Die Namen Meltdown und Spectre stehen für die bislang nachhaltigste Sicherheitslücke in der Geschichte der IT-Industrie. Wie gut, dass es bereits jetzt ein Linux-System gibt, das dagegen hundertprozentigen Schutz bietet, findet Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

Anfang Januar stellten Sicherheitsforscher zwei bereits letzten Sommer entdeckte, katastrophale Sicherheitslücken vor, die so gut wie alle gängigen Prozessorarchitekturen und Betriebssysteme betreffen. Die Tatsache, dass die beiden auf den Namen Meltdown (Kernschmelze) und Spectre (Schreckgespenst) getauften Lücken auf Eigenschaften von CPUs basieren, also von Hardware, macht die Angelegenheit zum Sicherheits-GAU: Simple Software-Patches greifen nur bedingt.

Sowohl Meltdown [1] als auch Spectre [2] nutzen aus, dass CPUs zur Leistungssteigerung mehrere Instruktionen parallel auszuführen versuchen (“Out-of-order Execution”). Zur Geschwindigkeitssteigerung raten sie dabei, welche Anweisungen als Nächstes anstehen (“Predictive Branching”), laden die entsprechenden Daten schon einmal aus dem RAM und verarbeiten sie (“Speculative Execution”). Das wiederum kann ein Angreifer ausnutzen, um Informationen aus geschützten Speicherbereichen auszulesen, etwa um Passwörter oder andere sicherheitsrelevante Daten abzugreifen.

Da die Angriffe auf wesentlichen Eigenschaften der CPUs basieren, bietet lediglich ein Austausch des Prozessors gegen ein nicht betroffenes Modell vollständigen Schutz gegen die Attacken. Solche Chips muss die Industrie jedoch erst einmal entwickeln und dann bauen, was viele Monate dauert [3]. Zwar hat Intel Ende Januar angekündigt, noch 2018 erste nachgebesserte Prozessoren auszuliefern. Das dürfte aber lediglich die neuen Server-CPUs der Generation “Cascade Lake” betreffen, die sonst praktisch unverkäuflich wären – auf dem Desktop muss man wohl wesentlich länger warten, um nicht angreifbare Prozessoren zu bekommen.

Derweil behelfen sich Intel und Konsorten mit dem Ausliefern eher schlecht als recht funktionierender Microcode-Patches [4], die den Rechner unter Umständen deutlich ausbremsen [5]. Software-Anbieter – vor allem die Hersteller von Webbrowsern und Virtualisierungslösungen – versuchen parallel, Angriffe durch das Verändern bestimmter Timing-Eigenschaften wenigstens zu erschweren. Ähnliches gilt für den Linux-Kernel: Die hier verfügbaren Patches [6] KTPI (“Kernel Page-Table Isolation”, gegen Meltdown) und Retpoline (“Return Trampoline” [7], gegen Spectre) in Linux 4.15 können Angriffe nur erschweren, nicht aber unterbinden. Auch hier kommt es zu Leistungseinbußen [8], zudem setzen Gegenmaßnahmen gegen eine der beiden Spectre-Varianten zwingend Microcode-Updates voraus, die Intel bislang nicht liefern kann.

Laut den Forscher des AVTest-Instituts waren Ende Januar bereits knapp 140 Samples von Meltdown/Spectre-Malware im Internet im Umlauf [9]. Dabei handle es sich vermutlich noch um “Versuchsballons”, konstatiert AVTest-Chef Andreas Marx, aber echte browserbasierte Exploits gegen Firefox und Chrome könnten jederzeit folgen. Wegen der fehlenden Microcode-Updates gibt es insbesondere gegen Spectre V2 derzeit kaum eine Abwehrmöglichkeit. Entsprechend halbgar fallen die Schutzempfehlungen aus: Den Webbrowser schließen, wenn man ihn gerade nicht braucht; während längerer Arbeitspausen den Rechner herunterfahren.

Ausführliche Hintergrundinformationen zu Spectre und Meltdown, KPTI und Retpoline liefern wir Ihnen im Rahmen eines Security-Schwerpunkts in der nächsten Ausgabe von LinuxUser, zusammen mit weiteren Artikeln rund um die Rechnersicherheit. Ein Tipp aber schon vorab – es gibt bereits jetzt einen Linux-Rechner, mit dem Sie völlig ungefährdet von Meltdown und Spectre durchs Web surfen können: den Raspberry Pi. Die Cores der Prozessortypen ARM1176 (Pi0, Pi1), Cortex-A7 (Pi2) und Cortex-A53 (Pi3) verzichten auf Speculative Execution und sind deshalb immun gegen beide Sicherheitslücken [10].

Herzliche Grüße,

Jörg Luther

Chefredakteur