Industrie-focus

Gigantisches Sicherheitsleck bei Prozessoren  

 

Weltweit sind Milliarden Geräte von einer Sicherheitslücke betroffen. (Quelle: Andrea Warnecke/dpa)

 

Die Sicherheitslücke in Computerprozessoren lässt viele Nutzer um ihre Daten bangen. Sie betrifft Computer, Smartphones und Tablets und gehört zu einer der weitreichendsten, die bisher bekannt wurden. Was ist besonders an dieser Sicherheitslücke?

Es geht um eine Funktion des Prozessors, des Herzstücks eines jeden Computergeräts. In dem Chip wird die Rechenarbeit erledigt. Programme müssen ihm vertrauen – und über die entdeckte Schwachstelle kann der Prozessor Angreifern den Weg zu einer wahren Datenschatztruhe bieten. Damit könnte es so etwas wie ein größter anzunehmender Unfall (GAU) für die Computerbranche werden.

Was macht die Angriffe möglich?

Prozessoren wurden seit Jahrzehnten darauf getrimmt, immer schneller zu werden. Eine der Ideen dabei war, möglicherweise später benötigte Daten schon vorher abzurufen, damit es nachher keine Verzögerungen gibt. Wie sich jetzt herausstellt, kann dieses Verfahren jedoch ausgetrickst werden, sodass die Daten abgeschöpft werden.

Welche Chips sind betroffen?

Da der Kern des Problems ein branchenweit angewandtes Verfahren ist, sind auch Chips verschiedenster Anbieter anfällig und es geht um Milliarden Computer, Smartphones und Tablets. Beim Branchenriesen Intel ist es laut den Forschern, die das Problem entdeckt haben, potenziell der Großteil der Prozessoren seit 1995. Aber auch Prozessoren mit Technologie des Chipdesigners ARM, der in Smartphones dominiert, sind darunter. Der Intel-Konkurrent AMD erklärte zunächst, seine Chips seien aufgrund ihrer technischen Lösungen sicher. Die Forscher erklärten jedoch, sie hätten auch die AMD-Prozessoren attackieren können.

Wie reagieren die Smartphone-Chiphersteller?

Der Chipdesigner ARM, dessen Prozessorarchitektur in den meisten modernen Smartphones steckt, bestätigte, dass einige seiner Produkte anfällig für die Sicherheitslücke seien. Sicherheitsupdates seien bereits an viele Handyhersteller verteilt worden, teilte ARM mit.

Laut Google sind Smartphones vom Typ »Nexus« und »Pixel« durch ein Update geschützt. Dies gelte auch für Smartphones von anderen Herstellern mit dem Google-Betriebssystem Android. Nutzer von Chromebook-Laptops, des Internetbrowsers Chrome und der Google-Clouddienste müssen Sicherheitsupdates installieren.

Der US-Technologieriese Microsoft, dessen Betriebssystem Windows weltweit auf PCs zum Einsatz kommt, kündigte am Mittwoch an, noch am selben Tag ein Sicherheitsupdate zu veröffentlichen, »… um Windows-Kunden gegen Verwundbarkeit zu schützen«. Zugleich erklärte Microsoft, das Unternehmen habe keine Informationen, dass bislang Daten beeinträchtigt worden seien. Apple hat bis jetzt nicht erklärt, welche seiner Produkte betroffen sind. 

Was können Betroffene tun?

Windows-Nutzer: Microsoft hat bereits ein Update für Windows 10 veröffentlicht. Auch für Windows 8 und Windows 7 sollen Updates bereitgestellt werden. Sofern nicht automatisch Updates eingespielt werden, sollten Nutzer in den nächsten Tagen in der Systemsteuerung unter »Windows Update« schauen, ob bereits frische Software vorhanden ist. Grundsätzlich rät Microsoft, immer sofort die neuesten Sicherheitsupdates einzuspielen.

MacOS-User: Auch Mac-Nutzer sollten Updates sofort installieren, wenn sie über den Mac App Store angeboten werden. Wie »heise security« berichtet, ist ein Teil des Problems mit dem jüngsten macOS-Update bereits behoben. 

Android-Anwender: Auch Nutzer von Android-Smartphones sind unter Umständen betroffen. Laut Google sind Geräte mit dem jüngsten Sicherheitsupdate (Stand 5. Januar) geschützt. Dies betrifft hauptsächlich neuere Androiden und Googles eigene Pixel-Smartphones. Wann es von den einzelnen Herstellern für ihre jeweiligen Geräte Sicherheitsupdates gibt, ist noch unklar. Viele ältere Geräte werden erfahrungsgemäß kein Update erhalten.

Welche Angriffsmöglichkeiten wurden bisher bekannt?

Die Forscher veröffentlichten Informationen zu zwei Attacken. Die eine, bei der Informationen aus dem Betriebssystem abgegriffen werden können, tauften sie auf den Namen »Meltdown«. Sie sei bisher nur auf Intel-Chips nachgewiesen worden. Die zweite Attacke, »Spectre« genannt, lässt andere Programme ausspähen. Diese Attacke sei schwerer umzusetzen – aber auch der Schutz vor ihr sei schwieriger. Nahezu alle modernen Prozessoren seien anfällig. »Spectre« funktionierte den Forschern zufolge auf Chips von Intel, AMD und mit ARM-Technologie. Laut ARM sind jedoch nur wenige Produktlinien betroffen.

Ist diese Schwachstelle schon ausgenutzt worden?

»Wir wissen es nicht«, erklären dazu die Sicherheitsforscher knapp. Eine Attacke würde auch in den bisher gängigen Log-Dateien keine Spuren hinterlassen, warnen sie. Intel geht davon aus, dass es bisher keine Angriffe gegeben hatte.

Was wäre das schlimmste Horrorszenario?

Wahrscheinlich, dass Angreifer Chips von Servern in Rechenzentren benutzen könnten, um an eine Vielzahl fremder Daten zu kommen.

Gibt es auch gute Nachrichten?

Die Schwachstelle wurde bereits im Juni entdeckt und den Unternehmen gemeldet, sodass diese Zeit hatten, Gegenmittel zu entwickeln. Google, Microsoft und Amazon sicherten ihre Cloud-Dienste ab. Dabei wurde das Problem früher als geplant publik: Eigentlich wollte die Branche die Schwachstelle und ihre Maßnahmen erst am 9. Januar öffentlich machen. Doch schon in den vergangenen Tagen fiel eine erhöhte Update-Aktivität auf – und erste Berichte über eine Schwachstelle in Intel-Chips machten die Runde.

Wenn das Verfahren die Chips schneller machen sollte – machen die Gegenmaßnahmen sie dann langsamer?

Ja – allerdings erklärte Intel, dass der Leistungsabfall in den meisten Fällen zwei Prozent nicht überschreiten dürfte. In ersten Berichten war noch von bis zu 30 Prozent die Rede.

Quelle und weiterführende Informationen:

- Nachrichtenagentur dpa

- Mitteilung von Google (englisch)

- Bericht von "heise security"

04.01.2018, 14:37 Uhr | dpa-AFX, t-online.de 

IT-Security-1a

Schwachstelle in Prozessoren mit Fortsetzung

 

Am 23. Januar 2018 warnt Intel vor Installation seiner Sicherheits-Updates

 

Nach der Entdeckung von Sicherheitslücken bei Chips warnt Intel jetzt sogar vor der Installation seiner Schutz-Updates. Die zuvor bereitgestellten Sicherheits-Updates seien fehlerhaft, teilte der US-Konzern am Montag mit. 

Die Updates hätten unter anderem zur Folge, dass Computer öfter als unter normalen Umständen hochgefahren würden. An der Lösung des Problems werde gearbeitet. Kunden hatten sich bereits beschwert, dass die Sicherheits-Updates Computer verlangsamten. 

Forscher hatten jüngst über Schwachstellen in verschiedenen Computerchips berichtet, über welche Hacker an vertrauliche Nutzerdaten von PCs, Smartphones und anderen Geräten gelangen könnten.

Betroffen sind davon unter anderem Intel, Advanced Micro Devices sowie ARM Holdings.

Quelle: - Reuters

 

Sicherheitsfirma warnt: Neue Intel-Schwachstelle trifft Firmen-Laptops

Meldung vom 15.01.2018, 10:31 Uhr | AFP, dpa

 

Bereits Anfang Januar warnte die finnische Sicherheitsfirma F-Secure vor einer Schwachstelle in Firmenlaptops, die erneut auf eine Technologie des Chipherstellers Intel zurückzuführen ist. Dadurch können Hacker eine Art »Hintertür« auf den Geräten einrichten und per Fernzugriff die Computer kontrollieren, erklärte F-Secure. Die Schwachstelle habe nichts mit der jüngst entdeckten Sicherheitslücke in Computer-Prozessoren weltweit zu tun.

Konkret geht es um die Intel-Anwendung »Active Management Technology« (AMT), die eine Wartung und Verwaltung der Laptops aus der Ferne erlaubt. Die Technik finde sich auf Millionen Firmenlaptops weltweit. Wenn nun jemand Unbefugtes Zugriff auf den Laptop habe, könne er AMT rekonfigurieren und so eine Art Hintertür einbauen, um später über die Netzwerke, in die sich der Nutzer einloggt, ebenfalls Zugriff auf das Gerät zu erhalten, erklärte F-Secure.

 

Schadsoftware kann installiert werden

 

In einigen Fällen sei es sogar möglich, AMT so umzuprogrammieren, dass eine Nutzung des gleichen Netzwerks zum Ausspähen der Geräte gar nicht mehr nötig sei, warnte F-Secure. Durch diese Sicherheitslücke können nicht nur sensible Daten in die falschen Hände gelangen, sondern auch Schadsoftwares installiert werden. F-Secure habe Intel über diese Schwachstelle informiert.

Die Sicherheitsfirma riet Nutzern, ihren Laptop nicht unbeaufsichtigt zu lassen. Außerdem könnten starke Passwörter für die AMT-Technologie das Problem eindämmen. Intel und weitere Hersteller von Prozessoren stehen derzeit im Fokus, weil jüngst schwere Sicherheitslücken in fast allen Intel-Computerchips festgestellt wurden. Nach der Kritik im Zusammenhang mit der jahrelangen Schwachstelle in Computer-Chips hat Intel-Chef Brian Krzanich kürzlich mehr Transparenz versprochen.

IT-Security-01

Bildquellen: Intel, AND

vor-dem-intel-hauptquartier

Die Berichte über eine gravierende Sicherheitslücke in Intel-CPUs, die sensible Daten für Angreifer auslesbar machen und aufgrund der notwendigen Updates Performance-Einbußen bringen soll, haben nun zu Reaktionen von Herstellern geführt. Sie wollen die Spekulationen mit ersten Informationen korrigieren und die Schwere der Lücke sowie die Auswirkungen ins rechte Licht rücken.

Google immerhin veröffentlicht im Rahmen seines Project Zero auch Details zu der Lücke, Sicherheitsforscher haben mit Meltdown und Spectre zudem zwei Angriffsszenarien beschrieben, die das Leck ausnutzen.

 

Massive Lücke in Intel-CPUs erfordert umfassende Patches

Nicht nur Intel-CPUs betroffen

Intel hat als Erster zu den bisherigen Berichten und Mutmaßungen über die Lücke in Intel-CPUs Stellung genommen – allerdings, ohne wirklich Klarheit zu schaffen. Denn Intel gibt nicht genau bekannt, in was die Sicherheitslücke genau besteht und welche Auswirkungen sie haben kann. Immerhin erklärt der Prozessorhersteller, die Lücke habe das Potenzial, dass Angreifer sensitive Daten auf Systemen abgreifen könnten, die eigentlich wie vorgesehen arbeiten. Man gehe aber nicht davon aus, dass durch die Lücke Daten korrumpiert, manipuliert oder gelöscht werden könnten.

Allerdings betont Intel, dass nicht nur die hauseigenen Prozessoren betroffen seien: Berichte, die Sicherheitslücke trete nur bei Intel-CPUs auf, seien nicht richtig. Auf vielen Systemen mit unterschiedlichen Prozessoren und Betriebssystemen könne das Leck ausgenutzt werden. Intel arbeite mit anderen Herstellern, darunter AMD und ARM, und Betriebssystemanbietern zusammen, um das Problem allgemein zu lösen.

Auch seien mögliche Performance-Einbußen immer vom Workload abhängig, erklärt Intel. Für Nutzer würden sie im Allgemeinen kaum bemerkbar sein, zudem würden mögliche Performance-Probleme mit der Zeit ebenfalls gelöst werden. In einigen Berichten war dagegen von Performance-Einbußen von bis zu 30 Prozent die Rede gewesen, während die meisten mit der Lücke beschäftigten Entwickler von bis zu 5 Prozent ausgegangen waren.

Man werde Details zur Lücke und zu den Gegenmaßnahmen in der kommenden Woche veröffentlichen, wenn Software- und Firmware-Updates auf einer breiteren Basis zur Verfügung stünden. Intel habe sich aber nun zu einem Statement veranlasst gesehen, um die kursierenden Berichte, die falsche Informationen enthielten, zu korrigieren.

 

Auch AMD und ARM betroffen

Google sah sich ebenfalls veranlasst, zu den Berichten über die CPU-Sicherheitslücke Stellung zu nehmen, geht aber weit mehr ins Detail und erklärt die Hintergründe. Google betont allerdings wie Intel, man habe am 9. Januar Details veröffentlichen wollen, wenn die notwendigen Korrekturen allgemein verfügbar seien. Auch Google erklärt, dass nicht nur Intel-CPUs, sondern auch Prozessoren von AMD und ARM betroffen seien – Android-Systeme etwa seien ebenfalls gefährdet, seien aber mit dem bislang letzten Security-Update vom 2. Januar geschützt.

Google selbst habe bereits die eigenen Systeme sowie betroffenen Produkte aktualisiert. Auch habe man mit Hardware- und Software-Herstellern in der gesamten Industrie zusammengearbeitet, um die Systeme und die User zu schützen. Google gibt zudem detaillierten Hinweise zum Status einzelner Produkte und Dienstleistungen sowie dazu, ob User-Aktivitäten zum Schutz vor dem Ausnutzen der Lücke notwendig sind.

Ähnlich wie Google haben Microsoft und Amazon bereits begonnen, ihre Cloud-Dienste mit Updates abzusichern. Außerdem will Microsoft wohl noch am heutigen Donnerstag ein Security-Update für Windows veröffentlichen. Auch Apple soll mit einem früheren Update für macOS das Leck bereits partiell geschlossen haben und mit dem geplanten Update auf 10.3.3 weitere Fixes nachziehen.

Googles Project Zero hat inzwischen auch Details zu der Sicherheitslücke in Prozessoren und den Auswirkungen veröffentlicht. Darin verweisen Googles Sicherheitsforscher auch auf die zwei Angriffsszenarien, die von anderen Sicherheitsexperten entwickelt wurden und die Spectre beziehungsweise Meltdown getauft wurden.

AMD: Eingeschränkte Verwundbarkeit

AMD erklärte, dass die eigenen Prozessoren von den in den Analysen durch Google Project Zero beschriebenen Angriffsvarianten nach den bisherigen Untersuchungen nur in einem Fall (Variant One, Bounds Check Bypass) betroffen seien.

Bei Variante Zwei (Branch Target Injection) sehe man durch Unterschiede in der Architektur bei AMD-CPUs praktisch keine Gefahr, dass die Lücke genutzt werden könne, Variante 3 (Rogua Data Cache Load) könne aufgrund dieser Architekturunterschiede auf keinen Fall ausgenutzt werden.

Insgesamt stellt sich die Situation für die normalen User jedenfalls als sehr undurchsichtig dar – immerhin schätzen alle Sicherheitsforscher und Hersteller die Lücke als sehr gravierend ein, und alle Hersteller bemühen sich offensichtlich um schnelle Updates. Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code auführen können muss, um einen Angriff einzufädeln. Die weiteren Entwicklungen und die einzelnen Patches werden aber erst noch zeigen müssen, welche Auswirkungen die Lücke und die Gegenmaßnahmen wirklich haben.

 

[Update 04.01.2018 10:51]

Das Windows-Update, das Microsoft in der Nacht herausgegeben hat, um der Sicherheitslücke zu begegnen, ist offensichtlich das Update, das für den 9. Januar mit Bekanntgabe der Details zu den Problemen vorgesehen war. Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird. (jk)

 

Sicherheitslücken in Prozessoren – BSI rät zu Updates

Bonn, mit Datum 04.01.2018

Prozessoren verschiedener Hersteller haben nach Kenntnis des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwer zu behebende IT-Sicherheitslücken. Diese ermöglichen unter anderem das Auslesen von sensiblen Daten wie Passwörtern, Schlüsseln und beliebigen Speicherinhalten. Betroffen sind nahezu alle Geräte, die über einen komplexen Prozessorchip der betroffenen Hersteller verfügen. Dazu zählen u.a. Computer, Smartphones und Tablets aller gängigen Betriebssysteme. Auch Anbieter virtueller Dienste, wie etwa Cloudanbieter und Hostingprovider, sind von den Sicherheitslücken betroffen. Derzeit ist dem BSI kein Fall der aktiven Ausnutzung dieser Sicherheitslücken bekannt.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Das BSI hat in der Vergangenheit bereits mehrfach auf die Problematik von IT-Sicherheitsproblemen in Hardware-Produkten hingewiesen, etwa in unseren jährlichen Lageberichten. Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen. "Security by Design" und "Security by Default" sind Grundsätze, die für den Erfolg der Digitalisierung unerlässlich sind."

Das BSI fordert Diensteanbieter auf, ihre Anwendungen schnellstmöglich abzusichern. Das BSI empfiehlt zudem Unternehmen und Privatanwendern, Sicherheitspatches für Betriebssysteme und insbesondere Browser unmittelbar einzuspielen, sobald sie von den Herstellern zur Verfügung gestellt werden. Auch für mobile Geräte sollten Sicherheitsupdates unmittelbar eingespielt werden. Zudem sollten Apps nur aus vertrauenswürdigen Quellen bezogen werden. Generell gilt, dass Software und Betriebssysteme stets auf dem aktuellen Stand gehalten werden sollen. Das BSI fordert die Chip- und Hardwarehersteller auf, dafür zu sorgen, diese Schwachstellen im Zuge der Produktpflege zu beheben.

Resilienz ist das Sicherheitskonzept der Zukunft

 

Sicherheit ist für jeden Menschen ein hohes persönliches Gut, das die Lebensqualität maßgeblich bestimmt; sie gehört auch zu den Grundlagen für die Stabilität eines Landes. Zuverlässig funktionierende Infrastrukturen wie Versorgungsketten, Verkehrswege und Kommunikationssysteme sind die Basis moderner Industriegesellschaften. Ihre zunehmende Vernetzung erhöht die Verwundbarkeit der Infrastrukturen gegenüber Angriffen, Unfällen und Naturkatastrophen. Die Sicherheitsforschung zielt deshalb darauf ab, Verwundbarkeiten zu erkennen, zu analysieren und Strategien zur Minimierung von Risiken zu entwickeln. Übergeordnetes und langfristiges Ziel ist der Aufbau einer widerstandsfähigen, fehlertoleranten und robusten Infrastruktur.

 

Die Deutsche Akademie für Technikwissenschaften acatech sieht Resilienz als das Sicherheitskonzept der Zukunft: Die schnelle Anpassung löst die Abschottung durch starre Schutzmechanismen ab.

 

Resilienz bedeutet Widerstandsfähigkeit aber auch Anpassungsfähigkeit und Flexibilität. Der Begriff stammt ursprünglich aus der Psychologie und wurde in den vergangenen 60 Jahren von verschiedenen Wissenschaftsgebieten wie der Ökologie und den Sozialwissenschaften adaptiert. In den 1980er Jahren erhielt Resilienz im Zusammenhang mit Katastrophen Einzug in das Ingenieurwesen. Resilienz umfasste dabei die Fähigkeit, erfolgreich mit dem Katastrophenfall umzugehen.

Resilienzforschung zielt darauf ab, die Fähigkeit von technischen und gesellschaftlichen Systemen zu Widerstand und Regeneration zu erhöhen und beinhaltet neben der Bewältigung von Krisensituationen auch Vorbeugungs-/Schutzmaßnahmen. Resilienz verbindet daher Sicherheit mit Nachhaltigkeit. Vereinfacht bedeutet Resilienz, die Funktion eines Systems auch bei unerwarteten Störungen zuverlässig aufrechtzuerhalten oder möglichst rasch in einen funktionsfähigen Zustand zurückzuführen.

Resilienz ist die Fähigkeit, tatsächliche oder potenziell widrige Ereignisse abzuwehren, sich darauf vorzubereiten, sie einzukalkulieren, sie zu verkraften, sich davon zu erholen und sich ihnen immer erfolgreicher anzupassen.

Um Gesellschaften resilient zu gestalten, sind soziale Aspekte gleichrangig mit technologischen Aspekten zu beachten. Die acatech Position »Resilien-Tech – Resilience-by-Design« enthält Handlungsempfehlungen für die erfolgreiche Umsetzung des Resilienzkonzepts durch Wissenschaft, Wirtschaft, Gesellschaft und Politik.

Quelle: www.acatech.de

Bt_neu-6
Home   Interviews   News   Automation   Prozessautomation   Technologien   Introduction   Smart Energy   Robotik   Lasertechnik   Digitalisierung   Künstliche Intelligenz   Autonomik 
website design software