Meltdown und Spectre: Zwei Prozessor-Sicherheitslücken wurden bekannt, die es in sich haben. Sie betreffen uns alle. Ob nun mit einem Computer oder mit einem Smartphone, ist egal. Die Sicherheitslücken sprechen die Hardware an. Wer jetzt glaubt, sie oder ihn würde das ja nichts angehen, wird sich wohl sehr täuschen. Ein ganzes Konsortium aus IT-Konzernen arbeitet derzeit fieberhaft an einer Lösung. Aber jetzt ist es erst einmal wichtig, dass man als Anwender und Nutzer der Gerätschaften informiert ist.
Drei Angriffsmethoden entdeckt
Google betreibt das Sicherheitsprojekt „Project Zero“, das schon etliche schwerwiegende Sicherheitsprobleme aufgedeckt hatte. So auch in diesem Fall. Es ist demnach möglich, dass ein Angreifer, der die Lücken ausnutzt, an Passwörter gelangen kann und nahezu alle möglichen Informationen aus einem System und aus Programmen auslesen kann. Voraussetzung dafür ist, dass Angreifer in der Lage sind, auf dem Zielsystem bösartigen Code auszuführen.
Beim „Project Zero“ haben sie nun also während der Recherche und der Analyse festgestellt, dass wohl insgesamt drei Methoden für mögliche Angriffe vorliegen würden. Alle drei Methoden machen es Prozessen mit Benutzerrechten möglich, nicht autorisierte Lesezugriffe auf Daten im Speicher durchzuführen. So können solche Dinge wie kryptographische Schlüssel oder Passwörter oder sonstiges ausgelesen werden. Und jede der drei Methoden muss einzeln unterbunden werden. Hierfür sollen die Hersteller Patches zur Verfügung stellen.
Meltdown: Der Alptraum für Intel
Wenn ich von einem Alptraum für Intel erzähle, dann meine ich das auch so. Praktisch alle oder fast alle Prozessoren von Intel, die das Unternehmen seit 1995 hergestellt hat, sind von Meltdown betroffen. Dabei greift über eine Sicherheitslücke bösartige Software auf den Speicher zu und kann somit die Daten aus geöffneten Programmen und das Betriebssystem auslesen. Abhilfe soll ein Update bringen, allerdings sorgt dieses verschiedenen Berichten zufolge für Leistungseinbußen.
Das muss ein derartiges Desaster für Intel sein, dass Intel-Chef Krzanich Ende November Aktien und Optionen des Konzerns im Wert von 24 Millionen US-Dollar verkauft hatte. Klar behauptet das Unternehmen, dass die Transaktion nichts mit der Schwachstelle zu tun hat. Die spannende Frage, die sich hier allerdings automatisch stellt, ist: Ist das wirklich glaubhaft? Denn zu dem Zeitpunkt hatte „Project Zero“ den Chiphersteller bereits seit Monaten informiert.
Meltdown betrifft unterm Strich alle Systeme mit Prozessor-Hardware von Intel. Damit sind auch Grafik-Chips gemeint, und es ist eben nicht nur Windows betroffen. Jedes Gerät mit einem Intel-Chip kann betroffen sein. Damit können auch Webserver und Banking-Systeme verwundbar sein. Und natürlich Smartphones und all das. Das aber nur, damit niemand sagen kann, es würde immer andere betreffen.
Spectre: Es ist alles noch viel schlimmer
Diese Sicherheitslücke betrifft erst einmal alle Systeme. Mit ihr ist es möglich, dass ein Programm ein anderes ausspioniert. Damit sind auch sämtliche Passwort-Manager und Browser, Online Banking und Cloud-Dienste betroffen. Und es handelt sich hier nicht nur um die Intel-Plattform, sondern um quasi alle Prozessoren. Als man bei Google von diesem riesigen Problem erfuhr, hat der IT-Riese die Systeme aktualisiert, um die Nutzer zu schützen. Für Android-Smartphones ist ein Patch im Januar-Update enthalten, was aber nur sehr weniger Geräte erhalten, weil die Smartphone-Hersteller sich keinen Kopf drum machen.
Und daran sehen wir mal wieder, was sich die Hardware-Hersteller herausnehmen. Es ist ja keineswegs so, dass man zu viel erwartet. Aber Sicherheitsupdates müssen doch zeitnah ausgeliefert werden. Auf den eben angesprochenen Android-Patch vom Januar-Update werde ich wohl noch einige Zeit warten müssen, da Huawei bei meinem Huawei P9 gestern erst das Update aus dem Dezember ausgeliefert hat. Andere Hersteller sind nicht anders.
Lösungsvorschläge
Zunächst einmal muss ich mal wieder mit der Binsenweisheit um die Ecke kommen, dass es keine absolute Sicherheit geben kann. Die hundert Prozent können immer nur näherungsweise erreicht werden. Dennoch kann man einiges tun, um sich zu schützen. Dabei meine ich nicht, dass man schauen sollte, wie sicher oder gefährdet meine Geräte sind oder welche Geräte überhaupt betroffen sind. Auch was die Sicherheitsexperten des CERT (Computer Emergency Response Team) vorschlugen, nämlich die Prozessor-Hardware auszutauschen, hilft nur bedingt, zeigt aber, wie schlimm das Alles ist.
Microsoft hat gehandelt und einen Patch veröffentlicht, der umgehend installiert werden sollte. Da aber die seit vielen Jahren im Einsatz befindliche Hardware-Beschleunigung von den Lücken betroffen ist, können PCs durchaus langsamer werden. Und weil der Browser Google Chrome so weit verbreitet ist, gibt es auch für ihn einen Vorschlag, wie man ihn gegen Meltdown und Spectre absichert. Es handelt sich um ein optionales Feature namens „Site Isolation“. Wie das eingerichtet wird, steht hier. Dadurch wird aber der Browser auch langsamer.
Und sonst so?
Es muss auch gute Nachrichten geben, nicht wahr? Intel selbst geht davon aus, dass beide Lücken noch nicht aktiv ausgenutzt wurden. Allerdings ist dies nicht vollständig aufgeklärt. Das Problem ist, dass eine entsprechende Attacke keine Spuren in irgendwelchen System-Protokollen hinterlassen würde. Wenigstens hatten sämtliche Anbieter Zeit, Gegenmaßnahmen zu ergreifen. Denn Meltdown und Spectre wurden unabhängig voneinander vom „Project Zero“, der TU Graz und Cyberus Technology im Sommer entdeckt. Von Android und Windows mit den angesprochenen Updates wissen wir nun schon. Aber was wissen wir noch?
Da alle Welt irgendeinen Cloud-Dienst nutzt, ist es vielleicht von großem Interesse, dass Google, Amazon und Amazon die eigenen Dienste bereits abgesichert haben. Aber noch einmal: Es gibt keine absolute Sicherheit. Wir können als Nutzer und Kunden am Ende nur dafür sorgen, dass wir die vom Hersteller und vom Anbieter zur Verfügung gestellten Maßnahmen umsetzen und ggf. Updates installieren. Ob sich allerdings Intel und Co. von dem doppelten Desaster so schnell erholen werden, ist ungewiss. Das warten wir also erstmal ab.
Also was ist jetzt was ich blicke da jetzt immer noch nicht durch…
So wie ich verstanden habe ist eine Sicherheitslücke darauf zurückzuführen dass der zwischenspeichern im Prozessor der Daten vorhält ausgelesen werden kann, soweit mir bekannt ist kann diese Funktion in Windows ausgeschaltet werden.
Henning kannst du da noch etwas dazu aufschreiben?
Ja, so in die Richtung geht es. Es geht darum, dass schon mal Operationen „vorgehalten“ werden, damit der Anwender eine hohe Performance hat. Es geht aber nicht unbedingt nur darum, die Funktion in Windows auszuschalten, wozu ich aber gern mal die Tage was schreiben kann. Es ist ja eine hardwareseitige Funktion. Umgehst du als Angreifer das Betriebssystem, erreicht man mit dem Abschalten gar nichts. Und was machen die Smartphone-Nutzer, Apple-Nutzer, Linux-Nutzer?
Und WIE kommt denn die „bösartige Software“ auf meinen PC, die diese Lücken ausnützen könnte?
Mir erscheint das bisher als eine theoretische Möglichkeit – über Wege der Infiltration hab ich noch nichts gelesen.
Hab dein Blog jetzt endlich in meine Blogroll aufgenommen – da ist ja was frei geworden! :-)
http://www.claudia-klinger.de/digidiary/meine-blog-bibliothek/
Oh, wunderbar. Danke dir, Claudia.
Ja, es klingt relativ theoretisch. Das Problem ist aber, dass Software A zum Beispiel Software B ausspioniert, wenn A meinetwegen kompromittiert ist. Ist Software B dann das Online-Banking, hast du vielleicht ein Problem. Die Schwachstelle ist die Funktion im Prozessor, „vorauszuahnen“, was der Nutzer als nächstes machen will.