Das bedeuten Spectre und Meltdown für die Praxis

Spectre & Meltdown: Das Risiko

Was bedeuten diese Mechanismen nun in der Praxis? Viele Details, insbesondere zu CPU-Architekturen sind geheim, aber einige Eckpunkte haben sich herauskristallisiert.

Welche Gefahren gehen von Spectre und Meltdown aus?

Zunächst die gute Nachricht - beide Angriffsvarianten können ausschließlich Lesezugriffe ausführen, aber keine Daten manipulieren, Festplatten verschlüsseln oder Rechner übernehmen, auch wenn ausgelesene Informationen gegebenenfalls andere Angriffe erleichtern. Nur ein schwacher Trost ist dies für die überwältigende Mehrheit an Rechnern, auf denen mit Zugangsdaten hantiert wird: Egal ob direkt eingegeben, im Browser oder in einem Passwort-Manager hinterlegt - alle Daten, die auf einem PC oder auf einem Server geladen werden, können potenziell abgehört werden.

Welche Anwendungsszenarien sind betroffen?

Von mittelfristig eher geringer Bedeutung ist Meltdown. Der Angriff aus dem User- auf den Kernel-Space eines Prozesses zielt prinzipiell auf das Betriebssystem, sodass nur an einer Stelle Gegenmaßnahmen ergriffen werden müssen. Ganz anders dagegen Spectre. Zwar muss die Attacke spezifisch auf einen Zielprozess maßgeschneidert werden, dafür kann theoretisch aber jedes andere Programm zum Ziel werden, das auf der gleichen CPU berechnet wird. Dabei funktioniert Spectre ungeachtet aller zwischengeschalteter Isolationsebenen: Der Sandbox-Container eines Browsers ist ebenso wirkungslos wie die Trennung virtueller Maschinen auf einem (Cloud-)Server.

Gibt es sichere Hardware?

Quelle: Asus Auf alten Netbooks mit in-order-CPU gibt es kein Meltdown, kein Spectre und kein flüssiges Arbeiten mit aktuellen Anwendungen. Auch Hardware-seitig gibt es insbesondere für Spectre kaum Grenzen. Prinzipiell treffen die bislang demonstrierten Angriffe alle Prozessoren mit Speculative Execution und Caches. Letztere haben schlicht alle CPUs, Speculative Execution quasi alle. Ausnahmen sind Intels als gescheitert geltende Itanium-Architektur, die ursprünglich von Sun hervorgebrachte, ebenfalls nicht mehr weiterentwickelte UltraSPARC-Modelle (aber nicht alle anderen SPARC-Derivate) und Intels erste Atom-Generation (vor 2013). Diese arbeiten mit einfacheren in-order-Pipelines, wobei insbesondere die schon zu ihrer Einführung als leistungsschwach geltenden Atoms als Musterbeispiel für die Nachteile des Prinzips dienen. Dennoch sind sie die einzigen prinzipiell Spectre-sicheren Prozessoren, auf denen typische (x86-)Desktopanwendungen zumindest gestartet werden können. Alle anderen x86-Vertreter (inklusive x86-64) seit dem Pentium 1, sowohl von Intel als auch AMD, nutzten dagegen Speculative Execution zur Leistungssteigerung. Potenziell ebenso betroffen sind die meisten Prozessoren für andere Befehlssätze: IBMs PowerPC, aus Servern und alten Apple-Computern bekannt, ebenso wie die leistungsfähigeren Kern-Designs aus dem Hause ARM, welche über Implementationen von Apple, Samsung oder Qualcomm einen Großteil aller aktuellen Smartphones und Tablets betreiben.

Selbst Exoten mit dem Open-Source-Befehlssatz RISC-V könnten betroffen sein, hier offenbart sich aber eine Feinheit: Zwar gibt es embedded-RISC-V-Prozessoren mit OoO-Architektur, diese können aber keine spekulativen Speicherzugriffe ausführen und werden deswegen als sicher erachtet. Auch bei anderen der eben genannten Prozessoren ist ungewiss, wie weit ihre OoO-Möglichkeiten gehen. Wortwörtlich jede neue CPU von AMD und Intel verspricht eine verbesserte Sprungvorhersage für effizientere Out-of-Order-Nutzung, aber die technischen Details hinter der Leistungssteigerung sind Betriebsgeheimnis. Längst sind diese Steuerungseinheiten um ein Vielfaches größer als die eigentlichen Rechenkerne und bei Ryzen war sogar von künstlicher Intelligenz und neuralen Strukturen die Rede. Angreifer müssen diese Funktionsprinzipien erst mittels Reverse Engineering analysieren, ehe sie eine erfolgreiche Attacke starten können. Die Meltdown-Beispiel-Implementation funktioniert vorzüglich auf aktuellen Intel-CPUs, scheitert aber bei AMD und ARM. Warum, wird öffentlich nicht diskutiert, vermutlich, um Angreifern die Entwicklung modifizierter Versionen zu erschweren. Umgekehrt können wir anhand der vorliegenden Informationen aber nicht einmal abschätzen, wie groß das Risiko für ältere Intel-Generationen mit abweichender Out-of-Order-Einheit ist.

Wie performant sind die Angriffe?

Läuft der Schadcode erst einmal auf einem System, bleibt immer noch die aufwendige Ausführung in wenige Dutzend, selten hundert Taktzyklen währenden Out-Of-Order-Zeitfenstern und auch die Cache-Auswertung erfordert zahlreiche Instruktionen, um ein einziges Bit zu rekonstruieren. Trotzdem wurden mit den Spectre-Beispielattacken bis zu 10 KB/s aus einer Zielanwendung extrahiert, mit Meltdown sind sogar 500 KB/s möglich. Das sind zugegebenermaßen Geschwindigkeiten, mit denen seit dem Abschied von Floppy-Laufwerken niemand mehr gearbeitet hat, aber sowohl Spectre als auch Meltdown haben eine Besonderheit: Sie sind weder für Betriebssysteme noch für Sicherheitssoftware erkennbar, da die offen vom Prozess offen aufgerufenen Instruktionen alle legitim sind. Ein Angreifer kann also beliebig lange unbemerkt damit arbeiten und auch wenn die Bandbreite nicht für ein Streaming aller Vorgänge auf dem System reicht: Eine systematische Suche nach Programmen, die Passwörter enthalten, nutzen oder verwalten ist damit kein Problem.

Artikel teilen

Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch Die Gefahr durch und die Lösung von Sicherheitsproblemen in allen aktuellen CPUs beherrscht seit letzter Woche die Medienlandschaft - weit über den IT-Bereich hinaus. Aber was sind Spectre und Meltdown eigentlich? Wie funktionieren sie?

Per E-Mail versenden

83

1. Seite 1 Die Grundlagen hinter Spectre und Meltdown
2. Seite 2 So funktionieren Spectre und Meltdown
3. Seite 3 Das bedeuten Spectre und Meltdown für die Praxis
4. Seite 4 Reaktionen auf Spectre und Meltdown