Seit einem Jahr befassen sich Sicherheitsforscher mit Spectre-Angriffen auf Hardwareebene. Nun kommen Google Sicherheitsforscher zum ernüchternden Ergebnis, dass es praktisch keine Möglichkeit gibt, diese Schwachstellen durch Patchen sicher zu schließen.
Anzeige
Meltdown und Spectre in 2018
Unter den Namen Meltdown und Spectre wurden ja zum Jahreswechsel 2018 Angriffsmethoden auf Hardwareebene (CPU) bekannt. Forscher, u.a. der TU-Graz, hatten Mechanismen entdeckt, um Angriffe auf eigentlich geschützte Speicherbereiche von Rechnern auszuführen und Informationen auszulesen. Der sogar per JavaScript ausführbare Spectre Seitenkanalangriff (Variante 1 und 2) durchbricht die Isolation zwischen verschiedenen Anwendungen. Dies ermöglicht es einem Angreifer, fehlerfreie Programme zu täuschen, damit sie ihre Daten preisgeben. Diese Sicherheitslücke besteht nach aktuellem Wissen auf allen CPUs.
In der Folge wurden weitere Varianten dieser Seitenkanalangriffe bekannt, die ebenfalls zum Abgreifen von Daten ausnutzbar waren. Es gab in 2019/2019 kaum einen Monat, in dem ich nicht über neue Spektre-Erkenntnisse berichten konnte (siehe Links am Artikelende).
Hektische Update-Bemühungen der Hersteller
Da die Schwachstellen ja auf CPU-Ebene existieren, ist deren Beseitigung erst in vielen Jahren, wenn überhaupt, zu erwarten. Die CPU- Betriebssystem- und Softwarehersteller versuchten dann mit Patches die Spectre-Schwachstellen zu schließen. Das endete Anfang 2018 im Desaster, wie nachfolgend verlinkte Blog-Beiträge zeigen. Entweder setzten BIOS-Updates Maschinen außer Kraft (siehe Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt). Oder die Microcode-Patches führten zu enormen Leistungseinbußen der Rechner.
Intel und einige Rechnerhersteller mussten BIOS-Updates mit Microcode-Patches zurückziehen. Unter Linux konnte man vermeintlich mit der von Google entwickelten Retpoline-Technik punkten. Auch Microsoft führte Retpoline im Kernel von Windows 10 Version 1903 ein (siehe Windows 10 19H1: Spectre V2-Schutz per Retpoline) und will diese Technologie auf Windows 10 V1809 zurück portieren.
Bisher keine Angriffe, aber Spectre ist nicht patchbar
Nun kommen wir zu einer guten und einer schlechten Nachricht. Die gute Nachricht: Bisher ist kein Angriff in der Praxis bekannt, der die Spectre-Schwachstellen praktisch ausnutzt. Und man kann nur hoffen, dass dies auch noch länger so bleibt. Denn die schlechte Nachricht kommt von Google Sicherheitsforschern. Ich bin vor einigen Tagen bei askwoody über eine Stellungnahmen des Google V8-Teams gestoßen. Diese befassen sich seit einem Jahr mit der Thematik und versuchen Gegenmaßnahmen zu entwickeln.
Die Kernbotschaft in dürren Worten: Softwareansätze zum Schließen der Spectre-Schwachstellen sind kein gangbarer Weg. Die Forschung an diesem Thema hat ergeben, dass es nicht möglich war, eine Software zur Abschwächung aller möglichen Spectre-Angriffsmethoden zu entwickeln. Dies ist auf eine Vielzahl von Gründen zurückzuführen.
- Erstens war der technische Aufwand zur Bekämpfung von Spectre unverhältnismäßig hoch im Verhältnis zu seiner Bedrohungslage. In V8 sind die Entwickler mit vielen anderen Sicherheitsbedrohungen konfrontiert, die viel schlimmer sind. Das reicht von direkten Out-of-Bound-Lesen aufgrund regelmäßiger Fehler (schneller und direkter als Spectre), Out-of-Bound-Schreiben (unmöglich mit Spectre und schlimmer) und potenzieller Remotecodeausführung (unmöglich mit Spectre und viel, viel schlimmer).
- Zweitens trugen die immer komplizierteren Methoden zur Abschwächungen der Spectre-Angriffe, die die Entwickler entworfen und implementiert haben, zu einer erheblichen Komplexität bei. Dabei wird eine technische Hypothek aufgebaut, die die Angriffsfläche und die 'Leistungskosten' erhöhen könnte.
- Drittens ist das Testen und Aufrechterhalten von Schutzmaßnahmen (von Google als Mitigations, Minderungen, bezeichnet) für mikroarchitektonische Lecks noch schwieriger als das Entwerfen von Gadgets selbst. Es ist schwer, sicherzustellen, dass die Schutzmaßnahmen weiterhin wie geplant funktionieren. Mindestens einmal wurden wichtige Schutzmaßnahmen durch spätere Compileroptimierungen effektiv rückgängig gemacht.
- Viertens haben die Entwickler festgestellt, dass eine wirksame Schutzmaßnahme (Minderung) vor einigen Varianten von Spectre, insbesondere der Variante 4, in der Software einfach nicht möglich ist. Selbst nach einer heroischen Anstrengung der Google Partner bei Apple, das Problem in ihrem JIT-Compiler zu bekämpfen, hat das nichts gebracht.
Bittere Erkenntnis: Ein Softwareschutz gegen Spectre ist eine Sackgasse, die nicht funktionieren wird. Die Hoffnung: Auch die Angreifer müssten Klippen umschiffen, um Spectre-Schwachstellen zum Informationsklau zu verwenden. Da gibt es aber einfachere Ansätze, die auch genutzt werden. Also läuft alles darauf hinaus, dass nach wie vor 'Die Trauben sind mir zu sauer, sprach der Fuchs, und lief weiter' gilt.
Ähnliche Artikel:
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Neue Intel Spectre CPU-Lücke: Angriffe mit BranchScope
Neue Spectre-NG-Sicherheitslücken in Intel CPUs
Chrome 67 mit Site Isolation als Spectre-Schutz
Details zu CPU-Sicherheitslücken Spectre V1.1 und V1.2
HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)
ETH Lausanne und IBM decken SmoTherSpectre-Hardware-Schwachstelle auf
Google und Microsoft enthüllen Spectre V4 CPU-Schwachstelle
Windows 10: Retpoline-Spectre 2-Schutz manuell aktivieren
Windows 10 19H1: Spectre V2-Schutz per Retpoline
Spectre-Lücken erlaubt Malware zu verstecken
Neue SplitSpectre-Methode, Windows Retpoline Spectre-Schutz
Microsoft aktualisiert Meltdown/Spectre-Schutzseite
Intel Microcode Boot Loader: Spectre-Schutz auf USB
Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen
NetSpectre: Zugriff auf den Arbeitsspeicher per Netzwerk
Sieben neue Spectre-Lücken in CPUs
Bald Angriffe über Meltdown und Spectre zu erwarten?
NAS: QNAP und Synology von Meltdown/Spectre betroffen
Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust
Red Hat wird Spectre-Patches rückgängig machen
Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt
Meltdown/Spectre: Warnung vor erstem Schadcode
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Test: Ist mein Browser durch Spectre angreifbar?
Bringen Meltdown/Spectre die Tech-Industrie ans wanken?
Kleiner Überblick über Meltdown und Spectre (für Normalos)
Meltdown/Spectre: Cloud-Anbieter suchen Intel-Alternativen
Vorsicht vor Spectre/Meltdown-Test InSpectre
Meltdown-/Spectre: Testtool-Übersicht
Anzeige
2015
"die immer komplizierteren Methoden zur Abschwächungen der Spectre-Angriffe…"
zu Abschwächungen / zur Abschwächung
—-
"Bisher ist kein Angriff in der Praxis bekannt, der die Spectre-Schwachstellen praktisch ausnutzt."
Das war aber von vornherein (+/-) klar, dass es in der Breite wohl kein so wirklich relevantes Drohpotential gibt, und wohl auch nie geben wird, weil die anzuwendende Materie, das dazu notwendige knowhow viel zu komplex ist. So ein Aufwand lohnte, wenn, nur für "Ziele" auf dem Niveau von zB. 'stuxnet'. Für ottoNormal also uninteressant.
auch wenn manche Presse-/blog-Mitteilung gern schonmal anderes zu suggerieren suchte.
;)
es fragt sich dann allerdings, ob das Gewese um updates wirklich notwendig war…
" 'Die Trauben sind mir zu sauer, sprach der Fuchs, und lief weiter'"
DAS ist die passende und richtig Antwort.
Man hat einen Fehler eingebaut, nicht bemerkt, kann ihn, ohne Austausch der Hardware nicht reparieren – dann lassen wir das.
"Bisher ist kein Angriff in der Praxis bekannt, der die Spectre-Schwachstellen praktisch ausnutzt." – wird es auch nie (da das System darunter das gar nicht mitbekommen KANN), mit einer Ausnahme: wenn der Bösewicht sich selbst verrät.
Daniel Gruß, einer der Wissenschaftler, die Meltdown & Spectre entdeckt haben, war bereits Anfang 2018 äußerst skeptisch, was Softwarelösungen bei Spectre betrifft. In einem interessanten Golem-Interview sagte Gruß: „Bei den Updates gegen Spectre sieht es anders aus. Da habe ich geringes Vertrauen in die Softwarelösungen. Die werden entweder mit einem großen Performance-Overhead kommen oder nicht sehr treffsicher sein. Außerdem wissen wir noch gar nicht, welche Varianten es gibt, also welche Kombinationen von Instruktionen ausgenutzt werden können, um Spectre-Angriffe zu starten. Auch hier sind die Covert Channels das Problem. Wir wissen nicht genau, welche Channels es genau gibt und welche ausgenutzt werden. Es ist sehr schwierig, auf Softwareebene eine zufriedenstellende Lösung zu schaffen." (Quelle: http s://glm.io/132224) Das scheint sich nun zu bestätigen.