Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
Nach der großen Aufregung um die Sicherheitslücken Meltdown und Spectre folgt der nächste große Coup: Die aktuellen Ryzen- und Epyc-CPUs von AMD sind furchtbar unsicher - das jedenfalls will eine bislang vollkommen unbekannte Sicherheitsfirma aus Israel der Welt weismachen. Dabei trägt sie aber viel zu dick auf. Hinzu tritt eine Analystenfirma, die schon in der Vergangenheit mit zweifelhaften Veröffentlichungen auf sich aufmerksam gemacht hat und die deswegen bereits von der Deutschen Finanzaufsicht ermahnt wurde.
Auf der Webseite AMDflaws.com listet das Unternehmen CTS-Labs 13 Schwachstellen mit 4 verschiedenen Namen auf. Alle mit eigenem Logo und für mediale Wahrnehmung hervorragend aufbereitet. Dieser Eindruck hält aber nur, bis man sich das Security-Whitepaper auf der Webseite herunterlädt und anschaut. Das Papier enthält tatsächlich sehr wenige technische Details und ist in keiner Weise mit den Untersuchungen zu Meltdown oder Spectre vergleichbar.
Die Webseite und auch der restliche Umfang der Veröffentlichungen lassen schnell Zweifel aufkommen. So wird in der gesamten Dokumentation keine einzige von MITRE vergebene CVE-Nummer erwähnt, außerdem hat offensichtlich kein Disclosure-Prozess stattgefunden - die Behauptungen, dass keine Patches oder Mitigationen für die Probleme bereitstehen, geht also voll auf das Konto der Entdecker. Hinter der Entdeckerfirma verbirgt sich neben einer Webseite nicht viel - auch bei LinkedIn finden sich nur drei Mitarbeiter. Die offensichtlichen Ungereimtheiten haben zahlreiche Medien allerdings nicht davon abgehalten, über die Webseite und das Unternehmen zu berichten.
Probleme sind nicht neu - oder werden übertrieben
Viele der dargestellten Probleme sind nicht neu - oder weniger kritisch, als beschrieben. Die Ryzenfall-Sicherheitslücke soll es einem Angreifer etwa ermöglichen, "die komplette Kontrolle" über AMDs Platform Security Prozessor (PSP) - vergleichbar mit Intels umstrittener Management Engine - zu erlangen. Außerdem sei es möglich, die Schutzmechanismen von Windows' Credential Guard zu umgehen.
Tatsächlich müsste ein Angreifer aber bereits über Root-Rechte verfügen, um den Angriff durchführen zu können. Ein vergleichbarer Angriff wurde außerdem bereits Anfang Januar dieses Jahres vorgestellt - schon damals rieten Experten, nicht in Panik zu verfallen(öffnet im neuen Fenster) . Vergleichbare Angriffe ohne Notwendigkeit für Root-Zugriff gibt es bereits gegen Intels ME.
Mit dem Codenamen Chimera werden in dem Whitepaper angebliche Backdoors in dem von AMD verwendeten Promontory-Chipsatz (also X370, B450 und A320 ) beschrieben. Die Kritik zielt vor allem auf den Auftragshersteller von AMD, denn die Promontory wurden von Asmedia entwickelt. Die verwendeten Chips haben angeblich keinen Schutz gegen Exploits. Außerdem kritisieren die selbsternannten Forscher, dass der Chipsatz mit einem vom Hersteller signierten Treiber angesprochen werden kann. Beweise für konkrete Angriffe (Proof of Concept, PoC) bleiben allerdings aus.
Als Beleg für die Kritikwürdigkeit von Asmedia wird ein Vergleich mit der US-Behörde FTC erwähnt, dem zufolge das Unternehmen 20 Jahre lang Sicherheitsaudits durchführen muss. Unerwähnt bleibt, dass es sich dabei um das Routergeschäft der Mutterfirma Asus und die Firmware für die Geräte handelt - und nicht um die Fertigung von Chips oder Prozessoren von Asmedia.
Whitepaper von der Qualität eines ICO
Schnell begannen Sicherheitsforscher auf Twitter, die Veröffentlichungen zu kommentieren. So schrieb Arrigo Trilulzi(öffnet im neuen Fenster) : "Dies ist ein Whitepaper, wie es von einem ICO stammen könnte. Ja, das ist als Beleidigung gemeint." Als Initial Coin Offerings (ICO) werden gemeinhin Crowdverkäufe von Kryptowährungen bezeichnet. Im Zuge des Booms gab es zahlreiche Betrugsfälle und viele ICOs, die vor allem durch Abwesenheit kryptographischer Expertise glänzten.
Auch der bei Project Zero angestellte Sicherheitsforscher Tavis Ormandy kritisierte die Veröffentlichung. "Nichts in dem Papier ist wichtig, bevor ein Angreifer nicht so hart gewonnen hat, dass das Spiel eh aus ist" , schreibt er bei Twitter(öffnet im neuen Fenster) . Bei Ars Technica(öffnet im neuen Fenster) kommentiert der Sicherheitsforscher Dan Guido, er habe die Exploits des Unternehmens in der vergangenen Woche geprüft, diese würden wie vorgestellt funktionieren. In jedem Fall bleibt ein schlechter Eindruck wegen des fehlenden Disclosure-Prozesses und der übertriebenen Darstellung der Lücken.
Weitere Details lassen die Veröffentlichungen nicht in einem guten Licht erscheinen. Die Domain wurde zum Beispiel mit einem anonymen Whois registriert und das auch erst vor wenigen Tagen: am 22. Februar 2018. Das lässt darauf schließen, dass das Unternehmen mit einem schnellen Marketingstunt bekanntwerden wollte. Dass es den vier Startup-Gründern aus Israel wirklich um die Sicherheit ging, ist eher unwahrscheinlich.
Denn AMD, das für angeblich schlechte Sicherheit gescholtene Unternehmen, wurde nach eigenen Angaben überhaupt nicht vorab über die Probleme informiert. Andere Quellen sprechen von einer Vorlaufzeit von nur 24 Stunden - beides wäre nach gängigen Standards nicht akzeptabel. Mindestens seit dem 22. Februar 2018 wussten die Macher der Webseite ja offenbar, dass sie etwas veröffentlichen wollen. Aus dem Hause des Prozessorherstellers heißt es(öffnet im neuen Fenster) trotzdem: "Wir prüfen die Veröffentlichungen" . Zudem finde man es "ungewöhnlich" , auf diese Art und Weise mit den Erkenntnissen konfrontiert zu werden. Das ist recht höflich ausgedrückt.
Der "Nachruf" auf AMD kommt wohl zu früh
Ebenfalls pikant: Fast zur gleichen Zeit mit der Webseite AMDflaws.com ging eine weitere Meldung online. Die Firma Viceroy Research veröffentlichte(öffnet im neuen Fenster) einen "Nachruf" auf AMD wegen "fataler" , also tödlicher Sicherheitsprobleme. Angesichts der aktuellen Veröffentlichungen sei der "meteoritenhafte" Anstieg der AMD-Aktie in keiner Weise gerechtfertigt. Selbst wenn man zu der Einschätzung kommt, dass hier valide Probleme vorgestellt wurden, ist diese Charakterisierung offensichtlich falsch. Keiner der Angriffe kann etwa die Barriere zwischen Userspace- und Kernelspeicher aufheben, wie es bei Meltdown und Spectre der Fall ist.
Was man zu Viceroy wissen sollte: Das Unternehmen hat nicht den besten Ruf. Denn bereits am 6. März 2018 wurde auf dem recht lieblosen gestalteten Wordpress-Blog des Unternehmens eine weitere auffällig schlechte Bewertung eines Unternehmens veröffentlicht - in diesem Fall über den Fernsehsender ProSieben. Dieser arbeite mit Bilanztricks, um die eigenen Zahlen besser dastehen zu lassen. Außerdem drohe dem Unternehmen durch den baldigen Start der Anwendung der Datenschutzgrundverordnung der Tod.
ProSieben wies die Vorwürfe zurück und mittlerweile hat die Bundesanstalt für Finanzaufsicht(öffnet im neuen Fenster) (Bafin) eine Warnung zu dem Vorgang veröffentlicht. Viceroy habe eine Anlageempfehlung ausgesprochen, ohne dafür nach Paragraph 86 des Wertpapierhandelsgesetzes als entsprechende Institution eingetragen zu sein. Zudem würde die Firma gegen die Impressumpflicht verstoßen.
Kritiker hatten Viceroy Research außerdem vorgeworfen, durch sogenannte Leerverkäufe(öffnet im neuen Fenster) von Prosieben-Aktien ('short-selling') von Kursverlusten auf Grund der Veröffentlichungen profitieren zu wollen.
Ob im aktuellen Fall von AMD ebenfalls Leerverkäufe getätigt wurden, ist bislang nicht klar. Auch eine Koordinierung zwischen den selbsterklärten Sicherheitsforschern und Viceroy Research lässt sich nicht belegen. Klar ist aber: Nicht alle Informationen von einer Webseite mit einem Logo und Informationen über angeblich kritische Sicherheitslücken sollten ungeprüft übernommen werden. Bereits kurz nach der Veröffentlichung der Details zu Meltdown und Spectre war eine Webseite mit Details zu den angeblichen Angriffen auf CPUs Skyfall und Solace - wie Spectre Titel eines James-Bond-Films - veröffentlicht. Später war bekannt geworden, dass es sich dabei um einen Scherz gehandelt hatte.