Meltdown & Spectre Sammelthread

[Korfox]

@amar7: Das Problem der Virenscanner ist ein strukturelles. Das Problem fängt damit an, daß man immer hinter dem Status Quo hinterher hinkt.

Unabhängig davon, dass ich ähnlicher Meinung bin, wie du, was Virenscanner betrifft sollte man nicht die Verhaltenserkennung vergessen.
Das nützt unter Android jedoch alles nichts, da Virenscanner hier keine Systemrechte bekommen. Somit sind auch Angriffe, die jenseits des Userlands laufen, nicht erkennbar.
Da die fehlenden Rechte auch dafür sorgen, dass der Virenscanner nicht in die Speicherbereiche anderer Prozesse schauen kann, kann dieser in Echtzeit eigentlich nur sich selbst prüfen, was ihn obsolet macht, da seine einzige Funktion ist, dafür zu sorgen, sich selbst vor Angriffen zu schützen.
Weiterhin kann ein Virenscanner unter Android halt Dateien scannen, auf die der Benutzer Zugriff hat. Auch nicht unbedingt der vielversprechendste Ansatz.

Die 1. und 2. Schwäche könnten Virenscanner jedoch unter Ausnutzung von Meltdown (für Systemprozesse) und Spectre (für User-Prozesse) korrigieren... (Ja, I

Wenn ich von FW rede, meine ich die, die den eingehenden Verkehr (inbound) untersuchen und ggf. blockieren. Mittlerweile übernehmen sie auch den ausgehenden Verkehr (outbound), was aber nicht die originäre Aufgabe einer FW ist.

Originäre Aufgabe einer FW ist es, eine DMZ zu schaffen, um internen und externen Netzwerkverkehr voneinander zu trennen, und nicht irgendwas zu scannen. Daher ist eine Desktop-FW keine FW im eigentlichen Sinne (selbst, wenn sie entsprechend Netzwerkkarten und -bereiche emuliert sind die Systeme nicht wirklich streng getrennt). Ansonsten haben Desktop-FWs natürlich das selbe Problem, wie Virenscanner: Werden sie direkt angegriffen zeigen sie dir auch nicht mehr zwingend, dass ein Prozess Daten sendet/empfängt.

Es ist bisher nicht belegt, dass ARM CPU's von Meltdown überhaupt betroffen sind!

Ich jab mal bei mir fünf Android Geräte überprüft, keins davon ist von Spectre betroffen.

Eigentlich sollten von Spectre sämtliche CPUs betroffen sein, die präemtiv Code ausführen.

Der Sicherheitspatch-Stand vom 2.1.2018 schließt laut Google die Sicherheitslücke für Meltdown - hierfür werden Kernel- und User-Speicherbereiche streng voneinander getrennt, wodurch die durch die News geisternden Performance-Einbrüche zustande kommen. Auf dem Smartphone dürfte die Performance - wenn überhaupt - unmerklich nachgeben, da hier keine Anwendungen laufen, die so massiv davon profitieren, dass sehr flexibel zwischen Speicherbereichen geswitched werden kann und Kernel-Code präemptiv ausgeführt wird.

Für Spectre gibt es meines Wissens noch garkeinen Patch. Hiervon sollten, wie oben geschrieben, alle Prozessoren betroffen sein, die Code auf Gut-Glück ausführen.

Darüber, ob das ganze bisher nur ein Labor-Angriff ist, oder ob es in den letzten 22 Jahren irgendwo mal angewandt wurde, kann man garnichts sagen. Allerdings muss der Angreifer meines Wissens den Anwender wohl dazu verleiten, lokal Code auszuführen (oder eben remote oder physikalisch Zugriff auf das angegriffene Gerät haben).

EDIT:
@moidept - lennartware ist meines Erachtens definitiv jemand, dessen Einschätzungen und Ideen man im Bereich IT-Sicherheit folgen kann.

 

[rudolf]

Eigentlich sollten von Spectre sämtliche CPUs betroffen sein, die präemtiv Code ausführen.

Es bringt nichts hier mit Spekulationen anzutreten. Hast du dir denn den Artikel von ARM Developer durchgelesen? Hast du dem etwas begründetes engegenzusetzen? Oder sind wir für dich eigentlich alle sowieso Opfer?

Der Sicherheitspatch-Stand vom 2.1.2018 schließt laut Google die Sicherheitslücke für Meltdown ...

Für Intel. Die meisten von uns haben ARM.
[doublepost=1515145804,1515145150][/doublepost]

Für Spectre gibt es meines Wissens noch garkeinen Patch.

Auch da hilft lesen:
GitHub - hannob/meltdownspectre-patches: Summary of the patch status for Meltdown / Spectre
Google Online Security Blog: Today's CPU vulnerability: what you need to know

 

[Korfox]

Eigentlich sollten von Spectre sämtliche CPUs betroffen sein, die präemtiv Code ausführen.

Es bringt nichts hier mit Spekulationen anzutreten. Hast du dir denn den Artikel von ARM Developer durchgelesen? Hast du dem etwas begründetes engegenzusetzen? Oder sind wir für dich eigentlich alle sowieso Opfer?

Wenn du mir das Lesen nahelegst, dann schlage ich vor, dass du selbst auch damit anfängst.
ARM kommuniziert sehr transparent, welche Prozessoren in welcher Form von welcher Sicherheitslücke betroffen sind:
Arm Processor Security Update – Arm Developer

Der Sicherheitspatch-Stand vom 2.1.2018 schließt laut Google die Sicherheitslücke für Meltdown ...

Für Intel. Die meisten von uns haben ARM.

Um auch das zu korrigieren:
Der Patchstand 5.1.2018 schließt die Lücke für ARM und x86. Die Tatsache wurde mit Datum zum 2.1.2018 kommuniziert:
Android Security Bulletin—January 2018 | Android Open Source Project

Für Spectre gibt es meines Wissens noch garkeinen Patch.

Auch da hilft lesen:
GitHub - hannob/meltdownspectre-patches: Summary of the patch status for Meltdown / Spectre
Google Online Security Blog: Today's CPU vulnerability: what you need to know

Und auch hier: Der LLVM-Patch schließt die Spectre-Lücke teilweise.

There are patches against Meltdown for Linux ( KPTI (formerly KAISER)), Windows, and OS X. There is also work to harden software against future exploitation of Spectre, respectively to patch software after exploitation through Spectre ( LLVM patch).

Sprich: Spectre kann wahrscheinlich nicht zentral gepatched werden.

Und um deine initiale Frage zu beantworten:
Leute, die sich so aufführen, wie du, sind Opfer. Ja.

EDIT: Es geistern seit kurzem Meldungen herum, dass Spectre potentiell per BIOS-Update fixbar ist... 1. Ist das noch nicht gesichert, 2. konnte ich das um 6 Uhr morgens noch nicht wissen, da es da noch nicht aktuell war.

 

[.mo]

Weiß jemand, woher die Namen Meltdown und Spectre kommen?

Meltdown, weil die Trennung zwischen Betriebssystem und Programmen dahinschmilzt. https://meltdownattack.com/meltdown.pdf

Danke.

Hier gibt es weitere Infos zur Thematik: Meltdown and Spectre

Why is it called Meltdown?

The bug basically melts security boundaries which are normally enforced by the hardware.

Why is it called Spectre?

The name is based on the root cause, speculative execution. As it is not easy to fix, it will haunt us for quite some time.

 

[Rosa Elefant]

Das Ekelhafteste, was mir bei "Meltdown" und "Spectre" (außer diesem perversen Abfeiern von argen Problemen mit bunten Logos und griffigen Namen) auffällt, ist, dass Intel mittels eines Embargos selektiv entscheidet, welches Betriebssystem gesichert werden darf und welches nicht. Apple, Microsoft und die Linuxkernelleute haben Infos bekommen, der Rest muss leider warten.

GASMOP, Intel.

 

[Korfox]

Wieso entscheided das Intel mittels Embargo?
AMD und ARM wissen genauso seit Juni 2017 über die Schwachstellen bescheid und alle sitzen in einem Boot.

 

[Rosa Elefant]

Das musst du Intel fragen.

 

[rudolf]

Wenn du mir das Lesen nahelegst, dann schlage ich vor, dass du selbst auch damit anfängst.

Ich weiss nicht was mit dir nicht stimmt. Ich hab dir gesagt du sollst mal das lesen was in Post#4 von diesen Thread verlinkt wurde, und worauf ich mich dann in meinen Posts bezogen hab. Und jetzt postest du in #23 den selben link, und sagst ich soll den lesen??? Woher hab ich wohl die Liste der betroffenen ARM Prozessoren? Sortier bitte dei Gadanken und poste dann weiter.
[doublepost=1515187085,1515186380][/doublepost]

Hier gibt es weitere Infos zur Thematik:

Vergleich mal dein Posting #24 mit meinem #19. Liest ihr noch oder schreibt ihr nur?

 

[moidept]

OT On
Streitet euch doch nicht, bitte Immer schön sachlich bleiben. (auch wenn es mal schwer Fällt)
Zur Erinnerung siehe : Wichtig - Bitte lesen: Android-Hilfe.de Forenregeln / Verhaltenstipps für Mitglieder
OT Off

 

[3Stein]

Ich möchte hier niemanden verunsichern, jedoch Meltdown ist nicht das Problem von ARM Prozessoren. Da hier mit einer Intel-Spezifikation gearbeitet wird. Spectre betrifft sehr wohl ARM Prozessoren und davon sind fast alle betroffen.

Für beide Architekturen kann man jedoch sagen. Je älter und einfacher (kostengünstig) die Prozessoren, je unwahrscheinlicher die Anfälligkeit. Das mag verwirrend klingen ist jedoch sehr logisch.

Beide Angriffstypen Meltdown oder auch Spectre haben ein ähnliches Ergebnis, auch wenn sie vollkommen unterschiedlich arbeiten. Für Interessierte ganz einfach. Beide spekulieren. Nichts anderes. Es wird hierbei nur zu Problem wenn die Spekulation zutrifft. Ich will es ganz banal und vollständig vereinfacht ausdrücken. Das ist wie bei einem Bankautomaten und einer gestohlenen Kreditkarte. Karte rein und spekulativ eine Nummer eintippen. Nach 3 Fehlversuchen hat der Besitzer Glück gehabt, jedoch wehe die spekulative Pin ist die richtige.

Ein banaler Vergleich beider Vorgehensweisen in Bezug auf die Bankkarte. Der Spectre kann nur direkt am Bankautomaten arbeiten, Meltdown geht jedoch über Kassenterminals in Geschäften, Supermärkten.

Zusammengefasst. Nur weil Meltdown nicht bei ARM Prozessoren funktioniert heißt das noch lange nicht, dass man vor Spectre sicher ist.

Zum Schluss. Nichts hören von Schäden durch Spectre heißt noch lange nicht dass es schon genutzt wird. Merken wird man es erst wenn man betroffen ist und es nur Spectre gewesen sein kann. Da hier jedoch keine Antivirenprogramme helfen, bleiben nur die Prozessoren-Hersteller oder Betriebssystemhersteller.

Und nebenbei. Diese Lücken sind so brutal und brandgefährlich. Kriminelle werden sie nutzen. Mag sein das Android 8.0 ein Update erhält, vielleicht ja auch noch einige Android 7 Geräte, jedoch was ist mit 6 oder 5 etc? Was ist mit den ganzen Tablets die jetzt noch mit Android 6 verkauft werden oder mit Android 7, die jedoch nie durch Hersteller oder Provider ein Update erhalten!

Beispiel das Yoga TAB 3 Plus wird noch immer mit Android 6 ausgeliefert und bekommt keine Updates….

 

[Igorrius]

Falls wir auf unseren smartphones doch eine wirksame firewall installieren möchten, hilft vielleicht dieser Link weiter: NetGuard Firewall – Android unter Kontrolle Teil4
Eine wirklich interessante Artikelserie, von 2014 bis praktisch in die heutige Zeit, mit upgedateten Beispielen.

 

[Rosa Elefant]

Eine Firewall kann p.d. nur dann wirksam sein, wenn sie nicht auf dem zu schützenden Gerät installiert wird.

 

[Korfox]

Das Prinzip einer Firewall ist es, eine Demilitarisierte Zone (ja, so nennt es sich) DMZ zwischen Internet und lokalem Netzwerk zu schaffen.

Was sich gemeinhin Desktop-Firewall schimpft ist ein simpler Paketfilter und kämpft mit den selben Herausforderungen, wie ein Virenscanner: Entweder, er hat keine Systemrechte (siehe Android) und kann somit nicht alles überwachen, was es wert ist, überwacht zu werden, oder er hat Systemrechte und bietet damit einem Angreifer, der den Virenscanner/die Firewall angreift die Möglichkeit, selbst Systemrechte zu erhalten bzw. zumindest die "Schutzsoftware" auszuhebeln.

 

[3Stein]

Den normal oder leicht fortgeschrittenen User möchte ich sehen der eine Firewall einrichtet. Das ist so als ob man versucht mit einer Tür aus einem Puppenhaus ein Scheunentür zu ersetzen. Die beste Firewall ist noch immer die, sich an die einfachen und banalen Sicherheitsregeln zu halten.

 

[Keks66]

Was da genau abläuft und passieren kann, ist mir viel zu hardware-nahe, ich verstehe nur Bahnhof Sehe auch ein, dass möglichst wenig Details über ein mögliches WIE veröffentlicht werden, aber ich frage mich doch schlicht: auf welche Welse kann man denn betroffen sein / ausgespäht werden? Schon durch den Besuch einer entsprechend präparierten Webseite, oder müßte man sich - mehr oder weniger freiwillig - ein Häppchen Software installieren, oder wie sonst? Weiß das wer?
Heißt unterm Strich: kann ich durch umsichtiges Verhalten zu mehr Sicherheit beitragen?

 

[rudolf]

Spectre betrifft sehr wohl ARM Prozessoren und davon sind fast alle betroffen.

:

Auch dir möchte ich empfehlen, den hier bereits mehrfach verlinkten Artikel:
Arm Processor Security Update – Arm Developer
zu lesen. Dort steht:
"The majority of Arm processors are not impacted by any variation of this side-channel speculation mechanism."
Ein drittes mal werde ich es nicht schreiben, liest doch wenigstens was die vor euch posten.

 

[Korfox]

Den normal oder leicht fortgeschrittenen User möchte ich sehen der eine Firewall einrichtet. Das ist so als ob man versucht mit einer Tür aus einem Puppenhaus ein Scheunentür zu ersetzen. Die beste Firewall ist noch immer die, sich an die einfachen und banalen Sicherheitsregeln zu halten.

Auch, wenn es ein bissl OT ist...
Es gibt nicht umsonst den Spruch: "Der Experte kann nicht zwingend mehr, als du, der Experte kann lediglich Google besser bedienen."... Das passt zwar nicht 100%, gehört aber definitiv dazu.
Wenn man sich mit dem Konzept einer Firewall auseinandersetzt, sowie ein Wenig mit Netzwerken, Switching, Bridging, NATting, IPs und Ports, dann hat man ja doch das meiste zusammen. Natürlich bietet der tolle Microsoft Server (der SBS damals hat das so gemacht, gibt es sowas, wie SBS noch? Bin da länger raus, aus der IT-Administraionswelt) die Möglichkeit, einen VPN-Tunnel von Außen direkt im Server zu terminieren... auch sowas untergräbt freilich eine ordentliche Firewall. Der VPN-Tunnel gehört in die DMZ.
Die meisten Heim-Router sollten zumindest rudimentär gewisse Firewallfunktionen in sich tragen (so trennen sie zwar nicht zwingend per DMZ aber doch zumindest durch NAT ja Internet von lokalem Netzwerk).

 

[3Stein]

Spectre betrifft sehr wohl ARM Prozessoren und davon sind fast alle betroffen.

:

Auch dir möchte ich empfehlen, den hier bereits mehrfach verlinkten Artikel:
Arm Processor Security Update – Arm Developer
zu lesen. Dort steht:
"The majority of Arm processors are not impacted by any variation of this side-channel speculation mechanism."
Ein drittes mal werde ich es nicht schreiben, liest doch wenigstens was die vor euch posten.

Oh ja, da kann man auch eine Liste von Intel oder AMD nehmen und schreiben das die meisten Prozessoren ja nicht betroffen sind. Ganz wichtig welche ARM Prozessoren sind denn betroffen. Cortex-R und Cortex-A.Die Typen sind dort aufgeführt und sie alle sind "branch target injection" (Variant 2) Also infizierbar.

Was wird denn in Tablets eingebaut! Cortex-A und Cortex-R! Aufgeführt sind:

Cortex-A72

• HiSilicon Kirin 950, 955
• Mediatek MT6797(T), MT8173(C), MT8176
• Qualcomm Snapdragon 650, 652, 653
• Rockchip RK3399
• Samsung Exynos 7650

Cortex –A73

• HiSilicon Kirin 970
• Mediatek MT6799

Cortex – A53 werden nur im Cluster mit Cortex- A57 verbaut der auch auf der Liste steht. Daher sind auch die Smartphones mit Cortex-A53 betroffen. Cortex- A57 wird auch alleine genutzt,

Cortex – A53

• Allwinner A64, H5
• Broadcom BCM2837
• HiSilicon Kirin 620, 650, 655, 658, 930, 935, 950, 955, 960
• Mediatek MT6732, MT6735, MT6750, MT6752, MT6753, MT6755, MT6757, MT6795, MT6797(T), MT6799, MT8165, MT8173(C), MT8176, MT8732, MT8735, MT8752
• Rockchip RK3368, RK3399
• Samsung Exynos 5433, 7420, 7570, 7578, 7580, 7870, 7880, 8890, 8895
• Qualcomm Snapdragon 410, 415, 420, 425, 430, 435, 610, 615, 616, 617, 625, 630, 650, 652, 808 und 810
• Xilinx Zynq UltraScale+ MPSoC

Cortex –A57

• Broadcom BCM5871X (communication processors)
• Samsung Exynos 5433
• Qualcomm Snapdragon 808 und 810

Nun haben wir eine kleine Übersicht betroffener ARM-Prozessoren für Smartphone und Tablets.

Feststellen werden wir das die absolute Masse der Smartphones und Tablets betroffen sind.

 

[wotan18m]

Oh OK also Galaxy S8 mit exynos auch betroffen.. hätte ich nicht gedacht... Aber naja.. Mal ne Frage auch wenns sicher irgendwo steht... Wie ist man infizierbar bzw wie würde ein Angriff aussehen? Auch von sehr weiter Entfernung? Oder nur im selben Netzwerk? Oder evtl nur wenn das Gerät in fremde Hände gerät?

 

[Rosa Elefant]

Jeder Benutzer auf dem eigenen Rechner - einschließlich dir selbst - hat mehr Rechte als notwendig. Zwar kann ich nicht einfach in "deine IP" einbrechen, aber ich wäre aktuell doppelt vorsichtig mit JavaScript - auch JavaScripts können über die Lücke einfach aus ihrer Sandbox ausbrechen und Dinge auf deinem Rechner anstellen. Sogar die in diesem Forum. (Noch ein Grund, niemals JavaScript zu erlauben...)

Außerdem schädlich: Virenschutzsoftware.