Abo
  • Services:

Was Privatanwender und Admins tun sollten

Golem.de: Was sollten unsere Leser unternehmen? Sie sind Privatanwender, aber viele sind natürlich auch in Unternehmen tätig.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Gruß: Das ist in Unternehmen natürlich besonders kritisch. Viele Systeme sind in Umgebungen oft lange nicht mit Updates versorgt - und dann auch weiterhin anfällig.

Hier könnte der Meltdown-Angriff dafür sorgen, dass ein Mitarbeiter, der eigentlich nicht die notwendigen Berechtigungen hat, Daten auslesen kann, die er nicht auslesen können sollte. Das gilt natürlich vor allem für Systeme wie Thin-Clients, wo mehrere Geräte auf einem Firmenserver arbeiten.

Privatanwender sind derzeit nicht gefährdet - wenn sie die Softwareupdates installieren

Gruß: Für Privatanwender besteht im Moment erstmal keine Gefahr, wenn die Updates installiert sind. Bei Spectre wird es noch etwas dauern, bis das in eine Exploitform übergeht. Bei Meltdown haben wir das schon nach wenigen Tagen gesehen. Leute haben uns gezeigt, was sie mit Meltdown alles machen können. Damit konnte der gesamte Prozessspeicher ausgelesen werden, einige haben sogar Taskmanager nachgebaut, die gar keine Privilegien brauchen und alle Informationen auflisten und sogar den Speicherbereich eines ganz bestimmten Prozesses auslesen können. Da wird es nicht lange dauern, bis nutzbare Exploits im Umlauf sind. Die Meltdown-Updates sind also besonders wichtig.

Golem.de: Microsoft hat bekanntgegeben, dass vor allem ältere Systeme durch die Meltdown-Patches größere Performanceeinbußen haben werden, was vermutlich mit der Kompatibilität von Prozessoren mit den Process Context IDs zusammenhängt. Hat Ihr Team da genauere Informationen?

Gruß: Unsere Beobachtung dazu ist, dass es bei Intel-Prozessoren ab der Skylake-Generation durch die Verwendung der Process Context IDs nur zu geringen Leistungseinbußen kommt. Auf älteren Systemen ohne Unterstützung für die PCIDs sind die Verluste da in der Tat deutlich größer. Aber es sollte auf keinen Fall auf das Einspielen der Updates verzichtet werden, das wäre fahrlässig. Jede kleine App auf dem System kann dann meine Passwörter auslesen, und das ist sicherlich keine Lösung.

Golem.de: Wie sieht es bei Systemen bei Cloud-Providern aus?

Gruß: Hier gibt es zwei Ebenen: einmal die Anbieter selbst und dann natürlich die Kunden.

Erst einmal muss sich der Cloud-Provider gegen die Kunden absichern und den eigenen Hypervisor updaten, so dass kein Zugriff auf den Hostspeicher mehr möglich ist. Damit sind auch alle anderen virtuellen Maschinen auf dem Server gegen Cross-VM-Angriffe geschützt. In vielen Fällen ist es nicht einmal erforderlich, ein Update zu installieren. Bei vielen virtuellen Maschinen war es schon in den vergangenen Jahren so, dass der Hostspeicher nicht in den einzelnen virtuellen Maschinen gemappt wurde.

Bei paravirtualisierten Maschinen ist das oft anders, etwa bei Xen. Da war es schon so, dass der Speicher zwar gemappt war, aber nicht für den Gast erreichbar, ähnlich wie bei einem Betriebssystem-Kernel.

Golem.de Und die Kunden selbst?

Gruß: Wenn wir aber auf das von Nutzern selbst installierte Betriebssystem auf Cloud-Rechnern schauen, gibt es eine andere Situation. Wenn die Updates dort nicht installiert werden, aber Fremdsoftware ausgeführt wird, dann kann diese natürlich die Geheimnisse aus meiner VM alle auslesen. Da schützt mich der Cloud-Betreiber mit seinen Maßnahmen nicht dagegen.

Golem.de: Es gibt erste Mikrocode-Updates, aber diese verursachen aktuell noch viele Probleme. Inwieweit helfen die? Oder müssen wir drei bis vier Jahre warten, bis CPUs erscheinen, die grundsätzlich nicht mehr angreifbar sind?

Gruß: Da sind wir wieder bei dem Performance-Problem. Gerade wenn wir Branch-Prediction ausschalten, dann können wir die aktuelle Geschwindigkeit nicht mehr halten. Niemand gibt Geld aus für ein neues System, das langsamer ist als ein älteres, das man bereits hat. Es müssen also Lösungen gefunden werden, die Performance wieder so weit zu steigern, dass am Ende kein Leistungsverlust rauskommt. Es muss am Ende Systeme geben, die marginal schneller sind oder andere Vorteile bieten. Das könnte auch ein verringerter Stromverbrauch sein.

 Erst Befehle ausführen, dann Fehlermeldungen prüfen'Bei Spectre habe ich geringes Vertrauen in die Softwarelösungen' 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

tomas_13 25. Jan 2018

Das ist der Nachteil: Du hast einen Patch installiert, den du eigentlich nicht brauchst...

tomas_13 25. Jan 2018

Du glaubst nur, es besser verstanden zu haben. Solange du nicht die richtige Erklärung...

tomas_13 25. Jan 2018

Wenn Spectre nicht prozessübergreifend ist, sind dann Chrome und FF nicht relativ sicher...

intergeek 22. Jan 2018

Sagen wir mal so, so verständlich wie das ein Techniker einem Nichttechniker wohl...

SkyNet2030 22. Jan 2018

Alles schön und gut, aber die Frage nach dem warum ist meiner Meinung nach nicht gut...


Folgen Sie uns
       


Dell XPS 13 (9380) - Hands on (CES 2019)

Wir haben uns Dells neues XPS 13 auf der CES 2019 angesehen.

Dell XPS 13 (9380) - Hands on (CES 2019) Video aufrufen
Marvel im Auto: Nie wieder eine Fahrt mit quengelnden Kindern
Marvel im Auto
Nie wieder eine Fahrt mit quengelnden Kindern

CES 2019 Audi und Holoride arbeiten an einer offenen Plattform für VR-Spiele im Auto. Marvel steuert beliebte Charaktere für Spiele bei. Golem.de hat in Las Vegas eine Testrunde durch den Weltraum gedreht.
Ein Erfahrungsbericht von Dirk Kunde


    Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
    Nubia Red Magic Mars im Hands On
    Gaming-Smartphone mit Top-Ausstattung für 390 Euro

    CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
    Ein Hands on von Tobias Költzsch

    1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
    2. People Mover Rollende Kisten ohne Fahrer
    3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

    Hunt Showdown (Beta) im Test: Hmmm Hmmm Hmmm Hmmm
    Hunt Showdown (Beta) im Test
    Hmmm Hmmm Hmmm Hmmm

    Tolle Optik, klasse Sound, dichte Atmosphäre: Hunt Showdown von Crytek macht solo oder im Duo schon im Early Access viel Spaß, wenn man sich auf das Spielprinzip einlässt. Wer laut ist, stirbt oft und schnell.
    Ein Test von Marc Sauter

    1. Laufzeitumgebung Cryengine 5.5 unterstützt Raytracing-Schatten

      •  /