Security Info: Meltdown & Spectre – gravierende Sicherheitslücke in Prozessoren

Du hast vermutlich in der Presse schon etwas von der Sicherheitslücke in Prozessoren (CPU) von Intel, AMD und ARM gehört.

Solltest du einen PC mit einem der betroffenen Prozessoren besitzen – was der Fall sein wird – dann bist du von dieser Lücke betroffen.
Angreifer können in diesem Fall, über einen Schadcode, an sensible Informationen deines PCs kommen.

Entdeckung

Entdeckt wurde diese Lücke vom Google Project Zero bereits Mitte 2017. Die betroffenen Hersteller wurden am 1.6.2017 über die Lückeinformiert.

Project Zero ist der Name eines Teams aus Sicherheits Analysten von Google deren Aufgabe es ist, zero-day Anfälligkeiten zu finden. Diese Auffälligkeiten werden dann an die Hersteller gemeldet. Die Lücke wird erst veröffentlicht, wenn der Hersteller einen Patch heraus gegeben hat – oder aber 90 Tage nach Meldung an den Hersteller, sollte dieser nicht reagieren.
In diesem Fall hat Google den Termin verlängert, da der Fehler in der Hardware (Prozessor) liegt und daher nicht zu beheben ist. Hier muss über Patche auf Betriebssystem (OS) Ebene die Ausnutzung der Lücke unterbunden werden.
Da im Prinzip alle großen CPU Hersteller, sowie deren sämtliche Produkte, betroffen sind, mussten eine große Anzahl von OS Herstellern mit ins Boot genommen werden um Updates zu liefern. Betroffen sind unter anderem Window, Linux, MacOS, iOS und Android. Ja, auch Ihre Smartphones sind betroffen!

Um was geht es?

Prozessoren bieten zur Performance Optimierung die Funktion ‚Speculative Execution‘ – hierbei versucht der Prozessor vorauszusagen, welche Anweisungen ein Prozess in Zukunft geben wird – und hält für diese Berechnungen dann ein Ergebnis bereit.
Die Ausführung kann parallel erfolgen, dadurch steigt die Verarbeitungsgeschwindigkeit da Wartezeiten vermieden werden. Sollte die Berechnung nicht angefragt, bzw. das Ergebnis nicht benötigt werden, wird dieses einfach verworfen.
Die Ergebnisse stehen dabei im Speicher der CPU selbst. Dieses Funktion ist ein Hardware Feature – hierfür wird kein Bestandteil des OS benötigt.

Das OS selbst läuft in einem priviligierten Kern, dem sogenannten ‚Kernel‘, dieser managed das komplette System, startet und stoppt Anwendungen und Dienste, kümmert sich um Sicherheitseinstellungen, managed den Speicher und separiert hier eine Anwendungen gegen die anderen Anwendungen.

Neben dem Kernel laufen alle Prozesse bzw. Anwendungen im sogenannten ‚Userland‘ – hier können die Anwendungen miteinander Informationen austauschen, aber nur wenn sich beide Seiten darauf verständigen.
Der Kernel ist dafür verantwortlich, dass diese Bereiche voneinander getrennt sind, Prozesse nicht auf Informationen zugreifen zu denen sie nicht berechtigt sind und schon gar nicht auf priviligierte Bereiche des Kernels zugreifen können.
Malware, Viren und Konsorten versuchen hier durch Lücken genau diese Kernel Aufgabe zu behindern oder ganz auszuschalten.

In allen CPUs wiederum gibt es verschiedene ‚privilege levels‘ – also Sicherheitsebenen. Intel nennt diese Ebenen ‚rings‘.
Die Hardware bietet 4 Ringe, das OS nutzt in der Regel davon 2:
Ring 0 hat die höchsten Rechte und Ring 3 die niedrigsten Rechte. Hardwareseitig sind diese Ringe voneiander insoliert und können von oben nach unten kontrolliert werden.
Ring 0 kann Ring 3 manipulieren, aber nicht umgekehrt.

Der Kernel läuft in Ring 0 und das Userland in Ring 3. In der Theorie verhindert hier also schon der Prozesor auf Hardwareebene den Zugriff von Ring 3 auf Ring 0, entsprechende Anfragen auf Maschinen Code Ebene werden geblockt.

Das Ziel hinter einer theoretischen Attacke war die Überlegung, dass durch ‚Speculative Execution‘ möglicherweise Ergebnisse im Speicher vorhanden sein könnten, wobei durch die Ring Isolierung zwar der Zugriff auf das Ergebnis in der normalen Programmausführung blockiert werden würde, aber man parallel dazu einen Seiten Kanal der CPUs nutzen könnte um an den Inhalt des Speicher zu kommen.

Hat geklappt, gefunden hat man dann sogar gleich 3 verschiedene Möglichkeiten, diesen Speicher auszulesen:

Variante 1 und Variante 2 sind bekannt als Spectre
Variante 2 ist bekannt als Meltdown

Die Lücke(n) wurden parallel zu der Entdeckung durch Google auch durch andere Forscher erkundet – daher stammen auch die hübschen Namen.

Zu allen 3 Lücken gibt es (derzeit) keine Schadsoftware welche diese Lücken ausnutzt. Zu jeder Lücke gibt ein ein ‚Proof of Concept‘ (PoC) von Google – hier ist damit daher zu rechnen, dann in sehr naher Zukunft entsprechende Exploits folgen werden.

Was kann passieren?

Was kann dir – und allen anderen Nutzern und Betreiber von Computern, Servern, mobilen Devices – passieren?
Durch die Ausnutzung der Lücke kann sich ein Angreifer Zugriff auf sensible Daten beschaffen, Passwörter, PINs und TANs, Crypto Schlüssel etc.

Für einen erfolgreichen Angriff benötigt der Angreifer Zugriff einen Prozess auf dem betroffenen PC. Dieser Prozess kann über eine Schadsoftware generiert werden, oder ein bestehender Prozess kann genutzt werden. Ein Beispiel für einen solchen Angriff wäre das Ausführen von Schadcode beim Besuch einer infizierten Webseite, ausführen von Code in einer HTML Mail, ausführen von Code in einer infizierten Word Datei (Makro).

Ja, das ist so schlimm wie es sich anhört.

Hier ein Video eines solchen Angriffs

Welche Systeme sind betroffen?

Fast alle Computersysteme sind betroffen:

  • Desktops
  • Laptops
  • Server
  • Mobile Geräte: Tablets, Handys
  • Cloud Server: Azure, Google, AWS und weitere
  • Virtualisierungsumgebungen: Xen, VMWare, Docker, OpenVZ, und weitere

Was kann ich machen?

Da das Problem bei dieser Lücke ist, dass sie in der Hardware liegt, dieses hier aber nicht gelöst werden kann, muss ein Patch auf der OS Seite erfolgen.
In zukünftigen Versionen der CPUs wird dieser Fehler dann in der Hardware behoben sein, also ist der Austausch der Hardware eine weitere Möglichkeit.

Die Hersteller haben oder werden in Kürze hier Patche zur Verfügung stellen – diese solltest du unbedingt zeitnah einspielen!

Problematisch wird das Update dort, wo der OS Hersteller keinen Patch mehr liefert, einige Nutzer von Android Handies werden hier feststellen, dass ihre Geräte nicht mehr mit Updates versorgt werden. In diesem Fall hilft nur ‚Augen zu und durch‘ oder der Wechsel auf eine andere Hardware.

Windows:

Gepatcht in KB4056890

Wichtiger Hinweise:

Bitte beachte, dass dieser Patch in gewissen Umgebungen nicht angeboten wird! Du erhalst das Update nur dann angezeigt, wenn deine Anti-Virus Software den ‚ALLOW REGKEY‘ gesetzt hat. Im Zweifel kontaktiere den Anbieter deiner Anti Virus Lösung!

Apple:

Gepatcht in iOS 11.2, macOX 10.13.2 und tvOS 11.2 – die Apple Watch ist nicht betroffen

Firefox:

Gepatcht in Version 57.0.4

Linux:

Informationen zu KAISER – Patche sind Distributions und Kernel abhängig, teilweise schon verfügbar.

Weitere Informationen:

 

Update 5.1.18: Neue Vendor Informationen und Links

Weiterlesen

GMX – sehr freche Aktion gegen Ad-Blocker

Wenn man die Webseite von GMX (mit Chrome) besucht, dann wird oben eine Warnung im typischen Chrome Design eingeblendet:

GMX: Die Sicherheit der Seite wird durch ein Chrome Add-on eingeschränkt.

frech1Wenn man dann, vielleicht weil man sich erschreckt hat, und es ja um Sicherheit geht, auf den ‚Sicherheit wieder herstellen‘ Button klickt, dann wird man auf die Webseite www.browsersicherheit.info geleitet. Hier erfährt man dann, dass

Bestimmte Erweiterungen und Add-ons können in Ihrem Browser eine Web-Seite nachträglich verändern. Diese seitenmanipulierenden Add-ons stellen ein erhebliches Sicherheitsrisiko für Sie dar!

Soweit so gut, ist ja was wahres dran, daher erhält man auch den folgenden Rat:

Sie sollten daher zu Ihrer eigenen Sicherheit alle seitenmanipulierenden Erweiterungen deinstallieren.

Praktischerweise gibt es auch eine Anleitung zum deinstallieren von Add-ons – wieder im typischen Chrome Design. Klickt man den Button an, dann erfährt man, worum es hier tatsächtlich geht, in erster Linie darum, dass die Anwender einen Adblocker installiert haben.

frech2

Klar, das schmeckt GMX nicht – aber das ist kein Grund es de Scare Ware gleich zu tun und die Nutzer – im Übrigen auch die Zahlenden – zu verunsichern. Das einzig Nette ist, dass auch vor anderen Add-ons gewarnt wird, aber das sicher nur deswegen um es nicht zu blöd aussehen zu lassen. In der Deinstallationsanleitung wird dann auch wieder explizit ein Add Blocker deinstalliert…

Und schon gar nicht dadurch, dass man die Chrome Warnung kopiert. Ziemlich mieser Zug GMX!

Die Domain ist übrigens auf 1&1 registriert, also wird es vermutlich noch andere Seiten geben, welche hier hin verweisen. Ebenso werden auch andere Browser genannt, also gehe ich mal davon aus, dass auch hier gegen die Adblocker vorgegangen werden soll.

 

Weiterlesen

Sourceforge turns evil – DICKE Warnung!

Bei SourceForge.net kann man als Entwickler seine Open Source Projekte zum Download anbieten. SourceForge (SF) ist eine Platform welche schon seit Jahren einen festen Platz in der Open Source Szene hat.

Jetzt hat SF offensichtlich einen neuen Eigentümer und diese versucht die Akzeptanz von SF zum Geld machen zu nutzen. Geld verdienen ist ja eine legitime Art und Weise seine Brötchen zu bezahlen – aber dieses mittels Junkware, Malware und der allseits gehassten Ask.Com Toolbar zu machen – und dann auch noch als Drive-By Download – das geht gar nicht.

Offensichtlich hat man den Entwicklern sogar angeboten einen Teil des Kuchens abzukriegen (Quelle: LWN) und einige scheinen angebissen zu haben.

Ihr solltet also doppelt vorsichtig sein wenn ihr etwas von SF herunter ladet, ein gutes Beispiel ist hier FileZilla – ein toller Open Source (s)FTP Client – der sehr häufig genutzt wird – kommt nun mit Gratis Hotshield Scareware Adverseuchtem ‚Browser Securtiy‘ Feature: NEIN DANKE!

Wer es ausprobieren möchte geht auf sourceforge.net (ich linke das jetzt absichtlich nicht) und lädt dort Filezille (FileZilla_3.7.2_win32-setup.exe)

FileZilla - Free Communications software downloads at SourceForge.net

 

Tatsächlich erhält man dann eine ‚SFInstaller_SFFZ_filezilla_8979715_.exe‘ mit den oben erwähnten ‚Zusatzfunktionen‘

Was auf der Download Seite auffällt, es wird kein Mirror mehr angezeigt:

Download FileZilla from SourceForge.net

 

Möglicherweise eine gute Erkennungsmöglichkeit für die verseuchten Downloads.

Also – gut aufpassen was ihr runterladet?

Update:

Hier kriegt ihr einen unverseuchten Download: Filezilla

Update 2:

Der Entwickler von Filezilla ist sich der Installation zumindest bewußt und nimmt das in Kauf (Filezilla Forum) – vermutlich wegen dem Geld was er damit verdient.
Ganz klar, Geld verdienen mit einem solchen Projekt ist mehr als gut zu verstehen – aber ich möchte vermuten, dass man sich mit diesem Weg keine Freude einhandelt.

Weiterlesen

Neue ioSafe Hardware – Solo G3

Datensicherheit ist und bleibt ein wichtiges Thema, was passiert mit deinen Daten, digitalen Familienfotos und wichtigen Krempel im Fall einer Katastrophe wie Feuer oder Überschwemmung. Selbst Löschwasser ist nicht wirklich der beste Freund deines Computers.

Die Firma ioSafe stellt jetzt eine neue externe Festplatte vor – die Solo G3. Dabei handelt es sich um ein externes Gehäuse welches eine Fest-Platte bis zu 3TB aufnimmt und diese Lüfterlos und sicher per USB als ‘Black Box’ zur Verfügung stellt.

thingybobiosafe-solo-g3-1

Sieht nicht nur schick aus, sondern bringt auch folgende Spezialfähigkeiten mit:

 

Feuerfest
bis 840 °C für bis zu einer halben Stunde

 

Wasserdicht
bis zu 72 Stunden

Es gibt auch noch eine erweiterte Garantie (No-Hassle), eine einmalige – keine Fragen – Daten Wiederherstellung sowie Diebstahlsicherungen wie einen Kensington Lock Slot (man darf aber sein eigenes Lock kaufen!).

Im Paket enthalten ist auch eine Lizenz für Genie Timeline Pro Backup Software eine ziemlich gute Backup Software mit Near Continous Protection. Macht dann auch Sinn wenn man so eine externe Festplatte nutzt.

Derzeit ist die Solo G3 leider nur in den USA zu haben, aber es kann eigentlich nicht lange dauern bis das teil auch in unseren Gefilden zu haben ist. Der Preis mit 1TB liegt in den Staaten bei 299.- USD – und das ist mal nicht wirklich viel.

ioSafe | Solo G3 | Genie Timeline | ioSafe Shop

Weiterlesen

Datenklau bei Ashampoo

Gerade erreicht mich eine Mail von Ashampoo in dem ich – als Kunde – über einen Einbruch in die Systeme des Software Herstellers informiert werde.

Laut dem Newsletter und der veröffentlichten Erklärung hat es einen Datenklau gegeben. Dabei sind Adressdaten (wie Name und e-Mail Adressen) entwendet worden. Zahlungsdetails (Kreditkartendaten) sind wohl nicht betroffen da diese nicht bei Ashampoo direkt gespeichert sind.

Zahlungsinformationen (z.B. Kreditkarten-Informationen oder Bankdaten) sind definitiv nicht betroffen, da wir diese Daten von unseren Shop-Dienstleistern nicht auf unseren Systemen vorhalten.

Wie der Einbruch statt gefunden hat ist nicht weiter ausgeführt, was auch verständlich ist. Ashampoo gibt noch einige Tipps wie man sich schützen kann, scheint ja nur nicht immer zu klappen :)

Ich behaupte mal Ashampoo hat noch mehr Informationen, anders kann ich mir den Hinweis auf PurelyGadgets Bestellungen und die Warnung vor Phishing Mails nicht deuten. Trotzdem auch hier nochmal die Warnung vor PurelyGadgets, das Unternehmen ist alles andere als seriös und  wird mit solchem Datenklau des Öfteren in Verbindung gebracht.

Positiv ist, dass Ashampoo offen damit umgeht, wir lernen daraus mal wieder wie wichtig Firewall und Freund sind.

Weiterlesen
Menü schließen