Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

Volker Rißka et al. 142 Kommentare
Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

AMD hat in der Nacht eine Stellungnahme abgegeben, der zufolge der Hersteller angeblich gefundene Sicherheitslücken in allen modernen Prozessoren untersuchen wird. Das war notwendig geworden, nachdem Medien und Endanwender weltweit den fragwürdigen Report eines bisher unbekannten Sicherheitsunternehmens aufgegriffen hatten.

CPU-Sicherheitslücken schrecken schnell Massen auf

Vor dem Hintergrund der weitreichenden Sicherheitslücken Meltdown und Spectre steht das Thema Sicherheit in Prozessoren derzeit im Fokus. Und nachdem Meltdown fast exklusiv Intel und Spectre Variante 2 zumindest in der öffentlichen Wahrnehmung ebenfalls überwiegend diesen Hersteller betroffen hat, verbreitete sich die offensichtlich professionell vorbereitete Veröffentlichung von gleich 13 Lücken in den vier als Masterkey, Ryzenfall, Fallout und Chimera benannten Kategorien bei AMD am Dienstag wie ein Lauffeuer.

AMD wurde in Anbetracht dessen, dass das Unternehmen an der Börse notiert ist und das US-Heimatschutzministerium (DHS) ebenfalls bereits Notiz genommen hatte, so noch am selben Tag zu einem Statement gezwungen.

Unter dem Titel „Der Blick von unserer Straßenecke“ erklärte AMD allerdings lediglich, den erhobenen Anschuldigungen nachzugehen, und übte Kritik am Veröffentlichungsprozess: Der Hersteller sei ungewöhnlich spät informiert worden, laut CNet nur einen Tag im Vorfeld. In der Branche üblich sind hingegen 90 Tage, im Fall von Meltdown und Spectre gab es in Anbetracht der Tragweite sogar 180 Tage Vorlaufzeit. Dabei geht es im Kern darum Lücken erst dann öffentlich zu machen, wenn die betroffenen Unternehmen bereits die Chance gehabt haben sie zu schließen.

We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops.

AMD

Doch was ist die Ursache für die Welle an negativer PR im Netz gewesen, die AMD innerhalb so kurzer Zeit zu einem Statement gezwungen hat?

Keine stichhaltigen Beweise

Eine neu gegründete Sicherheitsfirma aus Israel hatte behauptet, dass alle aktuellen Prozessoren von AMD unsicher sind, präsentierte im Whitepaper (PDF) dafür aber nur oberflächliche Aussagen und keine Details. Begründet wurde das mit dem Schutz des betroffenen Unternehmen, also demselben Argument, das sonst für mindestens 90 Tage Vorlaufzeit sorgt.

Die präsentierten Lücken beziehen sich dabei in vielen Fällen auf AMDs „Management Engine“ PSP und in der Tat hatte sich dieses Segment erst im Januar wie bei Intel als unsicher erwiesen. Dass weitere existieren, ist also nicht ausgeschlossen.

Bei allen jetzt präsentierten wird jedoch anscheinend voller root-Zugriff (Admin-Rechte) vorausgesetzt. Tavis Ormandy, Mitglied im Team Project Zero von Google, kommentiert dazu auf Twitter: „Nichts in diesem Papier spielt eine Rolle, bevor der Angreifer nicht eh schon das Spiel gewonnen hat.“ Eine Lücke wäre damit zwar immer noch eine Lücke, sie wäre aber von deutlich geringerer Relevanz, weil Angreifer auf dieser Ebene auch andere Möglichkeiten haben.

Ein „Hit Job“ um den Aktienkurs zu lenken?

Die Veröffentlichung selbst erfolgte demgegenüber mit einer vollen Breitseite aus dem PR-Setzkasten, was an anderer Stelle schnell den Verdacht nach einem „Hit Job“, also die gezielte Schädigung des Unternehmens, aufkeimen ließ: eine Presse-Agentur, Videos vor falschen Büro-Einrichtungen, die Namensgebung und viele weitere Details waren offensichtlich gut vorbereitet und sollten für maximal mögliche Aufmerksamkeit und Verbreitung sorgen. Für Linux-Chef Torvalds, ein Mann der offenen Worte, war ein Urteil schnell gefällt: Die Initiatoren seien eine „attention whore“.

Parallel zur Veröffentlichung mit dem Hinweis, dass die Sicherheitsforscher zwar mit aller Sorgfalt vorgegangen sind, indirekt oder direkt aber wirtschaftlich in Verbindung zu AMD stehen könnten, wurde der Bericht eines zweifelhaften Aktienhändlers online gestellt, der die Aktie als wertlos und mit 0 US-Dollar Kursziel bewertete und das Ende von AMD gekommen sah. Nach den wiederholt unfundierten Berichten der vergangenen Woche über eine angebliche AMD-Übernahme ohne Details wie potentielle Kandidaten würde so ein Ansatz nicht auf steigende sondern auf sinkende Kurse setzen. Die AMD-Aktie ließ sich nicht beirren und schloss im Plus.

In jedem Fall übertrieben

Inwiefern an den ohne konkrete Details oder Beweise veröffentlichten Sicherheitslücken etwas dran ist, darüber gibt es heute wie gestern zwar noch immer keine verlässlichen Aussagen. Mittlerweile als gesichert anzusehen ist allerdings, dass die Veröffentlichung mit übertriebenen Mitteln vollzogen wurde. Und sie hat ihr Ziel, möglich schnell möglichst weltweit in die Schlagzeilen zu kommen, erreicht.

Das und die vielen Indizien, die an der Motivation der Forscher zweifeln lassen, lenken allerdings vom eigentlichen Kern des Themas ab: Sicherheitslücken in CPUs. Sie existieren, Lücken in den Management Engines von Intel und AMD sowie Meltdown und Spectre haben das im letzten halben Jahr eindrucksvoll bewiesen. Sie medienwirksam vorzeitig ohne Details zu veröffentlichen ist aber kein probates Mittel, um Anwender vor den potentiellen Folgen zu schützen.

Was an den Anschuldigungen letztlich dran ist, werden die kommenden Wochen offenbaren, dann sollte sich auch die Faktenlage erhellen. AMD will das Blog-Posting in diesem Fall fortführen und dort die Erkenntnisse mitteilen. Alle anderen Quellen müssen hingegen derzeit noch kritisch hinterfragt werden.

Hinweis: ComputerBase hatte am Dienstag auf Basis der mehr als zweifelhaften Sachlage vorerst von einer Veröffentlichung abgesehen, obwohl sich die Meldung schnell verbreitete. Auf Basis der mittlerweile vorliegenden Informationen war jetzt aber eine sachlichere Beschäftigung mit dem Thema möglich. Eine abschließende Beurteilung der kolportierten Sicherheitslücken liegt auf Basis der verfügbaren Informationen allerdings immer noch nicht vor. Das Thema aufzugreifen wurde deshalb auch einen Tag nach der ersten Meldung intern noch kontrovers diskutiert.