Spectre & Meltdown – wie schlimm ist der Angriff auf die Prozessoren?

Hardware als Angriffsziel – das ist neu für uns alle. Schwächen im Prozessordesign die schon seit vielen Jahren existieren scheinen nun zu einer dramatischen Falle für die Nutzer zu werden. Spectre und Meltdown heißen die beiden Probleme, die wir aktuell kennen. In dieser Sendung sprechen Hannes Rügheimer und Christian Spanik darüber, warum das vermutlich nur die Spitze des Eisberges ist. Woran man als normaler Nutzer erkennt ob das eigene System schon geschützt ist. Und wann vermutlich Abhilfe geschaffen wird. Ausblicke, Einblicke und aktuelle Einschätzungen. Und das alles verständlich für jeden.

Diese Sendung wurde Ende Januar als Livesendung mit Zuschauerfragen produziert. Sie war auf unserem Facebook und auf dem Youtube Kanal zu sehen.  Unser wichtigstes Ziel war ohne Panikmache und vor allem für jeden verständlich die Dinge um die es geht zu erklären. Hier die Aufzeichnung:

Wer will kann die wichtigsten Aspekte aus dem Gespräch auch hier nochmal nachlesen.

Noch ist nichts passiert außer im Labor – Spectre & Meltdown sind dennoch jetzt und langfristig gefährlich

*Noch sind keine Angriffe außerhalb von Labors bekannt
Bislang gibt es die Angriffe, die die nun bekannt gewordenen Lücken ausnutzen, nur im Labor. Doch Hannes Rügheimer rechnet fest damit, dass Exploits „in freier Wildbahn“ nicht mehr lange auf sich warten lassen werden. Updates und Patches zum Schutz der Systeme sind also unerlässlich. Doch klar ist auch schon, dass sie die Leistung der betroffenen Rechner negativ beeinflussen. Wie stark die Performancereduktion ausfällt, hängt von mehreren Faktoren ab: Welcher genaue Prozessortyp aus welcher Generation wird genutzt, welches Betriebssystem und welche Anwendungen kommen zum Einsatz? PC-Experten haben bereits festgestellt, dass insbesondere Zugriffe auf Datenbanken und Speichermedien stark leiden. Dies betrifft leider auch den Datendurchsatz von SSDs, die ja als Geheimtipp zum Rechner-Tuning gelten. Je nach Modell und Zugriffsmethode können ihre Übertragungsraten deutlich einbrechen. Performanceverluste bis zu 30 Prozent kann es im Bereich von Servern und Datenbank-Anwendungen geben. Bei Alltagsanwendungen auf Desktop-PCs wie Office, Web oder E-Mail geht man von Einbrüchen in der Größenordnung von 3 bis 5 Prozent aus.

Worin besteht die Bedrohung?

Die Sicherheitslücken basieren auf Vorhersage-Funktionen (Out-of-Order Execution, Branch Prediction), die moderne Hochleistungsprozessoren bereits seit Jahrzehnten einsetzen. Weil sich der Angriff gegen dieses grundsätzliche Architekturprinzip der Hardware richtet, handelt es um einen echten GAU (größten anzunehmenden Unfall).

Angriffe versuchen, diese Funktionen zu manipulieren, und den Rechner so auf Speicherbereiche zugreifen zu lassen, auf die er eigentlich nicht zugreifen darf. Sensible Daten, die dort liegen, sind in Gefahr: Passwörter, Schlüssel von Verschlüsselungsverfahren und vieles mehr.

Betroffen sind praktisch alle modernen IT-Geräte: Windows- und Mac-Rechner, Smartphones und Tablets, Server und Cloud-Plattformen. Allerdings muss Malware Programmcode auf dem System ausführen können – nach aktuellem Kenntnisstand sind deshalb Router, Switches und IoT-Geräte nicht bedroht.

Updates gegen Spectre & Meltdown lösen das Problem nicht – sie machen es Angreifern nur schwerer

Die Digisaurier  empfehlen: „Updaten, updaten, updaten – und zwar nicht nur die Betriebssysteme, sondern auch die Browser.“ Doch die Gegenmaßnahmen per Software können das Problem nicht komplett aus der Welt schaffen, sondern erhöhen nur die Komplexität für mögliche Angreifer.

„Es aber nun mal nicht mit einem einmaligen Update getan – die Situation läuft auf ein „Hase-und-Igel-Rennen“ hinaus.“

Hannes Rügheimer

Wirklich sicher sind eigentlich nur Geräte mit leistungsschwächeren Prozessoren, die keinen Gebrauch von den kompromittierten Vorhersage-Techniken machen.

Konkrete Tipps – wie sicher ist mein System?

Der Flachmann als Tablet-PC

Um zu testen, ob das eigene System geschützt ist, empfehlen sich spezielle Prüf-Tools. Empfehlenswert ist etwa das Freeware-Programm „Inspectre“. Den Link dazu findet man hier.

Der Sicherheits-Softwareanbieter Ashampoo bietet außerdem den „CPU Checker“ an, der Windows-Systeme auf die Empfindlichkeit gegen Spectre und Meltdown überprüft. Dazu muss man dem Programm allerdings Administrator-Rechte einräumen. Achten Sie deshalb darauf, es nur von der Website www.ashampoo.com herunterzuladen.

Etwas einfacher ist es auf Apple-Macs. Für das jüngste Betriebssystem High Sierra sollte hier das Update auf Version 10.13.3 eingespielt sein. Wer noch mit den älteren MacOS-Versionen Sierra oder El Capitan arbeitet, sollte das Sicherheitsupdate 2018-001 und die neueste Version 11.03 des Browsers Safari installiert haben.

Wie ist der Status bei Handys und Tabletts in Sachen Spectre & Meltdown

Nutzer von iPhones, iPads einem iPod Touch oder einem Apple TV sollten mindestens die iOS bzw. tvOS-Version 11.2.5 installiert haben. Für ältere Versionen seiner mobilen Betriebssysteme stellt Apple keine Sicherheitspatches gegen Spectre und Meltdown zur Verfügung.

Auf Android-Smartphones und -Tablets kommt es nicht auf die Android-Version an sondern auf den Stand des Sicherheits-Updates. Gegenmaßnahmen gegen Spectre und MeltDown bietet erstmals das Update vom 1. Januar 2018. Dieses Update lässt sich auch unter älteren Android-Versionen seit 5.1.1 installieren. Es muss aber über den Hersteller des Smartphones bzw. Tablets ausgerollt werden.

Wie geht es weiter?

Neue, sichere Prozessorgenerationen sind frühestens in zwei Jahren zu erwarten. Sicherheitsforscher gehen davon aus, dass in nächster Zeit noch weitere Lücken beziehungsweise Angriffstechniken gefunden werden, die den Prozessor attackieren. Über Updates hinaus gelten mehr denn je die üblichen IT-Sicherheitsregeln: Vorsicht vor Phishing und Malware! Vorsicht or den „dunkleren Ecken“ des Internets! Vorsicht an öffentlichen WLAN-Hotspots! Und trotz allem: Keine Panik!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.