• IT-Karriere:
  • Services:

Was Privatanwender und Admins tun sollten

Golem.de: Was sollten unsere Leser unternehmen? Sie sind Privatanwender, aber viele sind natürlich auch in Unternehmen tätig.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. Allianz Versicherungs-AG, München Unterföhring

Gruß: Das ist in Unternehmen natürlich besonders kritisch. Viele Systeme sind in Umgebungen oft lange nicht mit Updates versorgt - und dann auch weiterhin anfällig.

Hier könnte der Meltdown-Angriff dafür sorgen, dass ein Mitarbeiter, der eigentlich nicht die notwendigen Berechtigungen hat, Daten auslesen kann, die er nicht auslesen können sollte. Das gilt natürlich vor allem für Systeme wie Thin-Clients, wo mehrere Geräte auf einem Firmenserver arbeiten.

Privatanwender sind derzeit nicht gefährdet - wenn sie die Softwareupdates installieren

Gruß: Für Privatanwender besteht im Moment erstmal keine Gefahr, wenn die Updates installiert sind. Bei Spectre wird es noch etwas dauern, bis das in eine Exploitform übergeht. Bei Meltdown haben wir das schon nach wenigen Tagen gesehen. Leute haben uns gezeigt, was sie mit Meltdown alles machen können. Damit konnte der gesamte Prozessspeicher ausgelesen werden, einige haben sogar Taskmanager nachgebaut, die gar keine Privilegien brauchen und alle Informationen auflisten und sogar den Speicherbereich eines ganz bestimmten Prozesses auslesen können. Da wird es nicht lange dauern, bis nutzbare Exploits im Umlauf sind. Die Meltdown-Updates sind also besonders wichtig.

Golem.de: Microsoft hat bekanntgegeben, dass vor allem ältere Systeme durch die Meltdown-Patches größere Performanceeinbußen haben werden, was vermutlich mit der Kompatibilität von Prozessoren mit den Process Context IDs zusammenhängt. Hat Ihr Team da genauere Informationen?

Gruß: Unsere Beobachtung dazu ist, dass es bei Intel-Prozessoren ab der Skylake-Generation durch die Verwendung der Process Context IDs nur zu geringen Leistungseinbußen kommt. Auf älteren Systemen ohne Unterstützung für die PCIDs sind die Verluste da in der Tat deutlich größer. Aber es sollte auf keinen Fall auf das Einspielen der Updates verzichtet werden, das wäre fahrlässig. Jede kleine App auf dem System kann dann meine Passwörter auslesen, und das ist sicherlich keine Lösung.

Golem.de: Wie sieht es bei Systemen bei Cloud-Providern aus?

Gruß: Hier gibt es zwei Ebenen: einmal die Anbieter selbst und dann natürlich die Kunden.

Erst einmal muss sich der Cloud-Provider gegen die Kunden absichern und den eigenen Hypervisor updaten, so dass kein Zugriff auf den Hostspeicher mehr möglich ist. Damit sind auch alle anderen virtuellen Maschinen auf dem Server gegen Cross-VM-Angriffe geschützt. In vielen Fällen ist es nicht einmal erforderlich, ein Update zu installieren. Bei vielen virtuellen Maschinen war es schon in den vergangenen Jahren so, dass der Hostspeicher nicht in den einzelnen virtuellen Maschinen gemappt wurde.

Bei paravirtualisierten Maschinen ist das oft anders, etwa bei Xen. Da war es schon so, dass der Speicher zwar gemappt war, aber nicht für den Gast erreichbar, ähnlich wie bei einem Betriebssystem-Kernel.

Golem.de Und die Kunden selbst?

Gruß: Wenn wir aber auf das von Nutzern selbst installierte Betriebssystem auf Cloud-Rechnern schauen, gibt es eine andere Situation. Wenn die Updates dort nicht installiert werden, aber Fremdsoftware ausgeführt wird, dann kann diese natürlich die Geheimnisse aus meiner VM alle auslesen. Da schützt mich der Cloud-Betreiber mit seinen Maßnahmen nicht dagegen.

Golem.de: Es gibt erste Mikrocode-Updates, aber diese verursachen aktuell noch viele Probleme. Inwieweit helfen die? Oder müssen wir drei bis vier Jahre warten, bis CPUs erscheinen, die grundsätzlich nicht mehr angreifbar sind?

Gruß: Da sind wir wieder bei dem Performance-Problem. Gerade wenn wir Branch-Prediction ausschalten, dann können wir die aktuelle Geschwindigkeit nicht mehr halten. Niemand gibt Geld aus für ein neues System, das langsamer ist als ein älteres, das man bereits hat. Es müssen also Lösungen gefunden werden, die Performance wieder so weit zu steigern, dass am Ende kein Leistungsverlust rauskommt. Es muss am Ende Systeme geben, die marginal schneller sind oder andere Vorteile bieten. Das könnte auch ein verringerter Stromverbrauch sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Erst Befehle ausführen, dann Fehlermeldungen prüfen'Bei Spectre habe ich geringes Vertrauen in die Softwarelösungen' 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Mobile-Angebote
  1. 304€ (Bestpreis!)
  2. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  4. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

tomas_13 25. Jan 2018

Das ist der Nachteil: Du hast einen Patch installiert, den du eigentlich nicht brauchst...

tomas_13 25. Jan 2018

Du glaubst nur, es besser verstanden zu haben. Solange du nicht die richtige Erklärung...

tomas_13 25. Jan 2018

Wenn Spectre nicht prozessübergreifend ist, sind dann Chrome und FF nicht relativ sicher...

intergeek 22. Jan 2018

Sagen wir mal so, so verständlich wie das ein Techniker einem Nichttechniker wohl...

SkyNet2030 22. Jan 2018

Alles schön und gut, aber die Frage nach dem warum ist meiner Meinung nach nicht gut...


Folgen Sie uns
       


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

    •  /