Skip to content
Helmholtz-Zentrum Berlin: Startseite HZB Campus Blog
HZBblog
Primary Navigation Menu
Menu
  • Über Uns
  • → Science blog

Meltdown und Spectre

By: Andreas Tomiak
On: 22. Januar 2018
In: Mitarbeiter/innen, Studierende
Tagged: IT-Sicherheit

Über die beiden IT-Sicherheitslücken Meltdown und Spectre haben sie sicher schon viel Verwirrendes und Beunruhigendes gehört. Dabei handelt es sich nicht um die üblichen Software-Fehler, die es Hackern erlauben, unberechtigt auf etwas zuzugreifen, sondern die Probleme liegen tiefer – in der Hardware, nämlich der Architektur der Mikroprozessoren.

EU-Mittel retten die IT

Als ich die Details sah, schwirrte mir der Kopf. Es ist kein Wunder, dass diese Lücken erst nach fast 20 Jahren entdeckt worden sind. Man muss schon sehr tief in die (undokumentierten) Details der Chip-Architektur eindringen, um so etwas zu entdecken. Interessanterweise fanden parallel mehrere Forschergruppen diese unerwarteten Eigenschaften. In Graz wurde diese Forschungsarbeit mit EU-Mitteln gefördert.

Das Problem durch Meltdown und Spectre

Allgegenwärtige Prozessor-Optimierungen ermöglichen unprivilegierten Programmen (z.B. Browsern) Ihre Geheimnisse aus dem Hauptspeicher auszulesen. Passwörter, Kreditkartennummern, Zertifikate, alles. Spuren: keine.

 

Natascha Eibl, Meltdown, CC0 1.0

Eine aktive Ausnutzung wurde noch nicht beobachtet. Zumindest bei Meltdown ist das eine (kurze) Frage der Zeit. Hier kann der Angriff auch besonders einfach über einen Browser kommen.

Spectre ist dagegen für generelle Schadprogramme unbrauchbar, da es prozessorspezifisch ist, also bei unterschiedlichen Prozessoren auch unterschiedlich programmiert werden muss. Für Kriminelle, die mit wenig Aufwand viel abgreifen wollen, ist Spectre damit uninteressant, für Behörden und Industriespione, die gezielt bestimmte Prozessoren manipulieren möchten, dagegen ideal.

Betroffen sind moderne PCs mit Prozessoren von Intel und deutlich weniger, da nur von Spectre betroffen, AMD. Handys verwenden ARM-Prozessoren. Auch diese sind in ihren modernen Varianten anfällig.

Wie können Meltdown und Spectre entschärft werden?

MrNick2018, Spectre.min, modified, CC BY-SA 4.0

Alles neu kaufen? Prozessoren ohne diese Lücke gibt es noch nicht. Also muss die Software es retten. Die Prozessor-Hersteller haben vor langer Zeit eine Möglichkeit zur nachträglichen Fehler-Korrektur eingebaut. Man kann beim Systemstart in die Prozessoren Dateien (Microcode-Patches) laden, die Fehler korrigieren und neue Eigenschaften und Befehle ermöglichen.

Alles gut? Leider nein – denn die Hersteller Intel, AMD und Co. müssen für ihren gesamten Zoo (über einhundert Prozessorvarianten) jeweils passende Microcode-Patches liefern. Zusammen mit Änderungen in den Betriebssystemen sind Meltdown und Spectre dann entschärft.

Die Betriebssystem-Anbieter haben Lösungen entwickelt. Sie hatten fast ein halbes Jahr Zeit dafür.

Dabei wird Geschwindigkeit geopfert. Das ergibt Verluste, erwartet werden bis 30%. Bei den Tischrechnern eher weniger, vielleicht 5%. Sie werden es bei grafik-lastigen Spielen wahrscheinlich zuerst bemerken.

Was ist konkret zu tun?

Zunächst: Warten sie ab, bis die Hersteller der Rechner und Betriebssysteme die Patches bereitstellen. Die Patches für aktuelle Windows-Versionen (7, 8.1 und 10) und die meisten Linux-Distributionen (openSUSE, SLES, Debian/Ubuntu, Fedora, Red Hat) gibt es bereits.

Dann fehlen nur noch die Microcode-Patches. Sie werden über das BIOS bzw. UEFI bei jedem Systemstart eingespielt. Das ist die im Rechner dauerhaft eingebaute Software, die den Rechner zuerst einrichtet und für den Start des Betriebssystems bereit macht. BIOS wird bei älteren Rechnern verwendet, UEFI bei modernen.

Das BIOS/UEFI mit den Microcode-Patches pflegen die Hersteller. Sie geben Updates aber nur für aktuelle Rechner heraus. Diese müssen sie über ein spezielles Progamm auf ungewohnten Wegen in den Rechner einspielen. Freiwillig mache ich das nie. Hier ist es aber nötig!

Bei älteren Systemen stehen sie wohl mangels Updates vom Hersteller im Regen. Es gibt mit etwas Glück alternative Wege zum Patchen des BIOS, welche man sich aus dem Netz suchen muss. Keine schöne Aussicht!

Wie von selbst, z.B. mit einem Windows-Update, geschehen BIOS oder UEFI-Updates nicht!

Linux-Nutzer haben es diesmal einfacher: Dort wird, falls das BIOS bzw. UEFI die Patches nicht eingespielt hat, beim Bootprozess durch das Linux-Startsystem der Prozessor gepatcht. Das hat Windows vor der Version 10 auch so gemacht. Der Systemstart ist jetzt aber so gestaltet, dass man diese Option nicht mehr hat. Bei PCs sind die Maßnahmen also:

  • BIOS oder UEFI mit dem Hersteller-Programm patchen (nur bei Windows nötig)
  • Betriebssystem-Patches (Windows, Linux, MacOS) einspielen

Nur mit beiden Maßnahmen ist der Rechner danach wieder sicher.

Im Moment gibt es für Windows 7, – 8.1 und – 10, MacOS 10.13 und die großen Linux-Distributionen Patches. Rechner mit älteren Systemen sollte man auch aus anderen Sicherheitsgründen nicht betreiben. Ohne das nötige BIOS oder UEFI-Update sollte man kein Windows-System betreiben.

Was ist mit anderen Geräten zu tun?

Mikroprozessoren sind inzwischen in vielen anderen Geräten am Werk. Solange auf diese keine Software eingespielt wird, ist keine Aktion nötig. Damit ist z.B. ihr Auto wahrscheinlich sicher. Aber nicht ihr Smartphone. Dort muss man die Patches der Hersteller einspielen. Bei Apple-Geräten ist das einfach, solange sie nicht zu alt sind. Updates gibt es dafür bereits. Bei Android-Handys (wenn sie nicht steinalt sind) fällt man in die Lücke zwischen dem Betriebssystem-Hersteller Google und dem Geräte-Hersteller. Alle Updates liefert hier nur der Geräte-Hersteller, nicht Google. Diese müssen Android an ihre Hardware jeweils anpassen. Das kann dauern und bleibt bei älteren Modellen meist aus.

Für neuere Handys wird es Updates geben, sonst ist es besser ein neues Handy kaufen. Oder das Risiko eingehen. Bei Home-Banking mit dem Handy kann das leichtsinnig sein. Eine scheinbar harmlose App könnte die wichtigen Kronjuwelen (mTANs, Zugangscodes) verraten. Als Folge ist Ihr Konto dann leer, und sie um eine Erfahrung reicher.

Meine Einschätzung: Ruhe bewahren 🙂

Die beiden Szenarien Spectre I und II haben das größte Potential, sind aber sehr komplex umzusetzen. Für die nächste Zeit habe ich da wenig Sorgen.

Meltdown ist nur bei Intel wirksam, wird aber schon durch die Software-Patches (kein BIOS-Update nötig) behoben.

 

 

Weiterführende Informationen

FAQ bei Heise Online

Sammelseite bei Heise Online

 

2018-01-22
Previous Post: Was macht eigentlich…. Christian Balz?
Next Post: Forschen in Tandem mit Israel

Folge uns

Suchworte

Archäometallurgie Ausbildung Austausch Beratung bERLinPro Beschleunigerphysik BESSY II BESSY VSR Bibliographie Bildung CALIPSOplus Coaching Corona Doktoranden Ehrenamt Energie Engagement Führungskräfte Gast Homeoffice Kantine Klimaschutz Klimastreik Klimawandel Kommunikation Kryotechnologie Kultur Kunst Laser Lehre Lise Meitner Museum Nachhaltigkeit Nachwuchs Neutronen Praktikum Preise Schule Schülerlabor Schülerpraktikum Solare Brennstoffe Solarenergie Solarzellen Tomographie Wissenstransfer

Neueste Beiträge HZBblog Campus

  • Freier Kopf und volle Konzentration – eine Chemikerin musiziert im Orchester 17. Januar 2023
  • Jennifer Bierbaum unterstützt “Kinder lesen Katzen vor” 12. Januar 2023
  • BESSY II auf dem Marktplatz begegnen 28. Oktober 2022

Neueste Kommentare

  • Claudia Schmitt bei Ein Naturparadies in Wannsee
  • Jennifer Schevardo bei Was Feinwerkmechaniker können müssen
  • Silvia Zerbe bei Interview: Ein Freiwilliges Ökologisches Jahr im Labor
  • Sophie Spangenberger bei Ein insektenfreundliches Azubi-Projekt
  • Hartmut Ehmler bei Für eine klimaneutrale Helmholtz-Gemeinschaft

Archive

New on HZBblog science

  • Highlight of the year 2022: What do the numbers say?

  • One week for four problems – 2022 Hackathon@HZB

Verwandte Beiträge

Chinesische Feiertage
Neuer Job am HZB während Corona: Es war tatsächlich ein Glückstreffer
Helmholtz will nachhaltiger werden. Und die Basis macht Druck

Links

Beitrags-Feed (RSS)
Kommentare als RSS

Helmholtz-Zentrum Berlin

Impressum, Datenschutz
www.helmholtz-berlin.de

Logo Helmholtz-Zentrum Berlin