Was kommt nach Meltdown und Spectre?
«Schmeisst alles weg und kauft neue Geräte»
Das alles ist aber nur der Anfang, wenn es nach Sicherheitsexperten wie Bruce Schneier geht. Der Tipp vom US-CERT: «Werfen Sie es weg und kaufen Sie ein neues Gerät» sei, so Schneier, eigentlich ein lächerlicher Ratschlag. Das Problem sei, dass es aktuell nichts zu kaufen gebe, das nicht verwundbar sei! Linux-Chef Linus Torvalds findet da harsche Worte für Intel. In einer Mailing-Liste des Linux-Kernels wirft er den Intel-Technikern gar Inkompetenz vor und fragt sich, ob der Chiphersteller die Probleme wirklich angeht, statt PR-Texte zu verfassen, welche die Dramatik der Schwachstellen runterspielen würden. Auch er teilt die Meinung von Schneier, dass sich jemand bei Intel die Probleme sehr genau anschauen müsse. «Oder will uns Intel hier für immer Scheisse verkaufen und niemals etwas korrigieren wollen?», ärgert sich Torvalds.
Morgen wird es noch schlimmer
Ausserdem wird es beim Nachpatchen auf Systemebene viel schwieriger sein, Kunden durch den Update-Prozess zu führen: «Bei einigen Patches müssen Benutzer das Kennwort des Computers deaktivieren, sodass Organisationen den Patch nicht automatisieren können. Einige Antivirus-Software blockiert den Patch oder – schlimmer noch – lässt den Computer abstürzen. Dies führt zu einem dreistufigen Prozess: Patchen Sie Ihre Antivirus-Software, patchen Sie Ihr Betriebssystem und patchen Sie dann die Firmware des Computers. Und es gibt keinen Patch für Spectre», sagt Schneier vor allem in Hinblick auf Embedded Devices (Sensoren): «Die Mikroprozessoren müssen neu gestaltet werden, um den Angriff zu verhindern, und das wird Jahre dauern.»
«Spectre und Meltdown sind ziemlich katastrophale Schwachstellen, betreffen aber nur die Vertraulichkeit der Daten – es wird Neues kommen, prophezeit Schneier. Und was sie finden werden, wird schlimmer sein als Spectre oder Meltdown. Es wird Sicherheitslücken geben, die es Angreifern ermöglichen, Daten über Prozesse hinweg zu manipulieren oder zu löschen, was für die Computer, die unsere Autos oder implantierten medizinischen Geräte steuern, potenziell tödlich sein kann.» Die einzige Strategie für diese Geräte werde es wirklich sein, diese wegzuwerfen und neue zu kaufen.
«Spectre und Meltdown sind ziemlich katastrophale Schwachstellen, betreffen aber nur die Vertraulichkeit der Daten – es wird Neues kommen, prophezeit Schneier. Und was sie finden werden, wird schlimmer sein als Spectre oder Meltdown. Es wird Sicherheitslücken geben, die es Angreifern ermöglichen, Daten über Prozesse hinweg zu manipulieren oder zu löschen, was für die Computer, die unsere Autos oder implantierten medizinischen Geräte steuern, potenziell tödlich sein kann.» Die einzige Strategie für diese Geräte werde es wirklich sein, diese wegzuwerfen und neue zu kaufen.