• IT-Karriere:
  • Services:

Spectre und Meltdown: All unsere moderne Technik ist kaputt

Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden.

Ein IMHO von Nico Ernst veröffentlicht am
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke.
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Die Entwicklung von Prozessoren ist die Alchemie der IT-Landschaft: Da arbeiten im selben Unternehmen konkurrierende Teams jahrelang unter höchster Geheimhaltung gegeneinander, und wer mehr Leistung pro Takt und Dollar erreicht, gewinnt. Dann folgt ein irrwitziger Marketingaufwand, um der Kundschaft die neue Errungenschaft schmackhaft zu machen. Und bis vor einigen Jahren wurden Journalisten die Innereien der Technik auch einigermaßen detailliert erklärt. Inzwischen halten sich die Hersteller da wieder bedeckter.

Inhalt:
  1. Spectre und Meltdown: All unsere moderne Technik ist kaputt
  2. Die Geheimniskrämerei muss enden

Diese frühere Offenheit war bedingt durch Intels bisher größten Flop, den Pentium-FDIV-Bug. Im Vergleich zu Meltdown und Spectre, die auch - aber nicht nur - Intel-Prozessoren betreffen, war dieser Fehler jedoch ein Klacks: Klar, die Prozessoren verrechneten sich. Sie taten also, was sie sollten, aber mit reproduzierbar falschen Ergebnissen. Das kann bei sicherheitsrelevanten Anwendungen wie etwa der statischen Berechnung einer Brücke fatale Folgen haben. Aber immerhin ließen sich die Ergebnisse auf anderen Systemen falsifizieren, der Bug war also offensichtlich. Seitdem dokumentiert insbesondere Intel seine Fehler, Errata genannt, zumindest während der Herstellungszeit eines Produkts für Entwickler umfangreich.

Meltdown und Spectre zerstören die Vertrauenskette

Meltdown und Spectre sind jedoch anders. Sie brechen mit dem, worauf man sich bei der Entwicklung jeder Security einfach verlassen musste, nämlich darauf, dass einzig und allein das Betriebssystem und andere im Ring 0 einer CPU laufende Software Zugriff auf unverschlüsselte und sensible Daten haben dürfen. Wenn etwa ein Passwort oder ein Krypto-Key abhandenkam, musste man den Fehler an anderer Stelle suchen. Dass innerhalb des Systems Prozessor+Betriebssystem+Treiber etwas schieflief, war eher die Ausnahme. Und dann waren umfangreiche Reparaturarbeiten gefragt. Der Anfang jeder Vertrauenskette war stets: Die CPU und das OS machen per se nichts unsicher.

Das ist nun aber nicht mehr so, denn jegliche sensible Daten lassen sich über Seitenkanalattacken aus dem bisher unknackbaren System ausschleusen. Der Hardware ist also nicht mehr zu trauen. Das hat nicht mit eigentlichen Bugs oder gar Backdoors zu tun. Was die Sicherheitsforscher da zutage fördern, ist technisch schon sehr ausgefuchst und nicht trivial umzusetzen. Immerhin haben die ersten Patches für Betriebssysteme über ein halbes Jahr gebraucht, und eine Lösung auf Hardwareeebene, etwa durch Microcode-Updates, ist noch nicht in Sicht. Ob es die überhaupt geben kann, ist derzeit fraglich.

Stellenmarkt
  1. Technische Hochschule Rosenheim, Rosenheim
  2. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Geheimniskrämerei muss enden 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (u. a. Phoenix Point: Year One Edition für 24,99€, Project Cars 3 für 19,99€, Project Cars 2...
  2. 49,99€
  3. 3,89€

Bachsau 21. Jan 2018

1ras 19. Jan 2018

Du wirst ja selbst Google gut genug bedienen können um zu erkennen, dass es hierzu auch...

CoDEmanX 19. Jan 2018

Die Sicherheitsforscher haben gravierend Lücken gefunden und unter Ausschluss der...

bentol 08. Jan 2018

Super erklärt, danke!

tunnelblick 08. Jan 2018

ja. womit wir wieder beim anfangsproblem wären. was soll denn da konkret kommen? es will...


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Passwortmanager: Das letzte Mal Lastpass verwenden
Passwortmanager
Das letzte Mal Lastpass verwenden

Der Passwortmanager Lastpass schränkt seinen kostenlosen Dienst massiv ein. Wir zeigen Alternativen, die obendrein sicherer sind.
Von Moritz Tremmel

  1. Autofill Microsoft testet Passwortmanager
  2. Sicherheitslücke Admin-Passwort für Rettungsdienst-System ungeschützt im Netz
  3. Sicherheitslücke 800 Zugangsdaten waren auf CSU-Webserver auslesbar

Perseverance: Diese Marsmission hat keinen Applaus verdient
Perseverance
Diese Marsmission hat keinen Applaus verdient

Von zwei Stunden Nasa-Livestream zur Landung des Mars-Rovers Perseverance blieben nur sechs Sekunden für die wissenschaftlichen Instrumente einer weit überteuerten Mission übrig.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Perseverance Nasa veröffentlicht erstmals Video einer Marslandung
  2. Mars 2020 Was ist neu am Marsrover Perseverance?

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


      •  /