• IT-Karriere:
  • Services:

HyperThreading als Passwort-Risiko

Student entwickelt theoretisches Angriffs-Szenario

Intels HyperThreading-Technologie lässt sich auf einem Server missbrauchen, um Passwörter oder RSA-Keys abzufangen. Dies geht aus einem "Proof-of-Concept" des Angriffs hervor, den ein 23-jähriger Student entwickelt hat. Damit die Attacke funktioniert, muss man jedoch schon vollen Zugriff auf den Server haben.

Artikel veröffentlicht am ,

Der Angriff basiert auf der Installation eines neuen Prozesses auf dem attackierten Server - ein solches System kann also schon als voll kompromittiert gelten. Dieser "Spy-Process" fängt dann verschiedene Cache-Operationen ab und misst deren Laufzeitverhalten. Daraus, so der Entdecker Colin Percival, lässt sich schließen, was ein Verschlüsselungsprozess tut und letztendlich entscheidende Hilfe beim Entschlüsseln eines Passwortes erlangen.

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. BVV Versicherungsverein des Bankgewerbes a.G., Berlin

Percival studiert im kanadischen Ottawa an der Oxford University und hat den Angriff am vergangenen Freitag auf der Konferenz BSDCan demonstriert. Er verwendete dazu eine Implementation der OpenSSL-Verschlüsselung. Es ist nicht ausgeschlossen, dass der Trick auch mit anderen kryptographischen Systemen funktioniert. Der Student will jetzt neue RSA-Bibliotheken schreiben, die gegen den Angriff immun sind.

Das FreeBSD-Team hat die Lücke bereits bestätigt und in einem Security-Advisory (Textdatei) dokumentiert. Stellungnahmen zu anderen Betriebssystemen stehen noch aus - eine generelle Abhilfe ist es aber, HyperThreading im BIOS des Rechners auszuschalten.

Das US-Magazin eWeek zitiert in seiner Online-Ausgabe Intel-Sprecher Howard High, der angab, bereits mit Betriebssystem-Herstellern an einer Lösung des Problems zu arbeiten. High betont dort aber auch, dass das Risiko sehr gering sei, da ein Angreifer auf einer betroffenen Maschine ohnehin schon Prozesse starten können müsse. Damit seien auch andere, viel einfachere Attacken auf die Sicherheit dieses Systems möglich. Intel Deutschland schloss sich gegenüber Golem.de dieser Sichtweise an.

Colin Percival will dennoch nicht aufgeben und hält das Problem offenbar für schwerwiegender. Auf seiner Webseite hat der junge Programmierer den Sachverhalt umfangreich dokumentiert. Er gibt an, bereits drei Monate an dieser potenziellen Lücke zu forschen und bittet um Spenden, um diese Arbeit fortsetzen zu können. [von Nico Ernst]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Smarte Beleuchtung
    Philips Hue macht dumme Lichtschalter smart
  2. Elektromobilität
    Diese E-Autos kommen 2021 auf den Markt
  3. Weg von Whatsapp
    Signal verfünffacht Nutzerzahl in kürzester Zeit
  4. Sprachsteuerung mit Apple Music im Test
    Es funktioniert zu selten gut
  5. Azure Active Directory
    Weniger Verzeichnisdienst, mehr Tresor
Anzeige
Spiele-Angebote
  2. 16,99€
  3. 5,99€
  4. 2,50€
Kommentarübersicht
Re: Passwort-Risiko
Missingno. 19. Mai 2005

langwierige Berechnung von weiß-der-Geier-was ;) Soll an unserer Uni zB schon...

Re: Übertrieben
Argelbargel 18. Mai 2005

Eben ;-) Ausserdem - die benannte Lücke funktioniert NUR, wenn man damit die eigentliche...

oink oink
Missingno. 18. Mai 2005

Ansatzweise verstehe ich es... Ich finde es aber interessant, worauf die Leute alles...

Re: Systeme mit vollem Zugriff hacken ???
Argelbargel 17. Mai 2005

Hallo, hmm... ausser dem Golem-Artikel hab ich mir eben mal das Paper durchgelesen...

Folgen Sie uns
       
Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Surface
Surface Pro X, Surface Book: Microsoft Surface muss sich verändern
Surface Pro X, Surface Book
Microsoft Surface muss sich verändern

CES 2021 Ob Laptop oder Tablet: Seit Jahren stopft Microsoft etwas bessere Prozessoren in die immer gleichen Gehäuse. Das darf nicht so weitergehen.
Ein IMHO von Oliver Nickel

  1. Surface Microsoft setzt standardmäßig auf Hardware-Security
  2. Surface Pro 7+ Mehr Akku, LTE und 32 GByte RAM im Surface Pro
  3. Microsoft Erste Bilder zeigen Surface Laptop 4 und Surface Pro 8
Opel
Opel Zafira-e Life im Test: Die Entdeckung der Langsamkeit
Opel Zafira-e Life im Test
Die Entdeckung der Langsamkeit

Der Opel Zafira-e Life ist ein praktischer Kleinbus für Familien und Fahrdienste. Doch längere Fahrten mit dem Elektroauto können zur Geduldsprobe werden.
Ein Test von Friedhelm Greis

  1. Überbuchung Opel kündigt Kaufverträge für den Mokka-e
  2. Opel Nachfrage nach Mokka-e übertrifft Erwartungen
  3. Sportliches Fahrzeug Opel will Monza als Elektroauto neu auflegen
Energiewende
Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /