Die IT-Welt wurde diese Woche durch Gerüchte über einen angeblich katastrophalen «Bug» (Fehler) bei Intel-Prozessoren durchgeschüttelt. Betroffen seien Windows- und Linux-Rechner und Macs, hiess es in ersten Medienberichten.
Wie wir seit Mittwochabend wissen, ist alles noch viel schlimmer. Ein seit 20 Jahren gängiges Verfahren, das Computerchips schneller machen sollte, macht sie auch anfällig für Datenklau. Betroffen sind nicht nur Intel-Prozessoren.
Weil Entwickler einer Geheimhaltungsvereinbarung unterliegen («Non-Disclosure Agreement») und offenbar wegen der Brisanz der Schwachstelle ein Informations-Embargo bestand, war es zunächst schwierig, an gesicherte Fakten zu kommen.
Noch immer ist das ganze Ausmass nicht klar. Es liegen zum Teil widersprüchliche Angaben von IT-Unternehmen vor.
Intel-Prozessoren standen zunächst im Mittelpunkt der Berichterstattung über die Schwachstelle, wobei unklar war, ob auch die Prozessoren anderer Hersteller anfällig sein könnten.
Dann überschlugen sich die Ereignisse: Nur wenige Stunden nachdem ein «Proof of Concept»-Code via Twitter verbreitet wurde, veröffentlichten Sicherheitsforscher die lang erwarteten Details zu zwei Schwachstellen namens Meltdown und Spectre. Die Schwachstellen sollen mehr als zwei Jahrzehnte zurückreichen und nicht nur Intel-Prozessoren betreffen.
Immerhin gibt es bislang keine Hinweise darauf, dass die Schwachstellen von Kriminellen ausgenutzt wurden.
Als erste berichteten ZDNet und die New York Times über die mehr als beunruhigenden Enthüllungen der Forscher.
It’s not a bug, it’s a nightmare - Sicherheitslücken #Meltdown und #Spectre schockieren die Tech-Industrie https://t.co/dtPgOksrSA
— Richard Gutjahr (@gutjahr) 4. Januar 2018
Sehr schlimm, was das Gefahrenpotenzial der Sicherheitslücken, die Zahl der potenziell betroffenen Geräte und den wirtschaftlichen Schaden, bzw. Aufwand zur Behebung, betrifft.
Die Forscher, die die Sicherheitslücken entdeckt und zwecks Beweisführung zu ausführbaren Programmen (Exploits) entwickelt haben, nennen sie «Meltdown» und «Spectre»
Ihre Angriffsmethoden können es einem Angreifer ermöglichen, höchst sensible Informationen aus dem Speicher laufender Anwendungen zu stehlen, zum Beispiel Daten von Passwort-Managern, Browsern, E-Mails, Fotos und Dokumenten.
Die Forscher sagen, dass fast jedes Intel-System seit 1995 betroffen sei, einschliesslich PCs und Cloud-Servern.
Für Verwirrung sorgte ein ebenfalls am Mittwoch veröffentlichtes Statement des Prozessor-Herstellers Intel. Darin heisst es, es seien «Prozessoren und Betriebssysteme vieler verschiedener Hersteller» anfällig für die publik gemachten Exploits.
Wie wir nun wissen, wollte Intel damit klarstellen, dass es sich nicht um einen Design-Fehler bei seinen Prozessoren handle, sondern um eine ausgeklügelte Angriffsmethode.
Die nachfolgenden Fragen und Antworten sind eng an ein von den Forschern veröffentlichtes FAQ angelehnt.
«Ganz sicher, ja», schreiben die Forscher in dem FAQ, das sie zu Meltdown und Spectre im Internet veröffentlicht haben. Detail-Informationen findet man unter diesen zwei Adressen:
Die gute Nachricht: Es liegen bislang keine Informationen vor, dass die Sicherheitslücken bereits missbräuchlich genutzt wurden. Ob von gewöhnlichen Kriminellen oder staatlichen Hackern.
Angreifbar sind fast alle PCs (Desktop-Rechner und Notebooks), Mobilgeräte (Smartphones und Tablets) und Cloud-Computing-Systeme, die von Intel-Prozessoren angetrieben werden. Einzige Ausnahmen laut den Forschern sind Geräte, die einen vor 2013 gebauten «Itanium»- oder «Atom»-Chip an Bord haben.
Derzeit sei unklar, ob auch ARM- und AMD-Prozessoren von Meltdown betroffen sind, schreiben die Forscher.
Praktisch jedes System sei von Spectre betroffen, warnen die Forscher: Desktops, Laptops, Cloud-Server sowie Smartphones. Genauer gesagt seien alle modernen Prozessoren potenziell anfällig. «Insbesondere haben wir Spectre auf Intel-, AMD- und ARM-Prozessoren verifiziert», heisst es im FAQ.
Währenddessen behauptet der Intel-Konkurrent AMD, seine Chips seien dank seiner technischen Lösungen sicher.
Der Chip-Entwickler ARM habe dem Newsportal Axios mitgeteilt, dass einige seiner Prozessoren, darunter auch die Cortex-A-Chips, betroffen seien, berichtet ZDNet.
In Macs und Macbooks sind Intel-Prozessoren verbaut. Sie sind also auch betroffen.
Die von Apple entwickelten Ein-Chip-Systeme fürs iPhone und andere Mobilgeräte, wie etwa der neueste Prozessor namens A11 Bionic, werden von den Forschern nicht erwähnt.
Wahrscheinlich, dass Prozessoren von Servern in Rechenzentren angegriffen werden könnten, um an eine Vielzahl fremder Daten zu kommen, die in der Cloud gespeichert sind.
Zum Beispiel ein Angriff auf die Cloud-Rechenzentren von Apple oder Google? Vom iPhone-Hersteller liegt uns noch kein offizielles Statement vor.
«Wahrscheinlich nicht. Der Angriff hinterlässt keine Spuren in herkömmlichen Logfiles», schreiben die Forscher.
«Das wissen wir nicht», schreiben die Forscher.
Intel geht davon aus, dass es bisher keine Angriffe gegeben hatte. Und: «Intel ist der Ansicht, dass diese Exploits nicht das Potenzial haben, Daten zu beschädigen, zu verändern oder zu löschen», heisst es in der Stellungnahme vom Mittwoch.
Die Schwachstelle wurde bereits im Juni entdeckt und den Unternehmen gemeldet, so dass sie Zeit hatten, Gegenmittel zu entwickeln. Google, Microsoft und Amazon sicherten ihre Cloud-Dienste ab.
Dabei wurde das Problem früher als geplant publik: Eigentlich wollte die Branche die Schwachstelle und ihre Massnahmen erst am 9. Januar öffentlich machen. Doch in den letzten Tagen fiel eine erhöhte Update-Aktivität auf – und erste Berichte über eine Schwachstelle in Intel-Chips machten die Runde.
Microsoft, Hersteller des Windows-Betriebssystems, und Apple, Hersteller des Mac-Betriebssystems, müssen Patches (Software-Updates) veröffentlichen, sagten die Forscher.
Die weltweite Gemeinschaft der Programmierer, die das Open-Source-Betriebssystem Linux überwacht und weiterentwickelt, habe bereits einen Patch veröffentlicht. Dieses Betriebssystem betreibt etwa 30 Prozent aller Server weltweit.
Es gebe bereits Patches gegen Meltdown für Linux (ehemals KAISER genannt), Windows und OS X, schreiben die Forscher in ihrem FAQ. Es werde auch daran gearbeitet, die Software «gegen zukünftige Ausbeutung von Spectre abzusichern bzw. Software nach der Ausbeutung durch Spectre zu patchen».
Mehrere IT-Experten und Sicherheitsforscher, die in verschiedenen voneinander unabhängigen Teams arbeiteten. Darunter sind Wissenschaftler aus Österreich und den USA, aber auch Mitglieder von Googles «Spezialeinheit» Project Zero.
Es geht um eine Funktion des Prozessors, des Herzstücks eines jeden Computergeräts. In dem Chip wird die Rechenarbeit erledigt. Programme müssen ihm vertrauen – und über die entdeckte Schwachstelle kann der Prozessor Angreifern den Weg zu einer wahren Daten-Schatztruhe bieten. Damit könnte es so etwas wie ein Grösster Anzunehmender Unfall (GAU) für die Computerbranche werden.
Nicht mehr vorkommen werden die Schwachstellen erst bei zukünftige Prozessor-Generationen. Um auf Nummer sicher zu gehen, müsste man also die heutigen CPUs ersetzen:
CERT brings the harsh truth. #Meltdown #Spectre pic.twitter.com/UFPiYA39hd
— Sciuridae Hero (@attritionorg) 4. Januar 2018
Prozessoren wurden seit Jahrzehnten darauf getrimmt, immer schneller zu werden. Eine der Ideen dabei war, möglicherweise später benötigte Daten schon vorher abzurufen, damit es nachher keine Verzögerungen gibt. Wie sich jetzt herausstellt, kann dieses Verfahren jedoch ausgetrickst werden, so dass die Daten abgeschöpft werden.
Ja – allerdings gibt es unterschiedliche Angaben.
Intel erklärt, dass der Leistungsabfall in den meisten Fällen zwei Prozent nicht überschreiten dürfte. In ersten Medienberichten war noch von bis zu 30 Prozent die Rede.
Laut «New York Times» werden Patches die Leistung betroffener Computer deutlich ausbremsen. Andres Freund, ein unabhängiger Softwareentwickler, der den neuen Linux-Code getestet habe, sagte, dass der Fix in manchen Situationen die Performance um 20 bis 30 Prozent verlangsame. Die Forscher, die Meltdown entdeckt haben, äussern ähnliche Bedenken.
Dies könnte zu einem bedeutenden Problem für jedes Unternehmen werden, das Websites und andere Software betreibt, prognostiziert die «New York Times» – und dies gelte «insbesondere für Microsoft, Amazon, Google und andere Unternehmen, die die riesigen Cloud-Computing-Dienste betreiben, die den Zugriff auf Computer über das Internet vermieten».
Dazu ist nichts bekannt.
Einschätzung des Autors: Wohl kaum. Es ist bislang ja aus User-Sicht kein messbarer finanzieller Schaden entstanden. Und die Hersteller schliessen Haftung bei Sicherheitslücken aus.
Nope.
Bislang sind aber auch keine konkreten Angriffsversuche, respektive bösartige Schadprogramme (Malware) bekannt.
Mit Material der Nachrichtenagentur SDA