Abo
  • Services:
Anzeige
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke.
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke. (Bild: Dsimic/Wikimedia Commons)

Rowhammer-Folgen: ECC-Speicher kann helfen

Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke.
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke. (Bild: Dsimic/Wikimedia Commons)

Golem.de hat bei großen Root-Server-Anbietern nachgefragt, wie sie mit der Rowhammer-Lücke umgehen. Systeme mit ECC-Speicher sind vermutlich nicht betroffen und manchmal können Bios-Updates Angriffe erschweren.

Anzeige

Die Rowhammer-Sicherheitslücke dürfte insbesondere Serverbetreibern Kopfzerbrechen bereiten. Denn während Sicherheitslücken in Software alltäglich sind und die Lösung einfach lautet, Updates einzuspielen, lässt sich Hardware nicht updaten. Allerdings scheint es Möglichkeiten zu geben, über Veränderungen im Bios die Angriffe zu erschweren.

Die Rowhammer-Lücke bezeichnet eine Schwäche von modernen Speicherbausteinen. Viele wiederholte Speicherzugriffe können manchmal dazu führen, dass ein Bit in der danebenliegenden Speicherreihe umkippt. Vor einigen Tagen hat der Sicherheitsforscher Mark Seaborn Details zu praktischen Angriffsmöglichkeiten mit der Rowhammer-Lücke veröffentlicht. Seaborn hat in einem Github-Repository von Google zwei Test-Tools bereitgestellt, eines für einen einfachen Rowhammer-Test und eines für einen doppelseitigen Test.

Teurere Root-Server nutzen ECC

Bei fast allen Root-Server-Anbietern werden Server der höheren Preisklassen mit sogenanntem ECC-Speicher ausgestattet. ECC ist eine Funktion, die dafür sorgt, dass die Korrektheit der Daten im Arbeitsspeicher automatisch geprüft wird und kleine Fehler korrigiert werden. Das scheint tatsächlich zu helfen: Wir haben mehrere Root-Server aus den gängigen Angeboten deutscher Hosting-Provider mit ECC-Speicher getestet, in allen Fällen schlug der Rowhammer-Test nicht an. Seaborn hat auf Github zwei Testtools bereitgestellt, eines für einen einfachen und eines für einen doppelseitigen Rowhammer-Angriff, wir haben jeweils mit beiden Tools getestet.

Die drei Anbieter Strato, 1&1 und Hetzner haben alle auch einige günstige Root-Server im Angebot, die keinen ECC-Speicher nutzen. Bei Host Europe lässt sich auf der Webseite nicht erfahren, ob die entsprechenden Server ECC-Speicher nutzen, auf Nachfrage wurde uns jedoch mitgeteilt, dass alle Systeme mit ECC-Speicher ausgestattet sind.

1&1 würde Speicher austauschen

Eine Sprecherin von 1&1 erklärte auf Anfrage, dass bislang keine Fälle bekannt seien, bei denen Kunden von der Rowhammer-Lücke betroffen sind. Sollte dies der Fall sein, wolle 1&1 wie folgt reagieren: "Grundsätzlich müsste bei betroffener Hardware die RAM-Komponente ausgetauscht werden, das würde 1&1 als Dienstleister natürlich übernehmen." Wir haben den Rowhammer-Check auf einem L2-Server von 1&1 getestet. Das ist der zurzeit günstigste Root-Server im Angebot von 1&1 und der einzige ohne ECC-Speicher. Unsere Tests bestätigen die Angaben von 1&1: Wir konnten keine Probleme feststellen.

Strato hat uns direkt Zugriff auf zwei unterschiedliche Testserver gegeben: einen Server mit ECC-Speicher und einen ohne. Auch hier können wir Entwarnung geben. Beide Systeme waren nicht für den Rowhammer-Angriff anfällig.

Bios-Update verhindert Angriff nicht vollständig

Bei Hetzner sah es anders aus. Wir haben zwei Systeme getestet, einen PX60 und einen EX4. Der PX60 nutzt ECC-Speicher, und wie zu erwarten war, trat hier kein Rowhammer-Problem auf. Bei einem Server aus der Serie EX4 - ohne ECC-Speicher - wurde zuverlässig nach circa 20 Minuten Rowhammer-Test ein Fehler angezeigt. Hetzner hat daraufhin bei dem entsprechenden System ein Bios-Update durchgeführt. Offenbar half das teilweise. Mit dem einseitigen Rowhammer-Test konnten wir keine Fehler mehr feststellen. Anders sah es mit dem doppelseitigen Rowhammer-Test aus. Hier wurden auch nach dem Bios-Update weitere Bit-Flip-Fehler gemeldet. Hetzner hat inzwischen eine Stellungnahme dazu veröffentlicht.

Hetzner hatte auf Anfrage von Golem.de mehrere Systeme getestet und konnte das Problem laut eigenen Angaben auf anderen Systemen vom selben Typ nicht reproduzieren. Hetzner steht mit verschiedenen Mainboard-Herstellern in Kontakt und hofft hier auf eine Lösung. Für das betroffene System bot man dem Autor dieses Artikels an, die RAM-Bausteine gegen vermutlich nicht betroffenen RAM von einem anderen Typ auszutauschen.

Auch Mark Seaborn hatte in seinem Blogbeitrag bereits berichtet, dass Bios-Updates einen Unterschied machen konnten. Bei einem Testlaptop dauerte der Angriff nach dem Update deutlich länger, er wurde allerdings nicht verhindert. Seaborn vermutete, dass es sich um Änderungen bei den Refresh-Zyklen des Speichers handelte.

Bios-Änderungen sind intransparent

Das betroffene Hetzner-System nutzt ein Mainboard der Firma Asus (P8H77-M PRO). Die entsprechende Downloadseite von Asus listet zwar teilweise Veränderungen in neueren Bios-Versionen auf, allerdings deutet keine auf Zugriffsfehler im Arbeitsspeicher hin. Viele der Änderungseinträge sind auch wenig aussagekräftig, teilweise wird lediglich geschrieben, dass die Systemstabilität erhöht wurde. Auf Anfrage teilte Hetzner uns mit, dass man dort vermute, dass in den neueren Bios-Versionen eine Funktion namens Memory Scrambling aktiviert wurde.

Hier zeigt sich leider, dass Hardwarehersteller mit Problemen alles andere als transparent umgehen. Zwar wurde hier offenbar ein Problem behoben, es ist aber nicht nachvollziehbar, auf welche Weise dies geschehen ist. Wir haben bei Asus angefragt und um weitere Informationen gebeten, darauf allerdings bislang keine Antwort erhalten.

Es scheint so, als ob das Rowhammer-Problem auf Servern zumindest vorläufig kein größeres Problem darstellt. Die ECC-Fehlerkorrektur hilft offenbar und auch bei Systemen ohne ECC sind viele Server nicht betroffen. Bios-Updates können den Angriff wohl in einigen Fällen erschweren, aber nicht vollständig verhindern. Aber auch für zurzeit nicht betroffene Systeme gibt es keine vollständige Entwarnung. Es ist davon auszugehen, dass Sicherheitsforscher die Rowhammer-Angriffsmethode weiterentwickeln und manche Systeme, die gegen den jetzigen Angriff sicher sind, angreifbar werden.

Der Autor dieses Artikels ist an weiteren Berichten über Erfahrungen zum Umgang von Root-Server-Anbietern mit der Rowhammer-Lücke interessiert. Aber Vorsicht: Der Rowhammer-Test kann zu Systemabstürzen und im schlimmsten Fall auch zu korrupten Daten auf der Festplatte führen. Idealerweise sollte man ihn nur auf Systemen ohne wichtige Daten oder im Rescue-System durchführen.


eye home zur Startseite
HubertHans 23. Mär 2015

Es ging in die umgekehrte Richtung. bei Registered/ Buffered ist ECC normalerweise immer...

HubertHans 23. Mär 2015

Einen 486DX 160 gibts nicht... Aber das, was du schreibst ist schon moeglich.

Hypfer 16. Mär 2015

#!/bin/bash case $1 in config) echo " graph_title EDAC ECC RAM STATUS...

Quantium40 16. Mär 2015

Zumindestens was den Ausbruch aus Browser-Sandboxen angeht, kann der Angreifer den...

Crass Spektakel 16. Mär 2015

OpenVZ ist per se nichts schlechtes. Es ist sehr effizient für den Anbieter weil z.B...



Anzeige

Stellenmarkt
  1. AGRAVIS Raiffeisen AG, Münster
  2. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  3. Deutsche Hypothekenbank AG, Hannover
  4. Bundesversicherungsamt Referat 811, Bonn


Anzeige
Top-Angebote
  1. 30,99€
  2. (heute u. a. mit Soundbars und Heimkinosystemen, ASUS-Notebooks, Sony-Kopfhörern, Garmin...

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Indiegames-Rundschau: Cyberpunk, Knetmännchen und Kampfsportkünstler
Indiegames-Rundschau
Cyberpunk, Knetmännchen und Kampfsportkünstler
  1. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob
  2. Indiegames-Rundschau Meisterdiebe, Anti- und Arcadehelden
  3. Jump So was wie Netflix für Indiegames

  1. Ist doch alles ganz einfach... LTE High Speed und...

    Friedhelm | 22:55

  2. Re: Und das erfreut wohl die meisten Nutzer. Echt...

    MysticaX | 22:52

  3. Armes Deutschland

    Der Mauritianer | 22:43

  4. SFTP Windows Server?

    Delacor | 22:34

  5. Re: Kaum Handlungssequenzen... Warum steht das bei -?

    _2xs | 22:33


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel