AMD Ryzenfall-Sicherheitslücke zerstört den letzten sicheren Hafen

(unsicher ist eine wöchentliche Kolumne, die sich mit dem schnell eskalierenden Thema Cybersicherheit befasst.

Am Dienstag, 13. März, hat das Sicherheitsunternehmen CTS Labs gab die Entdeckung von 13 Mängeln bekannt in AMDs Ryzen- und Epyc-Prozessoren. Die Probleme umfassen vier Klassen von Schwachstellen, zu denen mehrere schwerwiegende Probleme gehören, beispielsweise eine Hardware-Hintertür Ryzens Chipsatz und Mängel, die den Secure Processor von AMD, einen Chip, der als solcher fungieren soll, vollständig gefährden können “sichere Welt” wo sensible Aufgaben außerhalb der Reichweite von Malware gehalten werden können.

Diese Enthüllung erfolgt nur wenige Monate nach der Enthüllung von der Meltdown und Spectre Mängel, die Chips von AMD, Intel, Qualcomm und anderen betrafen. AMD, dessen Chips durch einige Spectre-Mängel beeinträchtigt waren, überstand das Fiasko relativ unbeschadet. Enthusiasten konzentrierten ihre Wut auf Intel. Obwohl a

Handvoll Sammelklagen gegen AMD eingereicht wurden, sind sie nichts im Vergleich zu den Horde von Anwälten gegen Intel. Im Vergleich zu Intel schien AMD die kluge und sichere Wahl zu sein.

Das machte die Ankündigung von Mängeln in der AMD-Hardware am Dienstag noch brisanter. Es kam zu Twitter-Stürmen, als Sicherheitsforscher und PC-Enthusiasten über die Gültigkeit der Ergebnisse stritten. Dennoch wurden die von CTS Labs bereitgestellten Informationen unabhängig von einer anderen Firma überprüft, Spur der Bits, gegründet 2012. Über die Schwere der Probleme lässt sich streiten, aber es gibt sie, und sie gefährden das, was manche PC-Benutzer als letzten sicheren Hafen betrachteten.

Der wilde Westen der Offenlegung

Der Inhalt der Forschung von CTS Labs hätte auf jeden Fall für Schlagzeilen gesorgt, doch die Überraschung der Enthüllung verstärkte ihre Wirkung. AMD hatte offenbar weniger als 24 Stunden Zeit für eine Antwort, bevor CTS Labs an die Börse ging, und CTS Labs ist damit nicht an die Börse gegangen alle technischen Details und teilen diese stattdessen nur mit AMD, Microsoft, HP, Dell und mehreren anderen großen Unternehmen Firmen.

Viele Sicherheitsforscher schrien schlecht. Die meisten Mängel werden den Unternehmen früher mitgeteilt und mit einem Zeitrahmen für die Reaktion versehen. Meltdown und Spectre wurden beispielsweise am 1. Juni 2017 von Intel, AMD und ARM bekannt gegeben Googles Project Zero Team. Ein anfängliches 90-Tage-Fenster zur Behebung der Probleme wurde später auf 180 Tage verlängert, endete jedoch früher als geplant The Register veröffentlichte seine erste Geschichte zum Prozessorfehler von Intel. Die Entscheidung von CTS Labs, keine Voraboffenlegung anzubieten, hat zu Spekulationen geführt, dass das Unternehmen eine andere, eher böswilliges Motiv.

CTS Labs verteidigte sich in einem Brief von Ilia Luk-Zilberman, der CTO des Unternehmens, veröffentlicht auf der Website AMDflaws.com. Luk-Zilberman kritisiert das Konzept der Voraboffenlegung und sagt: „Es ist Sache des Anbieters, ob er ihn benachrichtigen möchte.“ Kunden, dass es ein Problem gibt.“ Aus diesem Grund hört man von einer Sicherheitslücke erst Monate später unbedeckt.

Schlimmer noch, sagt Luk-Zilberman, es erzwinge ein riskantes Spiel zwischen dem Forscher und dem Unternehmen. Das Unternehmen antwortet möglicherweise nicht. Wenn das passiert, steht der Forscher vor einer düsteren Entscheidung; Bleiben Sie ruhig und hoffen Sie, dass niemand sonst den Fehler findet, oder geben Sie die Details eines Fehlers an die Öffentlichkeit, für den kein Patch verfügbar ist. Kooperation ist das Ziel, aber das Risiko für Forscher und Unternehmen fördert die Abwehrbereitschaft. Die Frage, was angemessen, professionell und ethisch ist, verfällt oft in kleinlichem Tribalismus.

Wo ist der Boden?

Der Industriestandard für die Offenlegung eines Fehlers existiert nicht, und wenn er fehlt, herrscht Chaos. Selbst diejenigen, die an eine Offenlegung glauben, sind sich über Details nicht einig, etwa darüber, wie lange einem Unternehmen Zeit für eine Antwort gegeben werden sollte. Die fehlende Einigung bedeutet, dass es keine Möglichkeit gibt, zu wissen, wann der nächste große Fehler aufgedeckt wird, von wem er stammt oder wie er gemeldet wird.

Cybersicherheit ist ein Chaos, und es ist ein Chaos, das von jedem von uns seinen Tribut fordert. Die neuen Mängel bei AMD-Prozessoren – wie Meltdown, Spectre, Heartbleed und so viele andere zuvor – sind zwar alarmierend, werden aber bald vergessen sein. Sie muss vergessen werden.

Welche andere Wahl haben wir schließlich? Computer und Smartphones sind für die Teilhabe an der modernen Gesellschaft zur Pflicht geworden. Selbst diejenigen, die sie nicht besitzen, müssen Dienste nutzen, die auf ihnen basieren.

Offensichtlich ist jede von uns verwendete Software und Hardware mit kritischen Mängeln behaftet. Dennoch müssen Sie sie nutzen, es sei denn, Sie entscheiden sich, die Gesellschaft aufzugeben und eine Hütte im Wald zu bauen.

Normalerweise möchte ich, dass diese Kolumne mit praktischen Ratschlägen endet. Verwenden Sie starke Passwörter. Klicken Sie nicht auf Links, die kostenlose iPads versprechen. Diese Art von Ding. Dieser Rat bleibt wahr, aber es fühlt sich an, als würde man eine Schwimmweste anlegen, während ein Schiff in eiskalten arktischen Gewässern versinkt. Sicher. Die Schwimmweste ist eine gute Idee. Damit sind Sie sicherer als ohne – aber es reicht nicht mehr aus, um Sie zu retten.

Empfehlungen der Redaktion

• AMD Ryzen Master weist einen Fehler auf, der dazu führen kann, dass jemand die volle Kontrolle über Ihren PC übernimmt
• AMD hat gerade vier seiner eigenen kommenden Ryzen 7000-CPUs durchgesickert
• AMD hat gerade die Kernkriege gewonnen und hat immer noch einen Trumpf im Ärmel