Zuerst schien nur Intel mit Meltdown einen Prozessor-Bug zu haben. Doch mit Spectre scheint die ganze IT-Industrie - egal ob Intel, IBM Power Family, AMD, ARM oder Apple - ein Security-Problem zu haben. Und für die Anwender - speziell Cloud-Nutzer - könnte es teuer werden, denn es drohen Performance-Einbußen. [...]
Beim Frankfurter Systemhaus QGroup GmbH spekuliert man bereits darüber, ob Spectre und Meltdown als Super-GAU in die IT-Geschichte eingehen. Nach Angaben der Frankfurter arbeiten Angreifer seit der Bekanntgabe bereits unter Hochdruck an der Ausnutzung dieser Lücken. Diese Sicherheitslücken erlauben es, unbemerkt Daten aus dem Speicher eines Rechners auszulesen. Zudem ist es möglich, in virtualisierten Umgebungen aus einem Gastsystem auszubrechen und auf Daten im Speicher sowohl des Hosts als auch anderer Guests zugreifen zu können. Dies ist insbesondere für Cloud-Dienste, die auf geteilten Systemen die Daten vieler Kunden verarbeiten, ein fundamentales Problem.
Entdeckt wurden die Sicherheitslücken bereits im Juni 2017. Sie wurden aber unter Verschluss gehalten, um den Herstellern Zeit für die Entwicklung von Patches zu geben. Allerdings war es nicht alleine das viel zitierte Google Project Zero, das den Fehler entdeckte. Meltdown wurde zudem noch von Cyberus Technology sowie einem Team der TU Graz entdeckt. Spectre ist wiederum neben dem Google Project Zero von einem internationalen Team unter Leitung von Paul Kocher sowie Daniel Genkin (University of Pennsylvania and University of Maryland), Mike Hamburg (Rambus), Moritz Lipp (Graz University of Technology), und Yuval Yarom (University of Adelaide and Data61) entdeckt worden.
In der jetzigen Diskussion um die Chip-Fehler muss genau zwischen den beiden Angriffsvarianten Spectre und Meltdown unterschieden werden. Während Spectre voraussichtlich alle modernen CPUs betrifft, ist Meltdown bislang nur eine Gefahr für alle Intel-Prozessoren (mit Ausnahme von Itanium und Atom vor 2013) seit 1995. Allerdings ist Vorsicht geboten, wenn etwa AMD behauptet, seine Prozessoren seien von diesem Fehler nicht betroffen. Die Forscher der Universität Graz teilen auf der Website Meltdownattack.com hierzu lediglich mit, dass es momentan unklar sei, ob ARM- oder AMD-CPUs davon betroffen seien. Man habe Meltdown nur auf diversen Intel-Prozessor-Generationen, die seit 2011 erschienen sind, getestet.
Vereinfacht ausgedrückt, bricht Meltdown den Mechanismus, der Anwendungen davon abhält, auf beliebigen Systemspeicher zuzugreifen. Somit können Anwendungen auf den Systemspeicher zugreifen und andere Daten wie Passwörter etc. lesen. Interessierte Leser, die tiefer in die technische Diskussion einsteigen wollen, finden in der Abhandlung Meltdown genauere Angaben. In diesem Papier diskutieren die Forscher explizit noch einmal die Gefahren, die in der Cloud drohen – besonders, wenn der Cloud Service Provider nicht vollständig virtualisiert. Als besonders gefährlich erachten die Forscher in diesem Zusammenhang Container-Lösungen wie Docker, LXC oder OpenVZ.
Anders als bei Meltdown betrifft Spectre fast alle Systeme. Dieses Angriffsverfahren wurde auf Prozessoren von Intel, AMD sowie ARM erfolgreich getestet. Ferner räumt IBM ein, dass die Prozessoren der Power-Familie betroffen seien. Vereinfacht ausgedrückt, trickst Spectre andere Anwendungen aus, um auf beliebige Stellen in deren Speicher zuzugreifen. Forscher gehen auch hart mit dem Performance-Wahn der IT-Industrie zur Gericht: Diese einseitig Fokussierung auf die Leistungsoptimierung habe erst zu diesen Risiken geführt. Zudem glauben sie, dass uns Spectre noch länger beschäftigen wird, denn eine echte Lösung erfordere eine Umkehr von den bisherigen Designkriterien von Hard-und Software.
Unter strengster Geheimhaltung wurden zunächst nur die betroffenen Hersteller eingeweiht, um frühzeitig agieren zu können. Seit Juni 2017 arbeiteten sie vertraulich an einer softwarebasierten Lösung zusammen mit den verschiedenen Betriebssystemherstellern. So hat Microsoft – entgegen der ursprünglichen Absicht, bis zum monatlichen Patch-Dienstag zu warten – jetzt als Notfall-Update das kumulative Update KB4056892 veröffentlicht. Apple soll bereits mit einem früheren Update den Bug bei MacOS zum Teil geschlossen haben. Weitere Fixes sollen mit dem Update 10.3.3 folgen. Ebenso gab es bereits Updates für diverse Linux-Systeme. Auch Google hat seine verschiedenen Systeme bereits gepatcht und nach eigenen Angaben ein entsprechendes Security-Update für Android bereits im Dezember den Smartphone-Herstellern zur Verfügung gestellt. Details zu den verschiedenen Sicherheitspatches hat Google hier veröffentlicht. IBM verspricht in seinem Blog Firmware-Patches für die POWER7+-, POWER8- sowie POWER9-Plattformen. Diese sollen, ebenso wie ein Linux-Patch, ab dem 9. Januar verfügbar sein. Patches für AIX und das i-Betriebssystem sollen dann am 12. Februar folgen. Ein Update zum Stopfen der Spectre-Lücke hat Mozilla für Firefox veröffentlicht. Zudem geben die Cloud Provider Amazon AWS, Google und Microsoft an, dass sie ihre Cloud-Systeme bereits gepatcht hätten.
Egal, ob Spectre und Meltdown in der Praxis einfach zu nutzen sind oder nicht, Anwender sollten IT-Systeme vorerst kritisch beäugen und auf alle Fälle die bereitgestellten Patches einspielen. Allerdings bleibt abzuwarten, ob wirklich jedes System ein Update erhält. Gerade mit Blick auf das Security-Bewusstsein vieler IoT-Hersteller in der Vergangenheit ist hier wenig Optimismus angebracht. Interessant dürfte auch sein, wie so mancher Smart-Home-Anbieter auf diesen Design-Fehler der Chips reagiert. Anwender sollten zudem darauf achten, für welche der Sicherheitslücken (Meltdown oder Spectre) die Patches sind. Verallgemeinert ausgedrückt: Meltdown wird eher auf Betriebssystemebene gepatcht, während für Spectre eher Fixes auf Anwendungsebene (etwa Browser) üblich sind.
Unabhängig davon wird im Internet berichtet, dass die Sicherheits-Patches die Systeme verlangsamen würden. Ein Darstellung, der Intel widerspricht. Danach werde der normale User keine Performance-Einbußen verspüren. Wie so oft liegt die Wahrheit in der Mitte. Während etwa Gaming-Plattformen zu dem Ergebnis kommen, dass sie keine oder lediglich Performance-Einbrüche von bis zu zwei Prozent gemessen hätten, kommen andere Seiten zu deutlich schlechteren Ergebnissen. Besonders bei Datenbanklösungen soll die Performance in die Knie gehen. Manche Quellen sprechen von Einbußen von bis zu 30 Prozent.
Be the first to comment