Seite 1 von 1

Spectre und Meltdown Angriffsszenarien?

Verfasst: 12 Jan 2018, 15:02
von neO
Mir fehlen immer noch die genauen Angriffsszenarien, bis auf die Rechenzentren wo zwangsweise mehrere fremde Systeme gemeinsam auf einem Rechner laufen.

Muß beim Privatnutzer nicht erstmal fremde Schadsoftware laufen, damit andere Programme angegriffen werden können, und können das diese Programme dann nicht meißt sowieso?

Oder setzen die Browser auch auf gesicherte virtuelle "Sandkisten", aus der so mehr Schadsachen nach außen "gucken" könnten?

Gruß
neO

Re: Spectre und Meltdown Angriffsszenarien?

Verfasst: 12 Jan 2018, 15:51
von doelf
In aller Kürze:

1) Es muss Code laufen, der die Angriffe fährt - allerdings braucht der keine besonderen Rechte. Das kann ein lokales Programm sein oder auch Java oder JavaScript im Webbrowser. Letzteres versucht man durch ungenaues Timing zu unterbinden. Lokal stellen Schadprogramme das größte Risiko dar, aber es gab ja auch schon Fälle, wo reguläre Software manipuliert wurde. Und dann gibt es ja noch undurchsichtige SDKs, welche die einfache Integration besonderer Funktionen versprechen, nebenbei aber auch schon mal Daten sammeln oder mit Werbung Schindluder treiben.

2) Prozessoren ohne Microcode-Update lassen sich bei der Spekulativen Ausführung in die Karten schauen. Man bringt sie dazu, rein spekulativ auf Daten zu schauen, die ansonsten geschützt wären. Dann versucht man diese zu lokalisieren und da sie nie zur konkreten Verarbeitung geladen wurden kann man sie unbemerkt mopsen. Davon merken weder CPU noch Betriebssystem etwas, denn der Fehler steckt ja in der Art und Weise, wie die CPU arbeitet. Die Microcode-Updates verändern diese Arbeitsweise, die Betriebssystem-Updates umgehen durch veränderte Compiler den Zugriff auf die anfälligen Funktionen.

3) Bei einem erfolgreichen Angriff fallen die Grenzen zwischen den Programmen untereinander und auch die zwischen Programm- und Kernel-Speicher. Bösartiger Code kann somit alles, was andere Programme oder das Betriebssystem verarbeiten, einsehen und abgreifen. Das funktioniert sogar aus dem Gastsystem einer virtuellen Maschine heraus, so dass diese ihren Host kompromittieren kann. Da helfen auch keine Sandboxes, denn es herrscht quasi der Tag des offenen Arbeitsspeichers. Endlich sind alle so mächtig wie Intels ME ;-)

Die Bedrohung ist also real, wobei kurzfristig wohl nur Angriffe auf Meltdown zu erwarten sind. Die sind vergleichsweise simple und es gibt besonders viele Opfer - insbesondere Firmen und Behörden!

Gruß

Michael

Re: Spectre und Meltdown Angriffsszenarien?

Verfasst: 13 Jan 2018, 06:20
von neO
So ist Mozillas Firefox mit seiner Zeitverungenauerung für das Timing schon nah dran den "Browser" Schadcode nutzlos zu machen?
[..]Da diese Angriffe aber auf einem präzisen Timing basieren, habe Mozilla kurzfristig verschiedene Zeitquellen für Firefox entweder deaktiviert oder unpräziser gemacht. Dazu gehören „performance.now()“ und implizite Quellen, um hochauflösende Timer zu entwickeln wie „SharedArrayBuffer“. Bis auf weiteres reduziert Mozilla die Auflösung von „performance.now()“ auf 20 Mikrosekunden und deaktiviert „SharedArrayBuffer“.
http://www.linux-magazin.de/news/meltdo ... eaktionen/

Oder sollte man zum Surfen auf den Raspberry Pi 3 umsteigen?

Re: Spectre und Meltdown Angriffsszenarien?

Verfasst: 13 Jan 2018, 13:20
von doelf
Solange niemand einen Weg findet, über Javascript oder andere Konstrukte ein ausreichend genaues Timing hinzubekommen, bist Du mit den neuen Browsern erst einmal auf der sicheren Seite. Allerdings können andere Browser-Schwachstellen genutzt werden, um nativen Code auf dein System zu bringen, der dann wieder Angriffe durchführen kann. Und da es sozusagen eine universelle Angriffsmethode auf alle Speicherinhalte gibt, benötigt man keine weiteren Sicherheitslücken, um diesen Code auf Kernel-Rechte zu eskalieren.

Bisher sind die Szenarien (abseits von Meltdown) kompliziert, aber sobald eine halbwegs universelle Umsetzung ihren Weg in übliche Angriffswerkzeuge findet, wird es für alle sehr ernst. Selbst wenn man kein Online-Banking am betroffenen Rechner ausführt, sondern diesen nur für Spiele nutzt: Auch auf den Gaming-Plattformen und im Windows-Store können die Angreifer viel Geld ausgeben und Schaden anrichten.

Zum Online-Banking kann man durchaus einen Raspberry Pi oder ein Atom-Netbook der ersten beiden Generationen verwenden - letzteres aber bitte nicht mit Windows XP, sondern mit einem schlanken Linux wie Lubuntu.

Gruß

Michael

Re: Spectre und Meltdown Angriffsszenarien?

Verfasst: 13 Jan 2018, 16:02
von neO
Na, wer hätte gedacht, dass mein altes Atom N270 Notebook von vor 10 Jahren und mein Pi3 so sicher sind :)
Vielen Dank für die Infos!

Also alles mit Konten und Passwörtern, dass auch für Bestellungen / Käufe eingesetzt werden kann, könnte auf gefährdeten Prozessoren viel Ärger verursachen.

ID-Managment und Banking wahrscheinlich auch, falls die Programme nicht sichere Wege benutzen (Pin, 2-Faktor...).

Gibt es noch andere Sachen die man niemanden an den Hals wünscht, die dadurch wahrscheinlicher werden?




UPDATE: Spectre und Meltdown: Übersicht betroffener Chips
viewtopic.php?f=2&t=50508

Intel-Atom-N270-Notebook-Prozessor
https://www.notebookcheck.com/Intel-Ato ... 023.0.html

Re: Spectre und Meltdown Angriffsszenarien?

Verfasst: 13 Jan 2018, 17:26
von doelf
Zuweilen ist es sinnvoll, einfach alles nacheinander abzuarbeiten...