{"id":199670,"date":"2018-01-12T08:00:08","date_gmt":"2018-01-12T07:00:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=199670"},"modified":"2018-04-09T07:53:57","modified_gmt":"2018-04-09T05:53:57","slug":"meltdown-spectre-warnung-vor-erstem-schadcode","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/01\/12\/meltdown-spectre-warnung-vor-erstem-schadcode\/","title":{"rendered":"Meltdown\/Spectre: Warnung vor erstem Schadcode"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>Bisher war unklar, wie hoch das Risiko ist, das von den zum Jahreswechsel \u00f6ffentlich gewordenen Angriffsmethoden Meltdown und Spectre ausgeht. Ist das alles nur Theorie und funktioniert h\u00f6chstens in Laborumgebungen? Oder gibt es bereits Angriffscode? Einer der Sicherheitsforscher, die an der Offenlegung und Implementierung der Angriffsmethoden Meltdown und Spectre beteiligt war, warnt jetzt: In K\u00fcrze sei davon auszugehen, dass Angriffe auf Rechner mit diesen Methoden stattf\u00e4nden.<\/p>\n<p><!--more--><\/p>\n<h2>Zum Hintergrund und zur Einordnung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/23c32a3863604865a00157fd4cd79cad\" width=\"1\" height=\"1\"\/>Seit Sommer 2017 ist Insidern bekannt, dass sich Prozessoren mit den Meltdown und Spectre benannten Angriffsmethoden manipulieren lassen. \u00d6ffentlich wird das Ganze seit dem Jahreswechsel 2017\/2018 diskutiert. <\/p>\n<ul>\n<li><a href=\"https:\/\/spectreattack.com\/spectre.pdf\" target=\"_blank\">Spectre<\/a> (<a href=\"https:\/\/web.archive.org\/web\/20180317083723\/https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-5753\" target=\"_blank\">CVE-2017-5753<\/a>, <a href=\"https:\/\/web.archive.org\/web\/20180317083730\/https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-5715\" target=\"_blank\">CVE-2017-5715<\/a>): Diese beiden Varianten unterlaufen die Isolation zwischen verschiedenen Anwendungen. Angreifer k\u00f6nnen dadurch aus Programmen den Speicher anderer Tasks auslesen und so an sensitive Informationen (Zugangsdaten etc.) herankommen. Der Angriff ist so gut wie auf allen CPUs von Intel, AMD, ARM m\u00f6glich.  <\/li>\n<li><a href=\"https:\/\/meltdownattack.com\/meltdown.pdf\" target=\"_blank\">Meltdown<\/a> (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-5754\" target=\"_blank\">CVE-2017-5754<\/a>): Diese Angriffsmethode scheint nur auf Intel CPUs\/Chips\u00e4tzen zu funktionieren und verwendet einen spekulativen Seitenangriff. Damit durchbricht der Angriff die Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff erm\u00f6glicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen.<\/li>\n<\/ul>\n<p>\u00dcber die Links lassen sich die betreffenden PDF-Dokumente abrufen. Einige Informationen finden sich auch unter <a href=\"https:\/\/meltdownattack.com\/\">meltdownattack.com<\/a>. <\/p>\n<p><a href=\"https:\/\/meltdownattack.com\/\"><img decoding=\"async\" title=\"Meltdown\/Spectre\" alt=\"Meltdown\/Spectre\" src=\"https:\/\/i.imgur.com\/EiTnfDa.jpg\"\/><\/a><br \/>(Creative Commons Lizenz) <\/p>\n<p>Diese Informationen hatte ich ja in verschiedenen Blog-Beitr\u00e4gen bereits gegeben. Die spannende Frage war: Wie realistisch diese Angriffsmethoden in der Praxis sind. Hier gab es eine ganze Bandbreite an Aussagen. Sicherheitsexperten f\u00fchrten aus, dass die Sicherheitsl\u00fccken kritisch aber teilweise nur schwer ausnutzbar seien. Tenor: Der Aufwand f\u00fcr breit angelegte Kampagnen auf viele Ger\u00e4te ist, insbesondere bei Spectre 1 und 2 so hoch, dass sich der Aufwand f\u00fcr Cyberkriminelle nicht lohne. Hier verweise ich auf die Linkliste mit Artikeln zum Thema hier im Blog (siehe Beitragsende).  <\/p>\n<p>Ging man die Berichterstattung und Kommentarlage in den letzten zwei Wochen durch, so fand man in etwa folgendes:<\/p>\n<ul>\n<li>Artikel, die das Ganze als extrem kritisch und als SuperGAU bezeichneten.  <\/li>\n<li>Artikel, die das Ganze verharmlosten und andere Berichte als Clickbait oder Sensationsmache abtaten. <\/li>\n<\/ul>\n<p>Auch hier im Blog gab es entsprechende Leserkommentar. Mein Bauchgef\u00fchl: Aktuell segeln wir so etwas in der Mitte zwischen zwei Extremen. Es ist nicht binnen 2 Stunden mit einem Exploit zu rechnen, aber wir k\u00f6nnen nicht sicher sein, dass nicht in&nbsp; einigen Wochen oder Monaten Angriffe \u00fcber genau diese Schiene stattfinden. Auf die leichte Schulter nehmen, sollte man das nicht. <\/p>\n<p>Die Software-Hersteller sowie Prozessorlieferanten haben bereits begonnen, Updates zum Abschw\u00e4chen der drei Sicherheitsl\u00fccken auszurollen. Was mir aber Kopfschmerzen bereitet, sind die Implikationen. <\/p>\n<ul>\n<li><strong>Problem 1:<\/strong> Diese Softwareupdates haben auf einigen Plattformen (Windows, Linux) arge Kollateralsch\u00e4den verursacht (die Systeme liefen anschlie\u00dfend nicht mehr).  <\/li>\n<li><strong>Problem 2:<\/strong> Die Soft- und Firmware- sowie Microcode-Updates f\u00fchren zu Leistungseinbu\u00dfen, die je nach Anwendungsszenario kaum merkbar, aber auch gravierend sein k\u00f6nnen. \u00c4ltere Betriebssysteme und Hardware ist deutlicher von Performance-Einbu\u00dfen betroffen.  <\/li>\n<li><strong>Problem 3:<\/strong> Was mir mehr Sorge bereitet, ist der Umstand, dass ein Gro\u00dfteil der benutzten Ger\u00e4te niemals solche Updates sehen wird. Stichw\u00f6rter sind nicht top aktuelle Android- und iOS-Ger\u00e4te, CPUs, die \u00e4lter als 5 Jahre sind etc. <\/li>\n<\/ul>\n<p>Und noch befinden wir uns ganz am Anfang der Patcherei und oft handelt es sich um erste Einsch\u00e4tzungen. Ich kann verstehen, dass da der eine oder andere Benutzer 'das l\u00e4sst sich nur im Labor ausnutzen, keine Panik' kommentiert. <\/p>\n<blockquote>\n<p>Als Sch\u00fcler musste ich fr\u00fch morgens so ca. 2 km mit dem Fahrrad durch Feld und Wald zur Schule radeln. Im Winter war es da arg dunkel, und wenn ich am kleinen W\u00e4ldchen vorbei kam, dort musste ich wegen einer Steigung das Rad schieben, ging mir im Alter von 6-7 Jahren die Muffe. Also habe ich laut gepfiffen \u2013 und wei\u00df heute, wie der Spruch 'Pfeifen im Wald' entstanden sein muss. Ob das aber bei Spectre und Meltdown hilft?<\/p>\n<\/blockquote>\n<p>Panik sowie hektisches Agieren hilft allerdings auch nicht weiter. Meine Vorstellung war: Ruhe bewahren, verfolgen, was passiert und Updates, sofern m\u00f6glich und funktionsf\u00e4hig zeitnah einspielen. Und Vorsicht walten lassen, was man sich so per Internet auf die Ger\u00e4te holt. Das Spectre, was ja auf vielen Ger\u00e4ten mit diversen CPUs funktionieren soll, nicht so ganz trivial ausnutzbar ist, zeigen ja die Diskussionen hier im Blog zu den von mir in den Blog-Beitr\u00e4gen <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/test-ist-mein-browser-durch-spectre-angreifbar\/\">Test: Ist mein Browser durch Spectre angreifbar?<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/10\/tipp-test-mit-dem-ashampo-spectre-meltdown-cpu-checker\/\">Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker<\/a> vorgestellten Schnelltests. Diese geben zwar einige Hinweise, scheinen aber nicht so wirklich zuverl\u00e4ssig. <\/p>\n<h2>Eine konkrete Warnung aus berufenem Munde<\/h2>\n<p>Das neue Jahr ist noch keine 2 Wochen alt, da meldet sich einer der Entdecker der Sicherheitsl\u00fccke zu Wort. Anders Fogh vom Sicherheitsanbieter GData hat entscheidend zum Nachweis, dass Meltdown und Spectre wirklich funktionieren (im Verbund mit weiteren Forschern), beigetragen. Dies zur Einordnung, denn Fogh kennt nicht nur die Grundlagen der Angriffe sondern hat durch seine Arbeit auch einen guten Einblick in die konkrete Bedrohungslage durch die Malware-Szene. <\/p>\n<p>heise.de weist <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Meltdown-und-Spectre-Mitentdecker-warnt-vor-erstem-Schadcode-3939576.html\" target=\"_blank\">hier<\/a> auf ein Interview mit Anders Fogh hin, welches bei <a href=\"https:\/\/www.gdata.de\/blog\/2018\/01\/30334-meltdown-spectre-interview-mit-anders-fogh\" target=\"_blank\">GData ver\u00f6ffentlicht<\/a> wurde. Gefragt, wie wahrscheinlich es sei, dass wir demn\u00e4chst Malware entdecken, die Meltdown und Spectre nutzt, antwortete Anders Fogh:<\/p>\n<blockquote>\n<p><i>Es ist ziemlich wahrscheinlich, dass wir in K\u00fcrze Malware sehen werden, die die Meltdown-Sicherheitsl\u00fccke nutzen. Es kursieren bereits Proof-of-Concept-Codes sowie funktionierender Exploit-Code im Internet. <\/i><\/p>\n<\/blockquote>\n<p>Er verweist darauf, wie wichtig es sei, die verf\u00fcgbaren Updates zu installieren und gef\u00e4hrdete Systeme gegen diese Art von Angriffen zu h\u00e4rten. Allerdings hatte ich oben darauf hingewiesen, dass das auf manchen Ger\u00e4ten, mangels (funktionierender) Updates, recht schwierig bis unm\u00f6glich sein wird. Welche Ma\u00dfnahmen verf\u00fcgbar sind, habe ich im Blog ja behandelt (siehe Linkliste am Artikelende). Auch <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html\" target=\"_blank\">diese Seite<\/a> der Kollegen von heise.de gibt einen guten \u00dcberblick.<\/p>\n<p>Eine etwas positivere Einsch\u00e4tzung hat Fogh denn doch noch f\u00fcr uns gebeutelte Anwender in Petto. Seine Einsch\u00e4tzung zur Spectre-Methode, die ja auf vielen CPUs diverser Hersteller funktioniert und sich sogar aus einem Browser per JavaScript ausnutzen l\u00e4sst:<\/p>\n<blockquote>\n<p>Spectre ist deutlich komplizierter und nicht so einfach auszunutzen. Es wird sicher etwas l\u00e4nger dauern, bis Spectre in Malware genutzt wird.<\/p>\n<\/blockquote>\n<p>Mit anderen Worten: Da haben wir also noch etwas Aufschub gew\u00e4hrt bekommen. Aussitzen d\u00fcrfte aber keine Option sein. <\/p>\n<h2>K\u00f6nnen die Schwachstellen gefixt werden?<\/h2>\n<p>Im Interview geht Fogh auch auf die Frage ein, ob und wie effizient die CPU-Hersteller sowie die Betriebssystementwickler die Probleme fixen k\u00f6nnen und wie hoch der Aufwand ist. Da die Hersteller der CPUs eine gro\u00dfe Palette an Modellen mit unterschiedlichen Systemarchitekturen und Spezifikationen vorhalten, ist der Aufwand zum Fixen recht gro\u00df. Aber das hat auch etwas positives, wie Fogh zitiert wird:<\/p>\n<blockquote>\n<p>Es ist sehr unwahrscheinlich, dass es einen universellen Angriffscode geben wird, der auf allen Plattformen l\u00e4uft. Der Teufel steckt im Detail. Um effektiven Exploit-Code zu schreiben, der auf mehreren CPU-Modellen l\u00e4uft, muss sehr Aufwand betrieben werden. Zus\u00e4tzlich m\u00fcssen die Exploit-Codes an die anvisierten Betriebssysteme angepasst werden. <\/p>\n<\/blockquote>\n<p>Auch diese Einsch\u00e4tzung ist nachvollziehbar. Andererseits hei\u00dft dies nicht, dass es jemandem nicht doch gelingt, solchen Angriffscode zu schreiben. Bisher wissen die Sicherheitsforscher, dass mit Meltdown und Spectre Informationen gestohlen werden k\u00f6nnen, die gerade in der CPU verarbeitet werden. Fogh geht aber davon aus, dass weitere Angriffsszenarien entdeckt werden (die Analysen der CPUs stehen erst ganz am Anfang, bisher konzentrierten sich Sicherheitsforscher auf Betriebssysteme und Software).<\/p>\n<h2>Angriffsszenarien, mit denen man rechnen sollte<\/h2>\n<p>Spannend ist die Aussage von Fogh im Hinblick auf Angriffsszenarien. Er f\u00fchrt aus, dass man sich vorstellen kann, welche Angriffe es auf Desktop-PCs, Notebooks und Smartphones geben kann. Ziel d\u00fcrfte das Abgreifen von Anmeldedaten sein. Fogh warnt aber, dass es auch einige weniger offensichtliche Angriffsszenarien g\u00e4be, mit denen IT-Sicherheitsverantwortliche rechnen m\u00fcssen. Er f\u00fchrt folgendes aus:<\/p>\n<blockquote>\n<p>Hochleistungs-CPUs werden in vielen Ger\u00e4ten verwendet, sowohl im Bereich von Spielen und Unterhaltungselektronik als auch in industriellen Einsatzbereichen. Je leistungsf\u00e4higer eine CPU ist, desto wahrscheinlicher ist sie von Angriffen bedroht. <\/p>\n<\/blockquote>\n<p>Sein folgendes Statement ist zwar im gegebenen Kontext nachvollziehbar und klingt auch logisch: <\/p>\n<blockquote>\n<p>Andererseits agieren Angreifer nach \u00f6konomischen Prinzipien. Mit Meltdown und Spectre lassen sich Informationen stehlen. Es ist allerdings nicht profitabel von allen m\u00f6glichen Ger\u00e4ten Daten zu sammeln, die sp\u00e4ter nicht verwertet und zu Geld gemacht werden k\u00f6nnen. <\/p>\n<p>In vielen F\u00e4llen ist der hohe Aufwand f\u00fcr nutzlose Daten nicht gerechtfertigt. In F\u00e4llen wie Routern und Firewalls k\u00f6nnte das dennoch lukrativ sein.<\/p>\n<\/blockquote>\n<p>Speziell im Kernel abgegriffene Informationen k\u00f6nnten von Malware aber zum Angriff auf das System verwendet werden. Hier sind die M\u00f6glichkeiten nach oben offen. Und was Fogh hier nicht auf dem Radar hat: Sobald erste Bauk\u00e4sten in Untergrundforen gehandelt werden, d\u00fcrfte es f\u00fcr Script-Kiddies eine Herausforderung sein, zu zeigen, was geht. Wir haben ja bereits einige heftige Angriffswellen auf IoT-Ger\u00e4te zum Einrichten von Botnetzen in den letzten zwei Jahren gesehen. Vorher hatte das auch niemand auf dem Radar. <\/p>\n<p>Bei Interesse lassen sich weitere Ausf\u00fchrungen <a href=\"https:\/\/www.gdata.de\/blog\/2018\/01\/30334-meltdown-spectre-interview-mit-anders-fogh\" target=\"_blank\">hier<\/a> nachlesen. Ich sage es mal so: Wir werden uns mit dem Thema auch in Zukunft besch\u00e4ftigen. <\/p>\n<p><strong>\u00c4hnliche Artikel<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/03\/sicherheitslcke-bug-in-intel-cpus-bedroht-betriebssysteme\/\">Sicherheitsl\u00fccke: Bug in Intel CPUs bedroht Betriebssysteme<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/04\/meltdown-und-spectre-was-windows-nutzer-wissen-mssen\/\">Meltdown und Spectre: Was Windows-Nutzer wissen m\u00fcssen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-2\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 2<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/09\/meltdown-spectre-leistungseinbuen-durch-patches\/\">Meltdown\/Spectre: Leistungseinbu\u00dfen durch Patches<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/07\/bringen-meltdown-spectre-die-tech-industrie-ans-wanken\/\">Bringen Meltdown\/Spectre die Tech-Industrie ans wanken?<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/spectre-meltdown-check-in-linux\/\">Spectre\/Meltdown-Check in Linux<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/test-ist-mein-browser-durch-spectre-angreifbar\/\">Test: Ist mein Browser durch Spectre angreifbar?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/10\/tipp-test-mit-dem-ashampo-spectre-meltdown-cpu-checker\/\">Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/07\/windows10-update-kb4056892-killt-amd-systeme-error-0x800f0845\/\">Windows10: Update KB4056892 killt AMD-Systeme (Error 0x800f0845)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/09\/windows7-update-kb4056894-macht-probleme-0x000000c4\/\">Windows 7: Update KB4056894 macht Probleme (0x000000C4)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/09\/windows-updates-kb4056892-kb4056894-etc-fr-amd-temporr-zurckgezogen\/\">Windows Updates (KB4056892, KB4056894 etc.) f\u00fcr AMD tempor\u00e4r zur\u00fcckgezogen<br \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bisher war unklar, wie hoch das Risiko ist, das von den zum Jahreswechsel \u00f6ffentlich gewordenen Angriffsmethoden Meltdown und Spectre ausgeht. Ist das alles nur Theorie und funktioniert h\u00f6chstens in Laborumgebungen? Oder gibt es bereits Angriffscode? Einer der Sicherheitsforscher, die an &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/12\/meltdown-spectre-warnung-vor-erstem-schadcode\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-199670","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199670"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199670\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}