Aktuelles

Security-Supergau in der IT-Welt

Security-Supergau in der IT-Welt. Spectre und Meltdown heißen die beiden Sicherheitslecks, die letztes Jahr von verschiedenen Forschungsinstituten und maßgeblich von Googles hauseigener Security-Abteilung aufgedeckt wurden. Ein Bug im Allerheiligsten ermöglicht es Dritten, Daten aus dem privaten Kernel Memory des Prozessors abzugreifen.

Bisher wurden für Hackerangriffe meist Unzulänglichkeiten von Software und Betriebssystemen ausgenutzt, mit Spectre und Meltdown sind hingegen Angriffsszenarien auf Hardware-Ebene möglich, konkret: Via CPU. Und das gleich in ganz verschiedenen Prozessortypen dreier führender Hersteller. Damit ist nicht nur ein Programm oder eine Tool-Chain betroffen, sondern alle Programme und Systeme, die den Prozessor nutzen. Betroffen sind nicht nur Windows-Systeme, auch MacOS, Linux und Android können kompromittiert werden.

Es ist belanglos, ob es sich um einen nagelneuen Server, ein betagtes Laptop, ein Smartphone oder gar einen internetfähigen Fernseher handelt - die Sicherheitslücke betrifft nahezu alle Geräte mit einem bestimmten Prozessorentyp, die in den letzten zehn Jahren vom Fließband gekommen sind. Und damit sind auch Cloud-Dienste wie AMazon EC2, Google oder Azure betroffen, weil auch deren Serverfarmen mit handelsüblicher Hardware ausgerüstet sind. Die üblichen Detektoren, Security- und Anti-Viren-Tools können mögliche Angriffe meist nicht erkennen.

Durch die Ausnutzung von Spectre und Meltdown lassen sich jegliche Informationen aus dem Datenfluss abgreifen, einschließlich Passwörter, Zertifikate und Sicherheitsschlüssel. Selbstverständlich lässt sich - über Umwege - auch Schadcode jeder Coleur auf die betroffenen Rechner schleusen, beispielsweise indem eine vom Angreifer kontrollierte Website aufgerufen wird. Im Google Security Blog und beim Project Zero (den Entdeckern des Lecks) sind die Szenarien hinreichend beschrieben. Wie das alles funktioniert, wird im Video Meltdown in action erschreckend deutlich gezeigt.

Zwar haben die ersten Hersteller bereits Software-Updates für beide Schwachstellen zur Verfügung gestellt, doch für eine Entwarnung scheint es zu früh. Wie wir alle wissen, werden viele Unternehmen die angebotenen Updates nicht oder nur unzureichend einspielen - sei es aus Unkenntnis, aus Zeitmangel oder aus Nachlässigkeit. Auch sollen die eingespielten Patches für einen enormen Performance-Verlust der Hardware sorgen.

Die Hersteller der anfälligen Prozessoren wie Intel, Apple oder ARM haben bisher keinerlei Anstalten gemacht, ihre fehlerhafte Hardware auszutauschen - das erinnert zunächst frappierend an den VW-Abgasskandal. Aber wie auch, praktisch sind ein Großteil aller in den letzten 10 Jahren hergestellten CPUs betroffen, die weiß der Teufel wo verbaut sind. Und so müssen nunmehr zahlreiche Experten in Sicherheitsfirmen und Software-Entwickler weltweit dafür sorgen, die entstandenen Scheunentore durch Softwaremechanismen zu schließen.

Inwieweit Hacker und Geheimdienste die Sicherheitlücken kannten und bereits für ihre Zwecke genutzt haben, bleibt weitgehend im Dunkeln. Konkrete Angriffe wurden zwar bisher nicht beschrieben - aber alleine beim Gedanken daran bekommen nicht nur IT-Fachleute eine Gänsehaut. Und jetzt, da die Schwachstellen bekannt geworden sind, werden die bösen Buben erst recht versuchen, sich Zugriff auf fremde Geräte zu verschaffen.

Was kann ich dagegen unternehmen?

• Installieren Sie alle aktuellen Updates für Ihre laufenden Systeme - insbesondere die, die mit dem Internet verbunden sind!
• Kontrollieren Sie sowohl Ihre Desktop-Geräte als auch Notebooks, Tablets, Smartphones - und natürlich auch Server, NAS etc.
• Folgen Sie den Präventionshinweisen der Hersteller!

Welche CPUs sind betroffen?

• Intel Xeon E5-1650 v3 @ 3.50GHz ("Intel Haswell Xeon CPU")
• AMD FX-8320 Eight-Core Processor ("AMD FX CPU")
• AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G ("AMD PRO CPU")
• ARM Cortex A57 Core in einem Google Nexus 5x ("ARM Cortex A57")

Es gilt als sicher, das auch weitere/andere Prozessoren betroffen sind.

10.01.2018