News Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

[Taxxor]

Also angeblich hat AMD seien Aussagen bezüglich Spectre 2 aktualisiert.

Prozessoren doch von Spectre 2 betroffen
Heise erfindet das doch nicht

Wenn du den ganzen Artikel liest, dann wurde da gar nichts aktualisiert. Vorher hieß es "Near zero risk" und im Artikel heißt es, dass es sehr schwer wäre eine solche Lücke auszunutzen, was im Grunde das gleiche ist.
Und da es vorher schon "near zero risk" hieß, kann man auch nicht in die Überschrift packen, dass sie nun doch betroffen seien, weil man ja vorher schon klar kommuniziert hat, dass man betroffen ist, nur eben so gut wie nicht angreifbar.
Das einzige was "aktualisiert" wurde, ist eben die Auslieferung von optionalen Updates um daraus eben ein zero risk zu machen.

@Alle alle anderen die hier so sehr auf dem Near Zero Risk herumreiten:

Ihr wisst schon, dass es keine absolute Sicherheit gibt. Jeder Hersteller, der behauptet hätte, dass es absolut kein Risiko geben würde, wäre ein Lügner gewesen.

Ryzen ist architekturbedingt zu 100% sicher gegen Meltdown, da hast du z.B. eine absolute Sicherheit.
Man kann nicht verallgemeinern, dass man komplett sicher gegen jede Art von Angriff sei, weil man ja nicht weiß was in Zukunft noch kommt, aber man kann es für explizite Mechanismen ausschließen bei denen man weiß wie sie arbeiten.
Man weiß wie Spectre V2 arbeitet und kann dementsprechend Eingriffe verhindern. Ob dann später ein Spectre V3 kommt, der wieder gefährlich werden könnte, interessiert dabei nicht, der Punkt ist, dass man gegen V2 100% sicher ist.

Man kann ein Null-Risiko nicht beweisen

Dieser Gott Vergleich hinkt stärker als jeder Auto Vergleich den ich hier bisher gelesen habe...
Eine "Nichtexistenz" beweisen funktioniert nicht, das stimmt.
Eine "Nichtfunktion" beweisen hingegen sehr gut:

Eine Haustür ohne Schlüsselloch, dafür mit Keypad und elektrischem Zylinder ist auch nicht 100% sicher gegen Einbrüche, aber sie ist zu 100% sicher gegen Dietriche.
Und das kann man auch beweisen, weil man weiß, wie ein Dietrich(Meltdown) arbeitet und dass er ohne Schlüsselloch(Bestimmte Architektur Eigenheit) nicht funktioniert.
Genauso kann man z.B. ein Null-Risiko eines DDoS-Angriffs von außerhalb beweisen, indem man zeigt, dass sein PC gar keine Verbindung zum Internet/Intranet hat.

Eine Stahlplatte der Härte 8 hat ein Null-Risiko von einem Messer der Härte 4 verkratzt zu werden, auch das wäre auf Meltdown übertragen eine architekturbedingte 100%ige Sicherheit.
Man könnte jetzt mit den 99,99999999999999....% kommen für den Fall, dass morgen von Intel engagierte Aliens auf magische Weise die Architektur aller Ryzen CPUs verändern sodass sie anfällig für Meltdown würden, aber das ist nicht die Art von "near zero risk" von der AMD spricht, weshalb es bei zero risk bleibt.

Near-Zero bedeutet in Wahrheit also gleich Zero. AMD hat damit also behauptet, dass es kein realistisches Risiko bezüglich aller drei Lücken für ihre Prozessoren geben würde

Ich weiß nicht wie deine Argumentation diesen Schluss hergibt. Nach der würde es gar kein zero geben und zero bedeutet in Wahrheit immer near-zero, weil eben nichts absolut sicher ist.
Die Aussage near zero bedeutet also near zero und nichts anderes. AMD hat behauptet dass es absolut kein Risiko(nicht mal ein unrealistisches) bezüglich Meltdown gibt und das ist auch so korrekt. Bleibt ein minimales Restrisiko bezüglich Spectre, was ebenso kommuniziert wurde.

Hätte man ausdrücken wollen, dass man sicher vor allen drei Lücken ist, dann hätte man ja wohl kaum die Unterscheidung zwischen Meltdown (not exploitable) und Spectre (near zero risk of exploit) gemacht.

Liegt vielleicht daran, dass ich mehr als nur Überschriften lese, bevor ich mir ein Urteil bilde.

Aber ich weiß schon. Heise ist Kacke, weil es sich auf reine Fakten beschränkt und keine AMD Bauchpinselei betreibt.

Anscheinend nicht, denn hättest du mehr als die Überschrift gelesen wüsstest du dass sie dem Artikel widerspricht, was auch oft genug in den Kommentaren zu dieser News angesprochen wird.

Ergänzung (15. März 2018)

Hier gibt es auch eine gute Zusammenfassung (falls nicht schon gepostet): https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond

Wie dort geschrieben steht, sind das Stufe 2 Sicherheitslücken, die einen Adminzugriff erfordern. Das muss der Angreifer erst mal haben. Weiters kompromitierung des Bootloaders vom ARM Security Prozessor oder BIOS Reflash durch den Angreifer...

Also wenn es schon so weit gekommen ist, dass sich eine fremde Person Adminzugriff auf dem eigenen System verschafft hat, dann sind irgendwelche abstrakten Sicherheitslücken in der CPU doch wohl das geringste Problem des Nutzers.

 

[aldaric]

Also wenn es schon so weit gekommen ist, dass sich eine fremde Person Adminzugriff auf dem eigenen System verschafft hat, dann sind irgendwelche abstrakten Sicherheitslücken in der CPU doch wohl das geringste Problem des Nutzers.

So bezeichnen das auch andere Experten. Wenn es wer schafft Admin-Zugriff zu haben, hat man ganz andere Probleme als diese "Lücken".

 

[Tapion3388]

Ich bin mir inzwischen, nachdem ich einige Quellen gelesen habe, recht sicher dass es sich bei dieser Veröffentlichung um eine Börsenmanipulation handelt.

1. AMD keine Chance gegeben zu reagieren, indem man erst 24 Stunden vorher informiert. Die Internetseite wurde schon deutlich früher erstellt bzw. die URL registriert - warum hat man nicht zu dieser Zeit AMD informiert wenn man zu dem Zeitpunkt schon Bescheid wusste?

2. Das Unternehmen CTS Labs ist bisher völlig unbekannt gewesen und macht keinen seriösen Eindruck, weder in Bezug auf die Veröffentlichung des Whitepapers als auch durch die Darstellung des Unternehmens selber -> Shutterstock-Greenscreens.

3. Viceroy ist dagegen kein Unbekannter, siehe FAZ-Artikel: http://www.faz.net/aktuell/finanzen/viceroy-der-boersenschreck-in-johannesburg-15407120.html

4. Fehlende technische Einzelheiten. Sicherheitslücken werden nicht erklärt bzw. es wird bereits Root-Zugriff oder ein gemoddetes BIOS benötigt.

5. Übertriebene Panikmache, AMD müsste Konkurs anmelden etc. Soll die Besitzer wohl zu einem Verkauf der Aktion hinreissen, oder es wurde eventuell auf fallende Kurse gewettet.

Alles in allem genug Gründe, extrem skeptisch zu bleiben. Aus meiner Sicht sollte AMD über eine saftige Klage nachdenken, auch im Sinne der Auktionäre.

@noxon: Inzwischen sind wir uns ja alle einig, dass AMD bezüglich Spectre2 von Anfang an "near zero risk" angegeben hat. Kannst du irgendwelche Belege liefern, dass man AMD-Prozessoren mittels Spectre2 angreifen kann (PoC etc.?)? Wenn nicht, macht deine Aussage wenig Sinn. Dass AMD mit optionalen Updates reagiert, um zukünftige Angriffe im Keim zu ersticken bzw. nicht den Eindruck zu vermitteln, dass man Sicherheitslücken nicht ernst nehme, halte ich noch nicht für einen Beleg deiner Aussage.

 

[HornyNinja69]

Was ich an der Sache hier am witzigsten finde, ist ,dass viele Leute sich gegen die haltlosen Anschuldigungen gegen AMD aufregen. Im selben Moment werden dann allerdings gleich Intel/Nvidia (oder irgend einer, der einem grade nicht so gut gefällt) haltlos beschuldigt dies inszeniert zu haben.

riecht schon nach Fanboys, aber so haltlos ist das nicht. Wie die Vergangenheit und die Gegenwart zeigt, sind Intel und Nvidia durchaus in der Lage so etwas abzuziehen, zwar nicht so lächerlich, aber trotzdem in der Lage. Intel hätte den Grund, das sie Ryzen 2xxx nichts entegen zu setzen haben, wäre nicht die große Masse an Fanboys, würde keiner mehr eine CPU kaufen, die 50% der iops und bis zu 20% performance eliminiert. Nvidia könnte von ihrem Gameworks Programm ablenken.

 

[taxishop]

Ich denke, in jedem Prozessoren ist mindestens 25-30% CIA Anteil, das ist MMnach 100% sicher und Spectre&Co ist nur die Eisbergspitze. Das ist auch Sinn der Sache, die AI Maschinen der CIA mit so viel information zu füttern wie möglich. Diese neuen AI Maschinen sind so etwas von hungrig, dass sie quasi die Welt abbilden können und rationelle Entscheidungen treffen können, siehe 9/11, das Erste Ereignis dass von einer AI Maschine verursacht wurde... Wer anders glaubt muss meiner Ansicht nach wieder die Bäume suchen...

 

[modena.ch]

Ich bin mir inzwischen, nachdem ich einige Quellen gelesen habe, recht sicher dass es sich bei dieser Veröffentlichung um eine Börsenmanipulation handelt.


3. Viceroy ist dagegen kein Unbekannter, siehe FAZ-Artikel: http://www.faz.net/aktuell/finanzen/viceroy-der-boersenschreck-in-johannesburg-15407120.html


5. Übertriebene Panikmache, AMD müsste Konkurs anmelden etc. Soll die Besitzer wohl zu einem Verkauf der Aktion hinreissen, oder es wurde eventuell auf fallende Kurse gewettet.

Alles in allem genug Gründe, extrem skeptisch zu bleiben. Aus meiner Sicht sollte AMD über eine saftige Klage nachdenken, auch im Sinne der Auktionäre.

Das es sich um eine Börsenmanipulation handelt gilt bei mir als ziemlich sicher.

Was Viceroy ins Spiel bringt und eine Dubiose Sicherheitsfirma,
die vor ihrer Umbenennung in "CTS" Crypto Malware hergestellt hat
und die von einem Kunden dafür bezahlt wurde nach Schwächen im
Sicherheitskonzept bei AMD zu suchen, wo offensichtlich im Januar an dem
PSP einiges gemeldet wurde.
Sie haben also für bekannte Lücken tolle neue Namen und Angriffsszenarien erfunden.

Das eventuell auf fallende Kurse gesetzt wurde, ist längst kein Eventuell mehr
und da sind wir wieder bei Viceroy oder immer noch?

https://www.reuters.com/article/us-...irm-says-it-finds-amd-chip-flaw-idUSKCN1GP273


Natürlich sollte AMD klagen!

Wenn ich Admin Rechte habe, kann ich ganz Anderes anstellen.
Da würds mir nicht in den Sinn kommen einen Sicherheits-ARM-Core zu flashen,
den man einfach ausschalten kann....

Man kann Bugs auch zu Elefanten aufblasen.

Ginge bei Intel sicher auch mit der ME, nur da brauchts keine Admin Rechte.

 

[konkretor]

@Volker sicherlich schon gesehen

https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs

 

[Rockstar85]

Viel Text... Schade das ich keine Zeit finde das grade zu lesen, aber fishy ist die Sache...

 

[Tapion3388]

Da Viceroy ja schon mehrfach mit solchen zwielichtigen Machenschaften aufgefallen ist (bspw. in Südafrika), haben sich wohl einige darum bemüht, die bisher anonymen Verantwortlichen zu ermitteln:

https://www.moneyweb.co.za/in-depth/investigations/viceroy-unmasked/

Liest sich fast wie ein Krimi, auf jeden Fall interessant wie dubios das Ganze doch ist.

 

[kisser]

https://www.heise.de/security/meldu...tsprobleme-in-AMD-Ryzen-und-Epyc-3996453.html

 

[Iscaran]

Alex Ionescu - jemand den ich wirklich für halbwegs serös halte.
"I have seen the technical details and there are legit design & implementation issues worth discussing as part of a coordinated disclosure effort."
"Übersetzt bedeutet das in etwa, dass es "diskussionswürdige Probleme beim Design und der Umsetzung bestimmter Funktionen gibt"."

Der meint also - ja das ist ein Problem da sollte man mal drüber reden. In Ruhe und ohne Hektik - nach einem AMD ist 0$-Wert totalausfall fiasko klingt das aber nicht. Eher nach, es gibt da wohl einen Bug/Feature über das sollte man mal nachdenken das ggf. zu ändern.

Vermutlich geht es also wohl eher darum dass man den Win10 Credential Guard aushebeln kann....man braucht dazu aber immerhin Root-access zum Rechner mit dem ich sowieso den Credential Guard aushebeln kann ?!?
WTF...ich kann als Admin meine Passwörter einsehen....

 

[Jesterfox]

Das größere Problem dürfte wenn dann tatsächlich das der Persistenz sein. Da fallen mir durchaus Sachen ein die man damit anstellen könnte... rein privat z.B. seinen Rechner vor dem Weiterverkauf entsprechend präparieren ;-) aber auch in der Softwareentwicklung ist es nicht unüblich das man als Mitarbeiter lokale Adminrechte auf dem PC hat, wenn da einer auf die Idee kommt seiner Firma schaden zu wollen könnte er auch einiges treiben.

 

[Iscaran]

aber auch in der Softwareentwicklung ist es nicht unüblich das man als Mitarbeiter lokale Adminrechte auf dem PC hat, wenn da einer auf die Idee kommt seiner Firma schaden zu wollen könnte er auch einiges treiben.

Ja wenn er das hat dann kann er das auch ganz OHNE jede weitere Sicherheitslücke....also what a fuzz about what ?

 

[Jesterfox]

Auch ohne die Lücke persistent am PC einen Schädling verstecken (an einer Stelle wo nicht mal der Virenscanner nachschauen kann) der auch aktiv ist wenn jemand anderes am PC sich einloggt?

Ich seh da jetzt auch nicht die Über-Katastrophe, aber an sich sollte sowas auch nicht so einfach gehen. Von daher mal abwarten wie AMDs Kommentare dazu aussehen werden.

 

[Iscaran]

Mich wundert vor allem dass man sich keine CVEs besorgt hat - ...das lässt für mich den Schluss zu dass da einfach zu viel Marketinggeblubber dahintersteckt.
Dazu die offensichtliche Geschichte mit der Marktmanipulation durch Viceroy. Und just ein oder zwei Tage später heisst es dann im kleingedruckten....offenbar haben auch intel-chipsätze einen ganz vergleichbar zu AMDs aktuellen Lücken "verbuggeden" USB-Chip drauf.
https://www.heise.de/security/meldu...-auch-in-Intel-Systemen-vermutet-3996868.html

Nur macht man jetzt deswegen KEINEN derartige Medialen Aufriss daraus....ist bestimmt ein "near zero risc" Fall von Intel...oder besser gesagt ein Feature wie die PrivilegeEscalation durch/in Speculative Execution.

 

[Tapion3388]

https://www.heise.de/security/meldu...tsprobleme-in-AMD-Ryzen-und-Epyc-3996453.html

Mutig, den Link zu heise so kommentarlos stehen zu lassen. Mal in die Kommentarsektion geschaut? Die werden dort von allen Seiten bombardiert und für die unzureichende Berichterstattung kritisiert. Es gibt so ziemlich keine Seite, die CTS bzw. Viceroy nicht sehr kritisch betrachtet, heise ist da leider die unrühmliche Ausnahme. Heise gehörte ja zu den ersten, die über die "Sicherheitslücken" berichtet haben (ohne anscheinend die nötigen Nachforschungen bzgl. der Quelle zu machen) und anscheinend sind sie jetzt nicht ehrlich genug, zumindest ein Stück weit zurückzurudern und ihre Artikel zu relativieren. Auf jeden Fall eine ganz peinliche Vorstellung, dass sie trotz hunderter Kommentare das Geflecht zwischen CTS und Viceroy nicht kritischer begutachten.

inzwischen haben findige Leute wohl herausgefunden, dass es sich bei CTS Research um einen ehemaligen Hersteller von Malware handelt, der einen Bitcoin-Miner auf infizierten System installiert hat:

https://forums.anandtech.com/threads/amdflaws-com-what-is-this.2540299/page-6#post-39344342

Keine Ahnung, ob die Anschuldigungen zutreffen, passt aber ganz gut ins Bild, so dubios wie dieses Geflecht ist.

 

[kisser]

Der meint also - ja das ist ein Problem da sollte man mal drüber reden. In Ruhe und ohne Hektik -

Ja, diese Veröffentlichung in Form eines "medialen Sturms" - wie er es nennt - geht eigentlich gar nicht.

Ergänzung (16. März 2018)

Mich wundert vor allem dass man sich keine CVEs besorgt hat -

Das kommt sicher noch. Das hat generell keine Eile, solange keine Details an die Öffentlichkeit gelangt sind.

Ergänzung (16. März 2018)

Mutig, den Link zu heise so kommentarlos stehen zu lassen. Mal in die Kommentarsektion geschaut? .

Ja. Haufenweise AMD-Fanboys, die dort ihren Senf ablassen. Passt einem eine Meldung nicht, dann muss man den Schreiber als unseriös darstellen. Der Heise-Verlag ist nun aber mal ein seriöses Unternehmen und denen glaube ich da mehr als diesen "Kommentatoren".

 

[Taxxor]

hier stand mist

 

[Tapion3388]

Ja. Haufenweise AMD-Fanboys, die dort ihren Senf ablassen. Passt einem eine Meldung nicht, dann muss man den Schreiber als unseriös darstellen. Der Heise-Verlag ist nun aber mal ein seriöses Unternehmen und denen glaube ich da mehr als diesen "Kommentatoren".

Genau, zitiere den Rest meines Beitrags nicht, der könnte ja erklären warum heise hier einfach daneben liegt (Irren ist menschlich). Es gibt haufenweise Indizien bzw. Beweise, warum es hier primär um eine Manipulation des Börsenwerts von AMD bzw. eine maßlose Übertreibung der gefundenen "Lücken" geht, die meisten wurden in diesem Thread bereits angesprochen. Und wenn man keine stichhaltigen Argumente hat, bezeichnet man die Gegenseite einfach als Fanboys, traurig eine solche Diskussionskultur.

Lies die vorangegangen Kommentare doch einfach mal, bevor du unkommentierte Links als Beiträge veröffentlichst. Das ist Quatsch und bringt eine Diskusion um genau 0% weiter, bei so vielen Beiträgen von dir würde ich einen differenzierten Umgang erwarten.

@Taxxor: Falscher Thread, Spectre / Meltdown ist hier nicht Thema.

 

[Taxxor]

Ups, habe den neuen Link nicht gesehen, aber nicht unbedingt falscher Thread, weiter oben auf dieser Seite war der heise Post von Spectre/Meltdown Thema.
Und da wurde der Post auch in dem Kommentaren zerrissen.