Spectre und Meltdown verbreiten derzeit Angst und Schrecken

#Meltdown und #Spectre: Die Chronik eines CPU-Super-GAUs [Update]

[Update 12.1.2018] Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) hat auf seiner Webseite eine ernstzunehmende Pressemeldung veröffentlicht, in der es vor Trittbrettfahrern in Sachen Meltdown und Spectre warnt. Hintergrund sind SPAM-Mails, die wohl gerade massenhaft versendet werden. Inhalt dieser Nachricht, die vermeintlich vom BSI versendet werden: Man solle doch bitte das in der E-Mail verlinkte Sicherheitsupdate auf seinem Rechner installieren. Allerdings befindet sich hinter diesem Link genau das Gegenteil, nämlich eine Schadsoftware, die dem Absender Tür und Tor zum so infizierten Rechner eröffnen soll. Daher: Augen auf, das BSI versendet solch geartete E-Mails nicht!

[Update 12.1.2018] Der G DATA Security Blog hat mit Anders Gogh (einem der Entdecker von Meltdown und Spectre) ein interessantes Interview geführt. Darin erzählt er, wie er die CPU-Schwachstellen. entdeckt hat, nennt die Wahrscheinlichkeit eines ersten Malware-Angriffs auf betroffene Computersysteme, und und was sich Hacker von ihren Schadcode-Einschleusversuchen versprechen.

[Update 11.1.2018] Nachdem es ja am Anfang noch hieß, dass Betriebssystem-Updates und Microcode-Patches wohl kaum nennenswerte Auswirkungen auf die Prozessorleistung nach sich zögen, räumt Intel jetzt doch Einbußen bei der CPU-Performance ein. Von bis zu 10 Prozent ist die Rede, im Kontext von SSD-Speicher könnte es noch drastischer ausfallen. Nachzulesen ist das Ganze direkt bei Intel. Respekt für soviel Transparenz!

[/Update]

Wer erinnert sich nicht an den Pentium-FDIV-Bug, der Mitte der 90er Jahre für einen Riesenwirbel sorgte. So generierte der damals gerade erst am Markt eingeführte Intel-Prozessor unter ganz bestimmten Umständen einen Rundungsfehler. Einen Rundungsfehler! Und doch entpuppte sich das Ganze für Intel zum PR-Gau: Zunächst wurde darüber nicht geredet, später dann doch, aber nicht wirklich geschickt, am Schluss entschuldigte sich der damalige CEO, Andy Grove, bei allen Betroffenen und stellte 475 Millionen US-Dollar für ein groß angelegtes Austauschprogramm zur Verfügung.

Und heute? Da entdecken findige Leute zwei CPU-Schwachstellen, die sie „Meltdown“ und „Spectre“ nennen, die ein maßgebliches Sicherheitsrisiko für nahezu jeden aktuellen PC-Anwender darstellen. Und Intel? Macht erst einmal wieder nix. Zumindest soll der Chiphersteller von den CPU-Macken bereits im Juni 2017 in Kenntnis gesetzt worden sein. Und doch veröffentlicht Intel erst am 3. Januar 2018 eine Pressemeldung, in der das Unternehmen zugibt, auf die Prozessorfehler seitens externer Fachleute hingewiesen worden zu sein.

Mehr noch: Intel weist in dieser Pressemeldung die Schuld erst einmal von sich und erinnert daran, dass auch andere Prozessorhersteller offensichtlich Probleme haben. Obendrein werden falsche Medienberichte dafür verantwortlich gemacht, dass sich Intel quasi genötigt fühlte, die Prozessorprobleme offenkundig zu machen. Also, in Sachen Kommunikation hat der Chiphersteller wohl nicht viel dazu gelernt seit dem Pentium-Bug.

So funktionieren „Meltdown“ und „Spectre“

Doch was hat es mit „Meltdown“ und „Spectre“ genau auf sich? Nun, um im Intel-Duktus zu bleiben, sind die Anwender an diesen Bugs selber Schuld. Denn aufgrund ihrer Forderung, immer schnellere Prozessoren kaufen zu wollen, gelang Intel (und anderen Prozessorherstellern) ein Kunstgriff, der sich Out-of-Order-Execution nennt. Hierbei werden Befehle im Vorhinein ausgeführt, also quasi auf Halde, um die Verarbeitung der nächsten damit in Verbindung stehenden Befehle beschleunigen zu können. In diesem Kontext werden Daten z.B. in einer virtuellen, also nach außen hin nicht sichtbaren Seite des Cache-Speichers abgelegt. Spectre geht im Gegensatz zu Meltdown sogar noch einen Schritt weiter, indem er versucht, mithilfe eines bösartigen Javascript-Aufrufs innerhalb eines Webbrowsers die Daten auszuspionieren, die im Kennwortspeicher von Google Chrome und Co. vorhanden sind.

Und genau auf diese Daten könnten Hacker zugreifen, und das mithilfe eines geeigneten Programms, das die Schwachstellen der betreffenden Prozessoren ausnutzen. Damit können Kennwörter, Kreditkartendaten, etc. entwendet werden – und der Anwender bekommt davon nicht einmal etwas mit. Genauso wenig wie die aktuellen Antiviren-Programme, die offenkundig auf eine derartige Gefahrenlage nicht eingestellt sind.

Diese Maßnahmen sind erforderlich

Doch was kann dagegen getan werden? Nun, auf Seiten der Prozessorarchitektur muss dafür gesorgt werden, dass der Adressraum des Systemkernels und der physikalische Speicher nicht in den Adressraum des Prozesses abgebildet werden, falls sich der Prozessor um User-Modus befindet. Außerdem müssen beide Adressräume stets denselben Inhalt aufweisen, was den Prozessor ausbremsen könnte.

    Intel, ARM und AMD sind mehr oder weniger betroffen

    Doch welche Prozessoren sind im besonderen Maße von Spectre und Meltdown betroffen? Nun, die Frage sollte eher lauteten: Welche sind es nicht! Denn sämtliche Intel-Prozessoren, die nach 2008 gebaut und produziert wurden, weisen die genannten Lücken auf. Das betrifft sowohl die CPUs der Intel-Core-Reihe (Intel Core i3, i5 und i7) und die Intel Atom-Prozessoren der Serien C, E, A, x3 und Z sowie die Celeron- und Pentium-Reihen J und N. Außerdem sind betroffen: Intel Xeon 3400, 3600, 5500, 5600, 6500 und 7500 sowie die Xeon-Familien E3 (v1 bis v6), E5 (v1 bis v4), E7 (v1 bis v4). Auch anfällig sind Prozessoren der Serie Xeon Scalable und die Rechenkarten Xeon Phi 3200, 5200 und 7200.

    Aber auch viele ARM-Prozessoren der Cortex-Serie sind mögliches Ziel von Spectre und Meltdown. Diese Kleinst-CPUs stecken vor allem in Smartphones und Tablet-Computern. So hat Apple beispielsweise schon eingeräumt, dass sämtliche iPhone-Modelle den Prozessor-Bug aufweisen. Die Liste der unsicheren ARM-CPUs werden auf der zugehörigen ARM-Seite aufgelistet.

    AMD-Prozessoren hingegen sind aufgrund ihrer von Intel- und ARM-CPUs unterschiedlichen Technik nicht im selben Umfang von Spectre und Meltdown betroffen, jedoch nicht komplett unangreifbar.

    Updates sind oberste Anwenderpflicht

    Klar, aktuelle Software-Updates regelmäßig zu installieren, ist immer eine gute Idee, da kein System und keine Software frei von Fehlern ist. Doch im Falle von Spectre und Meltdown ist es oberste Anwenderpflicht, seine Gerätschaften auf den neuesten Stand zu bringen. Seitens der großen Hersteller und Anbieter von Betriebssystemen und Webbrowsern ist hierfür schon einiges geschehen.

    So hat Apple hat mit iOS 11.2.2 und macOS 10.13.2 zwei Versionen ihrer Betriebssysteme zum Download freigegeben, die die möglichen Gefahrenquelle möglichst vollständig einschränken sollen. Zudem rät Apple, Software für Mac, iPhone und Co. nur aus vertraueneswürdigen Softwarequellen wie dem App Store zu installieren. Denn für die Angriffsszenarien „Meltdown“ sind bösartige Anwendungen und Apps erforderlich, die nicht in den Apple Appstore gelangen können.

    Microsoft fährt eine zweigleisige Update-Strategie. Für Windows-10-Rechner gibt es bereits die notwendigen Updates, die entweder automatisch eingespielt werden oder bei Bedarf über die Microsoft-Update-Katalogseite installiert werden können. Rechner mit Windows 7 und Windows 8.1 hingegen werden erst am regulären Patchday auf einen sicheren Stand gebracht, der auf den 16. Januar 2018 fällt.

    Google hat die Schwachstellen ebenfalls entfernt, und das mit dem Januar-Sicherheitspatch für Android. Dies betrifft zunächst nur die Smartphones aus der Google-eigenen Pixel- und Nexus-Serie. Wann und ob alle anderen Hersteller wie Samsung oder LG nachziehen, ist derzeit nicht bekannt.

    Webbrowser sind noch nicht komplett geschützt

    Seitens der Browser-Anbieter stehen erste Patches bereit, so wie beispielsweise für den Mozilla Firefox-Browser mit der Version 57.0.4. Google Chrome-Anwendern wird bis zu einem sicheren Update empfohlen, die Option „Website-Isolierung“ zu aktivieren. Dazu muss man in die Adressleiste des Chrome-Browsers die Kommandozeile chrome://flags/#enable-site-per-process eingeben und hinter „Strict site isolation“ auf den Button „Aktivieren“ klicken.

    schutz-vor-spectre-und-meltdown-im-google-chrome-browser

    Microsoft hat ebenfalls bereits einen einen Patch für seine Browser Edge und Internet Explorer veröffentlicht. Apple arbeitet laut eigener Aussage an einem Update für ihren Safari-Browser.

    Und was macht Intel?

    Nun, der Prozessorhersteller hat angekündigt, bis Mitte Januar 2018 90 Prozent seiner Prozessoren der letzten fünf Jahre mithilfe geeigneter Patches gegen Spectre und Meltdown absichern zu wollen. Was mit den CPUs geschieht, die vor 2012 produziert wurden, ist derzeit leider nicht klar.

    Nehmen Sie mit mir einfach Kontakt auf

    Hat Ihnen der Beitrag gefallen? Haben Sie Fragen zum Bloggen? Benötigen Sie Blog-Support? Dann nehmen Sie am besten noch heute Kontakt mit mir auf.

    [pirate_forms]

    Wearable Technologies Conference 2014 Europe – Teil 3 [Upd]

    wearable technologies logoGestern und vorgestern fand in München die Wearable Technologies Conference 2014 Europe statt (WTC14) statt, und ich durfte dabei sein. Daher folgt heute der dritte Teil meiner Nachbetrachtung. Teil 1 und Teil 2 sind ja bereits online.

    Los ging’s mit einer Keynote von Dr. Isabel Pedersen, die an der Uni von Ontario ihrer Arbeit nachgeht und ein Buch mit dem Titel „Ready to Wear: A Rhetoric of Wearable Computers and Reality-Shifting Media“ geschrieben hat. Was ich aus ihrem Vortrag mitgenommen habe? Nun, dass sich vor allem die Realität von der Fiktion inspirieren lässt und dass The Poma ihrer Zeit deutlich voraus war.

    Anschließend betrat Neil Cox von Intel die Bühne, der gerade dabei ist, im Münchner Büro das Thema Wearable Devices und Internet of Things in ganz Europa voranzubringen.

    Hierfür sind laut Cox vor allem drei Dinge notwendig: Intelligente Geräte (die es ja schon gibt), intelligente Systeme, mit deren Hilfe die intelligenten Geräte sich syncen und Daten austauschen können und natürlich eine ausführliche Datenanalyse, ohne die das alles nichts wert ist.

    Intel sieht sich für die Anforderungen dieses kündigen Boom-Marktes bestens gerüstet: Sei es dank zahlreicher Hardware- und Software-Lösungen…

    … oder mithilfe neuer Gadgets, die Intel mit seinen Partnern in naher Zukunft auf den Markt bringen wird.

    Und dass Intel das Thema Wearable Devices sehr ernst nimmt, lässt sich gut an dem Wettbewerb erkennen, den der Chip-Hersteller ausgerufen hat. Er nennt sich Make it wearable und wird ab Sommer diesen Jahres bis zu 1,3 Millionen US-Dollar an Preisgeldern ausschütten. Einzige Voraussetzung: Gute Ideen und eine Menge Enthusiasmus.

    Aber auch der Beitrag von Tim Moore war sehr erhellend. Tim vertrat die Firma Rochester Optical, die dabei ist, sich des Themas „Smart Glasses“ anzunehmen. Daher ist es wenig erstaunlich, dass Mister Moore sehr stolz und enthusiastisch verkündete, dass seine Firma ab sofort eine Lösung anbietet, mit deren Hilfe Brillenträger wie ich auch in den Genuss von Google Glass kommen.

    Vormittags und nachmittags habe ich noch das ein oder andere Videointerview geführt. Die gehen auf Youtube und auf diesem Blog online, sobald ich sie geschnitten und getextet habe. So, stay tuned…

    Update: Das Videointerview mit Thomas Fickert von DEXPERIO ist geschnitten und auf Youtube…

    [youtube https://www.youtube.com/watch?v=Z9jUoxLHGNs]

    Infografik: Intel ist einer der Verlierer der Post PC Ära

    Da blutet mein Herz schon etwas, wenn ich mir die aktuellen Intel-Zahlen angucke, was vor allem mit der Korrelation „PC-Verkäufe vs. Gewinn“ zu tun hat. Denn als ehemaliger Intel-Mann muss ich leider konstatieren, dass der Chiphersteller vor allem den mobilen Trend komplett verschlafen hat und einer der Verlierer der Post PC Ära ist. Anders ist die Talfahrt in Sachen Gewinn nicht zu erklären.

    Klar, in absoluten Zahlen meldete Santa Clara zwar einen Nettogewinn von zwei Milliarden US-Dollar, relativ betrachtet ist das aber ein Verlust von etwa 25 Prozent im Vergleich zum Vorjahr. Und sieht man sich die rückläufigen PC-Verkäufe dazu an, wird auch klar, warum Intel so sehr darunter leidet: Desktop- und Notebook-Prozessoren werden immer seltener in neue Maschinen eingebaut, da mehr und mehr Anwender auf Tablets und Smartphones umsteigen. Und die werden (immer noch) vorwiegend mit ARM-Prozessoren bestückt.

    Da hilft natürlich auch nicht die schleppende Marktdurchdringung von Windows 8. Allerdings ist es einfach zu behaupten, das neue Betriebssystem von Microsoft sei an dem PC-Verkaufsdesaster Schuld. So einfach können es sich IDC und Konsorten einfach nicht machen.

    Die gute Nachricht liefert Intel selbst: Ende des Jahres soll der neue Mobile-Prozessor entwicklung-des-weltweiten-pc-absatzes-und-gewinns-von-intel ausgeliefert werden, und dank fallender Touch-Panel-Preise könnten dann Tablet-PCs mit x86-CPUs und Windows 8 auf den Markt kommen, die deutlich günstiger sein werden als die aktuellen Tablet-Geräte. Und in Sachen Smartphones hat Intel ebenfalls einiges im Köcher.

    entwicklung-des-weltweiten-pc-absatzes-und-gewinns-von-intel
    Mehr Statistiken finden Sie bei Statista

    Tweetup in Berlin: Mobile Gadgets, Mobile Apps, MeeGo und Co.

    Wie der aufmerksame Leser und Besucher des IT-techBlog bestimmt schon weiß, veranstalten wir gemeinsam mit Intel am kommenden Samstag, 4. September, einen Entwicklertag, der in der Berliner Homebase Lounge von 12:00 bis etwa 22:00 Uhr stattfindet. Und psst, es gibt noch ein paar freie Plätze; anmelden könnt ihr euch über die zugehörige Facebook-Seite oder direkt per Mail bei mir.

    Da wir wissen, dass am Vorabend auch schon ein paar Leute in Berlin weilen werden, die sich mit dem Thema Mobile Gadgets, Mobile Apps und anderen tragbaren Dingen beschäftigen, veranstalten wir am Freitag, den 3. September ab 19:00 ein lockeres Beisammensein (ein sogenanntes Tweetup).

    Falls euch das interessiert oder ihr Leute kennt, die das interessieren könnte, solltet ihr (oder die) ins St. Oberholz kommen. Dieser Laden in Berlin Mitte (Rosenthaler Straße 72a) gilt wohl als ziemlich hip, bietet WLAN und die Getränke muss man sich sehr sponti-mäßig von der Bar selbst holen.

    Ich denke mal, ihr werdet euer Kommen nicht bereuen: Denn neben den netten Leuten von Intel, die dort zugegen sein werden, kommen unter anderem Steve „Chippy“ Paine von umpcportal.com, der wieder seine neuesten und coolsten Gadgets dabei haben wird und auch Sascha Pallenberg von netbooknews.de. Die Zwei alleine stehen schon für hohen Unterhaltungswert und Informationen pur. Zudem können die anwesenden Intel-Leute bestimmt viele Fragen rund um MeeGo, mobile Software-Entwicklung, den Intel App Store und vieles mehr beantworten.

    Also, wir würden uns wirklich freuen, wenn ihr am Freitag ab 19:00 Uhr zahlreich ins St. Oberholz kommt. Man sieht sich!

    Nachtrag zu Tweetup mit Josh Bancroft mit Bild

    DSC_0236, originally uploaded by umpcportal.com.

    Erst gestern habe ich ein paar Eindrücke und Informationen rund um das Tweetup mit Josh Bancroft von Intel veröffentlicht. Und heute nun entdecke ich dieses Bild von Josh (links) und mir (rechts). Wie ihr sehen könnt, war die Stimmung ziemlich gut und wir hatten eine Menge Spaß. Aber auch der interkulturelle Austausch kam nicht zu kurz.

    Leider kann man nicht so gut erkennen, dass Josh ein ziemlich witziges T-Shirt trägt, auf dem Flash Gordon und ein stilisierter Apfel zu sehen sind. Und, was könnte das wohl bedeuten?!

    Review: Tweetup in München mit Josh Bancroft von Intel

    Letzte Woche fand ja in München das Tweetup mit Josh Bancroft statt, und ich muss sagen, ich hab nicht unbedingt damit gerechnet, dass es so gut läuft (vor allem, weil die Vorbereitungszeit mit zwei Wochen doch recht knapp bemessen war). Falls ihr euch jetzt fragt, was ein Tweetup ist, versuch ich’s mal mit einer Definition:

    Auf einem Tweetup treffen sich Leute im echten Leben, die sich zuvor vorzugsweise über Twitter kennen.

    Oder so ähnlich. Aber, wie das Intel-Tweetup mit Josh gezeigt hat, gibt es natürlich auch Mischformen davon. Unser Tweetup hatte vor allem zwei Gesichtspunkte: Einerseits wollten wir Josh Bancroft zu Wort kommen lassen, da er das Thema Social Media aus Intel-Sicht sehr gut repräsentiert. Und andererseits wollten wir Social Media und Technik einander näher bringen und beweisen, dass Social Media ohne vernünftige Inhalte nicht funktioniert. Und das ist uns, wie ich finde, sehr gut gelungen.

    Einen wichtigen Anteil daran hatte auch Steve „Chippy“ Paine, der extra aus Bonn angereist war und einen Teil seiner Gadget-Sammlung dabei hatte, also aktuelle MID- und Netbook-Modelle. Auch dafür sind die Leute extra in den Hofbräukeller gekommen. Da hat es nicht mal gestört, dass zeitgleich Fußball auf der riesigen Leinwand gelaufen ist. Im Gegenteil…

    Alles in allem war es also ein gelungener Event, den wir bestimmt mal wiederholen werden. Und falls ihr Ideen oder Vorschläge für solch ein Tweetup habt, könnt ihr mir die gerne via Twitter zukommen lassen. Ich freu‘ mich drauf!

    Update: Vor dem Event hatte Josh noch die Gelegenheit, in Form eines Videointerviews für Internet World Business Online ein paar Fragen zum Thema Social Media & Intel zu beantworten. Das wollen wir euch natürlich nicht vorenthalten.

    [youtube https://www.youtube.com/watch?v=f11Rw0HY9no&hl=de_DE&fs=1]

    Und zum Schluss gibt es noch ein paar Tweets rund um den Event. Hieß ja schließlich Tweetup.

    SoftTalkBlog: Enjoyed last night’s tweet-up in Munich, with @mhuelskoetter, @jabancroft, @chippy, @TanjaGabler and more. Thanks everyone!

    heidischall: Nochmals vielen Dank an #Intel und @mhuelskoetter für das #Tweet-Up gestern. War ein interessanter und sehr netter Abend!

    Roland Riethmüller: Thanks to @mhuelskoetter @jabancroft and the intel-guys for the nice tweetup yesterday!

    Josh Bancroft: Had a wonderful time at the tweetup with @chippy, @mhuelskoetter, and more new faces than fit here. Thanks so much for coming!

    Ulrike: Attending #inteltup with lots of nice people including @jabancroft @mhuelskoetter @minzfrisch @heidischall

    As long as you don’t have good stories and good content Social Media isn’t worth it to run it. (@jabancroft)

    Balazs Gal: @chippy und @mhuelskoetter sind beim #intel #tweetup im Münchener Hofbräukeller. Tech Talk und Mobile Geräte im Biergarten. Wie toll!

    Tweetup mit Social-Media-Guru von Intel

    Seit etwa zwei Wochen sitze ich gemeinsam mit Intel an einer coolen Sache, die nun tatsächlich nächste Woche stattfinden wird. Es handelt sich dabei um ein Tweetup, auf dem es rund um die Themen Social Media und Mobile Technologies gehen wird.

    Hierzu haben wir im Hofbräukeller am Wiener Platz zu München einen großen Tisch reserviert, an dem sich hoffentlich möglichst viele Leute einfinden werden. Es wird keine Agenda und keine Präsentationen geben, sondern nur ein lockeres Beisammensein zum Thema „Social Media & Mobile Technologies“. Als „Special Guest“ wird der Social-Media-Guru von Intel, Josh Bancroft, aus Portland, Oregon nach München kommen, um mit allen Anwesenden und der Twitter-Gemeinde über seine Lieblingsthemen zu reden. Und wenn man seine Twitter-Kurzbio ansieht, ist das eine ganze Menge:

    Huge iPhone/iPad and web geek. Selfish, Obsessive, and Easily Distracted.

    Also, falls ihr an einem direkten Treffen mit Josh in München oder per Twitter interessiert sein solltet, kommt ihr entweder am 29. Juni ab 17:00 in den Hofbräukeller am Wienerplatz oder ihr klinkt euch ab fünf Uhr per Twitter in das Tweetup-Event ein. Da könnt ihr all eure Fragen zum Thema „Social Media & Mobile Technologies“ loswerden. Und das am besten auf Englisch, da Josh der deutschen Sprache nicht mächtig ist.

    Was für Fragen könnten das denn sein? Nun, die Möglichkeiten sind äußerst vielfältig:

    • What’s the meaning of Social Media for huge companies like Intel?
    • What are the big trends in Social Media?
    • How can small companies or software developers benefit from Social Media?
    • Where do we stand in five years regarding Social Media activities?
    • What is your most preferred iPad app?

    Na ja, und ein paar eigene Fragen werdet ihr ja bestimmt auch in petto haben!

    Und damit wir in etwa wissen, wie viele Leute kommen werden und wollen, wäre es ganz toll, wenn ihr uns entweder per Direktnachricht via Twitter oder per E-Mail mitteilt, ob ihr im Hofbräukeller dabei seid. Es wird auch freie Speisen und Getränke geben. Wir freuen uns auf euch!