13

Hardware- und Nachrichten-Links des 13. März 2018

Eine Meldung seitens der (gewöhnlich gut informierten) DigiTimes über nVidias Sorge, das die Nachfrage nach Grafikchips aus der Ecke der Cryptominer nunmehr langsam zurückgehen könnte, wurde weitreichend zitiert wegen der eigentlich nur im Nebensatz dargereichten Aussage, nVidias Turing-Generation würde im dritten Quartal in Massenfertigung gehen. Dies kann man durchaus als Bestätigung früherer Gerüchte ansehen – sofern hier wirklich eine unabhängige Quelle existieren sollte. Denn das Hauptthema der DigiTimes-Meldung war wie gesagt ein anderes, Turing wurde nur eher beiläufig erwähnt – womit nicht klar ist, ob sich die DigiTimes bei ihrer Aussage zum dritten Quartal auf eigene Quellen verlassen können, oder aber sich schlicht auf diese kürzlichen Gerüchte beziehen. Die gesamte Aussage ist zu kurz und zu nebenbei abgelassen, um hieraus die Gewißheit zu ziehen, das damit eine zweite unabhängige Quelle zu nVidias Turing-Generation vorliegen würde. Im Klartext: Aller Vermutung nach gibt die DigiTimes hiermit nur den aktuellen Gerüchtestand wieder, hat (derzeit) aber keine eigenen Quellen zur Bestätigung oder Widerlegung dessen aufzubieten.

Aufreger des Tages ist sicherlich die Story über ein Dutzend neu gefundener CPU-Sicherheitslücken in AMDs Ryzen- und Epyc-Prozessoren, über welche u.a. Heise berichten. Anfänglich sah dies nach einem größeren Desaster für AMD aus – allerdings kamen sehr schnell Bedenken ob der Seriosität der diese Lücken herausposaunenden Sicherheitsforscher auf. Je tiefer man da grub, um so unwahrscheinlicher wurde der Fall: Über leicht Häme versprühende Benennungen (Sicherheitslücke "Ryzenfall", vorgestellt auf einer Webseite namens "AMDflaws"), über die Problematik, das die israelische Sicherheitsfirma CTS-Labs genauso neu wie unbekannt ist, deren Webseite erst seit wenigen Tagen existiert, bis hin zu dem ziemlich klaren Punkt, das man AMD vor Veröffentlichung nur gut einen Tag Karrenzzeit gegeben hat. Selbiges ist in Sicherheits-Kreisen extrem unüblich, normalerweise gibt es 90 Tage Zeit und manchmal auf Wunsch bzw. in Vereinbarung auch noch mehr – dies schon allein, damit die Hersteller eventuell mit Patches reagieren können, bevor das ganze öffentlich wird. Die Veröffentlichung von Sicherheitslücken ohne diese Karrenzzeit stellt vielmehr eher denn einen Sicherheitsverstoß der (angeblichen) Sicherheitsforscher selber dar – welcher je nach konkreter Rechtslage sogar justizabel sein könnte.

Im Klartext: Das ganze stinkt, hier versucht jemand AMD etwas anzuhängen. Dies möglicherweise mit realem Hintergrund, die Sicherheitslücken könnten durchaus existent sein, in dieser oder abgeschwächter Form. Aber die Intention liegt augenscheinlich darin, AMD medial abzukanzeln zu lassen, zumindest kurzfristig. Aller Vermutung nach steckt hier nicht einmal ein Wettbewerber dahinter, jener würde das ganze professioneller aussehen lassen (oder aber auf seine Rechtsabteilung hören und die Finger von so etwas hochriskantem lassen). Eher zu vermuten ist, das es hierbei um eine triviale Manipulation des Aktienmarktes gehen soll – und passend hierzu kommt zur selben Zeit eine heftige Attacke auf AMD von der diesbezüglich bekannten Börsen-Webseite "Viceroy Research", vor welcher erst kürzlich (in anderem Zusammenhang) die bundesdeutschen Aufsichtsbehörde "BaFin" eindrücklich warnte. Die Attacke überdramatisiert das ganze noch auf extremen Niveau (AMD-Kurswert = 0,00 Dollar) – was ganz augenscheinlich den Versuch darstellt, Börsenkurse zu beeinflußen und daran entsprechend zu verdienen.

Logischerweise ist nicht sicher, ob CTS-Labs und Viceroy Research unter einer Decke stecken, aber der Verdacht liegt doch sehr nahe. Damit muß dann auch alles, was CTS-Labs über angebliche CPU-Sicherheitslücken in Ryzen und Epyc herausgefunden haben will, unter Vorbehalt gestellt werden – wie gesagt kann da etwas dran sein, muß es aber auch nicht. In jedem Fall wird die Schwere der Sicherheitslücken aber schon einigermaßen dramatisiert dargestellt, da zu deren Ausnutzung teilweise ein physikalischer Zugriff auf das jeweilige Gerät notwendig ist – was nur in speziellen Anwendungsfällen eine Relevanz entfaltet. Von der Einfachheit, mittels welcher insbesondere die Meltdown-Sicherheitslücke ausnutzbar wäre, ist das ganze (auf den ersten Blick) meilenweit entfernt. Aber da nun sowieso alles in der Schwebe ist, wäre es besser abzuwarten, was seriöse Sicherheitsexperten bzw. AMD zu dem ganzen sagen. Einen klaren Bonuspunkt hat sich im übrigen Golem verdient, welche als eine der wenigen IT-Fachmagazine die von CTS-Labs dargebrachten Behauptungen zu den AMD-Sicherheitslücken mal überprüft haben – mit dem Resultat, das jene inhaltlich wenig Gehalt zu bieten haben, klar unter dem Niveau anderer Veröffentlichungen zum Thema der IT-Sicherheit liegen.  (Foren-Diskussion zum Thema)