Die Sicherheitslücke bei Prozessoren ist möglicherweise in Milliarden Geräten weltweit zu finden: Vom klassischen PC über Notebooks bis hin zu Smartphones. Wer ist betroffen? Gibt es eine Lösung? Jörg Brunsmann gibt Antworten.
Jein. Die Sicherheitslücke ist massiv und bietet Hackern bisher ungeahnte Möglichkeiten.
Die Profis werden sich aber vor allem auf Rechenzentren mit Cloud-Daten stürzen.
-> was ist mit Skriptkiddies, Spaßhackern und Geheimdiensten?
Das nein im jein hat wenig Berechtigung. Nahezu alle Systeme der letzten zehn Jahre sind unsicher, das ist der Super-GAU.
Sicherheitslücken im IT-Bereich gabs schon immer und es gibt derzeit keinen Grund anzunehmen, dass sich das jemals ändern wird.
Die grundsätzliche Frage ist immer: Wie hoch ist das Risiko davon betroffen zu werden und mit welchen Schäden muss ich rechnen?
Dazu die einfache Antwort für _private_ Anwender die Windows 10 Home benutzen:
Das Risiko ist nahe null und die Schadenswirkung gering. Bei Betroffenheit einfach das Betriebssystem neu installieren, wie man es bei Windows eh standardmäßig alle halbe Jahre machen sollte.
Grundregeln für private Anwender:
- keine Dateianhänge von E-Mails anklicken, auch nicht bei angeblich bekannten Absendern, es sei denn man hat sie erwartet/angefordert
- wichtige Daten ständig separat sichern
Liebe Tagesschau, warum macht Ihr nicht gleich noch einen Brennpunkt zu dem Thema? Eure Berichterstattung zu dem Thema dient nicht der Aufklaerung sondern verursacht Unsicherheit oder sogar Panik beim Otto-Normal-Buerger.
Welcher Cyberkriminelle haette denn ein Interesse daran, in den Computer von Max Mustermann einzubrechen und dort Bewerbungsschreiben und Familienfotos zu stehlen? Wie Ihr schon richtig bemerkt habt, werden eher Cloud-Dienste im Focus stehen. Empfehlt den Leuten lieber, keine sensiblen Daten in den Clouds zu speichern statt ueber fehlende oder nicht moegliche Updates zu schreiben.
Indem man den Verbrauchern systematisch einredet, die Rechner der letzten 10 Jahre seien alle unsicher gewesen, redet man den Leuten unterschwellig ein, gefälligst einen Neuen zu kaufen.
Der beschriebene Angriff ist pure Hypothese und niemand von Heise bis McAfee, Norton, Kaspersky und Co. konnte bisher auch nur einen einzigen Fall vorweisen, der auf diesem Szenario beruht, obwohl die Lückie "schon ewig bekannt ist".
Ich bleibe dabei. Es ist eine künstliche Hysterie, mit dem Ziel, den Nachfolge des Intel I7, den keiner braucht in den Markt zu puschen, nachdem es mit solchen Nonsens-Anwendungen wie VR nicht geklappt hat.
Es ist hierbei leider nicht von Panikmache auszugehen, da ein Angriff nicht nur über auf dem Rechner installierte und ausgeführte Software erfolgen kann, sondern auch über den Browser beim Aufruf einer Webseite mit Javascript.
Eine simple Weiterleitung auf eine Website die Schadcode ausliefert wäre also bereits genug um einem Angreifer weit greifende Rechte zu geben womit zum Beispiel dauerhaft ein keylogger installiert werden kann.
War lange bekannt bei den Hersteller und beim ....Eine Regierung wo den Bürger ausspionieren und zensieren möchte braucht sowas.Ein Schelm wer Misstrauen hat.Die Zussamenarbeit klappt hoffentlich zischen Merkel und USA oder waren die Deutschen mal wieder....
"Die Sicherheitslücke ist massiv und bietet Hackern bisher ungeahnte Möglichkeiten. Die Profis werden sich aber vor allem auf Rechenzentren mit Cloud-Daten stürzen. Die sind auch von der Sicherheitslücke betroffen. Dort werden teilweise Daten von Millionen Nutzern gespeichert, was sie als Angriffsziele viel interessanter macht als die PCs einzelner Nutzer."
Das ist nur die halbe Wahrheit. Hacker haben ja gar nicht diejenigen Möglichkeiten, Budgets und Ressourcen, über die staatliche "Dienste" verfügen. Nicht jede Hackerin hat z.B. einen Supercomputer im Keller stehen oder gar ganze Gebäude vollgestopft mit gigantischen Festplatten-Clustern.
Die wirkliche Gefahr geht von denen aus, die (1) meinen, es besser zu wissen (2) die sich für "die Guten" halten und (3) der Meinung sind, dass neue Zeiten ungewöhnliche Konsequenz erfordern und hartes Zufassen.
In Deutschland z.B. gab es schon mal eine mehr als unheilvolle Bewegung, bei denen die Punkte 1 bis 3 zutrafen...
Es ist korrekt, dass man eher versucht Einrichtungen anzugreifen, die (geheimdienstlich) sensible Daten oder viele Nutzerdaten gespeichert haben.
Allerdings ist es schon häufig vorgekommen, dass von großen Plattformbetreibern ganze Nutzerdatensätze runtergeladen wurden, sobald man einmal Adminrechte erlangt hatte. Viele Nutzer benutzen auf mehreren Portalen die gleiche Kombination aus Nutzername/Email und Passwort. Über den langen Weg wurden so auch z.B. Facebookkonten oder Googlekonten übernommen.
Für einige scheint sich das immer so weit weg anzuhören. Und natürlich kann man auch als Privatanwender in den Fokus gelangen, wenn man einfach auf eine Seite surft, auf der das richtige Skript läuft. Der Seitenbetreiber muss nur sammeln und schaut halt nachher, wer alles ins Netz gegangen ist. Da nutzt die Vorsicht bei E-Mailanhängen erstmal nicht viel.
wurde leider nicht im Text beschrieben. Deshalb erkläre ich die hier mal kurz. Im Prozessor werden Programmteile ausgeführt bevor sie eigentlich benötigt werden. Bei dieser Ausführung im voraus prüft - im Gegensatz zur normalen Ausführung - der Prozessor nicht, ob dort auf "andere" Speicherbereiche zugegriffen wird. D.h. man kann dort z.b. Daten des Betriebssystem oder auch Daten von anderen Programmen auslesen. Das ist eine sehr schwerwiegende Sicherheitslücke in der Architektur des Prozessors und ist sehr ernst zu nehmen. Die Updates werden wahrscheinlich helfen, aber auf Kosten der Performance. Dennoch kann man die Fehlfunktion des Prozessors nicht mit Software komplett korrigieren. Langfristig wird nur ein Tausch der Hardware helfen... Und das wird sehr sehr sehr Teuer werden. Die aktuelle Monokultur bei den Prozessoren schlägt hier gnadenlos zu.
Bei allem Respekt: Sie haben eine blühende Fantasie. Ich empfehle Ihnen die Lektüre des akademischen Papers über Spectre. Auch Laien können (in Ansätzen) verstehen, welches Ausmaß diese Lücke hat. Es reicht sogar hierfür, den Abschnitt "Mitigation" zu lesen. Von Marketing oder Panikmache kann keine Rede sein. Den Herstellern war Performance wichtiger als Sicherheit.
Na das sind ja ganz tolle Nachrichten. Also ich unterstelle jetzt einmal Absicht der Hersteller. Durch die entstandene Panik kann es sehr gut zu entsprechenden Neukäufen von Hardware kommen. So kann man als Hersteller natürlich sehr sehr sehr viel Geld verdienen. Anders herum gesagt, man sollte due Hersteller verklagen, ich rede hier von relevanten Summen, Milliarden sind hier wohl zu wenig. Ich denke, wir reden hier von Billionen. Ganz klar. Sonderbar, daß so ein Skandal den der Dieselgeschichte bei weitem übertrifft. Alternativ könnten die Hersteller natürlich kostenlose Chips anbieten, ich kann mir aber nicht vorstellen, daß die CPUs bei modernen Geräten gesockelt sind...
Für Sie gilt das gleiche wie für Bowerman. Natürlich ist Speculative Execution Absicht gewesen. Man wollte damit im Gegensatz zu VW aber nicht betrügen.
jetzt wird hier wieder so eine sau durchs dorf getrieben, die uns weismachen soll, dass derlei dinge nicht gewollt und vorsätzlich so eingerichtet sind. wer glaubt diesen schmarren eigentlich noch?
Die folgenden Updates beheben das Problem:
KB4056892, KB4056891, KB4056890, KB4056888
und KB4056893!
Wer eine davon installiert hat, ist damit ausreichend versorgt. Speziell auf KB4056890 (Tagesschau Artikel) muss nicht gewartet werden -- alle oben genannten Patchnummern helfen aus!
"Also ich unterstelle jetzt einmal Absicht der Hersteller. Durch die entstandene Panik kann es sehr gut zu entsprechenden Neukäufen von Hardware kommen"
So ein Blödsinn. Zudem ist es wohl weniger ein Problem der Hersteller der Chips, als der Software Hersteller, die diese Hardwarevoraussetzungen erst zur Sicherheitslücke gemacht haben.
Außerdem besteht diese Lücke seit vielen Jahren. Viel länger als die Produktnutzungsdauer. PCs und Smartphones werden ohnehin in vergleichsweise kurzen Abständen neu angeschafft. Da braucht man keine solche "Panik" als Anreiz - zumal die Lücken Softwareseitig geschlossen werden können.
"Langfristig wird nur ein Tausch der Hardware helfen... Und das wird sehr sehr sehr Teuer werden. Die aktuelle Monokultur bei den Prozessoren schlägt hier gnadenlos zu."
Da ohnehin jeder langfristig seine Hardware erneuert ist ja kein zusätzlicher Handlungsbedarf. Bei mir ist eh nichts zu holen was mir Bauchschmerzen machen würde wenn es ein Hacker in die Hände bekäme.
Die aktuelle Android-Version liegt bei 8. Dafür wird es wahrscheinlich Updates geben. Für ältere Geräte aus 2017/16/15 und davor eher nicht. Dazu müsste jeder Hersteller von Android Geräten die Updates anpassen, das ist auch bisher kaum oder gar nicht passiert.
Hier ist das Android Konzept grob fehlerhaft.
Frage: können wir jetzt alle unsere Geräte reklamieren und auf Austausch bestehen?
Erfolgen kann... Gibt es nur einen einzigen dokumentierten Fall? Ich habe den ganzen Tag gesucht und nichts gefunden....
Es ist eine hypothetische Lücke, die wohl bisher keiner genutzt hat, aber jetzt nach diesem ganzen schwachsinnigen medialen Getöse wird es aus meiner Sicht Versuche geben.
Unternehmen, die ihre Unternehmensdaten in business clouds speichern, dürfen sich nicht wundern, wenn ihre Innovationen nicht mehr sicher sind! Habe ich eigene Server, bin ich Herr meiner Daten. Meine Daten kann ich dann selbst sichern, ist zwar aufwendiger aber, letzten Endes, vernünftiger!
weiß, dass nichts 100% sicher ist und wer glaubt, dass in Serverfarmen die Daten sicherer sind, ist auf dem Holzweg.
Wie man mit Firmen umgeht, die ihren Kunden mangelhafte Produkte verkaufen, müssten "wir" spätestens seit den Verfahren in den USA gegen handverlesene deutsche Automobilhersteller wissen ...
Ich gehe davon aus, dass es bei fehlerhafter Hardware (mindestens) updates (insbesondere auch für ältere Androiden) geben muss. Je nach Leistungseinschränkung aufgrund der fehlerhaften Hardware hielte ich auch finanzielle Entschädigungen der Käufer bzw. Hardwaretausch für angemessen - und wenn man jüngste Aktienverkäufe sieht, die Veranwortlichen vermutlich auch ...
Aber das gilt nur dann, wenn es sich um eine Atom CPU vor dem Jahr 2013 betrifft.
Besitzer eines Rechners mit einer solchen CPU können sich glücklich schätzen, denn die ist gegen die Spectre Sicherheitslücke immun.
Alle anderen CPU Hersteller, das gilt auch für CPUs von ARM und AMD sind zwar vor der Sicherheitslücke Meltdown sicher, die tatsächlich nur Intel CPUs betrifft, aber gegen die Sicherheitslücke Spectre sind sie genauso anfällig.
Das Sicherheitsproblem ist somit gigantisch.
Die einzigen sicheren Rechner sind momentan die oben genannten Atom CPUs, Intel's Itanium Reihe und die alten 486er vor über 30 Jahren und vergleichbare CPUs aus dieser Zeit. Diese sind weder durch Meltdown noch durch Spectre angreifbar.
Der Unterschied zwischen Fahrlässig und Vorsätzlich,ist ihnen aber schon bekannt?!
Und ihr Server kommt ohne CPU aus?
Und Sie wissen schon, ob die Produktemängel auf Fahrlässigkeit oder Vorsatz beruhen?
Und bestimmt wissen Sie auch, wie die Produktmängelhaftung in den einzelnen (!) Staaten Amerikas geregelt ist?
Ich beneide Sie ...
Was soll eine Cloud sicher machen, die ?persönliche Daten auf fremden Rechnern sichert?
Schon die Idee ist bescheuert :-D
@cpahren:
Meinen Kunden und auch Freunden empfehle ich immer kein Java, kein Adobe, kein Netframework.
Nach der Istallation Netzwerkrechte(Mediaplayerdienste, u.s.w.) abschalten. Auch die Updates.
Und das Allerwichtigste: Kein Virenscanner!
Ich benutze seit vielen Jahren Windows 7 und wenn ich mir mal etwas eingefangen habe, dann nur weil ich unvorsichtig gewesen bin.
Da gibts dann ne Neuinstalation.
Zum Thema:
1. können davon nur Dual oder Quatcore- Prozesseren betroffen sein.
2. der Abschöpfer bekommt "Rohmaterial"
3. der Prozessor ist an sich nicht programmierbar, nur die Cache oder der Kernel können verwendet werden.
4. bei Neustart wäre alles wieder weg und der Angreifer müsste von vorne beginnen.
Auf einem Prozessor befinden sich nicht nur Transistoren. Da gibts auch Spulen, Wiederstände und Dioden. Nur als Hinweis.
Macht das Update langsamer?
"Wahrscheinlich ja: Sicherheitsforscher sind in einer ersten Schätzung davon ausgegangen, dass ein Update PCs um bis zu 30 Prozent ausbremsen wird"
und der Aspekt, alle Daten , die wir im Netz , bei Amazon usw. hinterlassen, sind also in Gefahr. Dann sollen die doch vor allem das Update machen. Wenn aber die Hacker bei den Normalusern ankommen, sehe ich schwarz. Tollkühn könnte man meinen, jetzt sollen neueste Chips verkauft werden, indem man den Leuten Angst macht.... das wäre auf jeden Fall ein Geschäft für die Firmen, das sag ich mal.