Sicherheitslücke in Computerchips

  • Antworten:121
  • OffenNicht stickyNicht beantwortet
  • Forum-Beiträge: 16.286

04.01.2018, 22:18:44 via App

Durch eine gravierende Sicherheitslücke in Computerchips, können vertrauliche Daten gelesen werden.
Forscher demonstrierten, dass es möglich ist, sich Zugang zu Passwörtern oder Informationen aus Programmen zu verschaffen.

Die Sicherheitslücke kann bei allen Betriebssystemen entstehen, egal ob
Windows, MacOS, Linux und Android.
Die Schwachstelle ist ja die "Hardware"

Quelle InFranken.de

http://www.infranken.de/regional/technik/technik_news/gravierende-sicherheitsluecke-bei-milliarden-pc-und-smartphones-was-koennen-verbraucher-tun;art168637,3111800?utm_source=messenger&utm_medium=messenger&utm_term=messenger&utm_content=messenger&utm_campaign=messenger

Oder auch hier im Magazin

https://www.androidpit.de/meltdown-und-spectre-erschuettern-die-technik-welt

— geändert am 05.01.2018, 13:09:28

Liebe Grüße
Mia

👑 👑 👑


Nexus <3


👑Screenshots richtig posten
👑Dirty Unicorns - Nexus 6P
👑Dirty Unicorns - Nexus 5

Bastian SiewersAries

Antworten
  • Forum-Beiträge: 15.603

04.01.2018, 23:03:48 via Website

Es geht um zwei Sicherheitslücken: Meltdown und Spectre genannt.

Einleitend sei erklärt, dass Computer-Systeme seit geraumer Zeit den Speicher nicht linear verwenden, sondern zufällig. Das soll verhindern, dass ein Angreifer Speicherbereiche mit einem gewünschten Inhalt gezielt anspringen kann. Genau das wird durch die beiden Sicherheitslücken ausgehebelt.

Ermöglicht wird das, weil die Betriebssysteme die Zugriffe durch Programme auf die CPU nicht genügend abschirmen. Man war offenbar der Meinung, die CPU schütze sich genug. Genau hier setzen die angekündigten oder bereits vorhandenen Patches an: Das Betriebssystem (also Windows, MacOS, Linux, Android, iOS etc.) prüfen jetzt oder künftig, ob der gewünschte Zugriff zu den "guten" Zugriffen gehört. Das kann die Systeme aber deutlich verlangsamen. Die Angaben, um wieviel ein System langsamer wird, sind breit gestreut. Die dramatischten Schätzungen gehen von 30% Einbußen aus. Letztlich wird es jedoch von der Architektur des Systems abhängen. Ein MacOS ist vielleicht nicht ganz so stark betroffen, wie ein Windows-System, obwohl die gleiche CPU in den Rechnern steckt. Vielleicht ist es auch umgekehrt?

Wie dramatisch sind die Lücken?
Die Lücken ermöglichen böse Angriffe auf alle unsere Geräte (PCs, NAS-Geräte, Router, Smartphones, Tablet, Fernseher etc.). Im Zweifelsfall können Passworte oder auch Unternehmensdaten ergattert werden. Es wird jetzt, nachdem die Lücken bekannt sind, auch recht schnell Versuche geben, die Lücken auszunutzen. Vielleicht haben Hacker aber sogar schon Lösungen "in the wild"?

Wie soll ich mich verhalten?
Jedoch hilft Panik jetzt auch nicht. Es wird Updates geben und die sollten wir alle umgehend in unsere Geräte einspielen, ganz egal, ob die Lücke dadurch geschlossen oder nur abgemildert wird. Aber leider kennen wir ja die Hersteller unserer Androiden. Sie sind nicht die schnellten und sehr oft bekommen Geräte gar kein Update mehr.

Alle (zumindest muss man davon aufgrund der unterschiedlichen Meldungen erst einmal ausgehen) aktuell im Handel verfügbaren Geräte sind anfällig bezüglich Meltdown und Spectre. Auch die aktuell angekündigten Geräte haben noch (potenziell) anfällige Hardware.

Wer jetzt nicht unbedingt ein neues Gerät braucht, sollte ein paar Wochen warten, bis sich die Informationen ein bisschen sortiert haben.

Meine Strategie:
Ich brauche aktuell kein neues Smart Device, also werde ich keines kaufen. Wenn mir morgen ein Gerät kaputt geht, dann schaue ich, ein gebrauchtes Gerät mit guter Community-Unterstützung zu finden, damit ich die Möglichkeit auf eine gepatchte Custom ROM habe.

Alternativ bietet sich an, ein Modell zu kaufen, das Updates in kurzen Abständen und für eine lange Dauer bekommt. Das kostet dann aber auch ein paar Euro mehr.

Das Problem wird uns sehr wahrscheinlich noch einige Jahre begleiten, denn kaum jemand kann einfach seine Geräte auf einen Schlag tauschen. Selbst wenn es finanziell und zeitlich machbar ist, müssen ert einmal die neuen, sicheren CPUs entwickelt werden. Die werden Anfangs auch teuer sein.

Der Handel wird den alten Ramsch mit niedrigen Preisen raushauen. Darauf sollte niemand reinfallen, auch wenn es noch so verlockend ist, eine leistungsstarke CPU für wenig Geld zu bekommen. Spart lieber das Geld!

Meine Bewertung der Lücken
Die Lücken sind in der Hardware verankert, ja! Aber die Betriebssysteme sind schon auch ein bisschen schlampig entwickelt, wenn sie jedem Programm/jeder App solche Zugriffe auf den Kernel ermöglichen. Wenn die Betriebssysteme gepatcht sind, sollten wir die neuen CPUs abwarten können.

Ergänzung vom 05.01.2017:

Golem

Microsoft weist Nutzer darauf hin, dass die am 3. Januar veröffentlichten Sicherheitsupdates für Windows 10 für einen vollständigen Schutz gegen Spectre und Meltdown nicht ausreichten. Es sollte auch entsprechende Firmware der Hardwarehersteller installiert werden. Im entsprechenden Informationsartikel stellt das Unternehmen ein Powershell-Script vor, mit dem Systeme auf die Sicherheitslücken geprüft werden können. Dieses wird über den Befehl "Install-Module SpeculationControl" installiert.

— geändert am 05.01.2018, 13:57:12

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Bastian SiewersRalf PelzerMia

Antworten
  • Forum-Beiträge: 16.286

05.01.2018, 00:19:48 via Website

Danke Aries, für deinen ausführlichen Bericht (cool)

Ich finde es schon Wahnsinn, dass jetzt, sagen wir mal Speicher Bausteine, "Wanzen" sind.

Ich hoffe, dass die Firmen bald ein Update bekommen, stellt euch vor, die Daten von X Firmen sind in Gefahr

Liebe Grüße
Mia

👑 👑 👑


Nexus <3


👑Screenshots richtig posten
👑Dirty Unicorns - Nexus 6P
👑Dirty Unicorns - Nexus 5

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 00:33:13 via Website

New kernel packages contain fixes for Fedora 26 and 27 (kernel version
4.14.11), as well as Rawhide (kernel 4.15 release candidate). The maintainers have submitted updates to the stable repos. They should
show up within a day or so for most users.

Quelle: https://fedoramagazine.org/protect-fedora-system-meltdown/

So schnell sind Patches möglich!

User uploaded photo

Das habe ich am 04.01.2017 gegen 22 Uhr bekommen.

OK, Spectre ist damit noch nicht entschärft, aber immerhin ein Anfang. Und wo bleibt der Kernel für meine Androiden? Wann kommt der? In drei Monaten? im halben Jahr? Nie?

Die elendige Schnarchnasigkeit der Hersteller von Android-Geräten ist das eigentliche Drama!

Winfuture hat FAQs der TU Graz übersetzt. Die TU Graz war an der Analyse der Sicherheitslücken maßgeblich beteiligt. Also Infos aus erster Hand!

@Mia:
Du hast ein Nexus. Wenn der Patchlevel auf dem 2. januar 2018 steht, dann ist Dein Gerät gepatcht. Wie gut, kann ich nicht beurteilen. Aber keine Panik! In den nächsten Tagen werden mir erfahren!

— geändert am 05.01.2018, 00:54:50

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 378

05.01.2018, 10:20:07 via Website

Da stellt sich mir die Frage: Wie lange ist diese Lücke schon vorhanden, wie lange ist sie schon bekannt, BEVOR sie von irgendwem gemeldet wurde und WER hat die Lücke zuerst erkannt...

Eigentlich schon erschreckend, was heutzutage alles möglich ist...

Huawei MediaPad M5 10,8, Huawei P20 Pro, Honor 7C

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 10:24:33 via Website

Nur ungefähr 20 Jahre. Google hat die Lücken vergangenen Sommer entdeckt und zunächst nur den betroffenen Unternehmen mitgeteilt, sowie zusätzliche Fachkräfte ins Boot geholt. Niemand weiß, ob nicht einige wenige schon viel länger davon wussten. Praktischerweise hinterlässt ein solcher Angriff keine Spuren in Log-Files.

— geändert am 05.01.2018, 10:34:19

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 378

05.01.2018, 10:37:06 via Website

Wenn diese Lücken schon seit 20 Jahren bekannt sind, frage ich mich, warum das Thema gerade JETZT auf den Tisch kommt...wenn dann sind die Lücken doch schon seit Jahrzehnten ausgenutzt worden...

Huawei MediaPad M5 10,8, Huawei P20 Pro, Honor 7C

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 10:42:58 via Website

Sie sind ja nicht seit 20 Jahren bekannt. Sie sind seit letztem Sommer bekannt. Die Lücken existieren aber seit über 20 Jahren, weil damal die CPUs mit der entsprechenden Architektur auf den Markt kamen.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 16.286

05.01.2018, 10:43:14 via App

20 Jahre (whew) ist ja Wahnsinn (angry)

Man könnte echt meinen, da steckt jetzt die Industrie dahinter, die neue Sachen verkaufen will :O

Erinnert mich jetzt irgendwie an die Diesel Geschichte.... Ist schon 20 Jahre bekannt, jetzt braucht man neue Autos (silly)

— geändert am 05.01.2018, 10:44:33

Liebe Grüße
Mia

👑 👑 👑


Nexus <3


👑Screenshots richtig posten
👑Dirty Unicorns - Nexus 6P
👑Dirty Unicorns - Nexus 5

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 10:54:43 via Website

Mia

Man könnte echt meinen, da steckt jetzt die Industrie dahinter, die neue Sachen verkaufen will :O

So ein Verdacht kommt immer schnell auf. Nein, nein, in diesem Fall hat Linus Torvalds Recht:

Golem

Zu Meltdown äußerte sich auch Linux-Entwickler Linus Torvalds in einer Nachricht. Er hat keine guten Worte für Intel übrig: "Ein kompetenter CPU-Entwickler würde das beheben, indem er sicherstellt, dass spekulative Ausführung nicht über geschützte Bereiche hinaus auftritt", schrieb er. Er rief auch Intel dazu auf, den Fehler offen und ehrlich zuzugeben, statt "PR-Geschwafel" abzugeben.

Die CPU-Hersteller haben leider in den Jahren, aus Angst vor Nachahmern, immer weniger echte Fakten zu ihren Produkten herausgegeben. Sonst wären die Sicherheitslücken wahrscheinlich schon viel früher jemandem aufgefallen. Es bestätigt sich wieder einmal: Security by obscurity ist keine gute Idee!

Jetzt mag jemand einwenden, "Nunja, 20 jahre bis zur Entdeckung ist ja schon einmal eine Hausnummer. Solange waren die Geräte sicher." Nein! Niemand weiß, ob die Sicherheitslücken nicht doch genutzt wurden. Egal, ob zur Wirtschaftsspionage, Sabotage, von Geheimdiensten oder von interessierten Hobby-Hackern.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 16.286

05.01.2018, 11:03:53 via App

Heißt jetzt aber doch, alle die kein Update bekommen oder keines bekommen KÖNNEN haben Pech gehabt??

Viele die einen 5 Jahre alten Rechner, meinetwegen mit Windows 7 ohne sp 1 haben, haben Pech??

Gibt es ein Test Programm auch für "normale 0815 Nutzer"

Liebe Grüße
Mia

👑 👑 👑


Nexus <3


👑Screenshots richtig posten
👑Dirty Unicorns - Nexus 6P
👑Dirty Unicorns - Nexus 5

Antworten
  • Forum-Beiträge: 1.089

05.01.2018, 11:14:42 via App

Mia

Heißt jetzt aber doch, alle die kein Update bekommen oder keines bekommen KÖNNEN haben Pech gehabt??

Viele die einen 5 Jahre alten Rechner, meinetwegen mit Windows 7 ohne sp 1 haben, haben Pech??

Gibt es ein Test Programm auch für "normale 0815 Nutzer"

Ja dann habt ihr Pech gehabt aber das ist doch immer so? Genau wie das mit der Bluetooth Lücke (Blueborn). Wer hier kein Update bekommen hat, der hat nun mal Pech gehabt. Da kannst du nichts machen, da sich die Lücke schließlich nicht von selbst schließt. Aber naja ich wprde denoch den Teufel nicht an die Wand malen. Es hat schon seine Gründe warum es 20 Jahre gedauert hat diese zu finden. Und in der heutigen Welt kann man nun mal nicht alles Überblicken selbst als große Techfirma. Da werden immer irgendwelche Lücken entstehen egal ob in der HW oder SW alles abzudecken ist nunmal nicht möglich. Auch kann man eine Lücke abdichtet aber dadurch kann sich an anderer Stelle eine neue auftun. In Panik sollte man nicht verfallen eher hoffen oder fordern das diese Lpcken umgehend geschlossen werden. Was nun auch bereits getan wurde (Android Patch vom 2. Januar, MS letzte Nacht etc.)

IPhone XS Max
Samsung Galaxy S8 Stock

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 11:17:59 via Website

Microsoft hat am Mittwoch Abend einen ersten Patch herausgegeben. Leider funktioniert der nicht mit manchen Virenscanner - was schon verwunderlich ist.

Für Linux gibt es Patches für Meltdown ab der Kernel-Version 4.14.11. Ältere Kernel sind gerade in Vorbereitung.

Google hat im Januar-Patch bereits Die Sicherheitslücken gemildert.

Apple hat für MacOS auch schon im Dezember das Update herausgegeben.

Für iOS soll es in Kürze folgen.

Mit den Patches werden die Lücken nicht komplett geschlossen. Es wird sicher weitere Updates geben. Aktuell sind das unvollständige Sofortmaßnahmen. Mehr kann man auch noch nicht erwarten.

Der Kern des Problems liegt jedoch in den CPUs und das wird uns noch sehr, sehr lange begleiten. Denn die CPUs müssen ja erst neu entwickelt werden. Soetwas geht nicht in Monaten. Dann müssen sie sich auf dem Markt verteilen und es werden sicher erst die hochpreisigen Geräte die neuen CPUs bekommen.

Geht mal davon aus, dass in 10 Jahren die betroffenen CPUs weitgehend verschrottet sind.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 378

05.01.2018, 11:21:06 via Website

Naja, der Android-Patch wird aber nicht direkt alle Geräte erreichen..wie das halt immer so ist.

Aber nunmal vorab: Wie wird die Lücke denn genau nutzbar? Dazu muss doch von irgendwo her eine Software auf dem betreffenden Gerät installiert werden, oder? Sei es auf einem PC oder einem Smartphone/Tablet über eine (dubiose) App? Sprich ein großer Teil der Gefahr befindet sich sicherlich immer noch VOR dem Gerät, wenn ich das richtig verstehe?!?

Ich schließe mich da keinesfalls aus, kann sicherlich Jedem passieren, dass er aus versehen oder im Eifer des Gefechtes mal irgendwo drauf klickt, ohne vorher drüber nach zu denken, aber in der Regel ist die BRAIN.APP eigentlich doch immer noch eine gute Sache, richtig? ;)

Huawei MediaPad M5 10,8, Huawei P20 Pro, Honor 7C

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 11:23:56 via Website

Self_Root

Es hat schon seine Gründe warum es 20 Jahre gedauert hat diese zu finden. Und in der heutigen Welt kann man nun mal nicht alles Überblicken selbst als große Techfirma.

Die Gründe sind die Geheimniskrämerei. Würde man mit offnen Karten spielen, würden solche Dinge viel früher auffallen. Das ist einfache Statistik. Je mehr Leute Einblick haben, desto eher ist einer dabei, der das Problem erkennt und nicht nur für seinen persönlichen Vorteil ausnutzt.

In Panik sollte man nicht verfallen eher hoffen oder fordern das diese Lpcken umgehend geschlossen werden.

Geschlossen werden können sie per Software nicht. Jeder Patch kann nur ein Workaround sein, der mehr oder weniger wirklungsvoll sein kann.

Was nun auch bereits getan wurde (Android Patch vom 2. Januar, MS letzte Nacht etc.)

Ja, von Google wurde etwas getan. Aber wieviel Smart Devices unter Android bekommen den Patch in der Praxis? Und wann? Es werden doch heute noch Geräte mit Android 5 als neu verkauft, die niemals iregendein Update sehen werden.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 1.089

05.01.2018, 11:44:34 via App

@Aries: Deswegen sag ich ja der Rest hat leider Pech gehabt und das ist bislang immer so. Ein Teil bekommt dieses Update das mehr oder weniger hiöft und der Rest nicht. Leider kannst du auch hier nichts machen lebenslange Updates gibt es nicht und ist eher realitätsfremd. Ansonsten sollte man auch schauen immer das aktuellste OS zu haben. Mit etwas Glück bekommen es auch Win7 PCs aber wenn nicht dann hat man teilweise selbst Schuld weil mittlerweile Win10 das aktuellste ist. Wie dem sei hofft das ihr das Update für eure Geräte bekommt und spielt sie zügig ein. Wer mit alter Software (Selbstverschuldet) unterwegs ist hat selbst Mitschuld. Und zu guter letzt hoffen und beten das diese Lücke eher wenig bis gar nicht ausgenutzt wird zumindest als 0815 User.
Ansonsten so viel ich weiß kann eine der Lücken mit Javascript ausgenutzt werden und somit reicht hier auch schon ein Driveby angriff d.h. ihr besucht eure "Lieblingspornoseite" und schwupps kann es passieren.

IPhone XS Max
Samsung Galaxy S8 Stock

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 11:49:46 via Website

Self_Root

lebenslange Updates gibt es nicht und ist eher realitätsfremd.

Die erwarte ich auch gar nicht. Aber eine Lifetime, die bereits beim Kauf beendet ist, ist dann doch sehr dreist. Immerhin hat Win 7 auch noch Updates bekommen als die Nachfolger bereits am markt waren und MS hat feste Termine rechtzeitig veröffentlicht.

Ansonsten so viel ich weiß kann eine der Lücken mit Javascript ausgenutzt werden und somit reicht hier auch schon ein Driveby angriff d.h. ihr besucht eure "Lieblingspornoseite" und schwupps kann es passieren.

Warum immer Schmuddelseiten anführen? Es reicht schon ein Pfuschprogrammierer, dessen Website mit einem entsprechnden Javascript infiziert wird.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
Pippi
  • Blogger
  • Forum-Beiträge: 3.157

05.01.2018, 11:52:36 via App

Aries

Sie sind ja nicht seit 20 Jahren bekannt. Sie sind seit letztem Sommer bekannt. Die Lücken existieren aber seit über 20 Jahren, weil damal die CPUs mit der entsprechenden Architektur auf den Markt kamen.

du bist ja gutgläubig. wenn ich ehrlich bin glaube ich da nicht dran. ich meine, die Hersteller wussten das ganz genau und haben einfach drauf gewartet bis es Mal jemand findet - falls es jemand findet.

Antworten
  • Forum-Beiträge: 15.603

05.01.2018, 12:01:11 via Website

Gutgläubig bin ich weniger. Ich bin realistisch. Ich stelle es mir so vor, dass irgendein Ingenieur gesagt hat, dass man das so nicht machen könne. Ob er dabei das ganze Ausmaß überblickt hat, sei dahingestellt, er hat jedenfalls Probleme gesehen. Sein Änderungsvorschlag hätte aber die CPUs zu sehr verteuert und deren Erscheinen verzögert, so dass ihm gesagt wurde, er solle es machen wie geplant und überhaupt sei das Sache der Software.

Ich würde laut lachen, wenn in den nächsten Wochen genau so ein Mailverkehr bei Wikileaks oder ähnlich auftaucht.

Von "bekannt" bei Sicherheitslücken redet, wenn es einzelne wissen, aber untätig sind oder es still für sich ausnutzen. Von bekannt redet man hierbei erst, wenn Gegenmaßnahmen eingeleitet werden und es nur auch Sicherheitsgründen nicht sofort der Öffentlichkeit mitgeteilt wird.

— geändert am 05.01.2018, 12:13:22

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
Gelöschter Account
  • Forum-Beiträge: 1.957

05.01.2018, 12:16:50 via Website

Das ist nur Panikmache um Hardware zu verkaufen.
So was wird auch gerne mal für die Aktien an der Börse genutzt.
Antivirenprogramme blocken solche Angriffe ab, wie Kaspersky zum Beispiel.

Auf meinem PC gibt es nix zu holen. :D

— geändert am 05.01.2018, 12:18:14

⚠️Bitte keine Werbung von 1&1⚠️

Antworten

Empfohlene Artikel