AW: Microcode-Update gegen Spectre: Intel gibt aktuellen Überblick, Fragen bleiben offen
ich bin kein Privatanwender. Ich bin selbstständiger Softwareentwickler (und Physik Student). Und ohne Internet kann ich nicht programmieren (Github, Stack Overflow, documentations, usw.) Und solange meine Systeme nicht sicher sind oder abstürzen rege ich mich auf.
Gerade als selbstständiger SW-Entwickler solltest Du wissen, an welchen Stellen Du Dich den Gefahren aussetzt.
Keine der von Dir genannten Anwendungen ist unsicher, wenn Du damit korrekt umgehst und den entsprechende Tools schon seit längerem vertraust. Auf einem produktiven System installiet man schlicht nicht jeden Müll aus unsicherer Quelle. Solltest Du Deiner beretis installierten Software nicht trauen, ist es sowieso zu spät. Genauso, wenn Du Systempatches oder Patches der Entwicklungsumgebung/des Compilers oder genutzter Libs nicht traust.
Bliebe also als einziges Einfallstor der Browser (oder allgemeiner eine mit unkontrolliertem Code ausgeführte JS-Engine). Aktuelle Browser sind bereits ansatzweise gepatched oder man muss halt NoScript nutzen und nur den Scripten treuen, die man mit aktivem JS zwingend benötigt.
Aber vieleicht kannst Du mich als Hobbyentwickler (jedenfalls auf der alten HW mit i7-2600K) mit Hobby-Router/Firewall für den Internetzugriff noch erleuchten, wie man dort an ein entsprechendes Einfallstor abseits des Browsers kommen kann. Mir fallen nämlich schon seit Jahren neben dem Browser nur jegliche AutoUpdates oder meine eigene Unfähigkeit ein (fremde USB-Sticks und/oder SW aus unbekannter Quelle). AutoUpdates kann man abschalten, wenn man dem Entwickler nicht traut, der die Updates erstellt.
Abstürze auf Basis von Spectre/Meltdown? Das habe ich ja vieleicht bisher nur überlesen und die deutschen Wikipedia-Seiten mögen grauenhaft unvollständig sein. Mehr wie lesenden Zugriff auf Speicher erhält man durch die beiden Sicherheitslücken nicht. Das ist zwar schon schlimm genug, aber weitab von der Möglichkeit, das System zum Absturz bringen zu können oder Daten fremder Programme oder gar des OS zu manipulieren. Kann ich auf dem System einen Trojaner oder schon nut ein unbekantes Programm starten, sind die beiden Lücken nur zwei von sehr vielen, mit denen mir jemand die Daten klauen oder sonstige Manipulationen durchführen kann.
Zudem machen sich ja jetzt die Hacker daran, noch ein paar Daten abzugreifen, bis die Updates kommen und funktionieren. Hätte man es nicht Publik gemacht, wäre es auch untergegangen.
Die Frage ist nur, wie gelangt der Hacker auf den von Dir genutzten PC. Hängt der am Heimnetz und Deine Familienangehörigen haben darauf auch ungehinderten Admin-Zugriff? Oder ist das einzig deine Verantwortung, nicht jeden Crack zu installieren und sich bei der Nutzung eines Browsers entsprechend zu schützen.
Aber ja, ich habe auch mit den Krankenhäusern und co., bei denen Patientendaten und/oder Produktionsdaten durch die Ausführung von Mailanhängen verschlüsselt wurden, kein Mitleid (nur mit den betroffenen Patienten). Wer seine IT so aufsetzt und nutzt, hat es nicht besser verdient. Sowas kann man im Privatbereich u.U. noch verantworten (dann gibt es halt online-Banking und u.U. Online-Bezahlung nur auf einem sicheren Rechner), aber nicht, wenn ich mit dem PC auch ernsthaft meinen Lebensunterhalt verdiene.
Es ist eine reine Fleiß- und Kreativleistung, die (so einmal erbracht) einen Flächenbrand auslösen wird.
Es ist vor allem Fleiß den User dazu zu bringen, irgendeinen Mist auf seinem Rechner auszuführen. Angriffe per JS mal ausgeschlossen, da gibt es aber schon entsprechende Gegenmaßnahmen.
Junge vielleicht mal weiter als bis zu deinem Nasenspitz denken. Kapierst du das damit ua. verschlüsselte Daten abgegriffen werden können?
Schön, gehen wir also davon aus, dass der Angreifer mit Hilfe des Bugs nicht nur irgendwelche Daten im Ram meines PCs lesen kann, sondern sie auch noch eindeutig entschlüsselt bekommt (oder sie gar unverschlüsselt im Speicher liegen). Dann muss er sie immer noch eindeutig zuordnen können, im Zweifel also die Anwendung kennen, von der die Daten im Ram gehalten werden. Alles denkbar, als allgemeiner Angriff aber schon sehr umfangreich zu realisieren.
Es reichen auch schon genug persönliche Daten um gezielt Social Engineering machen zu können und hier dürfte es insbesondere im Firmenumfeld interessant werden.
Social Engineering? Da bringe den User "einfach" dazu, mein Programm auszuführen (muss ich für Spectre ja auch), dann kann das auch gleich ein Keylogger sein. U.U. wird es aber im Firmenumfeld zu noch mehr Restriktionen auf Firmen-HW führen (Ausführen nur noch von Programmen in gewissen, durch den User nicht schreibbare Ordner).