Reaktionen auf Spectre und Meltdown

Spectre & Meltdown: Die Gegenmaßnahmen

Wir fassen zusammen: Angriffsprinzipien, die jede bedeutende Hardware und jede Software treffen können, nicht erkennbar sind und alle bisherigen Sicherheitsmaßnahmen umgehen, sind spätestens seit vergangener Woche nicht mehr nur ein paar ehrlichen Wissenschaftlern und bemühten Entwicklern bekannt, sondern allen Übeltätern weltweit. Selbst wenn bislang niemand einen derartigen Angriff praktisch eingesetzt hat (was leider nicht ausgeschlossen werden kann), spätestens jetzt werden zahlreiche kriminelle Gruppierungen daran arbeiten. Ein Grund für Panik? Sollte man schnell das knappe Angebot alter Atom-Netbooks und -PCs auf Ebay aufkaufen?

Meltdown ist bereits Geschichte

Quelle: Epicgames Auf Servern mit bestimmten Zugriffsmustern können Meltdown-Patches für die Systembelastung deutlich steigern. Zumindest für den als Meltdown beschriebenen, Intel-spezifischen Angriff kann bereits jetzt Entwarnung gegeben werden, denn pünktlich zum ursprünglich geplanten Veröffentlichungszeitpunkt stehen Patches für relevante Linux- und Windows-Versionen bereit. Diese arbeiten nicht immer problemfrei, umgehen die Vulnerabilität aber mit einer relativ einfachen, schon länger diskutierten Methode: Eigentlich müssen im Kernel-Space eines jeden Prozesses nur die Systeminformationen vorgehalten werden, die für dessen Ausführung benötigt werden. Diese Systemdateien sind aber ohnehin kein Geheimnis, sondern Grundlage der Software-Entwicklung auf der jeweiligen Plattform.

Brisant ist Meltdown nur auf ungepatchten Systemen, die insbesondere im Falle von Linux den gesamten Kernel, den gesamten physischen Arbeitsspeicher und damit auch Informationen über andere Prozesse in den Kernel-Space jedes Prozesses spiegeln. Und dies zum Teil auch noch an der immer gleichen Stelle, was potenziellen Angreifern die mühselige Suche im riesigen virtuellen Adressraum erspart. Vor Meltdown galten diese Spiegelungen als ausreichend sicher und sie reduzieren langwierige Wechsel zwischen virtuellen Adressräumen verschiedener Prozesse, insbesondere zu Prozessen des Betriebssystems selbst, weswegen Meltdown-Patches in Syscall-lastigen Szenarien, beispielsweise sehr vielen kleinen Ladevorgängen von der SSD, zu messbaren Leistungseinbußen führen. Im Gegenzug schützen die jetzt vorgestellten Patches aber auch vor etwaigen Meltdown-Ablegern für Nicht-Intel-Architekturen, denn sie verhindern nicht eine Form von Zugriff auf den Kernel-Space - sondern machen diese allgemein wertlos für Angreifer.

Spectre erfordert Anpassungen jeder einzelnen Software - und möglicherweise Hardware

Quelle: Microsoft Die Auswirkungen von Meltdown und Spectre-1-Angriffe auf Windows kann Microsoft allein umgehen, gegen Spectre 2 braucht es zusätzlich Änderungen im CPU-Microcode. Und für alle nicht System-Anwendungen noch eine ganze Menge zusätzlicher Updates. Kritischer sieht es mit der weiter gefassten Gruppe von Spectre-Angriffen aus. Die aktuellen Betriebssystem- und Microcode-Updates zielen darauf ab, ihrerseits das Verhalten der Sprungvorhersage vor sicherheitskritischen Instruktionen in gewünschter Weise zu beeinflussen. Insbesondere das Übergehen bereits vorhandener Prüfungen im Rahmen von Spectre "1" lässt sich laut Microsoft leicht und mit vertretbaren Performance-Einbußen verhindern, indem man die anfälligen Codezeilen durch andere Implementationen der gleichen Programmlogik ersetzt. Anders sieht dies bei Spectre "2" aus, der potenziell alle Teile des Programm-Codes seines Ziels missbrauchen kann. Zur Abwehr dieser Gefahr haben Microsoft und Intel eine Kombination aus Patch und CPU-Microcode-Update angekündigt, die die spekulative Sprungvorhersage in kritischen Situationen abschalten soll. Unklar ist, wie diese identifiziert werden und wie groß der Betriebssystemteil ist, der hierdurch von den Leistungsvorteilen des Out-of-Order-Prinzips abgeschnitten wird. Auswirkungen auf die Gesamtleistung sind wahrscheinlich.

Beiden Patches ist eins gemein: Sie schützen nur das Betriebssystem selbst. Es wurde aber bislang kein Mechanismus öffentlich diskutiert, wie dies andere Prozesse vor Spectre schützen kann. Vielmehr muss gegen jedes einzelne Programm immunisiert werden, das mit für Angreifer interessanten Daten arbeitet - in Zeiten zunehmender Account-Bindung eine kaum überschaubare Zahl von Anwendungen. Selbst Nvidia hat bereits ein Sicherheits-Update für die hauseigenen Grafikkartentreiber veröffentlicht, ohne weitere Details zu erklären. Möglicherweise gehört es auch zu einer zweiten Klasse von Gegenmaßnahmen, in deren Zentrum die Browser-Hersteller stehen. Deren Javascript-Engines (aber bei Nvidia mutmaßlich auch die CUDA-Umgebung) sind nämlich potenzielle Ausführungsumgebungen für Angreifercode. Zwar kann dieser als solcher nicht erkannt und gestoppt werden, da er nur legitime Instruktionen aktiv ausführt. Zur Auswertung des CPU-Caches muss der Angreifer aber präzise Messungen von Ladezeiten durchführen - und genau hier schlägt zumindest Google zu. In der neuesten Chrome-Version stellt die Browser-eigene Sandbox schlicht keine exakten Zeitgeber mehr zu Verfügung. Der Angreifer muss also einen neuen Weg finden, um die mühselig mit Spectre in den Cache geschaufelte Daten auszuwerten.

Sichere Systeme existieren

Neben alten Atom-Systemen besteht noch eine zweite, theoretisch sichere Gruppe von Rechnern. Prinzipbedingt sind nämlich sowohl Spectre, als auch Meltdown an eine physische CPU gebunden; der Angreifer muss eigenen Code auf dem gleichen Prozessor ausführen, der auch mit den Zieldaten arbeitet. Klassische Remote-Angriffe wie bei vielen Sicherheitslücken sind so nicht möglich und beispielsweise Webserver sind selbst mit ungepatchten Betriebssystem und vulnerablen CPUs sicher, solange niemand Software aus vertrauensunwürdigen Quellen installiert (und in letzterem Fall wäre die Sicherheit auch ohne Spectre und Meltdown fragwürdig). Genauso kann der heimische PC beispielsweise nach einem Neustart gefahrlos E-Mails abrufen und einfache HTML-Seiten ansurfen. Erst fremde Plug-Ins, die Berechnungen vom Client-PC übernehmen lassen, machen den Rechner unsicher. Leider erreicht schon im Internet weitverbreitetes Javascript aus und auch Online-Spiele(-Mods), Crypto-Mining-Tools mit Unterstützung für Smart-Contracts und natürlich alle Formen von Download-, Update- oder Cloud-Diensten könnten betroffen sein.

Spectre & Meltdown: Fazit

Große Teile dieses Artikels stützen sich auf lückenhafte Dokumente, die ständig um neue Informationen ergänzt werden. Eine abschließende Beurteilung kann bereits nach wenigen Stunden veraltet sein. Aber einige typische Fragen wollen wir noch zusammenfassen.

Wer ist schuld?

Die Verantwortung für Meltdown und Spectre liegt prinzipiell natürlich bei den CPU-Herstellern. Ihre Hardware wird für die Angriffe missbraucht, nur sie könn(t)en hundertprozentigen Schutz herstellen - wenn auch mit großem Aufwand und möglicherweise Nachteilen, die insgesamt weitaus unangenehmer wären als die von Software-Workarounds. Ein Musterbeispiel hierfür ist der Meltdown-Patch: Anstatt auf die deutliche Leistungssteigerung durch riskante spekulative Ausführungen zu verzichten, gibt man lieber einen viel kleineren Leistungsvorteil auf Betriebssystemebene auf und verzichtet auf die riskante Spiegelung sicherheitskritischer Informationen in den Kernel-Space sämtlicher Prozesse.

Sind die Patches wirklich sicher?

Wie oben dargelegt, eröffnet insbesondere Spectre eine ganze Bandbreite möglicher Attacken auf diverse Ziele. Tests mit den beiden Beispiel-Implementationen Spectre 1 und 2 dürften die neuen Software-Versionen bestanden haben, aber es ist nur eine Frage der Zeit, bis weitere gefunden werden. Theoretische Alternativen zur Cache-Auswertung wurden beispielsweise schon auf Basis zahlreicher anderer Prozessorbestandteile beschrieben, von den TLBs bis hin zur Energieverwaltung. Das letzte Wort ist also noch lange nicht gesprochen, zumal für viele Programme auf absehbare Zeit keine Patches verfügbar sein werden.

Wann erscheinen sichere CPUs?

So naheliegend eine umfassende Lösung in Hardware auch erscheint, so unwahrscheinlich ist sie mittelfristig. Die zugrunde liegenden Prinzipien sind Dreh- und Angelpunkt beinahe aller CPU-Leistungsgewinne der letzten beiden Jahrzehnte (!) und dürften so schnell nicht aufgegeben werden. Selbst wenn man sich dazu entschließt, würde die Entwicklung neuer, vermutlich sehr langsamer Prozessorarchitekturen viele Jahre dauern. Wahrscheinlicher sind Optimierungen an den Sprungvorhersage-Einheiten, um bestimmte Angriffsmuster ins Leere laufen zu lassen. Diese lassen sich im Rahmen normaler Generationssprünge, möglicherweise in den neuesten CPUs, sogar per Microcode implementieren. Sie bieten aber erneut nur Schutz gegen Konzepte, an die die Entwickler gedacht haben - und Spectre und Meltdown schlummerten mutmaßlich 20 Jahre unerkannt in unseren Rechnern.

Artikel teilen

Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch Die Gefahr durch und die Lösung von Sicherheitsproblemen in allen aktuellen CPUs beherrscht seit letzter Woche die Medienlandschaft - weit über den IT-Bereich hinaus. Aber was sind Spectre und Meltdown eigentlich? Wie funktionieren sie?

Per E-Mail versenden

83

1. Seite 1 Die Grundlagen hinter Spectre und Meltdown
2. Seite 2 So funktionieren Spectre und Meltdown
3. Seite 3 Das bedeuten Spectre und Meltdown für die Praxis
4. Seite 4 Reaktionen auf Spectre und Meltdown