Sicherheitsprobleme in Prozessoren – Panikmache oder reale Gefahr?

Von Jean-Claude Hasler, 07.01.18

Das Jahr 2018 hat noch nicht richtig angefangen und schon berichten die Medien wieder von Sicherheitsproblemen bei Computern.

Das Google Sicherheitsteam «Project Zero» hat Mitte 2017 zwei Möglichkeiten gefunden um Passwörter, kryptographische Schlüssel (die z.B. für die Verschlüsselung von Daten genutzt werden) oder andere sensible Daten über das Betriebssystem aus den Prozessoren auszulesen und zu missbrauchen.

Diese zwei Möglichkeiten werden Meltdown und Spectre genannt. Die Methode «Meltdown» funktioniert bisher nur für Angriffe auf Intel-Systeme. «Spectre» dagegen ermöglicht auch Angriffe auf AMD- und ARM-Prozessoren.

Was ist ein Prozessor?

Hauptbestandteile eines Prozessors sind das Rechenwerk sowie das Steuerwerk. Darüber hinaus enthält er meist mehrere Register und einen Speichermanager, der den Arbeitsspeicher verwaltet. Zu den zentralen Aufgaben des Prozessors gehören die Abarbeitung des Maschinenprogramms: arithmetische und logische Operationen zur Verarbeitung von Daten.

Es ist die zentrale Verarbeitungseinheit (kurz ZVE, englisch: Central Processing Unit, kurz CPU) eines Computers.

In verständlichem Deutsch:
Ein Prozessor ist das Herz eines Computers. Er ist für die Verarbeitung der Betriebssysteme und der Programme verantwortlich.

Was ist das Problem?

Das Problem entsteht aus einer schon seit 20 Jahren von vielen Herstellern eingesetzten Funktion der Prozessoren, der sogenannten "spekulativen Codeausführung", welche ihre Leistung erhöhen soll. Diese Funktion erhöht die Geschwindigkeit der Verarbeitungen (und somit der Computer) in dem sie erwartbare Folgeaktionen berechnet und abspeichert.

Der Haken ist nur: Der Prozessor muss raten, was als nächstes zu tun ist, und erzeugt so selbst temporäre Daten. Die müssen irgendwo zwischengespeichert werden, auch wenn sie sich später als unnütz erweisen, und genau da besteht das Sicherheitsproblem.

Oft werden Passwörter oder kryptographische Schlüssel vom Prozessor zwischengespeichert, da diese immer wieder für die Zugriffe des Netzwerkes, der Daten oder Programmen genutzt werden müssen.

Sie können es mit folgendem Gedankenbeispiel veranschaulichen

Sie haben ein Gleis mit einer Weiche, die entweder nach A oder B führt. Auf diesem Gleis fährt nun ein Daten-Tram und Sie stehen an der Weiche und entscheiden, ob es nach A oder B geht. Der Prozessor weiss nicht wie Sie entscheiden werden.

Um für beide Fälle vorbereitet zu sein schickt der Prozessor darum je ein temporäres Daten-Tram nach A und B und berechnet was bei jedem passieren würde. Aber erst wenn Sie die Weiche stellen, fährt das Daten-Tram wirklich los. Der Prozessor nutzt dann die im voraus generierten Daten des zutreffenden temporären Trams, damit es schneller ans Ziel kommt. Das nicht gebrauchte temporäre Tram sollte nun verschwinden, tut es aber nicht. Man kann es immernoch benutzen und das ist das Sicherheitsproblem.

Welche Geräte sind betroffen?

Jeder Server, Computer, Notebook, Tablet, Smartphone, Haussteuerungen, Maschinensteuerungen oder andere elektronischen Geräte die Intel-, AMD-,  ARM- oder anderen Prozessoren eingebaut haben.

Dabei spielt es keine Rolle, ob Windows, macOS, Linux oder ein anderes Betriebssystem installiert ist. Ursache ist das Design moderner Prozessoren und die Art, wie diese Programme und Daten verarbeiten.

Wie hoch ist die Gefahr, dass diese Sicherheitsmängel ausgenutzt werden?

Damit die sensitiven Daten wie Passwörter, Entschlüsselungs-Schlüssel und anderes ausgelesen werden kann, benötigt es das Ausführen eines Programms auf dem lokalen Gerät, dass die zwei Möglichkeiten «Meltdown und Spectre» zur Ausspionierung der zwischengespeicherten Daten des Prozessors beinhaltet.

Dieses Programm muss von jemandem installiert, respektive ausgeführt werden.

Aus unserer Sicht ist die Gefahr, dass z.B. Ihre Passwörter missbraucht werden, nicht grösser oder kleiner geworden.

Die Gefahr, dass jemand Ihr Passwort oder Ihre Daten ergaunert und damit Schaden anrichtet, ist im heutigen Computerzeitalter immer hoch. Es reicht ausversehen eine Datei in einem gefälschten E-Mail-Anhang zu starten um jemanden Zugang zu gewähren.

Für Cloud-Benutzer ist die Gefahr noch grösser. Denn sie können nicht mitbestimmen welche Programme ein anderer Cloud-Benutzer auf den selben Servern ausführt, auf denen sie arbeiten. Dies kann praktisch auch niemand überwachen!
Zudem sind die Cloud-Benutzer darauf angewiesen, dass ihr Anbieter die Sicherheitsupdates auch zeitnah installiert.

Wie können Sie sich schützen?

Es gelten die selben Verhaltensregeln um sich auch gegen Trojaner, Malware oder andere Viren zu schützen:

  • Öffnen Sie nie einen Mailanhang von einem unbekannten Absender.
  • Überprüfen Sie E-Mails mit Anhang genau, bevor Sie den Anhang öffnen.
    Lesen Sie dazu unseren Artikel:
    Grundsätze zum Umgang mit E-Mail-Links und Anhängen
  • Laden Sie keine Programme, Spiele oder Filme von unsicheren Webseiten herunter. Füllen Sie keine Formulare auf unsicheren Seiten aus.
    Lesen Sie dazu unseren Artikel:
    Sichere Verbindungen erkennen – Unterschied zwischen https und http
  • Benutzen Sie keine Passwörter mit Ihrem Namen, Ihrem Geburtstag oder einem Ihrer Angehörigen.
  • Installieren Sie regelmässig die vom Hersteller bereitgestellten Updates.
  • Benutzen Sie ein Antiviren Programm.
  • Installieren und aktivieren Sie eine Firewall.

Wer unternimmt nun was gegen die Sicherheitsmängel in Prozessoren?

Verschiedene Hersteller arbeiten mit Hochdruck an Sicherheitsupdates ihrer Produkte. Dies wird die Leistung des Gerätes beeinträchtigen. Experten reden von einer Verlangsamung der Geräte zwischen 5% und 30%.

Unser Fazit

20 Jahre bleibt ein «Sicherheitsproblem» unentdeckt? Und dies in der Hardware, nicht etwa bei Microsoft, Apple oder Linux. Am Herzen des Computers. Bei verschiedenen Herstellern.

Dies lässt staunen und für uns unter anderem drei weitere Fragen offen:

  • Welche «Sicherheitsprobleme» sind noch nicht entdeckt worden?
  • Welche «Sicherheitsprobleme» sind wissentlich erstellt (Backdoors)?
  • Welche «Sicherheitsprobleme» werden von Organisationen wissentlich ausgenutzt?

Wenn man daran denkt, dass Digitalisierung und Industrie 4.0 alles automatisieren sollen, dazu noch in naher Zukunft Förderungsmittel wie Autos, Züge oder Bahnen autonom fahren sollen, kann einem schon angst und bange werden.

Weiterführende Links:

Sichere Verbindungen erkennen – Unterschied zwischen https und http:
https://www.globalsystem.ch/ratgeber/sichere-verbindungen-erkennen/

Grundsätze zum Umgang mit E-Mail-Links und Anhängen:
https://www.globalsystem.ch/ratgeber/grundsatze-zum-umgang-mit-e-mail-links-und-anhangen/

Wikipedia zu Backdoor:
https://de.wikipedia.org/wiki/Backdoor

Inside-IT: Schwerwiegende Lücke in Intel-CPUs:
http://www.inside-it.ch/articles/49803

Inside-IT: Schwerwiegende Lücke in Intel-CPUs:
http://www.inside-it.ch/articles/49811

heise Security: Microsoft veröffentlicht Prüfwerkzeug für Prozessor-Sicherheitslücken mit interessantem Erklärvideo
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html

heise Security: Massive Lücke in Intel-CPUs erfordert umfassende Patches:
https://www.heise.de/security/meldung/Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patches-3931562.html

heise Security: Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates:
https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html

heise Security: Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen
https://www.heise.de/mac-and-i/meldung/Meltdown-und-Spectre-Alle-Macs-und-iOS-Geraete-betroffen-3934477.html

Google: Project Zero Artikel (englisch):
https://googleprojectzero.blogspot.ch/2018/01/reading-privileged-memory-with-side.html

Intel: Pressemitteilung 04.01.2018 (englisch):
https://newsroom.intel.de/news-releases/intel-responds-security-research-findings/

Intel: Facts about Side-Channel Analysis and Intel Products (englisch):
https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html

Graz University of Technology (englisch):
https://meltdownattack.com/