Schwerpunkte

Interview mit Prof. Hartmut Pohl

Security by Obscurity ist am Ende

05. März 2018, 13:20 Uhr   |  Hagen Lang


Fortsetzung des Artikels von Teil 1 .

Die Risiken der beiden Schwachstellen

Kann man die Sicherheitslücken jetzt als gepatcht abhaken?

Es gibt wohl nach wie vor keinen endgültigen Patch oder auch nur vorübergehend hilfreichen Fix, sodass die Sicherheitslücken aktuell auf allen Computern von Angreifern ausgenutzt werden können. Vorschläge für Patches wurden ausgerollt – allerdings auch z.T. wieder zurückgerufen. Dies zeigt die Schwierigkeit der Patch-Entwicklung.

Gerade die Zunahme von Cloud-Umgebungen mit virtualisierten Systemen mehrere Anwender erleichtert potenziellen Hackern das Geschäft. So können auf Smart­phones schädliche Apps unter Ausnutzung von Meltdown Informationen aus anderen Apps auslesen. Spectre ermöglicht es, sogenannte Prozessgrenzen innerhalb des Browsers zu überwinden. Dadurch können auf Webseiten platzierte schädliche Webskripte sensible Informationen aus dem Kontext anderer geöffneter Tabs auslesen.

Was weiß man über bisher entstandene Schäden?

Abgesehen von Angriffsdemonstrationen ist eine Ausnutzung der Schwachstellen bisher nicht veröffentlicht. Die Entwicklung robuster, breitflächiger Angriffe ist prinzipiell aufwendig, gezielte Angriffe auf einzelne ausgewählte Systeme erscheinen jedoch möglich. Das Risiko eines solchen Angriffs für Privatpersonen erscheint aufgrund des hohen Aufwandes niedrig; dennoch sind diese Angriffe realistisch.

Deswegen sollten alle Nutzer und Nutzerinnen ihre Computer, Laptops, Smart­phones und Tablets sowie sonstige digitale Geräte mit Sicherheits-Updates schützen. Vergleichsweise bedeutender ist das Angriffsrisiko für Anbieter von Cloud-Diensten wie zum Beispiel Web-Hoster oder E-Mail-Provider.

Voraussetzung für Angriffe ist die Ausführung von Malware oder von Angriffsprogrammen auf dem Zielrechner, der meist einer Zugriffskontrolle unterliegt. Dies ist aber besonders einfach in Cloud-Umgebungen, weil ein Prozessor ja gerade von vielen Benutzern genutzt werden soll.

Werden sich Sicherheitslücken wie Meltdown und Spectre bei Intel oder anderen Prozessorherstellern wiederholen?

Die Prozessorarchitektur-Details von Intel u.a. sind nicht vollständig veröffentlicht – im Gegenteil: Sie stellen jeweilige Firmengeheimnisse dar. Auch die aktuell schnellsten (Intel-) Prozessoren werden ausschließlich in den USA gefertigt und deren jeweilige Architektur ist nicht vollständig veröffentlicht.

Also – warum auch immer: Wir haben es mit Firmengeheimnissen zu tun, was hier zu Lasten der IT-Sicherheit der Prozessoren geht. Um es klar zu formulieren: Anwender in Unternehmen und Behörden wissen also gar nicht und können auch gar nicht wissen, was auf ihren Rechnern geschieht und was mit ihren Daten geschieht.

Sie können einwenden, dann setze ich nur noch Prozessoren der Firma X ein; allerdings: Auch die Firma X veröffentlicht nicht die vollständige Architektur und die Produktionsverfahren. Und da hilft auch Verschlüsselung überhaupt nicht! Denn um die Daten verarbeiten zu können, müssen sie offen, unverschlüsselt vorliegen. Nichts nutzt gegen den Einsatz letztlich unbekannter und in ihrer Funktion gar nicht mehr durchschaubarer Prozessoren. Wir scheinen insofern als Gesellschaft und als Nation auf Gedeih und Verderb den Prozessorherstellern ausgeliefert.

Es ist aber nicht so, dass Open-Source-Projekte mit bekanntem Code mit besserer Security glänzen würden. Man denke nur an HeartBleed, eine OpenSSL-Bug, der mehrere Jahre unentdeckt blieb. Und Google fand 2017 in 47 Open-Source-Projekten etwa 1000 Bugs.

Erstens wissen Sie ja gar nicht, ob Heartbleed nicht längst von einer Sicherheitsbehörde und/oder der organisierten Kriminalität identifiziert und ausgenutzt wurde! Zweitens gibt es eine perfekte Welt nicht, aber die prinzipielle Möglichkeit zur Überprüfung von Code und Architekturen auf Bugs. Bei geschützten Firmengeheimnissen ist man ausschließlich darauf angewiesen, dass die Sicherheitsmaßnahmen der Hersteller greifen. Das ist im Zweifel Security by Obscurity, mehr nicht.
 

Seite 2 von 4

1. Security by Obscurity ist am Ende
2. Die Risiken der beiden Schwachstellen
3. Sicherheitslücke Management-Engine
4. Sicherheitsmaßnahmen und Abwehrmaßnahmen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

softScheck GmbH, INTEL GmbH