor
    In-Ears
    Apple stellt Airpods 3 vor

    Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

  3. 5 Euro: Apple bietet günstigeres Music-Abo an
    5 Euro
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /