Abo
  • Services:

Spectre und Meltdown: All unsere moderne Technik ist kaputt

Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden.

Ein IMHO von Nico Ernst veröffentlicht am
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke.
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Die Entwicklung von Prozessoren ist die Alchemie der IT-Landschaft: Da arbeiten im selben Unternehmen konkurrierende Teams jahrelang unter höchster Geheimhaltung gegeneinander, und wer mehr Leistung pro Takt und Dollar erreicht, gewinnt. Dann folgt ein irrwitziger Marketingaufwand, um der Kundschaft die neue Errungenschaft schmackhaft zu machen. Und bis vor einigen Jahren wurden Journalisten die Innereien der Technik auch einigermaßen detailliert erklärt. Inzwischen halten sich die Hersteller da wieder bedeckter.

Inhalt:
  1. Spectre und Meltdown: All unsere moderne Technik ist kaputt
  2. Die Geheimniskrämerei muss enden

Diese frühere Offenheit war bedingt durch Intels bisher größten Flop, den Pentium-FDIV-Bug. Im Vergleich zu Meltdown und Spectre, die auch - aber nicht nur - Intel-Prozessoren betreffen, war dieser Fehler jedoch ein Klacks: Klar, die Prozessoren verrechneten sich. Sie taten also, was sie sollten, aber mit reproduzierbar falschen Ergebnissen. Das kann bei sicherheitsrelevanten Anwendungen wie etwa der statischen Berechnung einer Brücke fatale Folgen haben. Aber immerhin ließen sich die Ergebnisse auf anderen Systemen falsifizieren, der Bug war also offensichtlich. Seitdem dokumentiert insbesondere Intel seine Fehler, Errata genannt, zumindest während der Herstellungszeit eines Produkts für Entwickler umfangreich.

Meltdown und Spectre zerstören die Vertrauenskette

Meltdown und Spectre sind jedoch anders. Sie brechen mit dem, worauf man sich bei der Entwicklung jeder Security einfach verlassen musste, nämlich darauf, dass einzig und allein das Betriebssystem und andere im Ring 0 einer CPU laufende Software Zugriff auf unverschlüsselte und sensible Daten haben dürfen. Wenn etwa ein Passwort oder ein Krypto-Key abhandenkam, musste man den Fehler an anderer Stelle suchen. Dass innerhalb des Systems Prozessor+Betriebssystem+Treiber etwas schieflief, war eher die Ausnahme. Und dann waren umfangreiche Reparaturarbeiten gefragt. Der Anfang jeder Vertrauenskette war stets: Die CPU und das OS machen per se nichts unsicher.

Das ist nun aber nicht mehr so, denn jegliche sensible Daten lassen sich über Seitenkanalattacken aus dem bisher unknackbaren System ausschleusen. Der Hardware ist also nicht mehr zu trauen. Das hat nicht mit eigentlichen Bugs oder gar Backdoors zu tun. Was die Sicherheitsforscher da zutage fördern, ist technisch schon sehr ausgefuchst und nicht trivial umzusetzen. Immerhin haben die ersten Patches für Betriebssysteme über ein halbes Jahr gebraucht, und eine Lösung auf Hardwareeebene, etwa durch Microcode-Updates, ist noch nicht in Sicht. Ob es die überhaupt geben kann, ist derzeit fraglich.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Leopold Kostal GmbH & Co. KG, Lüdenscheid

Die Geheimniskrämerei muss enden 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. 119,90€

Bachsau 21. Jan 2018

1ras 19. Jan 2018

Du wirst ja selbst Google gut genug bedienen können um zu erkennen, dass es hierzu auch...

CoDEmanX 19. Jan 2018

Die Sicherheitsforscher haben gravierend Lücken gefunden und unter Ausschluss der...

bentol 08. Jan 2018

Super erklärt, danke!

tunnelblick 08. Jan 2018

ja. womit wir wieder beim anfangsproblem wären. was soll denn da konkret kommen? es will...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
FritzOS 7 im Test: Im Zeichen von Mesh, Gastzugang und einfacher Bedienbarkeit
FritzOS 7 im Test
Im Zeichen von Mesh, Gastzugang und einfacher Bedienbarkeit

FritzOS 7 bringt viele Neuerungen, die eine Fritzbox zu einem noch vielfältigerem Gerät machen. Uns gefallen besonders der sehr einfach einrichtbare WLAN-Gastzugang und die automatisch erstellte Netzwerktopologie. Die noch immer nicht sehr ausgereifte NAS-Funktion ist aber erwähnenswert.
Ein Test von Oliver Nickel

  1. Fritzbox 7530 AVM zeigt Einsteiger-Fritzbox und Repeater mit FritzOS 7
  2. AVM Fritzapp WLAN Diagnose-App scannt WLANs jetzt auch auf iOS
  3. AVM FritzOS 7 bringt besseres Mesh, Gäste-Hotspot und mehr

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Indiegames-Rundschau: Unsterbliche Seelen und mexikanische Muskelmänner
Indiegames-Rundschau
Unsterbliche Seelen und mexikanische Muskelmänner

Düstere Abenteuer für Fans von Dark Souls in Immortal Unchained, farbenfrohe Geschicklichkeitstests in Guacamelee 2 und morbides Management in Graveyard Keeper - und endlich auf Toilette gehen: Golem.de stellt die besten neuen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Kalte Krieger und bärtige Berliner
  2. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  3. Indiegames-Rundschau Schiffbruch, Anime und viel Brummbrumm

    •  /