Abo
  • Services:
Anzeige
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke.
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke. (Bild: Dsimic/Wikimedia Commons)

Rowhammer-Folgen: ECC-Speicher kann helfen

Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke.
Die ECC-Funktion von RAM-Chips ist offenbar eine wirksame Verteidigung gegen die Rowhammer-Lücke. (Bild: Dsimic/Wikimedia Commons)

Golem.de hat bei großen Root-Server-Anbietern nachgefragt, wie sie mit der Rowhammer-Lücke umgehen. Systeme mit ECC-Speicher sind vermutlich nicht betroffen und manchmal können Bios-Updates Angriffe erschweren.

Anzeige

Die Rowhammer-Sicherheitslücke dürfte insbesondere Serverbetreibern Kopfzerbrechen bereiten. Denn während Sicherheitslücken in Software alltäglich sind und die Lösung einfach lautet, Updates einzuspielen, lässt sich Hardware nicht updaten. Allerdings scheint es Möglichkeiten zu geben, über Veränderungen im Bios die Angriffe zu erschweren.

Die Rowhammer-Lücke bezeichnet eine Schwäche von modernen Speicherbausteinen. Viele wiederholte Speicherzugriffe können manchmal dazu führen, dass ein Bit in der danebenliegenden Speicherreihe umkippt. Vor einigen Tagen hat der Sicherheitsforscher Mark Seaborn Details zu praktischen Angriffsmöglichkeiten mit der Rowhammer-Lücke veröffentlicht. Seaborn hat in einem Github-Repository von Google zwei Test-Tools bereitgestellt, eines für einen einfachen Rowhammer-Test und eines für einen doppelseitigen Test.

Teurere Root-Server nutzen ECC

Bei fast allen Root-Server-Anbietern werden Server der höheren Preisklassen mit sogenanntem ECC-Speicher ausgestattet. ECC ist eine Funktion, die dafür sorgt, dass die Korrektheit der Daten im Arbeitsspeicher automatisch geprüft wird und kleine Fehler korrigiert werden. Das scheint tatsächlich zu helfen: Wir haben mehrere Root-Server aus den gängigen Angeboten deutscher Hosting-Provider mit ECC-Speicher getestet, in allen Fällen schlug der Rowhammer-Test nicht an. Seaborn hat auf Github zwei Testtools bereitgestellt, eines für einen einfachen und eines für einen doppelseitigen Rowhammer-Angriff, wir haben jeweils mit beiden Tools getestet.

Die drei Anbieter Strato, 1&1 und Hetzner haben alle auch einige günstige Root-Server im Angebot, die keinen ECC-Speicher nutzen. Bei Host Europe lässt sich auf der Webseite nicht erfahren, ob die entsprechenden Server ECC-Speicher nutzen, auf Nachfrage wurde uns jedoch mitgeteilt, dass alle Systeme mit ECC-Speicher ausgestattet sind.

1&1 würde Speicher austauschen

Eine Sprecherin von 1&1 erklärte auf Anfrage, dass bislang keine Fälle bekannt seien, bei denen Kunden von der Rowhammer-Lücke betroffen sind. Sollte dies der Fall sein, wolle 1&1 wie folgt reagieren: "Grundsätzlich müsste bei betroffener Hardware die RAM-Komponente ausgetauscht werden, das würde 1&1 als Dienstleister natürlich übernehmen." Wir haben den Rowhammer-Check auf einem L2-Server von 1&1 getestet. Das ist der zurzeit günstigste Root-Server im Angebot von 1&1 und der einzige ohne ECC-Speicher. Unsere Tests bestätigen die Angaben von 1&1: Wir konnten keine Probleme feststellen.

Strato hat uns direkt Zugriff auf zwei unterschiedliche Testserver gegeben: einen Server mit ECC-Speicher und einen ohne. Auch hier können wir Entwarnung geben. Beide Systeme waren nicht für den Rowhammer-Angriff anfällig.

Bios-Update verhindert Angriff nicht vollständig

Bei Hetzner sah es anders aus. Wir haben zwei Systeme getestet, einen PX60 und einen EX4. Der PX60 nutzt ECC-Speicher, und wie zu erwarten war, trat hier kein Rowhammer-Problem auf. Bei einem Server aus der Serie EX4 - ohne ECC-Speicher - wurde zuverlässig nach circa 20 Minuten Rowhammer-Test ein Fehler angezeigt. Hetzner hat daraufhin bei dem entsprechenden System ein Bios-Update durchgeführt. Offenbar half das teilweise. Mit dem einseitigen Rowhammer-Test konnten wir keine Fehler mehr feststellen. Anders sah es mit dem doppelseitigen Rowhammer-Test aus. Hier wurden auch nach dem Bios-Update weitere Bit-Flip-Fehler gemeldet. Hetzner hat inzwischen eine Stellungnahme dazu veröffentlicht.

Hetzner hatte auf Anfrage von Golem.de mehrere Systeme getestet und konnte das Problem laut eigenen Angaben auf anderen Systemen vom selben Typ nicht reproduzieren. Hetzner steht mit verschiedenen Mainboard-Herstellern in Kontakt und hofft hier auf eine Lösung. Für das betroffene System bot man dem Autor dieses Artikels an, die RAM-Bausteine gegen vermutlich nicht betroffenen RAM von einem anderen Typ auszutauschen.

Auch Mark Seaborn hatte in seinem Blogbeitrag bereits berichtet, dass Bios-Updates einen Unterschied machen konnten. Bei einem Testlaptop dauerte der Angriff nach dem Update deutlich länger, er wurde allerdings nicht verhindert. Seaborn vermutete, dass es sich um Änderungen bei den Refresh-Zyklen des Speichers handelte.

Bios-Änderungen sind intransparent

Das betroffene Hetzner-System nutzt ein Mainboard der Firma Asus (P8H77-M PRO). Die entsprechende Downloadseite von Asus listet zwar teilweise Veränderungen in neueren Bios-Versionen auf, allerdings deutet keine auf Zugriffsfehler im Arbeitsspeicher hin. Viele der Änderungseinträge sind auch wenig aussagekräftig, teilweise wird lediglich geschrieben, dass die Systemstabilität erhöht wurde. Auf Anfrage teilte Hetzner uns mit, dass man dort vermute, dass in den neueren Bios-Versionen eine Funktion namens Memory Scrambling aktiviert wurde.

Hier zeigt sich leider, dass Hardwarehersteller mit Problemen alles andere als transparent umgehen. Zwar wurde hier offenbar ein Problem behoben, es ist aber nicht nachvollziehbar, auf welche Weise dies geschehen ist. Wir haben bei Asus angefragt und um weitere Informationen gebeten, darauf allerdings bislang keine Antwort erhalten.

Es scheint so, als ob das Rowhammer-Problem auf Servern zumindest vorläufig kein größeres Problem darstellt. Die ECC-Fehlerkorrektur hilft offenbar und auch bei Systemen ohne ECC sind viele Server nicht betroffen. Bios-Updates können den Angriff wohl in einigen Fällen erschweren, aber nicht vollständig verhindern. Aber auch für zurzeit nicht betroffene Systeme gibt es keine vollständige Entwarnung. Es ist davon auszugehen, dass Sicherheitsforscher die Rowhammer-Angriffsmethode weiterentwickeln und manche Systeme, die gegen den jetzigen Angriff sicher sind, angreifbar werden.

Der Autor dieses Artikels ist an weiteren Berichten über Erfahrungen zum Umgang von Root-Server-Anbietern mit der Rowhammer-Lücke interessiert. Aber Vorsicht: Der Rowhammer-Test kann zu Systemabstürzen und im schlimmsten Fall auch zu korrupten Daten auf der Festplatte führen. Idealerweise sollte man ihn nur auf Systemen ohne wichtige Daten oder im Rescue-System durchführen.


eye home zur Startseite
HubertHans 23. Mär 2015

Es ging in die umgekehrte Richtung. bei Registered/ Buffered ist ECC normalerweise immer...

HubertHans 23. Mär 2015

Einen 486DX 160 gibts nicht... Aber das, was du schreibst ist schon moeglich.

Hypfer 16. Mär 2015

#!/bin/bash case $1 in config) echo " graph_title EDAC ECC RAM STATUS...

Quantium40 16. Mär 2015

Zumindestens was den Ausbruch aus Browser-Sandboxen angeht, kann der Angreifer den...

Crass Spektakel 16. Mär 2015

OpenVZ ist per se nichts schlechtes. Es ist sehr effizient für den Anbieter weil z.B...



Anzeige

Stellenmarkt
  1. HFO Telecom AG, Oberkotzau (Raum Hof)
  2. DEKRA SE, Stuttgart
  3. Ratbacher GmbH, Montabaur
  4. OMICRON electronics GmbH, Klaus (Österreich)


Anzeige
Top-Angebote
  1. (50% Rabatt!)
  2. 219,00€ (Bestpreis!)
  3. (u. a. Gear VR 66,00€, Gear S3 277,00€)

Folgen Sie uns
       


  1. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  2. Square Enix

    Neustart für das Final Fantasy 7 Remake

  3. Agesa 1006

    Ryzen unterstützt DDR4-4000

  4. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  5. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  6. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  7. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  8. Kubic

    Opensuse startet Projekt für Container-Plattform

  9. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1

  10. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

  1. Alternative: Artemis Spaceship Bridge Simulator

    lordguck | 17:35

  2. Re: Nicht nur O2. ALLE haben aktuell Probleme...

    Maximilian_XCV | 17:33

  3. Re: Jetzt kann ich endlich mein Datenvolumen in...

    NaruHina | 17:30

  4. Re: Störende Kabel?

    HubertHans | 17:26

  5. Re: Gibt es noch Menschen die Analog schauen

    hansjoerg | 17:22


  1. 17:37

  2. 16:55

  3. 16:46

  4. 16:06

  5. 16:00

  6. 14:21

  7. 13:56

  8. 12:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel