Speculative Store Bypass Google und Microsoft melden neue Chip-Sicherheitslücke

Eine neue Sicherheitslücke bedroht PC-Prozessoren. Intel arbeitet an einem Patch, doch der wird Leistung kosten - außer man schaltet ihn ab.

Intel-Logo
REUTERS

Intel-Logo

Von


Schon wieder warnen Computerexperten vor einer Sicherheitslücke in Mikroprozessoren. Eine neue Variante der seit Januar als Spectre und Meltdown bekannten Schwachstellen bedroht Millionen von Computern, meldet der Chip-Hersteller Intel gemeinsam mit Microsofts Security Response Center (MSRC) und Googles Project Zero.

Die neue Schwachstelle wird von Intel als Variante 4 bezeichnet. Sie folgt damit auf die bereits bekannten Sicherheitslücken Spectre, Meltdown und Spectre Next Generation. In einer Warnung des US-amerikanischen Computer Emergency Response Team (CERT) wird die Schwachstelle als "Speculative Store Bypass" bezeichnet. Die Lücke auszunutzen, sei eher schwierig.

Grundsätzlich ist das Gefahrenpotenzial des "Speculative Store Bypass" aber ebenso groß wie das der bisher bekannten Angriffe. Fremde könnten die Schwachstelle nutzen, um geheime Daten, wie beispielsweise Passwörter und Krypto-Schlüssel, aus geschützten in ungeschützte Speicherbereiche zu kopieren. Von dort aus können die Angreifer sie dann abgreifen. Neben Intel-Chips sind auch Chips von AMD und ARM von dem Problem betroffen.

Kleiner Leistungszuwachs, großes Gefahrenpotenzial

Wie schon die unter den Oberbegriffen Spectre und Meltdown bekannten Sicherheitslücken hängt auch die neue Variante 4 mit der "Speculative Execution" zusammen, einer Technik, die Prozessoren schneller machen soll. Hierbei werden gerade ungenutzte Prozessorressourcen dazu verwendet, die wahrscheinlich als nächstes gebrauchten Arbeitsschritte schon vorab auszuführen.

Weil das nicht immer klappt, da oft doch andere Funktionen als die von der Logik des Chips erwarteten abgerufen werden, bringt diese Technik zwar nur einen geringen Leistungsgewinn. Da es aber immer schwieriger wird, die Performance von Silizium-Prozessoren zu steigern, wird sie dennoch seit vielen Jahren in allen gängigen Prozessoren eingesetzt.

Prozessor-Primus Intel hatte sich gleich nach dem Bekanntwerden von Spectre und Meltdown bemüht, die Probleme mit der Technik kleinzureden, etwa auf der Hightech-Messe CES in Las Vegas. Dort sagte Intel-Chef Brian Krzanich, man habe keine Hinweise darauf, dass Meltdown und Spectre schon bei irgendeinem Kunden zu Datenverlusten geführt hätten.

Zudem erging er sich in Plattitüden wie "Sicherheit ist unsere Nummer Eins" und verwies auf Updates, mit denen Betriebssystemhersteller das Problem eingrenzen wollten. Nur wenig später freilich warnte Intel selbst vor Problemen, die diese Updates bereiten konnten und empfahl, mit deren Installation noch zu warten.

Überdies wurde schnell klar, dass die Updates nicht ohne Leistungseinbußen daherkommen. Anfangs war von bis zu zehn Prozent die Rede, später von nur zwei Prozent. Ein klares Bild zeichnet sich hier nicht ab.

Lieber sicher oder lieber schnell?

Ähnliches gilt für die Patches, die Intel nun für die Variante 4 vorbereitet. Die Betaversion eines sogenannten Microcode-Updates sei bereits an PC- und Betriebssystemhersteller ausgeliefert worden, heißt es. Intel-Managerin Leslie Culbertson schreibt, man gehe davon aus, dass entsprechende Software-Updates für Endkunden innerhalb der kommenden Wochen bereitstehen.

Ohne Performance-Einbußen werden aber auch die neuen Updates nicht funktionieren. Intel selbst habe auf Computern mit dem Patch um zwei bis acht Prozent weniger Leistung gemessen, sagt Culbertson. Aber das müsse man nicht hinnehmen, schließlich - das ist neu - habe man als Anwender bei diesem Patch die Option, ihn abzuschalten. Dann gäbe es gar keine Leistungseinbußen.

Dass das Abschalten vertretbar sei, suggeriert die Managerin in einem anderen Satz, in dem es heißt, Intel seien keine Berichte bekannt, wonach die Sicherheitslücke bereits ausgenutzt worden ist. Intel zufolge ist es für potenzielle Angreifer sehr schwierig, einen "Speculative Store Bypass" erfolgreich einzusetzen, da die meisten Browserhersteller ihre Software bereits nach Bekanntwerden von Spectre und Meltdown im Januar abgesichert hätten.

Was Sie über Spectre und Meltdown wissen sollten


insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
Ein_denkender_Querulant 22.05.2018
1. Verkaufsförderung
Und so werden die alten CPUs vor Haswell (ab 2013) so langsam und uninteressant, z.T. auch, weil es keine neuen Sicherheitsupdats geben wird, dass der Rubel für die Verursacher der Skandale durch jahrelanges totschweigen bekannter Lücken, rollen wird. So geht Kapitalismus, indem man mit den eigenen fehlerhaften Produkten doppelt reich wird.
dbeck90 22.05.2018
2. So intelligent muss man reinlegen können
Da Obsoleszenz nicht mehr zieht, der Markt gesättigt ist und keiner mehr was „schnelleres“ braucht, weil er es eh nicht merkt.... baut man einfach einen Prozessor schneller als er eigentlich sein kann, und macht ihn dann über „sicherheitsupdates“ wieder langsamer. Kein Einziges mal mein Iphone 5 geupdated. Immer 100% flüssig. Dann einmal versehentlich ein update geladwn und ca. 90% langsamer. statt sofort war jeder Tastenanschlag knapp 2 sekunden verzögert. Hab jetzt billig ein nie geupdatetes 6S geholt, und werde mich hüten, es je wieder zu updaten....
shardan 22.05.2018
3. Klasse
Man kauft einen teuren Prozessor, um Leistung zu bekommen. Die Sicherheitslücken, mittlerweile eine ganze Sammlung, werden mit Patches umgangen (und nicht etwa behoben!), die jedes für sich ein bisschen Leistung kosten. Alles zusammen kann in bestimmten Anwendungsfällen allerdings deutlich Leistung kosten, hier mogelt Intel ein wenig, indem immer nur ein einzelner Patch angegeben wird. Intel stellt uns - mit Verlaub- rotzfrech vor die Wahl, man könne ihn ja abschalten, sprich: unischer oder langsam. Für Prozessoren, die älter als 3..4 Jahre sind, gibts es - nichts. Selbst wenn Intel noch ein Microcode-Update herausbringt, ist es schon sehr fraglich, ob Mainboardhersteller und Betriebssystembuden das für ältere Systeme noch integrieren - die meisten interessieren die älteren Systeme einen feuchten Kehricht. Kunde hat gefälligst ein neueres System zu haben. Heute sind diemeisten PC's und Server im Firmeneinsatz auf eine Laufzeit von 3..4 Jahren veranlagt - daran scheint man sich zu orientieren. Von den Unternehmen droht auch die größte Gefahr einer Schandenersatzklage. Auf der Strecke bleibt, wie bei den Konzernen zumeist, der private Kunde und das kleine oder mittelständische Unternehmen. Schadenersatz? Da wird einem höhnisch gesagt, es sei doch gar kein Schaden entstanden, es sind doch keine Daten abhanden gekommen - bis jetzt. Würden wir als KMU vorzeitig alle Server und PC's tauschen, die betroffen sind und bisher keine Updates bzw keine neue Firmware erhalten haben.... es wäre eine sechsstellige Summe, die da vorzeitig fällig würde ... kein Schaden? Leider ist die Debatte theoretisch: Intel ist so wenig wie sein Mitbewerber AMD ind er Lage, fehlerfreie Prozessoren anzubieten. Die schnell aufeinander folgenden Generationen sind Verfeinerungen bestehender Prozessorstrukturen und täuschen etwas über Entwicklungszeiten hinweg. Die Behebung von Spectre etc setzt ein zumindest teilweises Neudesign der Prozessorstruktur voraus... das dürfte vorsichtig geschätzt eingie Jahre in Anspruch nehmen. Letztlich bedeutet das im Klartext: Entweder man bleibt beim alten PC - potentiell doch recht unsicher. Oder man kauft einen neuen PC - immer noch potentiell unsicher, aber unter Leistungsverlust bedingt patchbar. Ob die Patches überhaupt fehlerfrei funktionieren, ist fraglich, MS hat im letzten großen Update 1803 die Patche wieder zurückgezogen. .. In 4..6 Jahren kann mann dann vielleicht (!) Prozessoren kaufen, die die Hardwarelücke nicht mehr haben. Bis jetzt gab es keine Schäden.... Mit dieser Aussage mauert Intel schon mal gegen möglichen Schadenersatz, sollte doch etwas passieren. Ich warte immer noch auf die Sammelklage in den USA......
st.esser 22.05.2018
4. Keine Panik
Wenn ich die bisherigen Beiträge lese, dann gewinne ich den Eindruck dass man den Prozessorherstellern vorwirft, leichtfertig die Sicherheit aller Computer riskiert zu haben und jetzt auf einen Austausch wegen nicht zu verantwortender Risiken oder Leistungseinbußen zu hoffen. Tatsächlich sind die Schwachstellen real, aber für die meisten Nutzer von privaten Systemen oder von Firmenrechnern wenig relevant. Wirklich problematisch sind sie für Cloud-Betreiber, die jedem Kunden einen "virtuellen" Prozessor zur Verfügung stellen sollen, der von den "Prozessoren" aller anderen Nutzer isoliert arbeitet. Und genau diese Trennung wird durch Spectre in seinen Varianten durchbrochen. Der Artikel gibt übrigens drastisch falsche Informationen zum Leistungsgewinn aus "spekulativer Ausführung". Die Rechenleistung steigt dadurch nicht nur um ein paar Prozent, sondern um Größenordnungen. Der Zugriff auf den Hauptspeicher kann Hunderte (im Extremfall Tausende) von Takten dauern, während ein moderner Prozessor mehrere Befehle (über alle Cores hinweg auch einige zehn) in einem einzigen Takt ausführt. Wenn man pro Befehl einen Speicherzugriff benötigen würde, dann könnte dieser Prozessor also nicht viele Befehle pro Takt ausführen, sondern einige pro 1000 Takte, wäre also etwa einen Faktor 1000 langsamer. Einen großen Teil dieser Zugriffe deckt aber der "Cache" ab, ein schneller Zwischenspeicher in der CPU, der Zugriffe auf einige häufig bzw. kürzlich benutzte Daten in einem Takt erlaubt. Einen Cache haben "bessere" Mikroprozessor-Systeme schon seit etwa 30 Jahren. Wenn nur jeder 1000te Zugriff tatsächlich den Hauptspeicher benötigt (1000 Takte) und ein Cache-Zugriff in 1 Takt erfolgt, dann können also 1000 Befehle die Speicherzugriffe ausführen jetzt in 2000 Takten ausgeführt werden (ganz grobe Veranschaulichung - bitte keine Kommentare dass das vereinfacht ist). Das funktioniert aber nur, wenn die "echten" Speicherzugriffe wirklich so selten abgewartet werden müssen, bei 99% Cache-Hit-Rate würde der Prozessor dafür 10.000 Takte benötigen und wäre also nur noch 1/5 so schnell. Der Cache hat für Prozessoren im 100 MHz-Bereich ganz gut funktioniert, wenn man aber auf mehr als 1000 MHz geht, dann müssen andere Techniken eingesetzt werden, oder der Prozessor wartet trotz der hohen Rechengeschwindigkeit dauernd auf den Speicher. Und die dafür gewählte Technik ist die "spekulative Ausführung", bei der also Befehle die ohne Wartezeit ausgeführt werden können auf Verdacht ausgeführt werden, auch wenn man noch gar nicht weiß, ob das Programm sie erreichen wird. Das macht nur dann Sinn, wenn man meist richtig rät und die "spekulierten" Befehle wirklich sinnvoll waren. In der Praxis geht das nur indem der Prozessor sich merkt, welche Befehle er hätte ausführen müssen (wenn das am Ende feststeht) und sich das für den nächsten Durchlauf durch diesen Programmteil merkt. Dafür werden interne Tabellen geführt, aus denen der Prozessor ablesen kann, in welcher Richtung das Programm an einer Verzweigung wohl laufen wird, auch wenn er es noch nicht wirklich entscheiden kann. Wird fortgesetzt ...
st.esser 22.05.2018
5. Keine Panic (weiter ...)
Prozessoren die mit mehr als 10 MHz laufen verlieren ohne Cache erheblich an Leistung, über 100 MHz wird der Verzicht auf spekulative Ausführung relevant, bei General-Purpose-CPUs über 1000 MHz sind alle Techniken kombiniert notwendig, wenn man aus dem schnellen Takt einen Gewinn erzielen möchte. Das Problem mit der spekulativen Ausführung ist nun, dass man die Effekte im normalen Programmablauf nicht feststellen kann, dass das Programm dadurch aber drastisch beschleunigt wird (dafür treibt man den ganzen Aufwand ja schließlich). Und ein Angreifer kann genau diese Beschleunigung jetzt verwenden, um Informationen aus "verbotenen" Bereichen auszulesen, indem er die Optimierung gezielt sabotiert. D.h., der Angreifer führt bewusst Kommandos aus, die diese Geschwindigkeitsvorteile für einen Moment verhindern, beobachtet dann ob bestimmte Operationen doch schnell ablaufen und schließt dadurch darauf, dass eine für ihn eigentlich unsichtbare Rechenoperation zu einem bestimmten Ergebnis gekommen sein muss. Es ist überhaupt kein Problem, Prozessoren zu bauen die für diese Art von Seitenkanalangriffen nicht empfindlich sind. Die werden z.B. als Crypto-Prozessoren in Chip-Karten eingebaut. Die sind dann aber um einen Faktor 100 bis 1000 langsamer als heute übliche Prozessoren in PCs, Tablets oder Smartphones. Wenn man die Geschwindigkeit heutiger Prozessoren nicht komplett aufgeben will, dann muss hoher Aufwand für die Erkennung der Seitenkanäle getroffen werden (was nicht zuletzt ein aktuelles Forschungsthema ist) und es müssen wahrscheinlich komplexe Schutzmaßnahmen in den Prozessoren umgesetzt werden, die Versuche die Seitenkanäle zu nutzen erkennen und verhindern. Auch das wird nicht ohne Leistungsverlust möglich sein, aber es gibt derzeit noch kein fertiges Konzept, wie das zu erreichen wäre. Bei Crypto-Prozessoren ist z.B. eine Maßnahme, dass man alle Rechenoperationen "gleich langsam" ablaufen lässt, d.h. wenn es schneller ginge trotzdem die maximale Dauer abwartet. Das läuft allen Optimierungen für General-Purpose-CPUs der letzten Jahrzehnte zuwider, bei denen man nur deshalb so schnell werden konnte, weil man den häufigen Fall einen Faktor 1000 schneller gemacht hat als die ungünstigeren seltenen Fälle. Wenn die alle gleich langsam werden, dann verliert man diesen Faktor 1000 ... Die Seitenkanal-Angriffe lohnen aber nur dann, wenn es keine einfacheren Angriffswege gibt. Und für die meisten PCs gibt es jede Menge davon, die von Viren, Würmern und Trojanern ausgenutzt werden. Deshalb ist Spectre kein wirklich großes Problem für "normale" PCs. Warum einen so schwierigen Angriff durchführen wenn es genügend Lücken in PDF-Readern, Office-Software oder Web-Browsern gibt. Ein großes Problem ist Spectre aber für Cloud-Hoster, denn damit kann ein Kunde z.B. die Daten eines anderen aus dessen Speicher auslesen. Da könnte zum Beispiel der geheime Schlüssel eines Web-Server enthalten sein und der Angreifer könnte dann einen eigenen, betrügerischen Server aufsetzen, der diesen Schlüssel verwendet um Nutzer aus dem Internet zu täuschen (z.B. ihre Bank-Daten oder andere kritische Daten eingeben lassen).
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.