Abo
  • Services:

Whitepaper von der Qualität eines ICO

Schnell begannen Sicherheitsforscher auf Twitter, die Veröffentlichungen zu kommentieren. So schrieb Arrigo Trilulzi: "Dies ist ein Whitepaper, wie es von einem ICO stammen könnte. Ja, das ist als Beleidigung gemeint." Als Initial Coin Offerings (ICO) werden gemeinhin Crowdverkäufe von Kryptowährungen bezeichnet. Im Zuge des Booms gab es zahlreiche Betrugsfälle und viele ICOs, die vor allem durch Abwesenheit kryptographischer Expertise glänzten.

Stellenmarkt
  1. Entgelt und Rente AG, Langenfeld
  2. Techniker Krankenkasse, Hamburg

Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist", schreibt er bei Twitter. Bei Ars Technica kommentiert der Sicherheitsforscher Dan Guido, er habe die Exploits des Unternehmens in der vergangenen Woche geprüft, diese würden wie vorgestellt funktionieren. In jedem Fall bleibt ein schlechter Eindruck wegen des fehlenden Disclosure-Prozesses und der übertriebenen Darstellung der Lücken.

Weitere Details lassen die Veröffentlichungen nicht in einem guten Licht erscheinen. Die Domain wurde zum Beispiel mit einem anonymen Whois registriert und das auch erst vor wenigen Tagen: am 22. Februar 2018. Das lässt darauf schließen, dass das Unternehmen mit einem schnellen Marketingstunt bekanntwerden wollte. Dass es den vier Startup-Gründern aus Israel wirklich um die Sicherheit ging, ist eher unwahrscheinlich.

Denn AMD, das für angeblich schlechte Sicherheit gescholtene Unternehmen, wurde nach eigenen Angaben überhaupt nicht vorab über die Probleme informiert. Andere Quellen sprechen von einer Vorlaufzeit von nur 24 Stunden - beides wäre nach gängigen Standards nicht akzeptabel. Mindestens seit dem 22. Februar 2018 wussten die Macher der Webseite ja offenbar, dass sie etwas veröffentlichen wollen. Aus dem Hause des Prozessorherstellers heißt es trotzdem: "Wir prüfen die Veröffentlichungen". Zudem finde man es "ungewöhnlich", auf diese Art und Weise mit den Erkenntnissen konfrontiert zu werden. Das ist recht höflich ausgedrückt.

Der "Nachruf" auf AMD kommt wohl zu früh

Ebenfalls pikant: Fast zur gleichen Zeit mit der Webseite AMDflaws.com ging eine weitere Meldung online. Die Firma Viceroy Research veröffentlichte einen "Nachruf" auf AMD wegen "fataler", also tödlicher Sicherheitsprobleme. Angesichts der aktuellen Veröffentlichungen sei der "meteoritenhafte" Anstieg der AMD-Aktie in keiner Weise gerechtfertigt. Selbst wenn man zu der Einschätzung kommt, dass hier valide Probleme vorgestellt wurden, ist diese Charakterisierung offensichtlich falsch. Keiner der Angriffe kann etwa die Barriere zwischen Userspace- und Kernelspeicher aufheben, wie es bei Meltdown und Spectre der Fall ist.

Was man zu Viceroy wissen sollte: Das Unternehmen hat nicht den besten Ruf. Denn bereits am 6. März 2018 wurde auf dem recht lieblosen gestalteten Wordpress-Blog des Unternehmens eine weitere auffällig schlechte Bewertung eines Unternehmens veröffentlicht - in diesem Fall über den Fernsehsender ProSieben. Dieser arbeite mit Bilanztricks, um die eigenen Zahlen besser dastehen zu lassen. Außerdem drohe dem Unternehmen durch den baldigen Start der Anwendung der Datenschutzgrundverordnung der Tod.

ProSieben wies die Vorwürfe zurück und mittlerweile hat die Bundesanstalt für Finanzaufsicht (Bafin) eine Warnung zu dem Vorgang veröffentlicht. Viceroy habe eine Anlageempfehlung ausgesprochen, ohne dafür nach Paragraph 86 des Wertpapierhandelsgesetzes als entsprechende Institution eingetragen zu sein. Zudem würde die Firma gegen die Impressumpflicht verstoßen.

Kritiker hatten Viceroy Research außerdem vorgeworfen, durch sogenannte Leerverkäufe von Prosieben-Aktien ('short-selling') von Kursverlusten auf Grund der Veröffentlichungen profitieren zu wollen.

Ob im aktuellen Fall von AMD ebenfalls Leerverkäufe getätigt wurden, ist bislang nicht klar. Auch eine Koordinierung zwischen den selbsterklärten Sicherheitsforschern und Viceroy Research lässt sich nicht belegen. Klar ist aber: Nicht alle Informationen von einer Webseite mit einem Logo und Informationen über angeblich kritische Sicherheitslücken sollten ungeprüft übernommen werden. Bereits kurz nach der Veröffentlichung der Details zu Meltdown und Spectre war eine Webseite mit Details zu den angeblichen Angriffen auf CPUs Skyfall und Solace - wie Spectre Titel eines James-Bond-Films - veröffentlicht. Später war bekannt geworden, dass es sich dabei um einen Scherz gehandelt hatte.

 Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 3,86€
  2. 32,49€
  3. (-8%) 54,99€

gadthrawn 23. Mär 2018

auch ohne CVE ist eine Lücke eine Lücke - die übrigens AMD selbst bestätigt hat und...

gadthrawn 23. Mär 2018

Mittlerweile veröffentlicht AMD erste Patches für die Lücken, die AMD selbst übrigens...

gadthrawn 23. Mär 2018

veröffentlicht AMD Sicherheitspatches für die Lücken, die der Autor hier als Quatsch...

Tuxgamer12 21. Mär 2018

Also einfach mal schnell Artikel raushauen, der völlig ungeprüft und unkritisch...

DY 15. Mär 2018

nicht verkehrt. Die die rumtönen haben es meist eh vor und viele andere nehmen die...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
Pauschallizenzen
CDU will ihre eigenen Uploadfilter verhindern

Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

    •  /