Konkrete Gefahr durch Intel-Sicherheitslücken?

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Konkrete Gefahr durch Intel-Sicherheitslücken?

      Der Heise.de Newsticker schreibt, die Intel-Sicherheitslücken Meltdown und Spectre seien ein Security-Supergau.

      Anders Fogh, der Mitentdecker von Meltdown und Spectre, schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge dafür kursierten bereits im Netz.

      Die Intel Sicherheitsupdates funktionieren bisher nicht zuverlässig.

      Im CPU Markt hat Intel einen Marktanteil von 80% bis 90%. Solche unsicheren Intel CPUs finden sich dann sicher auch in Behörden, Banken, Stromnetz, Chemieunternehmen, ...

      Ich fange an, mir ernsthaft Sorgen zu machen.

      Wie seht Ihr das?

      Consuli
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.
    • Erstmal, die Sicherheitslücken betreffen nicht nur Intel und sogar nicht nur die X86/AMD64 Architektur sondern auch diverse andere (ARM, PowerPC...). Vor allem deshalb puscht sie in den Fachmedien so hoch, so etwas gab es noch nie.

      Die Lücke ist scheiße das es mindestens ein Jahr wenn nicht länger dauern wird bis es Prozessoren mit angepassten Architekturen auf dem Markt gibt. Bis dahin muß man sich mit Patches sowohl auf Mikrocodeebene wie auch Betriebssystemebene und auch Anwendungsebene behelfen. da ist man aber häufig auf die Hardwarehersteller angewiesen, spätestens wenn die Geräte ein paar Jahre älter sind ein Problem.

      Allerdings, die Lücke ist zwar sehr groß, wirkliche angriffscenarien sind aber meiner Meinung nach nicht so kritisch. Denn es sind keine Einfalltore um Systeme zu infizieren, machen es nur einfacher in ein infiziertes System weiter einzudringen. Kritisch ist das ganze vor allem in Virtualisierungsumgebungen, wenn mehrere Virtuelle Server unterschiedlicher Besitzer auf einem Hardwareserver laufen. Für den Privatanwender direkt zuhaue sehe ich die keine all zu großen Risiken (die Patche sollte man trotzdem installieren).
    • Ich glaube nicht, dass die Sache harmlos ist.

      Denn im Unterschied zu bisherigen Software-Sicherheitslücken handelt es sich hier um eine Hardware-Sicherheitslücke.

      Irgendwelche Software-Patches für eine Hardware-Sicherheitslücke werden IMMER nur eine billige Krücke bleiben. Eigentlich müsste man den Prozessor löten, was aus Größengründen der winzig kleinen Schaltkreise aber nicht möglich ist.

      M.E. haben wir es hier mit einer neuen Dimension Sicherheitslücke zu tun.

      Consuli
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.
    • Blauer schrieb:

      Bonzo das ist ein Konstruktionsfehler der "angeblich" in der 486er Grundstruktur vorhanden ist. Sprich Intel/AMD/Risc CPUs haben diesen Fehler seid Jahrzehnten.
      Da der 486 keine Out-of-order execution kann kann er weder durch Meltdown und Spectre angegriffen werden.

      bonzo schrieb:

      frage spielt der Fehler auch bei alten XP rechnern ne rolle...???
      Wie schon geschrieben hängt das vom Prozessor ab. Allerdings ist ein Windows XP Rechner im Internet sowieso eine tickende Zeitbombe. Wenn er nicht im Internet ist (und auch sonst keinerlei Datenaustausch mit anderen möglicherweise angreifenden Quellen hat, ist er auch nicht von Meltdown oder Spectre angreifbar)
    • Hier zwei Anleitungen, wie man Windows und Linux gegen die Sicherheitslücken Meltdown und Spectre schützt.

      heise.de/select/ct/2018/3/1517537914887723 (Windows)

      heise.de/select/ct/2018/3/1517616210773003 (Linux)

      Die Patches müssen allerdings erst noch beweisen, dass sie die Hardware-Lücken tatsächlich sicher verschließen können.


      Zusammenfassend scheint mir die Situation bezogen auf Deutschland in etwa so bedrohlich zu sein, wie alles andere was Ihr in dieser Rubrik bisher gepostet ZUSAMMEN ADDIERT. Denn es es gibt zig Millionen von diesen Prozessoren mit den Sicherheitslücken (fast alle Prozessoren der letztzten 5 Jahre sind betroffen). Und teilweise sind die Prozessoren in technischen Systemen als "Embedded Linux" (so wie im TV-Receiver und Fernseher zum Beispiel) verbaut, wo sie überhaupt keine Patches bekommen, ziemlich wahrscheinlich auch im Stromnetz und im Wassernetz, hoffentlich nicht in Atomkraftwerken.

      Consuli
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.
    • Hier die neueste Berichterstattung von der c't:

      heise.de/ct/artikel/c-t-uplink…-und-Spectre-3946836.html

      Fazit:
      Meltdown ist die größte Sicherheitslücke. (Die scheint mir persönlich aller-größtes Exploit-Potential zu haben. Daher auch der Name Meltdown= Kernschmelze.) Von ihr sind "nur" die Intel Prozessoren der letzten 20 Jahre und einige wenige ARM Cortex (Mobiltelefon-)Prozessoren der allerneuesten Generation betroffen. Für die Meltdowm Lücke gibt es mittlerweile in allen Betriebssystemen wirksame Patches. Betreffend die Haltbarkeit dieser Softwarepatches für eine Hardware-Lücke gibt es bisher keine Erfahrungen.

      Für die zwei Spector Sicherheitslücken gibt es derzeit noch keine vollständigen Patches sondern nur Abmilderungen. Die Sicherheitslücke ist so komplex, dass man ihr Ausmaß und ihre Bedrohlichlichkeit zum gegenwärtigen Zeitpunkt noch nicht seriös abschätzen kann. (In jeden Fall scheinen beide Sicherheitslücken in ungepatchten Zustand aber weniger bedrohlich zu sein als eine ungepatchte Meltdown-Lücke.)

      Aus meiner persönlichen Sicht (ich bin kein IT-Sicherheitsexperte) scheint aufgrund der Lücken, insbesondere wegen der fehlenden Patchmöglichkeit bei den Embedded Linux Komponenten, weiterhin die Möglichkeit zu bestehen, dass das Stromnetz, die Wasserversorgung oder andere Computersysteme mit Embedded Linux Komponenten (Produktionsanlagen, Verwaltung, Geldautomaten, ...) angegriffen und ausfallen werden.

      Consuli
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von consuli ()

    • Z.B. in NAS Rechnern (kleinen Heim-Computern zum speichern Filmen, Musik, Fotos und anderen Medieninhalten) ist auch Embedded Linux drin.

      Zum Glück kommt es bei denen gar nicht mehr auf die Meltdown und Spectre Lücken an, weil sie schon vom Hersteller eine Hintertür drauf haben (zumindest bestimmte Modelle). :D :D :D
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.
    • bonzo schrieb:

      frage spielt der Fehler auch bei alten XP rechnern ne rolle...???
      Wer der auf irgendeine Weise mit dem Internet verbunden ist, würde ich mir über das Betriebssystem wesentlich mehr Sorgen machen als über den verbauten Chip. Windows XP wird (leider) seit Jahren nicht mehr supportet, d. h. alle Sicherheitslücken (und es gibt Webseiten, wo die aufgelistet sind, als "Bausatz" für ab dem pubertierenden Hobby-Hacker aufwärts) sind einfach vorhanden und bekannt und werden definitiv genutzt.

      Als reiner Offline-PC ist das egal, ebenso wie der verbaute Chip.
    • Josef schrieb:

      bonzo schrieb:

      frage spielt der Fehler auch bei alten XP rechnern ne rolle...???
      Wer der auf irgendeine Weise mit dem Internet verbunden ist, würde ich mir über das Betriebssystem wesentlich mehr Sorgen machen als über den verbauten Chip.
      Es stimmt zwar, dass WinXP ein Scheunentor für Hacker ist. Das eine Feuer erstickt aber das andere nicht.

      Insbesondere die Meltdown-Lücke ist weiterhin SEHR gefährlich, weil der potentielle Hacker aufgrund des kumulativen Markteils von Intel und ARM von zusammen 90% bei kleinen Prozessoren (u.a. Emmbedded Prozessoren) in allen etwas intelligenteren elektronischen Geräten (Fernseher, Sat-/Kabel-Receiver, Unternehmensrouter und Unternehmens-Switches, allen möglichen Schaltgeräten im Strom- und Wassernetz, in Navigationsgeraten, was-weiss-ich-wo-sonst-noch-alles, ...) UNABHÄNGIG von Betriebssystem und Applikation auf dem Gerät einen angreifbaren Prozessor vorfindet. Updates sind für solchen smarten Geräte nämlich i.d.R. nicht vorgesehen.

      Insofern spitzt Meltdown m.E. (das ohnehin bereits bestehendende) Hackingproblem für Internet-of-Things Geräte nochmal erheblich zu

      Spectre scheint wohl schwerer auszunutzen zu sein. Vergl. heise.de/video/artikel/nachgeh…essorluecken-3936373.html

      Consuli
      Die professionellen Prepper waren diejenigen, die die richtigen Eventualitäten vorbereitet hatten.

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von consuli ()