Sind Spectre und Meltdown immer noch eine Bedrohung? Die Patches, die Sie brauchen
Werbung
Die Enthüllungen über Schwachstellen bei Spectre und Meltdown-Prozessoren waren ein schockierender Start in das Jahr 2018. Die Schwachstellen betreffen nahezu jeden Prozessor, praktisch jedes Betriebssystem und jede Architektur. Prozessorhersteller und Betriebssystementwickler gaben schnell Patches heraus, um sich vor den Sicherheitslücken zu schützen.
Aber es gab auch einige ernsthafte Probleme beim Zahnen.
Sind wir nun, mehr als ein Jahr nach den ersten Berichten, näher dran, die Schwachstellen Meltdown und Spectre wirklich zu beheben?
Spectre und Meltdown Vulnerabilities Latest
Die Anfang 2018 entdeckten Schwachstellen Spectre und Meltdown wirken sich weiterhin auf das Computing aus. Meltdown betrifft speziell Intel-Mikroprozessoren, die bis 1995 zurückreichen. Die Langlebigkeit dieses Problems bedeutet, dass die meisten Intel-Prozessoren weltweit gefährdet sind und sogar Dienste wie Microsoft Azure und Amazon Web Services.
Spectre hat einen ähnlichen globalen Effekt. Die Spectre-Sicherheitsanfälligkeit betrifft Mikroprozessoren von Intel sowie andere große Entwickler wie AMD und ARM. Daher machen Spectre und Meltdown die meisten Computer der Welt anfällig, eine Situation, die mehr als 20 Jahre zurückliegt.
#Meltdown & #Spectre - Ein Side-to-Side-Vergleich # Cybersicherheit #DataBreach #humanfactors #CES2018 #malware #Technology
CC: @ ipfconline1 @JimMarous @evankirstel @MikeQuindazzi @pierrepinna @ jblefevre60 @ reach2ratan @KirkDBorne @Ronald_vanLoon pic.twitter.com/0S79P5jDbV
- Shira Rubinoff (@Shirastweet) 10. Januar 2018
Verständlicherweise sorgen die Enthüllungen weiterhin für Bestürzung bei Verbrauchern und Unternehmen. Die Sorge ist vielfältig. Intel, AMD und ARM haben alle Patches für die Sicherheitsanfälligkeiten veröffentlicht. Funktionieren diese Patches? Ist es einfacher, ganze Bestände an Mikroprozessoren auszutauschen? Wann kommt ein vollständig sicherer Prozessor auf den Markt? Und was ist mit den Kosten?
"Wir haben noch nie einen derart großen Fehler gesehen, der buchstäblich jeden großen Prozessor betrifft", sagt David Kennedy, CEO von TrustedSec, das Penetrationstests und Sicherheitsberatung für Unternehmen durchführt.
„Letzte Woche hatte ich mindestens zehn Anrufe bei großen Unternehmen und zwei gestern, um zu erklären, was passiert. Sie haben keine Ahnung, was beim Patchen zu tun ist. Es ist wirklich ein Chaos. "
Spectre Next Generation
Nein, es ist nicht die James Bond-Star Trek-Frequenzweiche, von der Sie geträumt haben. Spectre Next Generation ist die zweite Generation von Spectre-Schwachstellen. Die zweite Generation wurde von Googles Projekt Zero entdeckt (das auch die erste Generation enthüllte).
Project Zero ist Googles Taskforce, die Zero-Day-Schwachstellen aufspürt und verantwortungsbewusst aufdeckt, bevor schändliche Personen sie entdecken.
Ich werde hier nicht auf alle Details eingehen, aber hier ist ein Artikel, in dem die Auswirkungen der Specter-Schwachstelle von Specter Next Generation wie ein Geist aus der Vergangenheit wiedergegeben werden. Die Specter / Meltdown-Enthüllungen Anfang 2018 erschütterte die Computerwelt. Jetzt haben Sicherheitsforscher acht neue Schwachstellen im Spectre-Stil aufgedeckt, die Intel-CPUs betreffen. Dies könnte bedeuten, dass Ihr Computer einem weiteren Risiko ausgesetzt ist. Weiterlesen .
Gibt es Spectre- und Meltdown-Patches?
Ein weiteres Problem sind die zahlreichen anfälligen Geräte. Für jeden Hardwaretyp ist eine etwas andere, individuell gestaltete Lösung erforderlich. Der Patch-Prozess seit Januar 2018 war geradezu umwerfend.
Intel beeilte sich, einen Sicherheitspatch zu entwickeln und zu veröffentlichen. Der Nachteil war schwerwiegende Performance-Probleme. Laut Intel sind „alle Auswirkungen auf die Leistung arbeitslastabhängig und sollten für den durchschnittlichen Computerbenutzer nicht signifikant sein und werden im Laufe der Zeit gemildert.“ Die Aussage war damals falsch und ist zum Zeitpunkt des Schreibens auch so geblieben.
Selbst neuere Prozessoren, die gerade erst auf den Markt kommen, spüren die Auswirkungen.
Tatsächlich hat Intel am 22. Januar 2018 einen seiner Spectre-Patches zurückgezogen, weil ein zufälliges Neustartproblem aufgetreten war. Intel schlug Netzwerkadministratoren vor, bereits installierte Updates einfach zurückzusetzen, und Intel-Vizepräsident Neil Shenoy sagte: „Ich entschuldige mich für jede Störung, die durch diese Änderung der Richtlinien verursacht werden kann.“ VMware, Lenovo und Dell machten alle ähnliche Ankündigungen gleichzeitig Zeit.
Ende Januar gab Microsoft außerdem bekannt, dass die Spectre- und Meltdown-Patches für Windows 10 die Leistung beeinträchtigten und zufällige schwerwiegende Fehler verursachten. Dies bestätigte, dass die Sicherheitsupdates fehlerhaft waren.
Oh, und Apple hat die Ansprüche in Bezug auf den Schutz älterer Computer ebenfalls zurückgezogen und eine Vielzahl von Patches für High Sierra, Sierra und El Capitan veröffentlicht.
Linus und Linux
Linus Torvalds, der Schöpfer und Hauptentwickler des Linux-Kernels, steht dem gesamten Spectre / Meltdown-Patch-Prozess weiterhin äußerst kritisch gegenüber. (Was ist eigentlich ein Kernel? Der Linux-Kernel: Eine Erklärung in Layman-Begriffen Der Linux-Kernel: Eine Erklärung in Layman-Begriffen Es gibt de facto nur eines, das Linux-Distributionen gemeinsam haben: den Linux-Kernel, viele Leute wissen nicht genau, was es tut. Lesen Sie mehr). Tatsächlich ging Torvalds so weit, die Intel-Patches als "COMPLETE AND UTTER GARBAGE" zu deklarieren.
Den Rest seiner Tirade können Sie hier lesen. Es lohnt sich zu lesen.
Linus analysierte die Patches. Intel hat versucht, die Sicherheitspatches optional und betriebssystembasiert zu machen, damit das CPU-Design nicht komplett überarbeitet werden muss (dies ist die einzige Option für echte Sicherheit - ich werde gleich erklären, warum).
Eine Alternative wäre die Ausgabe von zwei Patches, bei denen einer die Sicherheitspatches aktiviert, und ein zweiter, bei dem die Fixes für den Kernel implementiert werden.
Stattdessen behauptet Torvalds, Intel zwinge die beiden, die Leistungseinbußen zu verschleiern, indem sie einen „optionalen Sicherheitsmodus“ zulassen, bei dem der Benutzer seine CPU in die Fehlerbehebung einbeziehen und die Leistung nach der Entscheidung des Kunden bestimmen muss, anstatt Intel die Entscheidung zu treffen . Wenn Benutzer ein älteres Betriebssystem booten, das den Patch noch nicht kennt, sind sie sofort anfällig.
Am 29. Januar wurde der Linux 4.15-Kernel mit neu erweiterten Sicherheitsfunktionen für Intel- und AMD-CPUs auf Linux-Geräten zur Verfügung gestellt. Während sich Linus Torvalds Schimpfen auf Linux konzentrierte, ist klar, dass die Intel-Patches für kein Betriebssystem auf dem neuesten Stand waren.
Wusste China von Spectre and Meltdown?
Obwohl Intel in Bezug auf seine Gewinnberichte einer Kugel ausweicht (trotz der kritischen Schwachstelle, die in den meisten Computern der Welt zu finden ist, tuckern die Gewinne von Intel recht gut), hat Intel jede Menge Kritik auf sich genommen, weil es Berichten zufolge seinen massiven chinesischen Kunden wie Alibaba sowohl Meltdown als auch Spectre offengelegt hat und Lenovo, bevor es die US-Regierung sagte.
Einige große US-Agenturen wurden erst auf Spectre und Meltdown aufmerksam gemacht, als die Berichte veröffentlicht wurden, und nicht auf ein Verfahren zur Benachrichtigung vor der Veröffentlichung. Und obwohl es keinen Hinweis darauf gibt, dass die Informationen nicht ordnungsgemäß verwendet wurden (z. B. von der chinesischen Regierung weitergegeben und verwendet wurden), gibt dies Anlass zu erheblichen Bedenken hinsichtlich der Entscheidung von Intel, wer informiert werden soll.
Angesichts der Tiefe und des Umfangs der chinesischen Internetüberwachung scheint es völlig unwahrscheinlich, dass die chinesische Regierung die Sicherheitslücken vor der US-Regierung nicht kannte.
Windows 10 Retpoline Spectre Fix
Retpoline ist ein „Softwarekonstrukt zur Verhinderung von Branch-Target-Injection“. Mit anderen Worten, es ist ein Patch, der durch die Einführung eines alternativen Vorhersagezweigs vor Spectre schützt und das System vor Spekulationsangriffen im Spectre-Stil schützt.
Im Dezember 2018 stellte Microsoft den Retpoline-Fix für sein Insider-Programm zur Verfügung. Im Insider-Programm und in der Insider-Vorschau testet Microsoft die bevorstehende Version von Windows 10, bevor sie auf den Mainstream kommt. Das neueste Update, 19H1, enthält das Retpoline-Update.
Im März 2019 kündigte Microsoft jedoch an, dass der Retpoline-Fix für alle verfügbar ist, die ihn herunterladen möchten. Es gibt ein paar Bestimmungen:
- Auf dem System muss das Windows-Update vom 10. Oktober 2018 ausgeführt werden.
- Das Update funktioniert nur für Skylake-Prozessoren vor Intel und älter (das Update funktioniert auch für AMD-Computer und AMD-Lesegeräte).
Sie sind sich nicht sicher, welche Windows 10-Version Sie aktuell verwenden? Drücken Sie die Windows-Taste + I und anschließend System> Info. Sie können Ihre aktuelle Windows-Version unter Windows-Spezifikation sehen . Wenn 1809 angezeigt wird, können Sie das Update installieren. Wenn nicht, müssen Sie warten, bis Ihre Windows-Version aufholt.
Das Retpoline-Update KB4470788 wird über den regulären Windows Update-Prozess auf Ihrem System eingehen. Sie können das Update KB4470788 jedoch über den Microsoft Update-Katalog herunterladen. Laden Sie die richtige Version für Ihre Betriebssystemarchitektur herunter (z. B. x64 für 64-Bit, x86 für 32-Bit) und installieren Sie sie.
Werden Spectre und Meltdown jemals endgültig behoben?
Die erste Generation von Spectre- und Meltdown-Patches war eine vorübergehende Lösung. Die Verbraucher sollten nicht gezwungen sein, die Schwachstellen blockierenden Patches zu aktivieren, geschweige denn, über den Kompromiss zwischen Sicherheitsproblemen auf Kernelebene und CPU-Leistung zu entscheiden. Es ist einfach unfair, geschweige denn völlig unethisch.
Das langsame Rollout von Retpoline-Fixes ist besser für Verbraucher, da es die Systemschwachstellen behebt und die Systemgeschwindigkeit auf die vorherigen Ebenen zurückbringt. Dennoch haben einige Benutzer nicht den Vorteil eines Retpoline-Fixes, so dass es kein magisches Pflaster ist.
Anfang 2018 enthielt der Intel-Finanzbericht Informationen von CEO Brian Krzanich, der versprach, dass Chips mit echten Hardware-Korrekturen in diesem Jahr ausgeliefert werden. Leider ging Krzanich nicht auf die Bedeutung dieser kühnen Aussage ein.
Da Krzanich jedoch die Pläne von Intel bestätigte, seine 14-nm-Produkte (Intel-CPUs ab 2014 - Kaby Lake, Coffee Lake, Skylake usw.) während des gesamten Jahres 2018 weiterzuentwickeln, entstehen Möglichkeiten: „In-Silicon“ -Fixes für die aktuelle Generation von CPUs und Fixes für die kommenden Cannon Lake-Prozessoren oder den einen oder anderen.
Später im Jahr 2018 gab Intel bekannt, dass Hardware-Fixes - das ist ein prozessorbasierter Fix auf Siliziumbasis - mit der kommenden Intel-CPU-Generation eintreffen werden. Einige Fehlerbehebungen werden mit der stromsparenden Prozessorserie Whiskey Lake eingeführt, während mit Ice Lake, dem De-facto-Prozessor der 10. Generation, weitere Verbesserungen anstehen werden. Die neue Generation von Intel-CPUs sollte auch vor der Foreshadow-Sicherheitsanfälligkeit schützen.
Denken Sie, Sie sind von Spectre and Meltdown nicht betroffen? Sehen Sie sich die Liste der Computerhardware an, die von den Sicherheitslücken nicht betroffen ist. Sind Computer nicht von den Meltdown- und Spectre-Fehlern betroffen? Sind Computer nicht von den Meltdown- und Spectre-Bugs betroffen? Die Sicherheitslücken Meltdown und Spectre haben Hardware auf der ganzen Welt betroffen. Alles scheint unsicher zu sein. Das ist aber nicht der Fall. Sehen Sie sich diese Liste sicherer Hardware und unsere Tipps für die Zukunft an. Lesen Sie mehr und überlegen Sie noch einmal.
Weitere Informationen zu: Computerprozessor, Computersicherheit, CPU, Malware.