Deutsch
English
Als Informatiker sind Sicherheitslücken Alltag, das perfekte Betriebssystem gibt es noch nicht- doch dieses Mal verschluckte ich fast meinen Tee, als ich die Nachrichten las. Dieses Problem war anders, hier ging es an die Wurzel aller Berechnungen, den Prozessor selbst. Und es war nicht nur ein Prozessor in den Schlagzeilen, sondern praktisch alle, ob sie nun in PCs, Handys oder den Servern weltweit eingebaut sind. Hier musste kein Browser einfach geflickt werden, es war schlicht kein Betriebssystem mehr sicher, kein Apple-Nutzer konnte über die notorische Windows-Unsicherheit lästern, alle waren gefährdet. Selbst wer keinen der genannten Prozessoren hatte, konnte sich nicht entspannt zurücklehnen. Die Server, die über unser aller Daten und Konten wachen, konnten ja ebenfalls betroffen sein. Was passiert ist und wie die Hersteller darauf reagierten, möchte ich Ihnen gerne schildern.
Alles begann mit einer guten Idee. Um Prozessoren schneller zu machen, sollten sie nicht nur das berechnen, was gerade anliegt, sondern praktisch schon vorausahnen bzw. vorbereiten, was bald von ihnen gefordert sein könnte. Was man in Fachkreisen „Speculative Execution" nennt und wo die Schwächen liegen, ist leicht erklärt: Stellen Sie sich Ihren Computer wie ein beliebtes Restaurant mit vielen Stammgästen vor. Das Restaurant kennt seine Kunden und weiß, dass bestimmte Gerichte immer wieder genommen werden und bereitet die Gerichte schon entsprechend vor. Sollten sich die Kunden anders entscheiden, müssen die Gerichte entsorgt werden, der Müllhaufen ist aber nicht ausreichend gesichert. Oder es nimmt eine Hilfskraft das Essen, die eigentlich nicht dazu berechtigt ist. Bevor der Koch das merkt, kann sie aber schon einen Blick auf das Essen werfen, bevor man es der Hilfskraft wieder wegnimmt. Die dritte Möglichkeit: Man bringt den Koch dazu, Gerichte auf Vorrat zu kochen, um sie vor dem Entsorgen einzusehen oder Rückschlüsse auf die Zubereitung zu ziehen. Ähnlich wie das Restaurant arbeitet Ihr Prozessor, denn er versucht schon vorzubereiten, welche Aufgaben anstehen könnten und lädt entsprechende Daten schon für möglichen Gebrauch. Dafür braucht der Prozessor natürlich auch sensible Daten: Passwörter, Verschlüsselungen, Ihre kompletten Eingaben, sie könnten ja gebraucht werden. Werden Sie nicht gebraucht, so verschiebt der Rechner diese Daten in den Müll. Meltdown und Spectre gelangen über Tricks, wie gerade beschrieben, an genau diese Daten.
Entstanden ist dieses Problem vor Jahrzehnten. Bei Rechnern, die nicht miteinander vernetzt sind und isoliert in Schränken stehen, muss der Abfallort auch nicht besonders geschützt werden – heute schon! Meltdown kann durch Updates recht leicht gestoppt werden, Spectre ist komplexer, aber auch für den Angreifer weitaus anspruchsvoller, er muss vorher schon viel über das angegriffene System wissen. Meltdown ist bislang nur bei Intel-Chips vorgekommen, Spectre betrifft fast alle Prozessoren. Beide haben gemeinsam, dass der Angreifer dafür Programmcode auf den Rechner schleusen muss, ob über den klassischen E-Mail-Anhang oder über Schadsoftware im Browser. Die Auswirkungen wären drastisch: Einer der Meltdown-Entdecker, Michael Schwarz von der TU Graz, meinte schlicht, man könne in diesem Fall halt alles mitlesen, was auf dem Rechner passiert oder eingetippt werde.
Intel, AMD und ARM wussten schon mindestens ein halbes Jahr lang von den Sicherheitslücken, was vielleicht auch den Intel-Chef Brian Krzanich inspirierte, im November alle Aktien und Optionen seiner Firma zu verkaufen, derer er habhaft werden konnte! Auch Informationen über Gefahren oder schlicht betroffene Prozessoren kamen eher zögerlich und beschwichtigend. Je intensiver aber geforscht wird, desto mehr Hersteller stehen auf der schwarzen Liste. Branchen-Primus Intel war nur der Anfang, Qualcomm als Gigant im Bereich mobiler Geräte ist ebenso dabei, wie auch fast alle Smartphones und Tablets, die Technologien vom Chip-Designer ARM nutzen. AMD ist lt. eigener Aussage kaum betroffen (was einige Forscher bezweifeln), Updates gibt es aber auch für diese Systeme. Überschlägt man kurz die Summer der betroffenen Produkte, kommen schnell Milliarden Geräte zusammen. Die Sicherheitslücke besteht offensichtlich seit 1995 und wurde seitdem, trotz aller Neuentwicklungen, unverändert eingebaut.
Es bleibt vieles unklar, auch die Frage, ob diese Schwachstellen schon ausgenutzt wurden. Das Unheimliche: Man hätte es wohl nicht gemerkt. Die Sicherheitssysteme waren schlicht nicht auf den Angriff an dieser Stelle eingerichtet, es werden offensichtlich keine Spuren hinterlassen. Skeptiker bezweifeln, dass die Geheimdienste hier komplett untätig geblieben sind, zumal auch sie schon seit Monaten davon wussten. Einige Fachleute nehmen sogar an, dass hier ein bewusster Zugang von den Herstellern gelassen wurde – an allen möglichen Sicherheitsmechanismen, Passwörtern und Verschlüsselungen vorbei, doch auch das ist pure Spekulation. Fest steht aber, dass nun Verbrecher weltweit versuchen werden, diese Sicherheitslücke auszubeuten. Sie können darauf spekulieren, dass viele Geräte nicht oder erst später mit Updates und Patches versorgt werden. Malware-Attacken wie Wannacry und Konsorten haben gezeigt, dass selbst Computer in öffentlichen Einrichtungen und Firmen hemmungslos veraltet sind und nur ungenügend gewartet werden. Was z.B. mit den vielen Millionen Android Smartphones passiert, die Qualcomm-Prozessoren haben und längst nicht mehr mit Updates versorgt werden, ist kaum abschätzbar.
Was wir alle tun können? Das Computer Emergency Response Team (CERT), oftmals Berater für das US-Verteidigungsministerium und die Heimatschutzbehörde, ist deutlich geworden: Alle angebotenen Updates unverzüglich installieren und –wenn möglich- den Prozessor austauschen. Letzteres ist nicht nur teuer und aufwändig – es stünden nicht mal sichere Prozessoren als Alternativen zur Verfügung! Also bleibt uns nur, sämtliche Betriebssysteme, Browser (die als Verbindung zum Internet immer besonders gefährdet sind) und Antivirus-Lösungen auf dem neuesten Stand zu halten. Diese ganzen Updates sind nicht nur nervig, sie kosten auch Systemleistung. Nachdem erste Berichte behaupteten, gleich 30% weniger Leistung gefunden zu haben, dürfte sich das Leistungs-Minus realistisch zwischen 2% und 10% einpendeln. Schon jetzt Grund genug für viele, sich Sammelklagen anzuschließen. Ob diese Updates aber (speziell bei Spectre) Angriffe komplett ausschließen oder nur erschweren, ist noch umstritten. Es ist dennoch ratsam, sie zu installieren. So unklar die aktuelle Lage auch sein mag, ich bin mir sicher, wir werden noch vieles aus diesem Bereich in den nächsten Monaten hören.
Was mich interessieren würde: Was halten Sie von dem Vorgehen der Hersteller? Haben Sie Probleme mit den Updates, wie mancherorts in den Foren berichtet wird?
Microsoft hat in letzter Minute eine Prüfroutine entwickelt, mit der man testen kann, ob der eigene Rechner verwundbar ist. Leider ist das Programm nur für Experten, weshalb wir den Ashampoo Spectre Meltdown CPU Checker drum gebaut haben. Das Programm ist ohne Registrierung und natürlich kostenlos: Ashampoo Spectre Meltdown CPU Checker. Sollte bei Ihnen der Fehler kommen, dass die Powershell nicht gefunden wird, so bleibt leider nur der harte Weg, alles manuell einzugeben. Wie das funktioniert, finden Sie hier erklärt.
Als kleiner Tipp für die Windows 7 und Windows 8-Nutzer, bei denen es nicht funktioniert: Microsoft setzt hier Windows Management Framework 5.1. voraus. Sollten das bei Ihnen noch nicht installiert sein, kriegen Sie hier das Update: https://www.microsoft.com/en-us/download/details.aspx?id=54616.
Ashampoo ... Checker ist für Betr.systeme ab Windows 7 ff vorgesehen; gibt es auch einen Checker für VISTA? Ich gehe davon aus, dass auch die älteren CPU's betroffen sind/sein können.
Gruß
Hartmut
Die Prüfroutine von Microsoft braucht Windows Management Framework 5.1, das gibt es nicht für Vista oder XP, leider.
@Uwe
Du hast es auf den Punkt gebracht. Alles auf den Markt werfen, Hauptsache der Gewinn und die Boni stimmen. Bei VW haben wir das Desaster ja gesehen. Bezahlen muss der Kunde. Alle anderen müssen keine Boni zurückgeben, obwohl sie den Schaden verursacht haben. Deshalb ist es auch kein Wunder, dass immer mehr geschummelt wird, um es mal nett auszudrücken. Die dicken Boni darf man ja behalten und dann sagen, der Staat soll die Entwicklung von Elektroautos bezuschussen und nicht den Käufern geben, die sich für ein Elektroauto entscheiden. Also schon wieder Geld vom Staat dafür, dass sie betrogen haben.
Um bei PC und Smartphones zu bleiben ... immer schnell ein neues Modell raushauen, auch wenn den Leuten die Akkus um die Ohren fliegen ... wie wird das wohl bei den Elektroautos mit leistungsstarken Akkus, die eine größere Reitweiche als die jetzigen haben ... bin mal gespannt, was das noch alles wird.
moin,
dieser Planet wird ja immer interessanter, eine Krise nach der anderen. Trotzdem immer wieder jene aufmunternden Sprüche wie: "wir schaffen das" oder auch "A.... first"!
Letztendlich ist Nichts ausgereift, hauptsächlich Irgendetwas, egal ob Fehler oder nicht drin stecken, auf den Markt werfen und somit Aktionäre füttern.
Auweia, armer Planet, wieviel Tage geben wir ihm noch?
In diesem Sinn, packen wir´s an.
Gruß Uwe
p.s.: ach ja, mein win98 second edition und xp sp3 Rechner sind sicher, die sind nicht im inet *gfg*
Ich verliere auch nicht den Humor, Systemadministratoren weltweit wohl eher. :)
Der CPU Checker braucht unbedingt eine Internetverbindung für powershell.exe, damit die Prüfung tatsächlich ausgeführt wird, sonst läuft "der Käfer" ewig. Dh. bei mir benötigt powershell.exe eine Freigabe in der Firewall. Dann geht's, aber Spectre zeigt Rot an bei J2900 CPU und Windows 1709 16299.192 trotz MS Patch.
Danke für den interessanten Hinweis! Ich glaube nicht, dass in nächster Zeit Spectre wirklich komplett unter Kontrolle gebracht wird, da kann man patchen, wie man will. Es ist halt ein Hardwarefehler, das muss man sich immer vor Augen halten, der nun mühsam per Software eingedämmt werden soll. Das wird noch eine Zeit dauern - falls man es je komplett in den Griff kriegt.
Danke für den Link zu dem Ashampoo CPU Checker :)
Zurzeit werkelt in meinem PC noch ein i7 4770k, wenn auch übertaktet. Die jetzigen Sicherheitsprobleme der CPU bringen meine Upgrade-Pläne für dieses Jahr(Motherboard, CPU, RAM ) doch ins stocken bzw. lege ich erst mal auf Eis. Glaube nicht das Intel oder AMD eine CPU in der Reserve haben, die Nicht angreifbar ist. Das Intel davon vorher schon gewusst hat und die CPU trotzdem so auf den Markt gebracht hat, finde ich eine Frechheit und gehört bestraft. Nur ob das Mir einem Endkunden im privaten Home-Office etwas bringt, wage ich zu bezweifeln.
Wer weiß schon, ob und von wem die Sicherheitslücke schon ausgenutzt wird. Auch Patches kann man bestimmt umgehen. Ein ungutes Gefühl wenn man im Internet unterwegs ist überwiegt zurzeit. Gruß
Gern geschehen! :) Ich habe mir zu Weihnachten auch einen i5 der achten Generation gekauft, bislang arbeitet er trotz Updates noch recht fix, ich hoffe, das bleibt auch so.
Das Milliardengeschäft lockt. Für wie einfältig halten uns die Erzeuger wirklich? Leider kann man nicht durch Konsumverzicht die Firmen in die Knie zwingen. Da hilft nur Sammelklage erheben und Schadenersatz Ansprüche stellen, damit der Konkurs unausweichlich wird. Und natürlich die CEOs gleich mitklagen. Klage ins Privatvermögen.
Ich warte täglich auf Anzeigen neuer Prozessoren, die mit "Spectre / Meltdown sicher!" beworben werden. :)
Woher weiß ich, dass nicht gerade solche Testprogramme Trojaner enthalten, sie können ja auch untergeschoben sein?
Dann wäre der eine wichtige Teill des Codes auf meinem Rechner.
Trotzdem vielen Dank für die Informationen.
Dass die Küchen zum großen Teil absichtlich für den Müll arbeiten, habe ich schon mal gehört. Diese Verschwendung ist schade und dient nicht den Klimazielen.
Ich nehme an, dass die Antivirenhersteller solche Informationen mitliefern.
Viele Grüße von Bernd
Sie können uns vertrauen, Sie können Ihrer Antivirus-Software vertrauen, Sie können Microsoft (die die Prüfroutine erstellt haben) vertrauen - oder halt niemandem. Dann stelle ich mir das Arbeiten mit Software aber schwierig vor. :)
Leider bricht der Test mit Fehlermeldung ab (Win 7)
Wir arbeiten gerade dran. Es sieht so aus, als wenn ältere Windows-Systeme (also alles unter Windows 10) ein Update brauchen, bevor es läuft. Wären Sie so nett, sich von Microsoft ein Update zu installieren und es dann noch mal zu versuchen? Das Update finden Sie hier! https://docs.microsoft.com/de-de/powershell/wmf/5.1/install-configure
lief einwandfrei und natürlich Spectre. Laptop habe ich noch nicht überprüft. Bei mir sind immer die neuesten Updates drauf. Wenn ich jetzt überall selbst suchen soll, um mein Bios zu aktualisieren und Patches aufspielen. Bios lasse ich tunlichst in Ruhe. Patches von Windows werden immer gleich installiert. Es gibt aber ne Menge User, die den PC nur für Bürotätigkeiten und Spiele für die Kinder nutzen. Die haben gar keine Ahnung, was sie machen sollen oder wie ausführen. Das finde ich ganz ganz übel. Ich glaube nicht, dass private PCs angegriffen werden. Rechenzentren und große Firmen und natürlich auch Cloud Hoster werden eher Angriffsziel sein. Bin ja mal gespannt, wie es weitergeht. Ich hoffe noch auf die Antivirenprogramme, dass die irgendwie aufrüsten und eventuelle Angriffe abfangen können. Man sollte aber noch vorsichtiger bei Emails und Anhängen sein und beim surfen im Internet und bei Downloads die nicht von vertrauenswürdigen Quellen kommen.
Jeden Tag eine neue Hiobsbotschaft ... hoffe das Jahr fährt erfreulicher fort und es gibt mal gute News.
Das hoffe ich auch. Ich habe ja ein dickes Fell, aber diese News haben mich doch etwas erschüttert. Die Kunden werden leider ziemlich alleine gelassen. Warten wir mal ab, was da noch alles kommt, ich persönlich fühle mich recht wenig durch Spectre bedroht, ich bin zu unwichtig. :)
Theoretisch müßte doch die - sofern vorgesehen - Herabsetzung der Prozessorleistung (mit dem Verzicht auf die "Speculative Executions") abhelfen? Bei manchen Geräten könnte das doch funktionieren, oder? (Allerdings zum Preis eines lahmen Gerätes...)
Das ist es, was die Updates wohl gerade bewirken. Der Prozessor spekuliert weniger, dafür ist auch weniger Leistung da. Kein guter Deal für die Kunden.
Hallo Sven,
nach all den (zusätzlichen) Problemen mit der Powershell bei etlichen Leuten mal was Erfreuliches am frühen Morgen: Euren Link angeklickt, Programm gestartet - läuft sofort an unnd tut was es soll. Leider natürlich auch bei mir rote Warnhinweise, daß mein Rechner angreifbar ist. ( 6 Jahre altes HP-Notebook mit Win7prof und allen neutsten Updates). Trotzdem vielen Dank für das tolle Programm und die Hinweise, wie man versuchen kann, das Schlimmste hinauszuzögern.
Viele Grüße Stefan
Powershell anwendung nicht gefunden
Meine Kollegen wissen Bescheid, ich hoffe, wir können das beheben. Wenn nicht, bliebe den Anwendern nur der "harte Weg" über das Microsoft-Prüfprogramm selbst, das gönne ich aber niemandem.
Endlich! Ein unkompliziertes Tool für den "Normalverbraucher". Vielen Dank.
Vielen Dank für das Tool. Ich habe meinen PC (Intel 4Kern) damit getestet und unterschiedliche Ergebnisse für die beiden Szenarien erhalten. Wie kann ich die Ergebnisse interpretieren? Heißt das, dass trotz Windows Patch die Sicherheitslücke nicht komplett geschlossen ist? Das zu wissen ist mir wichtig.
Es ist aktuell so, dass Meltdown über ein neues Windows Update geschlossen wird. Spectre ist hingegen weitaus komplizierter zu bekämpfen, da er auch Browser, BIOS, etc einschließt. Wir können nur warten und alles installieren, was uns als Updates in die Finger kommt. Ich persönlich glaube, Spectre wird niemand einfach als Schadsoftware für die Massen (also Otto Normalverbraucher) einsetzen, dafür sind diese Angriffe zu komplex. Wäre ich hingegen wichtiger Geheimnisträger, würde mich das eher nervös machen.
Vielen Dank für die umfangreichen Infos sowie die kostenlos angebotene Hilfe für den Check.
Bei mir erscheint nach ca 1 Minute die Meldung: Fehler beim Überprüfen der Schachstelle. Dann ewig "Käfer"
Ich tippe mal, auch hier wird die Powershell nicht gefunden. Das wird morgen in der ersten Mail stehen, die ich schreibe. Ich hoffe, der Fehler liegt bei uns, dann könnten wir ihn beseitigen. Liegt er bei Microsoft (deren Prüfroutine wir ja nutzen), wird es schwer...
Ashampoos Initiative zur Lokalisierung etwaiger Spectre und Meltdown Einfallstore ist echt lobenswert. Der Knüller bei Eurer Software wäre, sie würde detailiert die Schwachstellen benennen und zu jeder einen Link setzen, wo man Updates fürs BIOS, Chipset oder Grafikkarten erhalten kann. Zum Beispiel durch ein Ashampoo Tool u.a. auch für ältere Mainbords, Chipsets usw..
Das wäre natürlich ein Traum, momentan aber nicht zu realisieren. Aktuell haben noch nicht mal die Hersteller selbst das Problem bei ihren eigenen Produkten wirklich im Griff. Selbst Apple musste zugeben, dass das letzte Update Spectre-Angriffe nur erschwert, komplett verhindern können sie nichts. Wir können nur warten, was ich von Natur aus gar nicht gut kann. :)
Guten Tag Herr Krumrey
Ich gehe auf den link (https://www.ashampoo.com/p/1304/) u. bei mir springt er auf die Anfangsseite von Ashampoo mit den angeboten, nicht auf das programm (???),
Ich bin in Brasilien aber glaube nicht das es mit den zutun hat!
Glg
Ich glaube, ich kann mir vorstellen, was passiert ist. Die Seite sucht nach der GEO-IP, um Ihnen gleich die richtige Sprache zu präsentieren. Unser brasilianischer Übersetzer hat aber noch nicht liefern können, die Seite existiert daher noch nicht. Bitte kopieren Sie das Folgende in Ihren Browser, das sollte funktionieren:
https://www.ashampoo.com/de/eur/pin/1304/sicherheitssoftware/Ashampoo-Spectre-Meltdown-CPU-Checker
Meinen verbindlichen Dank für das kostenlose Prüfprogramm und den Hinweis zu Google. Beides funktionierte problemlos.
Grüße von Gerd
Schön zu wissen, dass man nicht ganz hilflos ist, danke für den einfach anzuwendenden Schnelltest.
Tja, da sieht man doch recht deutlich wie weit man der eigenen Hardware bzw. allzu vollmundigen Versprechungen seitens der Hersteller vertrauen sollte.
Ja, auch ich bin gespannt, wie es weitergeht, aber auch etwas verunsichert.
Hallo und Guten Abend. Frage: Bekomme nach dem Starten des Meltdown-/Spectre Tools immer die Meldung "Konnte Powershell nicht finden". Das Desktopbild bleibt aber mit dem Suchbalken sichtbar.
Win7 64bit Ultimate
Auch das gebe ich volley weiter. Das wurmt mich gerade ziemlich, lief bei unseren Tests so gut. :( Nach einigen Tests daheim (ja, es lässt mir keine Ruhe, man sehe es mir nach) habe ich die jeweilige Antivirus-Lösung in Verdacht, kann das aber noch nicht verifizieren.
Ich habe dasselbe beobachtet wie Reinhard Hennig.
Auch bei mir wurde die Powershell Anwendung NICHT gefunden und danach gibt es eine "Prüfung läuft" SCHLEIFE.
Ich habe Win 10 1709 MIT KB4056892, was dieses Problem bereinigen sollte.
Gruß, Horst
Danke für die Info, ich hoffe, wir können das schnell lösen. Schade, bei unseren Tests (und auch hier daheim bei mir) lief es problemlos.
Programm aufgerufen, geladen und ausgeführt.
Als erstes kam die Meldung:
"Konnte die Powershell Anwendung nicht finden"
mit OK bestätigt.
Danach lief die Prüfung, lief und lief und lief.
Wie der einstige VW Käfer.
Nichts wurde mir berichtet.
Schade
Wenn er die Powershell nicht findet, kann er das Ergebnis nicht abliefern. Ich gebe das morgen früh mal gleich an die Programmierer weiter. Wir dürfen den Code der MS-Prüfroutine selbst nicht ändern, aber vielleicht gelingt uns da eine Problemlösung.
Es ist ja schön das sie sich gegen diese Spione stellen.
Vor allen Dingen hängt davon keine Zuzahlungdran Wo gibt es das noch in unseren Rechtsstaat
Ob es mit Absicht gemacht wurde - ich persönlich wage es zu bezweifeln. Ich möchte aber meinen LeserInnen alle Fakten und auch Vermutungen zur Verfügung stellen, damit sie sich ein eigenes Bild machen können.
das Programm findet die Powershell nicht!!!????
Bitte an unseren Support wenden, diesen Fall hatten wir noch nicht. Das Programm wurde (aufgrund der aktuellen Lage) schnell erstellt und funktioniert auf unseren Testrechnern einwandfrei. Wir nutzen ja (wie im Text steht) die Funktionalität der MS-Prüfroutine, aber vielleicht können wir ja etwas für Sie machen.