16

Hardware- und Nachrichten-Links des 16. März 2018

Videocardz zeigen die ersten Teaser von ASRock-Grafikkarten – welche zweierlei bestätigen: Erstens baut ASRock nun doch echte Grafikkarten, und nicht nur MXM-Module, wie kürzlich seitens Tom's Hardware mit Verweis auf Industrie-nahe Quellen noch ziemlich fest behauptet. Und zweitens handelt es sich um Gaming- und keine Mining-Grafikkarten, darauf weist der Brandname "Phantom Gaming" ausreichend klar hin. ASRock wagt also nun in der Tat in dieser Zeit der schlechten Grafikkarten-Lieferbarkeit den Sprung in diesen Markt – wahrscheinlich mit AMD-Chips, aber diesbezüglich kann man sich eigentlich auf keines der früheren Gerüchte mehr wirklich verlassen, deren Trefferquote war in diesem Fall wirklich unterirdisch. Besonders bemerkenswert ist wie gesagt die Meldung von Tom's Hardware, welche extra ihre Quellen aus Hersteller-Kreisen angeworfen hatten – und nun trotzdem klar danebenliegen. Entweder sind diese Quellen bei weitem nicht so gut informiert, wie man dachte – oder aber man muß die vorsätzliche Generierung von Falsch-Informationen (nicht seitens Tom's Hardware, sondern an anderer, vorgelagerter Stelle) zur Verwirrung der Fachpresse wenigstens als Möglichkeit in Betracht ziehen.

Im Fall der unter "AMDflaws" zusammengefassten diversen CPU-Sicherheitslücken in AMDs Zen-basierten Prozessoren kommt langsam eine gewisse Klarheit auf: Nach der ersten Experten-Bestätigung, in deren Nachgang der "Experte" zugeben musste, von einer beteiligten Stelle bezahlt zu sein, vermeldet Heise nun eine zweite Experten-Bestätigung. Der Vorteil beider Experten war wenigstens, von CTS-Labs deutlich mehr Dokumente erhalten zu haben als das öffentliche White Paper, welches im Sinne einer Begründung der Vorwürfe eher kontraproduktiv ist, da dessen Gehalt die Ernsthaftigkeit der Sache bezweifeln läßt. Mehrfach klar bestätigt wurde nun aber auch, das die von CTS-Labs entdeckten CPU-Sicherheitslücken allesamt auf bereits erlangten Admin-Rechten basieren – sprich, erst wirken können, wenn das Kind bereits in den Brunnen gefallen ist. Damit fallen alle diese entdeckten CPU-Sicherheitslücken auf ein vergleichsweise niedriges Gefahrenpotential zurück: Im Privatanwender-Bereich ist so etwas fast nutzlos, allenfalls im professionellen Umfeld ist damit ein Gewinn erreichbar – beispielsweise durch die Installation nicht vom Betriebssystem entdeckbarer Root-Trojaner. Auch dies muß abgesichert und gelöst werden, aber das konkrete Bedohungslevel ist eher Null – wer den für diese Sicherheitslücken notwendigen Admin-Zugriff erlangt, der hat zum einen schon gewonnen und zum anderen auch noch einige andere Wege offen, um Schaden anzurichten oder sich unbemerkt im System einzunisten.

Interessant zum Fall ist auch, das die im AMD-Chipsatz gefundene Sicherheitslücke "Chimera" auf USB-Controllern von ASMedia basiert, welche in ähnlicher Form und mit der gleichen Sicherheitslücke über die letzten Jahre auch auf Millionen von Intel-Platinen verbaut wurden, wie Heise in einer zweiten Meldung notieren. Seitens CTS-Labs wurde dies nicht thematisiert, sondern allein auf betroffene AMD-Hardware hingewiesen – obwohl von der Stückzahl her vermutlich deutlich mehr Intel-Hardware von dieser einzelnen Lücke betroffen ist. Mittels dieser Details wird um so klarer, das die Attacke der (vorgeblichen) Börsen-Analysten von "Viceroy Research" mit der Forderung nach Rücknahme aller Ryzen-Prozessoren sowie einem AMD-Kurziel von 0,00 Dollar regelrecht absurd ist. Denn die hier gefundenen Sicherheitslücken sind weit unterhalb des Niveaus von Meltdown & Spectre, für welche es wie bekannt auch keinerlei Produkt-Rücknahmen gegeben hat. Es muß genauso auch konstatiert werden, das die nahezu Gleichzeitigkeit der ursprünglichen Meldungen von CTS-Labs und Viceroy Research weiterhin den Verdacht der bewußten Schürung von Unsicherheit nahelegt – und man daher vor einer unzweifelhaften Klarstellung der Firma CTS-Labs derzeit keinerlei Reputation einräumen kann.

Das CTS-Labs in einem Interview mit AnandTech auch weiterhin noch die Schiene der Dramatisierung der gefundenen CPU-Sicherheitslücken reiten, gleichzeitig aber bei Fragen nach dem Firmen-Hintergrund das Interview ziemlich schnell abwürgen, trägt nun überhaupt nicht zur Verteidigung der Annahme bei, bei CTS-Labs würde es sich um unabhängige "Sicherheitsforscher" handeln und die Attacke auf AMD seitens Viceroy Research wäre davon völlig losgelöst passiert. Der Fall sollte also besser unabhängig bzw. Hersteller-seitig untersucht werden, da die "Entdecker" der CPU-Sicherheitslücken offenbar doch eine andere Intention hatten als eine Verbesserung der IT-Sicherheit. AMD muß sich allerdings fragen lassen, ob man nicht hätte von Intels Fehlern lernen können: Denn die meisten der entdeckten CPU-Sicherheitslücken hängen mit der AMD-Kopie "PSP" der Intel Management Engine zusammen – welche schon immer als zusätzliche Blackbox im PC-System ein sicherheitspolitisches Ärgernis darstellte. An dieser Stelle hätte AMD sorgsamer arbeiten sollen – und wäre demzufolge nicht in dieselbe Lage wie Intel gekommen, wo deren Management Engine im Endeffekt sogar für mehr Unsicherheit als denn für zusätzliche Sicherheit sorgt.