Globale Sicherheitslücken: Meltdown und Spectre gefährden Daten von Millionen Geräten

Meltdown und Spectre – diese apokalyptisch klingenden Namen bedeuten tatsächlich nichts Gutes. Umfassende Sicherheitslücken wurden in Massen von Geräten weltweit aufgedeckt. Inzwischen haben Forscher auch die Attacken Meltdown und Spectre beschrieben: sie könnten unter anderem zum Verlust von Passwörtern und anderen sensiblen Daten führen.

Attacke: Meltdown und Spectre könnten gefährlich werden, aber …

Bislang gibt es keine Hinweise darauf, dass es tatsächlich einen Datenklau in größerem Umfang gegeben hat. Und die Sicherheitslücken, die am Mittwoch veröffentlicht wurden, sind bereits seit einiger Zeit bekannt. Seitdem arbeiten Unternehmen wie Intel oder AMD daran, ihre Prozessoren gegen diese Probleme zu rüsten.

Denn das Problem selbst liegt bei den Prozessoren und ist deshalb so relevant. Die Süddeutsche Zeitung geht gar davon aus, dass Milliarden von Geräten – PCs, Laptops, Smartphones usw. – betroffen sein könnten. Dieser Annahme schließen sich die FAQs auf der offiziellen Seite zu den Attacken an. Dort heißt es:

Am I affected by the bug?

Most certainly, yes.

Die Grazer TU informiert dort über die Angriffe, die auf den Sicherheitslücken basieren, und stellt entsprechende wissenschaftliche Informationsunterlagen zur Verfügung. Es heißt etwa zu Meltdown:

Meltdown

Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.

Aber auch der Sicherheitssupport von Intel, Microsoft, Google, ARM etc. wird aufgelistet. Wichtiger jedoch, es werden weitere Fragen beantwortet, die vielen Nutzern angesichts der Meldungen unter den Fingernägeln brennen dürften. Demnach wissen die Forscher nicht, ob es zu einer Ausnutzung der Attacken gekommen ist. Dennoch könnte ein erfolgreicher Datenklau verheerend sein:

What can be leaked?

If your system is affected, our proof-of-concept exploit can read the memory content of your computer. This may include passwords and sensitive data stored on the system.

Was genau passiert und wie kann ich mich schützen?

Eine Technik, die sich speculative execution nennt, erlaubt Prozessoren, Daten abzurufen, ehe sie verwendet werden, damit es zu keinen Verzögerungen mehr kommt. An dieser Stelle können Daten aus dem Systemkern ausgelesen werden, wie bereits Anders Fogh ahnte. So beinhaltet die Attacke Spectre folgendes Vorgehen:

Spectre attacks involve inducing a victim to speculatively perform operations that would not occur during correct program execution and which leak the victim’s confidential information via a side channel to the adversary.

Damit verdient sie ihren Namen. Bei Meltdown hingegen werden Sicherheitsgrenzen des Systems aufgeweicht, sodass Datenklau möglich wird. Das wird vor allem dann zu einem sehr großen Problem, wenn auf Serverchips viele Daten zusammenlaufen, meint die WELT.

Die konkreten und komplexen Verfahren bei den Attacken sind in den Abhandlungen der Forscher beschrieben. Betroffen sind nicht nur sämtliche Arten von Geräten, sondern besonders solche, die Prozessoren von Intel, AMD oder ARM beinhalten. Zudem wurde angegeben, dass auch Cloud Provider mit CPUs von Intel und Xen PV betroffen sein könnten. Aber es gibt bereits Sicherheitsupdates vonseiten Intels usw. Ob ein Antivirensystem Malware, die solche Lücken ausnutzt, aufdecken kann, bleibt fraglich. Berichten zufolge sind auch Cloud-Dienste bei Amazon, Google und Microsoft abgesichert worden.

Updates zur Sicherheit der Prozessoren dürften diese verlangsamen, jedoch nur um wenige Prozent der Leistung.

Intel meldet sich zu Wort

Intel hat in einem Statement selbst klargestellt, dass Berichte, nach denen die Sicherheitslücken ausschließlich bei ihren Produkten aufgetreten wären, falsch seien. Hier wird wiederum bestätigt, dass Updates in Arbeit seien und die Leistung nur geringfügig beeinflussen würden.

Intel has begun providing software and firmware updates to mitigate these exploits. Contrary to some reports, any performance impacts are workload-dependent, and, for the average computer user, should not be significant and will be mitigated over time.

Den Aussagen dieses Statements zufolge ist die bestmögliche Sicherheit für jegliche Kunden des Unternehmens gewährleistet. Eigentlich wollten die Forscher und betroffenen Unternehmen erst am neunten Januar mit ihrer Entdeckung an die Öffentlichkeit gehen; Gerüchte hatten jedoch dazu geführt, dass Meltdown und Spectre bereits gestern in die Medien kamen.

Und was geschieht nun?

Da es bereits im Juni Hinweise gegeben hatte, sind die Überarbeitungen der Sicherheitsvorkehrungen weit fortgeschritten. Die Nutzer selbst können nicht ganz sicher sein, ob sie Opfer von Attacken geworden sind.

Um sich bestens dagegen zu schützen, sollten jedenfalls alle (Sicherheits-)Updates des Browsers und Betriebssystems durchgeführt werden. Und ein besonderes Augenmerk sollte auf verdächtigen Downloads liegen. Allerdings lässt sich darüber hinaus nur hoffen, dass die sensiblen Daten wie Passwörter nicht aus Passwortmanagern entwendet worden sind oder werden.

Um sich weitergehend und im Detail über Spectre und Meltdown zu informieren, sei auf die Ausführungen der Experten zu diesem Thema verwiesen. Diese bieten auch eine Ansicht von Meltdown in Aktion.