Jan 16
Digitale Sicherheit

Willy’s Statement zu den aktuellen Hardware-Bugs

Erstmal ein Prosit Neujahr an Alle und alles Gute für 2018!

Wie ja nicht nur in der Fachpresse zu lesen war, haben wir seit letzter Woche Donnerstag mit einer neuen Bedrohung der Sicherheit unserer Daten zu kämpfen. „Meltdown“ und „Spectre“ wurden die beiden wichtigsten Angriffsszenarien aus dieser Gruppe getauft. Das perfide an der Sache: Diesmal sind es Hardware-Bugs im Prozessor der Geräte, die dieses Problem verursachen. Somit ist das auch nicht so „leicht“ zu beheben, wie sonst.

Im Folgenden möchte ich kurz zusammenfassen, was wir bisher wissen und wie wir mit dem Problem umgehen werden.

Vorweg die am wenigsten schlechte Nachricht (von gut kann man hier ja kaum sprechen): Es wurde bis dato noch keine Schadsoftware „in the wild“, also im Umlauf gesehen, die dieses Lücken ausnutzen. Aber jetzt, wo sie bekannt geworden sind, ist sicher bald damit zu rechnen, weshalb Handlungsbedarf besteht.

• Die Fehler wurden bereits im Sommer 2017 gefunden und an die betroffenen Hersteller gemeldet. Seitdem wird an Lösungen gearbeitet. Es ist üblich, dass man nach einer gewissen Zeit die Information dann allgemein verfügbar macht, damit die Sicherheitsverantwortlichen sich ein Bild von der Bedrohung machen und darauf reagieren können.

• Die Lücken betreffen nahezu alle Geräte. Egal welches Betriebssystem darauf läuft – Windows, Linux, Apple, sogar ein Teil der Smartphones und Tablets ist davon betroffen.

• „Meltdown“ betrifft nur Prozessoren vom Hersteller Intel, während „Spectre“ auch mit Prozessoren von AMD und ARM (meist in Handies oder Tablets verbaut) funktioniert.

• Etwas vereinfacht ausgedrückt ist es so, dass diese Prozessoren normalerweise zwischen Speicherbereichen, in denen sich ProgrammCode und solchen, wo sich Daten befinden, unterscheiden. Und normalerweise darf die Applikation A nicht in den Speicherbereich von Applikation B „schauen“. Die Prozessoren wurden jedoch „ausgetrickst“, so dass es sehr wohl möglich ist, in diese getrennten, geschützten Bereiche hineinzuschauen und von dort Daten wie Passwörter, Kreditkartendaten und theoretisch auch vertrauliche Dateiinhalte abzugreifen.

• Es gibt Lösungsszenarien, mit denen man die Angriffsfläche stark reduzieren kann, eine vollständige Behebung ist jedoch nicht möglich. Ein weiterer Nachteil ist, dass die Behebung Geschwindigkeitseinbußen mit sich bringen wird. Ob die von uns Otto-Normalusers merkbar sein wird, wird sich noch zeigen.

Was wir jetzt konkret tun werden:

Es gibt seit der Nacht auf Freitag von Microsoft Notfallpatches, die aber ihrerseits gewisse Probleme machen. Wir haben uns entschlossen, mit der Einbringung der Patches noch abzuwarten. Nachdem es ja noch keine aktive Ausnutzung gibt, wollen wir es nicht riskieren, den Patienten mit der Medizin umzubringen.
Wir rechnen jedoch damit, dass es ab Mitte der Woche funktionierende Updates geben wird. Wir testen diese zuerst in unserer Infrastruktur und beobachten weiterhin die Fachpresse, ob noch mehr Probleme bekannt werden und beginnen dann mit dem Rollout über unser Patchmanagement-System (Vertragskunden) bzw. Fernwartung.

• Zusätzlich zu den Windows Updates müssen auch BIOS-Update (d.h. die Software der Geräte selbst) eingespielt werden. Hier warten wir noch auf Stellungnahmen unseres Hauptlieferanten Fujitsu, wann es entsprechende Updates geben wird. Nachdem wir sie dann auf unserem Gerätepark getestet haben, werden wir mit Rollout beginnen.

• Auch Browser müssen gepatched werden. Diese machen das großteils von selbst (Chrome wird am 23.01. gepatcht) – wir werden das über unser Monitoring-System kontrollieren.

• Apple hat noch keinen Zeitplan veröffentlicht, aber auch hier wird es umfangreiche Updates für BIOS, Betriebssysteme und den Browser Safari geben (müssen). Sobald diese verfügbar sind, werden wir einige Tage die Fachpresse beobachten, ob es Probleme damit gibt. Wenn nicht, werden wir mit dem Roll-out beginnen.

 

Wir werden weiterhin die entsprechenden Artikel in der Fachpresse verfolgen und auf neue Erkenntnisse reagieren bzw. weitere Informationen aussenden.

Bei Fragen stehe ich selbstverständlich gerne zur Verfügung.

Sichere Grüße,

Willy Klenner

Weitere, technische Details zum Status-quo:

Derzeit ist noch keine Schadsoftware im Umlauf gesehen worden. Das kann sich aber ändern, jetzt wo die Lücken bekannt sind.

Die Attacke kann nur lokal ausgeführt werden, d.h. der Schadcode muss zuerst auf die Maschine kommen.

Es sind alle Intel Prozessoren seit 1985 betroffen, mit Ausnahme von Intel Atom vor 2013 und Itanium.

Es sind ARM Corex-A75 Chips betroffen, die auch in manchen Qualcomm Snapdragon SOC verbaut sind.

Meltdown kann von einer Anwendung in den Betriebssystem-Kernel Speicher "schauen" und dort Daten wie Passwörter, Kreditkartendaten, sensitive Dokumente etc. auslesen.

Die Spectre - Attacke ist schwieriger auszuführen, kann aber von Anwendungsprogramm zu Anwendungsprogramm lesen und somit müssen eigentlich alle Anwendungsprogramme gepatched werden.

Updates

Die Betriebssystem-Updates für Meltdown lösen das Problem nicht komplett, es muss auch noch ein BIOS Update des jeweiligen PC-Herstellers nachgeschoben werden.

Surface / Surface Books bekommen aktuell schon Updates!

Android: Google-Geräte haben das Update bereits am 02.01. erhalten. Weitere Hersteller werden später folgen, aber viele Geräte werden kein Update bekommen und deshalb immer anfällig bleiben.

Es gilt weiterhin: Antiviren-Software auch am Handy benutzen und keine Installationen aus unbekannten Quellen erlauben.

Apple stellt ebenfalls bereits Updates für Meltdown zur Verfügung: iOS 11.2, macOS 10.13.2 und tvOS 11.2. Für Spectre will Apple in den nächsten Tagen ein Update zur Verfügung stellen.

Linux: viele Distributionen haben bereits Updates verfügbar, diese müssen eingespielt werden. Auch bei diesen Geräte nach BIOS-Updates suchen

Browser

Chrome wird am 23. Jänner mit der Version Chrome64 gepatched sein.

Firefox ist mit der Version 57 upgedatet.

Internet Explorer und Edge: Wird über Windows Updates versorgt, sobald diese eingespielt werden können (siehe oben)

Apple Safari: in der nächsten Zeit

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.