Schwachstellen in Prozessoren Gespenstische Unsicherheit
Logo zum Spectre-Angriff
Foto: CC0 1.0 Natascha EiblDas Computer Emergency Response Team (CERT) der Carnegie Mellon University besteht aus hoch qualifizierten Experten für IT-Sicherheit. Bei Computerzwischenfällen arbeiten sie regelmäßig mit dem US-Verteidigungsministerium und der Heimatschutzbehörde zusammen. Aber zu den Mittwoch bekannt gewordenen Schwachstellen in Computerprozessoren fallen ihnen nur zwei lapidare Tipps ein: Installieren Sie alle aktuellen Betriebssystem-Updates - und tauschen Sie den Prozessor aus .
Aber muss man wegen der jetzt aufgezeigten Angriffswege wirklich den Mikrochip wechseln? Wer ist letztlich überhaupt betroffen? Und wie groß ist die Gefahr von Cyberangriffen über die beiden Schwachstellen?
Wir haben die derzeit verfügbaren Informationen zusammengetragen und mit Daniel Gruss, einem Sicherheitsforscher der TU Graz, über die Bedrohung gesprochen. Gruss gehört zu einem von mehreren Forscherteams, die an der Veröffentlichung der Spectre und Meltdown getauften Sicherheitslücken beteiligt waren.
Wie wurden die Schwachstellen entdeckt?
Intel, AMD und ARM wussten schon mindestens ein halbes Jahr lang von den Schwachstellen - was es unter anderem seltsam wirken lässt, dass der Intel-Chef Brian Krzanich Ende November alle seine Intel-Aktien und Optionen verkaufte, die er abstoßen durfte. Jann Horn vom Google Project Zero hatte die drei Prozessoren-Firmen bereits im Juni über die Lücken informiert - andere Forscher stießen vergangenes Jahr unabhängig von Horn auf die Probleme, darunter das Team der TU Graz.
"Wir sind auf das Thema aufmerksam geworden, weil es großes Interesse von Intel an einem Patch von uns, nämlich dem KAISER-Patch, gab", erklärt Daniel Gruss, wie er und seine Kollegen dem Meltdown-Angriff auf die Spur kamen. "Als Konsequenz haben wir uns gesagt: Wir müssen uns anschauen, was hinter diesem Interesse steckt."
Wer ist betroffen?
Da die beiden Schwachstellen in grundlegenden Funktionen von vielen modernen Prozessoren zu finden sind, ist mit großer Wahrscheinlichkeit jeder betroffen, der einen Computer, ein Smartphone, ein Tablet oder ein anderes komplexes prozessorgesteuertes Gerät benutzt.
Die IT-Forscher, die das Problem nun bekannt machten, haben Spectre-Angriffe auf Prozessoren von Intel, AMD sowie auf sogenannten ARM-Prozessoren durchführen können. ARM-Prozessoren stecken in fast allen Smartphones und Tablets.
"Meltdown" (Symbolbild)
Foto: CC0 1.0 meltdownattack.comWeil das Problem auf Prozessorebene liegt, betrifft es auch alle gängigen Betriebssysteme. Laut Daniel Gruss ist es den Grazer Forschern gelungen, unter Linux und macOS alles auszulesen, was im Arbeitsspeicher der Rechner abgelegt war, unter Windows "das meiste".
Dadurch, dass auch ARM-Prozessoren betroffen sind, finden sich die Schwachstellen auch auf Mobilgeräten. Google immerhin hat gemeldet, dass das Problem mit seinem jüngsten Android-Update vom 1. Januar behoben worden sei. Da aber längst nicht alle Hersteller ihre Android-Geräte zeitnah mit solchen Updates versorgen, dürfte die Mehrheit der Android-Smartphones und -Tablets noch ungeschützt sein. Apple hat sich zum Schutzstatus seiner Geräte bis zum Donnerstagmittag noch nicht geäußert.
Was kann passieren?
Spectre und Meltdown hebeln Sicherheitsmechanismen aus, die verhindern sollen, dass Programme beliebig Daten aus dem Speicher eines Computers abrufen können. Ist die Sicherung ausgetrickst, kann entsprechende Software auf eigentlich geschützte Speicherbereiche anderer Programme oder des Betriebssystems zugreifen und so zum Beispiel Passwörter und Krypto-Schlüssel auslesen.
Wie funktioniert das?
Das Problem basiert auf einer Prozessortechnik, die als "Speculative Execution" bezeichnet wird. Der Prozessor versucht dabei, die als Nächstes folgenden Arbeitsschritte vorherzusehen und so seine Leistung zu optimieren.
Daniel Gruss erklärt das so: "Ein Prozessor produziert nonstop Daten, ähnlich wie in der der echten Welt eine Fabrik die ganze Zeit Produkte herstellt. Alles läuft gleichzeitig und parallel ab. Da kann es vorkommen, dass etwas produziert wird, das später nicht gebraucht wird, etwa in Form eines Päckchens. Wenn die Fabrik später entscheidet 'Dieser Teil des Produkts wird nicht an den Kunden ausgeliefert', ist das möglich - das Päckchen landet dann im Hinterhof der Fabrik im Müll. Unseren Angriff kann man sich so vorstellen, dass wir im Hinterhof stehen und dieses Päckchen aus dem Müll holen."
Wurden die Schwachstellen schon ausgenutzt?
Konkrete Hinweise darauf, dass Meltdown und Spectre schon von Kriminellen für Angriffe ausgenutzt wurden, gibt es bisher nicht, heißt es zum Beispiel vom Prozessor-Hersteller Intel. Ausschließen lässt es sich deshalb aber nicht.
Daniel Gruss sagte, er finde es "beunruhigend", dass sein Forscherteam aus Graz nur eines von mehreren sei, die die Angriffe unabhängig voneinander und ungefähr zeitgleich entdeckt haben sowie ihr Wissen öffentlich gemacht haben. "Da stellt sich natürlich die Frage, wie viele andere das Problem noch entdeckt und nicht gemeldet haben", sagt Gruss. "Inwiefern Geheimdienste davon gewusst haben, können wir überhaupt nicht einschätzen." Im Nachhinein lasse sich auch nicht eindeutig klären, "ob das ein Bug oder eine Backdoor war".
Kann man sich mit Antivirensoftware schützen?
Nach Ansicht der IT-Forscher ist es unwahrscheinlich, dass eine Antivirensoftware zuverlässig gegen Schadsoftware helfen kann, die Meltdown oder Spectre ausnutzt. Das Problem ist, dass sich eine solche Schadsoftware kaum anders verhält als andere Programme und deshalb nicht automatisch erkannt werden könnte. Erst wenn ein bestimmter Schädling bekannt würde, könnte man ihn anhand seiner typischen Signatur erkennen und blockieren.
"Meltdown"-Symbol
Foto: CC0 1.0 Natascha Eibl"Praktisch muss man es bei den Angriffen, die wir präsentiert haben, nur schaffen, dass die dafür nötige Software auf dem angegriffenen System läuft", sagt Daniel Gruss. Auf dem Rechner könne sie zum Beispiel in Form eines E-Mail-Anhangs oder eines Downloads landen.
Wahrscheinlich sei der Angriff auch über Javascript möglich, sagt Gruss, "aber die Browser-Hersteller stellen dagegen derzeit schon Sicherheitsmaßnahmen bereit. Daher ist ein Angriff auf dem Weg derzeit wohl weniger realistisch."
Was sollten Computer- oder Smartphone-Nutzer tun?
"Nutzer sollten auf jeden Fall die Updates für ihr Betriebssystem und ihre Software installieren, die dieser Tage erscheinen", rät Daniel Gruss. Sprich: Wer irgendeines der betroffenen Geräte, ob nun Smartphone, Windows- oder Linux-PC oder MacBook benutzt, der sollte also in den kommenden Tagen regelmäßig nach System-Updates Ausschau halten und diese auch umgehend installieren.
Ein Prozessor-Tausch, wie ihn das amerikanische CERT empfiehlt, hält Gruss nicht für sinnvoll. Dem IT-Experten zufolge gibt es "im Bereich normaler Consumer-Hardware" aktuell keinen Prozessor, der nicht von Spectre betroffen ist. Allgemein rät Gruss Nutzern, nicht panisch auf die Entdeckungen zu reagieren.
Machen die Sicherheits-Updates meinen Computer langsamer?
Über dieses Thema wird viel spekuliert. Anfangs hieß es, die nötigen Software-Updates könnten Rechner um bis zu 30 Prozent verlangsamen. In sehr speziellen Einzelfällen, etwa bei besonderen Netzwerkanwendungen, wurden solche Werte auch gemessen.
Im Alltag werden die Leistungsverluste aber wohl viel geringer ausfallen, sagt Daniel Gruss. Pauschal beziffern lassen sie sich seiner Einschätzung nach kaum. "Potenziell werden Operationen deutlich langsamer, bei denen man viele kleine Dateien öffnet, beispielsweise, wenn man auf der Festplatte nach Daten sucht", meint Gruss. "Alles andere, vom Spielen bis zum Surfen im Internet, wird wohl nicht von Leistungseinbußen betroffen sein."
