Kritische Experten
09.01.2018, 15:38 Uhr
Was kommt nach Meltdown und Spectre?
Eine schwere Hardware-Lücke in den CPUs macht weltweit drei Milliarden Geräte angreifbar. Aber morgen werde es noch viel schlimmer, prophezeit der Sicherheitsguru Bruce Schneier.
Die aktuellen Prozessorlücken Meltdown und Spectre in den Herzstücken der Computer der letzten 15 bis 20 Jahre können wahrlich als «Super-GAU» bezeichnet werden (Computerworld berichtete). Die Schwachstellen gewähren bei möglichen Angriffsszenarien Einblick in Prozesse der Anwender und somit auch auf Computerdaten. Besonders betrifft das Unternehmensanwendungen wie Google Drive, die sich mehrere Kunden untereinander teilen, sofern ein Angreifer es schafft, einen Prozess in einer Cloud auszuführen und Daten von anderen Anwendern auf den Servern zu stehlen. Es trifft aber vor allem auch die Anwender.
Erste Probleme
Die gute Nachricht: Die Hersteller sind dran, die akuten Sicherheitslücken in zahlreichen Mikroprozessoren zu schliessen und diese sind noch nicht ausgenutzt worden. Nur: Updates für Meltdown und Spectre sind gut und recht, aber Hardware-Lücken in Prozessoren lassen sich eben nicht so einfach schliessen. Intel-CEO Brian Krzanich versucht derweil, die Gemüter an der CES in Las Vegas zu beruhigen. 90 Prozent der Intel-Microcode-Updates sollen noch diese Woche nachgereicht werden. Die erste Flickerei auf Kernelebene des Betriebssystems (dort, wo die Systemtreiber und Systemprozesse ihre Aufgaben ausführen) bereitet aber schon auf einigen Windows-Rechnern mit AMD-Prozessoren Kopfzerbrechen. Teilweise starteten die Rechner nicht mehr und mussten auf frühere Wiederherstellungspunkte zurückgesetzt werden.
Eine Zwischenbilanz: Aktuell noch ungepatcht gegen Spectre und Meltdown sind Systeme von Qualcomm. Apple hatte in macOS 10.13.2 sowie iOS 11.2 und tvOS 11.2 bereits erste Patches für den zweiten schwerwiegenden Prozessorfehler namens Meltdown ausgespielt. Ob tvOS gegen Spectre abgedichtet wird, weiss man noch nicht. Zudem gibt es im Moment ein paar Konflikte mit Antiviren-Software, daher haben einige Anbieter wie Kaspersky und Bitdefender ihre Updates schon vorausgeschickt.
«Schmeisst alles weg und kauft neue Geräte»
Das alles ist aber nur der Anfang, wenn es nach Sicherheitsexperten wie Bruce Schneier geht. Der Tipp vom US-CERT: «Werfen Sie es weg und kaufen Sie ein neues Gerät» sei, so Schneier, eigentlich ein lächerlicher Ratschlag. Das Problem sei, dass es aktuell nichts zu kaufen gebe, das nicht verwundbar sei! Linux-Chef Linus Torvalds findet da harsche Worte für Intel. In einer Mailing-Liste des Linux-Kernels wirft er den Intel-Technikern gar Inkompetenz vor und fragt sich, ob der Chiphersteller die Probleme wirklich angeht, statt PR-Texte zu verfassen, welche die Dramatik der Schwachstellen runterspielen würden. Auch er teilt die Meinung von Schneier, dass sich jemand bei Intel die Probleme sehr genau anschauen müsse. «Oder will uns Intel hier für immer Scheisse verkaufen und niemals etwas korrigieren wollen?», ärgert sich Torvalds.
Morgen wird es noch schlimmer
Ausserdem wird es beim Nachpatchen auf Systemebene viel schwieriger sein, Kunden durch den Update-Prozess zu führen: «Bei einigen Patches müssen Benutzer das Kennwort des Computers deaktivieren, sodass Organisationen den Patch nicht automatisieren können. Einige Antivirus-Software blockiert den Patch oder – schlimmer noch – lässt den Computer abstürzen. Dies führt zu einem dreistufigen Prozess: Patchen Sie Ihre Antivirus-Software, patchen Sie Ihr Betriebssystem und patchen Sie dann die Firmware des Computers. Und es gibt keinen Patch für Spectre», sagt Schneier vor allem in Hinblick auf Embedded Devices (Sensoren): «Die Mikroprozessoren müssen neu gestaltet werden, um den Angriff zu verhindern, und das wird Jahre dauern.»
«Spectre und Meltdown sind ziemlich katastrophale Schwachstellen, betreffen aber nur die Vertraulichkeit der Daten – es wird Neues kommen, prophezeit Schneier. Und was sie finden werden, wird schlimmer sein als Spectre oder Meltdown. Es wird Sicherheitslücken geben, die es Angreifern ermöglichen, Daten über Prozesse hinweg zu manipulieren oder zu löschen, was für die Computer, die unsere Autos oder implantierten medizinischen Geräte steuern, potenziell tödlich sein kann.» Die einzige Strategie für diese Geräte werde es wirklich sein, diese wegzuwerfen und neue zu kaufen.
«Spectre und Meltdown sind ziemlich katastrophale Schwachstellen, betreffen aber nur die Vertraulichkeit der Daten – es wird Neues kommen, prophezeit Schneier. Und was sie finden werden, wird schlimmer sein als Spectre oder Meltdown. Es wird Sicherheitslücken geben, die es Angreifern ermöglichen, Daten über Prozesse hinweg zu manipulieren oder zu löschen, was für die Computer, die unsere Autos oder implantierten medizinischen Geräte steuern, potenziell tödlich sein kann.» Die einzige Strategie für diese Geräte werde es wirklich sein, diese wegzuwerfen und neue zu kaufen.