Out-of-Order Operation –> Øut of Control

Die Silvesterböller waren noch nicht verstummt, als ich am 02.01.2018 in „The Register“1 einen flapsigen Artikel über „Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign“ überflog und ablegte.

Bei IoT Austria habe ich vor einem Jahr ein Topic Team zum Thema Security initiiert 2 und mich an Security-Albtraummeldungen, die alle paar Tage erscheinen gewöhnt. Nach langem Warten hatte ich gerade einen Firmware-Upgrade für meinen DELL Notebook installiert, der das Problem mit der Intel Management Engine beheben soll. Details der Änderung wurden nicht mitgeteilt. Am 03.01.2018 berichteten einige Medien, dass Intel bei seinen CPUs ein erhebliches Sicherheitsproblem hat von dem sie bereits im Juni 2017 informiert wurden.

Das Timing der Nachricht erscheint perfekt. Viele Computer Emergency Response Teams sind noch in Urlaub. Die Aufmerksamkeit zu Jahresbeginn hält sich in Grenzen. Der Chaoscomputer Kongress (34C3) ging am 30.12.2017 zu Ende und Edward Snowden rief eben dort die Hacker-Community zu kritischem Handeln auf. Der CCC war offensichtlich nicht so gut wie Intel informiert und konnte sich (noch) nicht mit dem Problem beschäftigen.

Forscher der TU Graz versuchten im Frühjahr 2017, ihren Workaround KAISER für die nun Meltdown genannte Sicherheitslücke auf der Black Hat Konferenz im Juli 2017 vorzustellen, doch die Kongress-Organisatoren lehnten die Einreichung ab.

Genügend abenteuerliche Nachrichten, die dazu anregen mit Amateur-Forensik den Nebel des Big Pictures zu lichten.

In den Wirtschaftsnachrichten fanden sich Hinweise, dass der Intel CEO Brian Krzanich bereits am 29. November 2017 (meinem Geburtstag) seine Intel Aktien und Stock Optionen verkaufte. Ich möchte jedoch von Verschwörungstheorien Abstand nehmen, wenn gleich es nicht unplausibel erscheint, dass die Twin Tower des WTC bei 9/11 durch die Sektkorken von CNC eingestürzt sind.

Die Börsenaufsicht SEC (Securitites and Exchange Commision) wird die Vorgänge noch untersuchen, aber da der Verkauf bereits im Oktober gemeldet wurde ist vermutlich diesbezüglich nichts out of order und es besteht natürlich keinerlei Zusammenhang zu dem aktuellen Störfall. Der Businessinsider3 und andere bestätigten, dass Brian Krzanich aus dem Verkauf seiner Intel-Aktien ung. 24 Millionen Dollar erhielt.

Als CEO ist er verpflichtet 250 000 Aktien aus vertraglich verankerter Teilhaberschaft weiterhin zu halten.


Leopold Zyka

Zu den technischen Fakten.

Drei Projektgruppen haben diverse Angriffsmöglichkeiten gefunden um Speicher auszulesen auf den ein User-Prozess keinen Zugriff haben sollte.

Kernproblem sind Sicherheitslücken im Design der Hardware (CPU). „Vulnerabilities to side-channel attacks“ wurden vorerst in 2 Klassen (Meltdown 4 und Spectre 5) in 3 Varianten festgestellt: 6

  • Variant 1 (CVE-2017-5753, Spectre): Bounds check bypass
  • Variant 2 (CVE-2017-5715, Spectre): Branch target injection
  • Variant 3 (CVE-2017-5754, Meltdown): Rogue data cache load, memory access permission check performed after kernel memory read

Während Meltdown Attacken nur Intel betreffen, sind Spectre Attacken teilweise auch bei AMD, ARM, Qualcom, Nvidia möglich.

In schrittweiser Aufdeckung stellt sich heraus, dass nicht nur Computer mit Intel CPUs betroffen sind, sondern fast alle Computersysteme (Desktop, Server, Tablets, Smartphones usw.) die in den letzten 20 Jahren entworfen wurden. Das Problem reicht also bis in die Anfänge des Internets zurück!

2017 habe ich in Veranstaltungen und Konferenzen viel über Awareness gehört und zahlreiche Hersteller von Securityprodukten wollten mir Regenschirme verkaufen, zwischen denen es durchregnet. Schlechte Softwarequalität ist zum Alltag geworden. Neu ist allerdings, dass zunehmend unsere Hardware in einem katastrophalen Zustand ist. Bis zum Intel Pentium Bug 19947 hatte ich das vielleicht naive Gefühl, dass Chips bis auf allerwenigste Ausnahmen perfekt sind, weil sie nicht wie bei dürftiger Software dauernd upgedatet werden können. Diese Zeiten sind scheinbar vorbei und der Druck alle paar Monate neue Chips mehr oder weniger getestet auf den Markt zu werfen ist offenbar riesig. Fairer Weise muss man dazu sagen, dass die Komplexität enorm angestiegen ist und in die Tage gekommene Architekturen wie x86 aus Kompatibilitätsgründen ewig aufrecht erhalten werden, weil sie wie beim Marktführer Intel (Marketshare 80% bei Desktops, 90% bei Laptops) ohne nennenswerte Konkurrenz fette Profite abwerfen.

Meltdown weckt nicht zufällig Assoziationen zu Tschernobyl.

Das Krisenmanagement erinnert an Fukujima.

Meltdown wurde vom Sicherheitsexperten Daniel Gruss mit einem mehrschichtigen Hintergedanken vorgeschlagen 8

Der Bug schmilzt die Grenze zwischen Programmen und dem Betriebssystem.

Die deutsche Übersetzung Kernschmelze weist als Wortspiel auf den schlechten Zustand des (CPU-Cores) hin.


Atompilz CC0 geralt Pixabay, Mikroprozessor CC0 blickpixel Pixabay

GAU oder Super-Gau?

Ein GAU ist der schlimmste denkbare Störfall.

Bei einem Super-GAU ist alles außer Kontrolle.

Natürlich hinkt der Vergleich zu Kernkraftwerken und wir werden jetzt nicht wegen Meltdown und Spectre alle sterben. Außer Kontrolle geratene Spekulative Execution sollte jedoch zu Spekulationen zB. über mögliche Worst-Case Szenarien anregen.

Es ist derzeit unklar, welche Exploits noch möglich sind und eine schlecht implementierte Out-of-Order Execution kann uns schon mit bisschen Javascript-Code in Kettenreaktion in eine globale Out of Control Situation bis zu einem Blackout bringen.

In der internationalen Bewertungsskala für nukleare und radiologische Ereignisse (INES) werden die Stufen 1 bis 3 als Störfälle, die Stufen 4 bis 7 als Unfälle klassifiziert.

In Deutschland gibt es im Umweltbundesamt die ZEMA (Zentrale Melde und Auswertestelle) für Störfälle und Störungen.

Die DSGVO (Data Breach Notification) erfordert innerhalb von 72 Stunden eine Meldung an die Aufsichtsbehörde bei Verlust der Kontrolle über Daten. Meldungen wie Meltdown oder Spectre sind dabei vermutlich nicht gemeint. Dazu kommt das Problem der Nachweisbarkeit. Meltdown und Spectre Attacken nachzuweisen ist derzeit nahezu unmöglich!

Eine Bewertungsskala für digitale Unfälle ist mir nicht bekannt.

In Analogie zu INES wären Meltdown und Spectre über der Stufe 4 (Unfall mit lokalen Konsequenzen) einzuordnen.

OoOO Skala

Ich möchte die OoOO Skala als Bewertungsskala für Security und Safety Ereignisse (Exploits) zur Diskussion stellen.

Sie soll eine Orientierung geben, wo wir im Kampf gegen die Entropie stehen und wie weit geordnete Abläufe (Operation) durch Exploits gestört werden können.

Es handelt sich um einen allerersten Vorschlag der sich an INES (Bewertungsskala für nukleare Ereignisse) orientiert. Experten für Threat-Modelling und Risikobewertung können dazu vermutlich Hinweise geben, wie man das Modell mehrdimensional verbessern kann. Eines der Probleme ist, wie findet man den Multiplikationsfaktor (Anzahl der betroffenen Systeme) heraus? Vielleicht sollte man Hersteller verpflichten, die Anzahl der von Sicherheitslücken betroffenen Komponenten umgehend zu melden!


Leopold Zyka

Legende:

Lokale Auswirkung bedeutet, der Exploit ist beschränkt zB. auf einige wenige Server globale Auswirkung bedeutet, es gibt flächendeckende Auswirkungen z.B. ganze Branchen oder Infrastrukturen sind betroffen. r,w,x,t

r unerlaubte lesende Operationen sind moöglich (Information leak)
w Daten können unerlaubt geschrieben oder modifiziert werden
x Programme können unerlaubt ausgeführt werden
t
traceable Eine Manipulation kann zB. durch Monitoring oder Logfiles nachgewiesen werden
untraceable Eine Manipulation kann nicht nachgewiesen werden
s An der Stelle sei erwähnt, dass ein enger Zusammenhang besteht zwischen Security und Safety. Sicherheitsvorkomnisse können direkt oder indirekt physikalische Auswirkungen haben. Das s-Flag bedeutet also eine zusätzliche Verschärfung.

Risikotypen (laut Wikipedia)

  • Zyklop bedeutet eine Kombination von unbekannter Wahrscheinlichkeit und hohem Schadensausmaß im Eintrittsfall. Beispiel: Erdbeben
  • Pythia bedeutet eine Kombination von unbekannter Wahrscheinlichkeit und unbekanntem Schadensausmaß im Eintrittsfall. Beispiel: BSE
  • Damokles bedeutet eine Kombination von geringster Wahrscheinlichkeit und hohem Schadensausmaß im Eintrittsfall. Beispiel: Bruch eines Staudammes
  • Pandora bedeutet eine irreversible Einwirkung von Stoffen oder Dingen auf die Umwelt, deren Auswirkungen noch weitgehend unbekannt sind. Beispiel: Umweltgifte
  • Kassandra bedeutet eine große zeitliche Spanne zwischen der Ursache und dem Schadensfall. Beispiel: Klimawandel
  • Medusa bedeutet Mehrdeutigkeit und Uneinigkeit über Ursache und Schaden. Beispiel: Elektrosmog

Vermutlich handelt es sich beim vorliegenden Fall um einen Mischtyp mit einem hohen Anteil an Kassandra.

Niemand kann sagen, wie viel transiente Befehle seit Monaten ausgeführt wurden um Speicherbereiche zB. riesiger Clowdprovider ins Darknet zu transferieren.

Aus Proof of Concepts (samt Sourcecode) lässt sich ableiten, wie man pro Sekunde ungefähr 0.5 MB über einen Covert Channel (verdeckter Kanal) Speicherinhalte von Desktopcomputern, Clowdservern und Smartphones leakt, auf die man mit einem Userprogramm eigentlich keine Zugriffe haben sollte.

Beim Risikotyp Kassandra wird empfohlen, dass durch kollektive Selbstverpflichtung und Förderung langfristig angelegter globaler Institutionen die Verantwortung der Staaten bzw. der Gesellschaften für zukünftige Generationen gestärkt wird. Hierzu zählt auch die Information der Öffentlichkeit über die Folgen des Nichthandelns.

Schadensausmass

Darüber werden vor allem Juristen befinden die sich bereits ob Ihrer Honorare die Hände reiben. Der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, und die NSA geben sich gewohnt unwissend.

Der US-Geheimdienst NSA hat die massive Sicherheitslücke in Computerchips nach amerikanischen Regierungsangaben nicht gekannt. “Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten” 9

In drei US-Staaten wurden gegen Intel wegen der Sicherheitslücken Klagen eingereicht. Die Kläger streben Sammelklagen (class action), eine der schärfsten Waffen im US-Verbraucherschutzrecht an.

Intel leugnet, dass es sich um einen Bug handelt und meint die CPUs are „operating as they where designed“ (arbeiten so wie sie designed wurden).

In PR-Aussendungen wird verharmlosend argumentiert, dass ja nur lesende Attacken möglich sind und die Exploits kein Potential besitzen Daten zu modifizieren, zu löschen oder zu korrumpieren. Heißt das, dass Ausspionieren von Geheimnissen (zB. Passwörtern, Logindaten, persönlichen Daten usw.) ist bedeutungslos? Kein Grund zur Panik also? Alles im grünen Bereich?

Mitigations (Schadensminderung)

Quick-Fix Mitigations sind gefährlich und trügerisch.

Die aufgedeckten Probleme werden uns noch die nächsten Jahre beschäftigen und könnten zu einem kollektiven Security Meltdown führen.

Was kann getan werden?

1) CPU Tausch

Das wäre die sauberste Lösung und könnte bei sauberem Design die Probleme beheben. Eine Rückrufaktion ist auch bei CPUs der neuesten Generation eher unwahrscheinlich… Dazu kommt das Problem, dass nur wenige Alternativen verfügbar sind. Die Liste derzeit verfügbarer CPUs die immun sind gegen Meltdown und Spectre ist dünn.10 Neben diversen alten Chips gibt es wenige neue CPUs die nicht betroffen sind. Allerdings nicht im Leistungsspektrum der High Performance Intel und AMD CPUs. Vertreten ist auch Intel mit einigen Atom Varianten und dem Intel Itanium mit seiner bizarren IA64 Architektur.

Cortex A53 (zB. im Raspberry Pi 3) ist ein in-order execution Prozessor mit branch prediction und speculative execution der jedoch immun sein soll gegen Meltdown und Spectre.

2) RISC-V

weist mit einem Artikel „Building a More Secure World with the RISC-V ISA“11 auf die historische Gelegenheit hin mit RISC-V Security transparent und richtig umzusetzen.

Western Digital, die gerade mit Security Flaws bei Ihren MyCloud NAS Geräten Probleme haben, gaben im Dezember 2017 bekannt, dass sie auf RISC-V (Open- Source Computer Core Architecture) umstellen wollen und mehr als 1 Milliarde Prozessorkerne pro Jahr in der eigenen Produkten einsetzen möchte.

3) Kernel Updates

Alle Software / Microcode Updates sind Workarounds mit Seiteneffekten. Grundsätzlich können durch Updates nur Teile der Probleme gelöst werden!

Die aktuelle Lage ist unübersichtlich. Zahlreiche Unternehmen basteln Updates und was dabei wie bereinigt wird, wissen nicht einmal Insider.

Microsoft veranstaltet wieder einmal ein Update Chaos. Einige Windows10 und Windows7 Rechner mit AMD CPUs lassen sich nach dem Emergency Update nicht mehr booten und sind nun sicher.

Microsoft schiebt die Schuld auf AMD, da ein Teil der AMD-Chips nicht der Dokumentation entspricht.

Ein Problem das allgemeine Gültigkeit hat, jedoch eine billige Ausrede ist, da Microsoft Monate Zeit gehabt hätte die Updates auch mit AMD CPUs zu testen.

Es gibt Probleme mit verschiedenen Browsern und Antivirussoftware.

Die Entwickler von FreeBSD bekamen erst im Dezember Bescheid. Einige (z.B. OpenBSD) wurden gar nicht informiert.

4) Microcode Updates

Intel spricht von Firmware und vermeidet den Begriff Microcode.

In Ihrer Aussendung schreiben sie von einem “fundamental flaw” der nicht durch den Microcode der CPU gefixt werden kann. Microcode Updates werden aber gerade ausgerollt. Eine große Verteilung solcher Updates gab es bisher angeblich noch nie. Mit dem Microcode wird die Abarbeitung von Instruktionen in der CPU gesteuert. Normalerweise erfolgt ein Microcode-Update ohne Ankündigung über neue BIOS- Versionen. Microcode-Updates können aber auch über das Betriebssystem durchgeführt werden!

Als verspätetes Weihnachtsgeschenk bekommen einige kostenlos und unbemerkt über Nacht eine neue CPU mit neuen Instruktionen und neuen „Features“.12 Intel spendet für einige moderne CPUs per Microcode Update drei neue Instruktionen. Indirect Branch Restricted Speculation (IBRS), Single Thread Indirect Branch Predictors (STIBP) und Indirect Branch Predictor Barrier (IBPB). Eine Dokumentation soll nachgereicht werden.

Securityfeatures

Die Hochglanzprospekte der Hersteller weisen ein Arsenal an gut klingenden Securityfeatures auf:

Super Visor Mode Access Prevention, Super Visor Mode Execution Prevention) Executable space protection, No-eXecute, eXecute Disable, eXecute Never, privileged execute never Trusted execution, Software Guard Extension usw.

Wie gut das alles funktioniert, was kaputt ist (siehe ASLR) und was durch Geheimdienste vergiftet ist, bleibt im Dunkel.

Eine verkürzte Architekturevolution

Die Harvard-Architektur

hat ihren Ursprung im elektromechanischen Computer Mark I, der in Kooperation zwischen IBM und der Harvard-Universität 1944 in Betrieb genommen wurde. Bei der Harvard-Architektur werden Instruktionen und Daten in zwei physisch getrennten Speichern abgelegt. Der Zugriff erfolgt über einen eigenen Bus. Die Harvard-Architektur wurde zunächst in RISC-Prozessoren konsequent umgesetzt.

Die Von-Neumann-Architektur (VNA) gilt als Referenzmodell für Computer. Das Konzept wurde von Neumann 1945 veröffentlicht. Es wird ein gemeinsamer Speicher für Instruktionen und Daten und ein gemeinsamer Bus verwendet. Das spart Silizium. Ich vermute, dass das trotz Nachteilen gegenüber der Harvard-Konkurrenzarchitektur (Von-Neuman- Flaschenhals) der Hauptgrund är die ungebrochene Popularität ist. Jedes nicht gebrauchte Quadratnanometer kann Produktions-Kosten sparen.

Viele moderne Prozessoren verwenden eine Mischform aus Harvard- und von- Neumann-Architektur. Die Harvard-Architektur könnte nun vielleicht ein Revival erleben. Shared Adress-Space sollte überdacht werden.

Eine saubere physikalische Trennung von User- und Kernel-Adressräumen würde die Probleme mit Meltdown und Spectre verhindern und hätte dazu noch Performancevorteile.

Out-of-Order Architektur

Der Supercomputer CDC 6600 der Firma Control Data Corporation war die erste Maschine die 1964 eine frühe Form von out-of-order execution verwendete.

1966 führte IBM den Tomasula Algorthmus ein13, der volle out-of-order execution unterstützt. Seither wird das OoOE Paradigma in fast allen High Performance Microprozessoren verwendet.

Einige wenige CPUs mit out-of-order execution sind nicht betroffen.


CC0 geralt Pixabay

Man muss also Speculative execution nicht zwingend abschaffen.

Cache (Pufferspeicher)

Das erste dokumentierte Daten-Cache wurde beim IBM System/360 Model 85 1968 eingesetzt. In den 1980ern wuchs der Performance-Gap zwischen Processor und Memory. Ein CPU Cache wurde zum Standard um Zugriffszeiten zum Memory zu verkürzen. Seither wird die Cache-Performance zum Beispiel durch mehrstufige Hierachien (L1,L2,L3,L4 Cache) laufend verbessert.

CPU Design als Security Problem

Viele Designverbesserungen verbessern in kleinen Schritten die Performance. Hardware Design hat jedoch auch Security Implikationen.

Arbeiten über Cache-Side Channel Attacken reichen zurück bis ins Jahr 2005 und wurden teilweise mit praktischen Beispielen belegt.

Cache Side Channel Attacken sind besonders gefährlich, weil sie an einer zentralen Stelle im Computer wirken.

Das Cache ist ein Spiegelbild der Speicheraktivitäten des Computers.

Die Attacken funktionieren Cross CPU, Cross Core, Cross VM, Cross User und Out of the Sandbox. Die Attacken auf das Microarchitektur-Design der CPU schreien also nach einem fundamentalen Redesign. Mehr Isolation und Separation sind vermutlich unumgänglich. Fixing Cache Side-Channel Vulnerabilities wird nicht trivial sein14</14> Attacken sind jedoch auch über das gemeinsame Memory (DRAM) möglich.<sup>15

Neue CPUs?

Einig ist man sich daruüber, dass eine vollständige Bereinigung der Probleme nur mittels neuer Hardware möglich ist.

Meltdown ist (derzeit) nur ein Problem bei Intel CPUs. Intel ist bei der Speculative Execution der Konkurrenz überlegen und bezahlt dafür mit einer Designschwäche die sich jedoch mit Mehraufwand beheben ließe. Eine saubere physische Trennung der Kernel und User-Space Adressbereiche würde eine ganze Reihe von Angriffen verhindern.

Wie sollten zukünftige CPUs aussehen?

Es gibt u.a. Ideen über eine Neustrukturierung der Cache Architektur (Partitioned Cache), Hardware Transactional Memory und Re-architecture of conditional security.

Was ist also in der Pipeline?

In den CPU-Roadmaps von Intel und AMD für 2018-2019 habe ich das Stichwort Security nicht entdeckt. Dafür gibt es einen Ausblick auf die Zukunftsmärkte des Internet of Things.

Intel hat sich jahrelang auf den Profiten ausgeruht und Technical Debt angehäuft. Der Tick-Tock Rhythmus wurde zwar 2016 durch das PAO Modell (Prozess – Architektur – Optimierung) ersetzt, über Security macht man sich aber in der Designphase scheinbar wenig Gedanken.

2017 weicht Intel erstmals vom Tick-Tock Verfahren ab und schickt unter Kaby Lake rund 40 neue Prozessoren ins Rennen.

Die siebente CPU Generation sorgt vor allem für höhere Performance und längere Akkulaufzeiten bei Notebooks. Von neuen Securityfeatures ist nichts zu finden. Beim Security-Performance Tradeoff lässt es sich scheinbar besser verkaufen, wenn ein Spiel weniger ruckelt, als mehr Security, die ohnehin kaum verstanden wird.

AMD folgt bisher im wesentlichen diesem Modell. Vermutlich ist es noch zu früh, um zu erkennen ob Intel und Co Ihre Lektionen gelernt haben. Es ist ja erst ein halbes Jahr vergangen, als Intel auf die Probleme hingewiesen wurde und der erstaunlich milde kurzzeitige Kurseinbruch an der Börse ist nicht nennenswert.

Jede Menge Fixes und Workarounds für KPTI/KAISER/F*CKWIT und sonstige Design Flaws halten uns auf Trab.

Scope und Effekte sind für das Publikum schwer einzuschätzen.

Rettung durch Open Source?

Wie man am Beispiel Heartbleed und der schlechten Qualität von OpenSSL gesehen hat, ist Open Source alleine keine Garantie für bessere Qualität. Mehr Transparenz würde jeden Falls zu mehr Vertrauen führen und Security Experten das Aufdecken von Schwachstellen und blinden Flecken erleichtern. Projekte wie RISC-V sind ein Hoffnungsschimmer.

Wir werden über Root of Trust in Hardware, wirklichen Secure Boot, Trusted Execution Environment usw. neu nachdenken müssen.

2017 war mit mehreren großen Hardwareproblemen (Infineon TPM, ASLR16, Hyperthreadig Bug in Kaby Lake und Skylake, Intel ME) ein Vorgeschmack was auf uns zu kommt. Meltdown und Spectre sind eine neue Klasse von Angriffen. Seitenkanal Attacken sind jedoch schon sehr lange bekannt und wurden offensichtlich unterschätzt. Auf Security by Design hat bei CPUs über zwei Jahrzente niemand geschaut.

Malicious Hardware, IC-Trojaner und Firmware-Trojaner führen nun jegliche Firewalls und Software Security Maßnahmen ad absurdum.

Erstaunlich finde ich, wie gelassen das Intel ME Disaster hingenommen wird. Die viel kritisierte Management Engine (ME) wird seit 2006 von Intel in Chipsätze und SoC Prozessoren eingebaut.

Die ME hat volle Kontrolle über die CPU und damit den Computer. Zahlreiche Securityprobleme rund um die geheimnisumwitternde Intel ME, TXE (Trusted Execurtion Engine), SPS (Server Platform Services), AMT (Active Management Technology) werden seit Jahren gefunden und sind auch von Intel bestätigt.17 Delikat ist dabei auch die von der NSA eingebaute Geheimfunktion in der Firmware welche Russische Sicherheitsexperten durch Reverse-Engineering gefunden haben. Die ungeliebte ME lässt sich damit weitgehend abschalten.

Das ist jedoch riskant und natürlich nicht offiziell von Intel unterstützt.

Dies Feature ist vermutlich (zahlenden?) „Spezial-Usern“ vorbehalten.

Alleine für dieses Thema wäre ein eigener Artikel notwendig.

Inzwischen sind zahlreiche Security Flaws dokumentiert.18 und als Draufgabe gibt es mit CVE-2017-5689 einen noch brisanteren privilege escalation flaw.

Diverse Vulnerabilities der ME wurden mit Firmware-Upgrades angeblich behoben, falls man überhaupt das Glück hat einen Upgrade vom Hersteller zu bekommen. Für meinen Shuttle XPC habe ich bisher keinen BIOS Update gefunden und auch keine Antwort auf meine Anfrage beim Hersteller erhalten.

Das Intel Detection Tool stürzt ab. Dass der SOHO Bereich ein Security-Glücksspiel ist, ist klar. Das offizielle Detectiontool von Intel kann aber teilweise auch bei zertifizierten Serverinstallationen nach einspielen des Firmwarupdates keine definitve Aussage zur Sicherheitsbedrohung geben.

Auf der Black Hat Europe wurden Exploits gezeigt, wo mit unsigniertem unverifiziertem Code schrittweise die Kontrolle über den Computer übernommen wurde. Die Möglichkeiten unterhalb des Radars (vorbei an allen Protection Rings und Privilege Levels) ohne dass davon irgend etwas in Logfiles zu sehen wäre, stellen Meltdown und Spectre eigentlich in den Schatten. Der Sicherheitsforscher Daniel Gruss von der TU Graz geht davon aus, das die aktuellen Entwicklungen nur die Spitze des Eisbergs in Hinblick auf Side-Channel Attacken darstellen.19

Das Spektrum an Betroffenheit ist breit. Während die einen das Hauptproblem in alten Computern die keine Updates mehr bekommen sehen, weisen andere darauf hin, je leistungsfähiger ein Chip ist, desto wahrscheinlicher ist er von einem Angriff bedroht.

G Data (Hersteller von Antivirussoftware) hält es für ziemlich wahrscheinlich, dass wir in Kürze Malware sehen werden, die die Lücke nützt.20

Zum Zeitpunkt des Schreibens erhalte ich Fake-Mails vom BSI mit angeblichen Meltdown-/Spectre-Patches. Was der Trojaner macht ist noch nicht bekannt.

WIRED beschreibt den unklaren Impact in einem Artikel als Unclear Fallout 21

In einem Paper von AMD über Information Security lese ich, wie essentiell kollaborative Anstrengungen fuür Security sind und der Intel CEO beschwört mehr Transparenz. Es wäre höchst an der Zeit, diese auch umzusetzen.

Mit Geheimnissen die hinter NDAs versteckt werden, Hintertüren für die Geheimdienste und broken Architecture nähern wir uns rasant einem globalen Out- of-Order Zustand der in Øut of Control enden kann.

Anmerkungen

Dieser Artikel gibt ausschliesslich die Meinung des Autors wieder.

1 https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

2 https://www.iot-austria.at/en:topic_teams:security

3 http://www.businessinsider.de/intel-wusste-von-sicherheitslucken-als-der-ceo-anteile-verkaufte-2018-1

4 https://meltdownattack.com/meltdown.pdf

5 https://spectreattack.com/spectre.pdf

6 http://www.kb.cert.org/vuls/id/584653

7 https://de.wikipedia.org/wiki/Pentium-FDIV-Bug

8 http://mashable.com/2018/01/05/meltdown-spectre-names-cpu-bug/#KNSHJtyY1Squ

9 https://derstandard.at/2000071605268/Weisses-Haus-NSA-wusste-nichts-von-CPU-Luecken

10 https://forum.level1techs.com/t/list-of-cpus-most-likely-immune-to-spectre/123128

11 https://riscv.org/2018/01/more-secure-world-risc-v-isa/

12 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367

13 https://en.wikipedia.org/wiki/Tomasulo_algorithm

14 https://www.lightbluetouchpaper.org/2009/02/20/when-layers-of-abstraction-dont-get-along-the-difficulty– of-fixing-cache-side-channel-vulnerabilities/

15 DRAMA: Exploiting DRAM Buffers for Fun and Profit, Michael Schwarz, BSc

16 https://www.schneier.com/blog/archives/2016/10/bypassing_intel.html

17 https://www.theinquirer.net/inquirer/news/3021663/intel-flaws-in-management-engine-leaves-millions-of– devices-vulnerable

18 http://blog.trendmicro.com/trendlabs-security-intelligence/mitigating-cve-2017-5689-intel-management– engine-vulnerability/

19 http://derstandard.at/2000071948363/Grazer-Forscher-Alte-PCs-bei-Prozessorluecken-ein-massives– Problem

20 https://www.gdata.de/blog/2018/01/30334-meltdown-spectre-interview-mit-anders-fogh

21 https://www.wired.com/story/intel-management-engine-vulnerabilities-pcs-servers-iot/

Autor

Leopold Zyka ist Mitglied von IoT Austria. Er ist Initator und Mentor des Topic Team Security, Safety, Privacy & Anonymity und des Topic Team Blockchain.