Meltdown und Spectre – und nun?

Meltdown und Spectre
Meltdown & Spectre

Meltdown und Spectre, diese Namen tragen zwei bereits im Frühjahr 2017 entdeckte Sicherheits-Probleme. Das besondere an diesen beiden ist, dass hier (nicht wirklich) zum ersten Mal nicht etwa eine Anwendungs-Software Sicherheits-Lücken aufweist. Vielmehr liegt das Problem an einer Stelle, von der so gut wie jeder betroffen ist, nämlich im Design des Prozessors.

Wen betrifft´s?

Kurz gesagt: Jeden von uns. Denn es gibt eigentlich keinen Rechner in unserem IT-Alltag, der nicht anfällig ist (siehe Beitrag „Meltdown & Spectre„. Doch die Gegenmaßnahmen in den einzelnen Bereichen unterscheiden sich erheblich im Aufwand und in ihrer Auswirkung.

Am einfachsten haben es noch die PC-Anwender. Schließlich haben die Hersteller der PC-Betriebs-Systeme bereits entsprechende Patches bereitgestellt. Inwieweit diese sinnvoll sind und das Problem tatsächlich lösen, sollte Ihr eigener IT-Support überprüfen.

Auch sollten Sie im Auge behalten, dass alle IoT- oder sonstigen Geräte wie Router, Firewalls etc. mit den von den Herstellern gelieferten Patches versorgt werden. Die Auslieferung der Sicherheits-Updates ist im vollem Gange, da müssen Sie einfach nur dran bleiben.

Spannend jedoch ist der Bereich Server und Hosting. Hier erschweren Anforderungen wie Verfügbarkeit und Datenschutz die notwendigen „Reparaturen“. Ein verantwortungsbewusster Service Provider und Hosting-Anbieter spielt nicht einfach nur die Updates ein, sondern koordiniert den Eingriff mit den Kunden. Weil die Patches den sogenannten „Kernel“ betreffen, also den Hardware-Kern der Server, müssen diese vorher nicht nur „gebackuped“, sondern anschließend kontrolliert herunter gefahren und neu gestartet werden.

Besonders ärgerlich

Betrachten wir den Umgang mit dem aktuellen Sicherheitsleck, kommen wir aus dem Staunen nicht heraus. Denn Prozessoren bilden den Kern unserer modernen Lebens- und Arbeitsweise. Sind sie angreifbar, so sind wir, die wir uns davon abhängig gemacht haben, es auch. Doch das ist nur das Große und Ganze. Manche Ärgernisse stechen besonders hervor:

  1. Das Problem kennen mehrere Prozessor-Hersteller seit Monaten. Genau genommen seit März 2017. Aber vielleicht auch schon seit längerem, wer weiss. Doch erst am 3.1.2018 wurde das Problem öffentlich bekannt gegeben. Intel-Chef Brian Krzanich konnte in aller Ruhe die maximale Anzahl seiner Intel-Aktien verkaufen. Ein Schelm wer „Insider-Handel“ dabei denkt? In jedem Fall wurde auf Zeit gespielt – zu Lasten aller IT-Anwender weltweit.
  2. Es handelt sich nicht um ein Problem mit Prozessoren eines einzelnen Herstellers. Geschweige denn sind auch nur besonders alte oder neue Prozessor-Typen mit dem Problem behaftet. Vielmehr sind die CPUs vieler Hersteller korrumpiert.
  3. Auch sind nicht nur die CPUs von PCs oder Servern betroffen, sondern auch die einiger Graphikkarten, DSL-Routern, Firewalls, Telefon-Anlagen, Heizungs-Steuerungen etc. Es handelt sich also um einen Flächenbrand.
  4. Das Problem bekommt man eigentlich nur durch den Austausch der CPUs gegen Prozessoren einer neuen, noch nicht vorhandenen Generation in den Griff. Das dürfte illusorisch sein. Also wird „gepatched“, Software in die Systeme eingespielt, die natürlich dazu führt, dass im besten Fall der Prozessor etwas langsamer läuft. Daher kann man hier auch nur von Flickwerk reden.

Das Ignorieren, Zeitschinden und Flickwerken geht zu Lasten der Verbraucher und Anwender. Schließlich vertrauten diese darauf, dass wenigstens ihre Hardware nicht angreifbar ist. Nun ist auch diese Illusion ist durch Meltdown und Spectre zerstört.

Schlechtes Design oder unzulässiges Tricksen?

Meltdown bezeichnet die Möglichkeit, Daten aus dem RAM (Arbeitsspeicher) der CPU auszulesen. Spectre beschreibt die Möglichkeit, Daten aus anderen Prozessen auszulesen. So weit so gut, doch was genau ist eigentlich das Problem von Meltdown und Spectre?

Ganz einfach: Jeder Benutzer (Meltdown) und jede Software (Spectre) kann jeden Speicherinhalt (RAM) aus der CPU anfordern. Dabei findet keine VORHERIGE Kontrolle auf Zulässigkeit statt. Das Problem ist, dass die CPU immer Daten bereit hält, welche sie auf „gut Glück“ geladen hat, um bei einer späteren Anfrage schneller liefern zu können. Sie nutzt dazu Wahrscheinlichkeitswerte, die sich aus dem bisherigen Nutzerverhalten ergeben. Erst nachdem die Daten im CPU-Cache tatsächlich bearbeitet werden sollen, findet eine Überprüfung der Berechtigung statt. Damit wird nominell eine höhere Geschwindigkeit erreicht und Benchmark-Ergebnisse verbessert. Das heisst aber im Gegenzug, dass ein Angreifer die Daten aus dem CPU-Cache unkontrolliert auslesen kann.

Weitere Infos zum Thema Meltdown und Spectre

  • http://www.handelsblatt.com/impressum/nutzungshinweise/blocker/?callback=%2Fmy%2Funternehmen%2Fit-medien%2Fbrian-krzanich-intel-chef-in-erklaerungsnot%2F20821354.html
  • https://www.heise.de/newsticker/meldung/Prozessor-Luecken-Meltdown-und-Spectre-Intel-und-ARM-fuehren-betroffene-Prozessoren-auf-Nvidia-3934667.html
  • https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
  • https://www.cert-bund.de/advisoryshort/CB-K18-0010%20UPDATE%201
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754