CleanPress

Schlagwort: ARM

  • Intel x86 – Sackgasse ohne Ausweg

    Intel x86 Bild: Hacker | Quelle: The Preiser Project | Lizenz: CC BY 2.0[/caption]

    Intels CPU-Sparte hat viele Probleme und es werden nicht weniger. Neben den Prozessorlücken Meltdown und Spectre, die tief im Silizium der Chips sitzen und fast im Wochentakt neue Angriffsvektoren offenbaren, entdecken Forscher auch immer wieder neue Sicherheitslücken in der Management Engine (ME) und der Active Management Technology (AMT). Aus Anwendersicht ist Intels x86-Schiene nichts weniger als eine Sackgasse.

    Volle Kontrolle

    Genauso wenig wie Meltdown und Spectre aus den derzeit verkauften Prozessorgenerationen entfernt werden kann, genauso wenig wird Intel jemals die Kontrolle über den ausgeführten Code in der ME aufgeben. Die Management Engine (ME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist und ist ein zusätzlicher Mikroprozessor, der in moderne Intel x86 CPUs eingebettet ist. Darin läuft ein Intel-signierter proprietärer Binär-Blob, der unter anderem über ein eigenes Betriebssystem und einen eigenen Webserver verfügt.Die ME hat direkten Zugriff auf das RAM, das Display, die Tastatur und das Netzwerk. Aufgrund der von der Hardware erzwungenen Code-Signing-Beschränkungen kann sie vom Benutzer nicht verändert oder ersetzt werden. AMD x86 CPUs haben übrigens einen ähnlichen Mikroprozessor, der auf den unverfänglichen Namen »Platform Security Processor«. Er ist auf genau die gleiche Weise abgeschottet.

    Löchriger Käse

    Die Sicherheitslücken in der ME sind ein Leckerbissen für jeden kriminellen Hacker, denn ein Eindringen in einen Rechner über die ME kann über lange Zeit unbemerkt bleiben. So wird zum Ausnutzen der aktuellen Lücke in der AMT nicht einmal mehr ein Admin-Account benötigt. Der Angriff kann nach Aussagen der Forscher von Positive Technologies ohne jede Autorisierung durchgeführt werden, wenn sich der Angreifer im gleichen Subnetz befindet.

    Besorgniserregende Technologie

    Als Anwender haben wir wenig bis keine Möglichkeiten, dem Bermudadreick Management Engine zu entkommen. Das hat die polnische Sicherheitsforscherin Joanna Rutkowska, die auch das Betriebssystem Qubes OS entwickelt, bereits 2015 in ihrem Essay Intel x86 considered harmful (PDF) als Fazit dargelegt.

    »Wir haben gesehen, dass Intel ME potenziell eine sehr besorgniserregende Technologie ist. Wir können nicht wissen, was alles wirklich in diesem Co-Prozessor ausgeführt wird, der immer eingeschaltet ist und der vollen Zugriff auf den Speicher unseres Hostsystems hat. Wir können ihn auch nicht deaktivieren. Wenn Du denkst, dass dies wie ein schlechter Witz klingt oder wie eine Szene, die von George Orwells Arbeit inspiriert ist, lieber Leser, dann bist Du nicht allein mit diesem Gedanken…« Joanna Rutkowska, Invisible Things Lab

    Ohne ME kein Booten

    In den letzten zwei Jahren haben einige Notebook-Hersteller wie Purism, System 76, Dell oder Tuxedo Computers daran gearbeitet, Intels ME zu neutralisieren und – einen Schritt weiter – zu deaktivieren.  Das ist ein sehr arbeit-intensives Unterfangen, an dem auch bei Google gearbeitet wird. Grundlegende Arbeit hat hier auch das Team von Positive Technologies geleistet. Die Entfernung gelingt bestenfalls zu rund 90 Prozent und Purism ist mit seinen Librem-Notebooks hier am weitesten fortgeschritten. Wird die ME völlig ausgeschaltet, hindert das den Rechner am Hochfahren. Also müssen einige Module der frühen Bootphase aktiv sein, um den Rechner überhaupt zu starten.

    Google gegen ME

    Google-Sicherheitsforscher Robert Minnich, der unter anderem auch an Linux Boot arbeitet,  geht davon aus, dass es viele Jahre dauern wird, bis die ME völlig unschädlich gemacht werden kann. Da man, ohne Aluhutträger zu sein, davon ausgehen kann, dass ME durch die NSA infiltriert ist, sind das keine rosigen Aussichten. Außerdem ist da noch das in Coreboot vorhandene Intel Firmware Support Package (FSP), das der Entschärfung bedarf.

    Träge Masse

    Dank der Trägheit der großen Masse der Computeranwender gibt es zu diesem Szenario wenig Alternativen. Genausowenig wie sich die Masse darum schert, welches Betriebssystem auf dem PC läuft, kümmert sie sich darum, wie sehr der Hersteller der CPU sie kontrollieren kann. AMD ist kein Ausweg und ist quasi durch Marktmacht gezwungen, diesen Weg mitzugehen.

    Kaum Alternativen zu Intel x86

    Alternative Plattformen wie ARM am Desktop existieren quasi nicht, Systeme, die dem Anwender die Kontrolle geben, sind in Preislagen angesiedelt, die sie für den Massenmarkt ungeeignet machen. Dazu gehören etwa Hersteller wie Raptor mit seinen Talos-Mainboards. Hier kommen Power9-CPUs zum Einsatz, die Preise für eine Workstation beginnen bei rund 3.000 Euro. Bleibt eigentlich nur, auf offene Plattformen wie RISC-V zu hoffen, die aber vom Erreichen des Massenmarkts noch viele Jahre entfernt sind. Keine rosigen Aussichten, oder?

  • Prozessor-Bug: Schadensbegrenzung beim Super-Gau

    Prozessor-Bug
    Bild: „CPU“ von Jaroslaw W Lizenz: CC-By-2.0

     

    Am dritten Tag nach der Veröffentlichung des mit Fug und Recht als Super-GAU bezeichneten Bugs in den meisten seit 1995 produzierten Prozessoren wird das gesamte Ausmaß des katastrophalen Fehlers klar: es handelt sich um einen in Silizium gegossenen Design-Fehler, der Milliarden von Geräten betrifft, von denen viele niemals einen Fix sehen werden. Dazu zählen vor allem viele Android-Smartphones. Über den Umfang der Auswirkungen auf AMD-Prozessoren besteht weiterhin Unklarheit. AMD selbst hatte die Chance, die Lücken beträfen auch AMD-CPUs als nahe Null bezeichnet.

    Entwarnung für Heimanwender

    Etwas Entwarnung gibt es dagegen bei den zu erwartenden Performance-Einbrüchen für durchschnittliche Heimanwender. Wer an seinem Rechner hauptsächliche surft, spielt und Office-Aufgaben erledigt, wird kaum einen Verlust an Geschwindigkeit verspüren, die Werte sollten im niedrigen einstelligen Bereich liegen. Anders kann das im Büro aussehen, wenn etwa große Datenbanken betrieben werden. Hier kann die Höchststrafe unter Umständen bei bis zu 30 Prozent liegen. Das liegt hauptsächlich daran, dass die Fixes für die Lücken die I/O-Last nach oben treiben.

    Intel in bekannter Manier

    Viele Hersteller haben sich zu Wort gemeldet, Intel gleich zwei Mal. Die Nachricht aus dem Intel Newsroom ist ähnlich vage und nichtssagend wie die vom Vortag. Dort heißt es:

    »Intel hat Updates für alle Arten von Intel-basierten Computersystemen – einschließlich PCs und Servern – entwickelt und veröffentlicht, die diese Systeme gegen beide von Google Project Zero gemeldeten Exploits (als „Spectre“ und „Meltdown“ bezeichnet) immun machen. Intel und seine Partner haben bedeutende Fortschritte bei der Bereitstellung von Updates erzielt, sowohl bei Software-Patches als auch bei Firmware-Updates.«

    In weiteren Verlauf der Verlautbarung stellt sich Intel an die Speerspitze derer, die Lösungen für das Problem anbieten, ohne dabei konkret zu sagen, was Intel den Betroffenen anbietet. Am Ende gibt es einen Link, der zumindest weitere technische Einzelheiten enthält, aber nichts an den Tag bringt, was nicht bereits bekannt war und von anderer Seite mit wesentlich mehr Details veröffentlicht wurde. Zudem behauptet Intel dort weiterhin, es handle sich nicht um einen Fehler in Intels Hardware. Die Begründung lautet, es seien auch andere Hersteller betroffen. Diese Logik wirkt zumindest befremdlich.

    Betroffene Intel-CPUs aufgelistet

    Die zweite Veröffentlichung von Intel stammt aus dem hauseigenen Security Center und erweist sich als nützlicher, denn sie nennt im Detail die betroffenen Plattformen und Prozessoren aus eigener Produktion. Zudem bedankt sich Intel bei den Forschern von Google und der Universität Graz, die die Lücke in etwa zeitgleich entdeckt hatten.

    ARM reagiert vorbildlich

    ARM hat ausführlich und übersichtlich Stellung zu den betroffenen Prozessoren und dem, was ein Anwender zur Absicherung tun sollte Stellung bezogen. Dabei wird pro betroffenem Prozessor dargestellt, welche der drei Varianten auf den jeweiligen Cortex-Kern zutrifft. Leider wird das vielen betroffenen Smartphone- und Tablet-Besitzern nicht viel nützen, da es vom Hersteller des Geräts abhängt, wann ein Update angeboten wird. Für viele Geräte wird das heißen: niemals. Googles eigene Baureihen Nexus und Pixel haben bereits ein Update für Januar erhalten oder es ist in der Auslieferung und wird zeitnah aufgespielt.

    Google stellt Retpoline vor

    Google hat ebenfalls am gestrigen Tag weitere Details veröffentlicht. Darin geht es hauptsächlich um die von Google erstellten Gegenmaßnahmen und die zu erwartenden Leistungseinbußen. Dabei stellt Google eine neue Technik zur Entschärfung namens Retpoline vor, die gegen Spectre, auch als »Branch Target Injection« bezeichnet, eingesetzt werden kann und wenig Leistungseinbußen nach sich ziehen soll. Retropline ist ein zusammengesetzter Begriff aus den Worten »return trampoline«. Die Technik verwendet eine Endlosschleife, die nie ausgeführt wird, um die CPU daran zu hindern, auf das Ziel eines indirekten Sprunges zu spekulieren. Entwickler Paul Turner hat die Technik gestern auch den Kernel-Entwicklern vorgestellt.

    Distributionen verteilen KPTI-Patches

    Die großen Linux-Distributionen haben Kernel veröffentlicht, die die KPTI-Patches gegen die Lücken verteilen. Microsoft hat wegen der Brisanz der Lücken die Auslieferung weiterer Patches für Windows 10 vorgezogen, die ab dem 03. Januar 2018 ab 22 Uhr verteilt werden sollen. Patches für ältere Versionen wie Windows 7 und  8 sollen zum nächsten Microsoft Patchday folgen. Bei den jetzt für Windows 10 angebotenen Updates gab es vereinzelt Kompatibilitätsprobleme mit Anti-Viren-Software. Microsoft rät dringend dazu, das Update nicht manuell zu forcieren, sondern erst einzuspielen wenn es über die Update-Funktion angeboten wird.

    Firefox vorerst abgesichert

    Mozilla hat als Reaktion auf die Lücke Firefox 57.0.4 veröffentlicht. Als vorübergehende Maßnahme, bis die genaue Funktionalität der Lücken bekannt sei, hat Mozilla die Genauigkeit der Zeitintervalle über die Funktion performance.now() von 5μs auf 20μs heraufgesetzt, um Javascript-Angriffe zu erschweren, die auf die Messung präziser Zeitintervalle angewiesen sind. Zudem wurde der SharedArrayBuffer-Standard deaktiviert, um die Verwendung höher auflösender Timer zu verhindern. Auch Google, Apple und Microsoft haben ihre Browser entsprechend gepatched. Diese sind allerdinmgs im Gegensatz zu Firefox noch nicht veröffentlicht. Micosoft wird Edge am 9. Januar aktualisieren, Google Chrome 64 erscheint am 23. Januar.

    Mitlesen von der Tastatur

    Auf LWN gibt es einen  Überblick über weitere interessante Links zum Thema. Auch ein Interview der Berliner Zeitung  »Der Tagesspiegel« mit einem der Entdecker der Lücken von der Universität Graz lohnt das Lesen. Michael Schwarz erläutert darin, man könnte theoretisch alles mitlesen, was gerade auf der Tastatur eingegeben wird. Die Lücken können allerdings nur ausgenutzt werden, wenn bereits Zugriff auf den Rechner besteht.

    Das trifft allerdings nur für Meltdown zu, Spectre kann bereits über den Browser ausgenutzt werden. Allerdings ist es mit Spectre wesentlich schwerer, Daten auszulesen. Hierbei müssen sehr präzise Timings eingehalten werden, zudem muss der Angreifer wissen, welche Prozesse gerade laufen und welche Daten sich im Speicher befinden. Schwarz bestätigt, dass Meltdown bisher nur auf Intel-Prozessoren reproduziert wurde. Spectre schließt auch alle Smartphones mit ARM-Prozessoren ein.

    Linus Torvalds not amused

    Die Kernel-Entwickler bei Linux sind alles andere als erfreut über die Art und Weise, wie die Informationspolitik im Hinblick auf die Lücken gehandhabt wurden, die Intel seit Juni 2017 bekannt waren. Linus Torvalds äußert sich für seine Verhältnisse sehr zurückhaltend zu Intels PR:

    »Ich denke, dass jemand innerhalb von Intel wirklich einen langen harten Blick auf ihre CPUs werfen muss, und tatsächlich zugeben muss, dass sie Probleme haben, anstatt PR-Blurbs zu schreiben, die besagen, dass alles so funktioniert, wie es entworfen wurde….

    …Oder sagt Intel im Grunde genommen, dass sie darauf abonniert sind, uns für immer und ewig Scheiße zu verkaufen und nie etwas zu reparieren? Denn wenn das der Fall ist, sollten wir vielleicht anfangen, uns mehr auf die ARM64-Leute zu konzentrieren.«

    Zu spät informiert

    Andere Entwickler monieren, dass die Betriebssystemhersteller viel zu spät über die Vorgänge informiert worden seien und nun zum Schutz ihrer Anwender unter Zeitdruck Gegenmaßnahmen entwerfen mussten. Nach Aussagen von Mounir Hahad, Chef der Sicherheitsanalyse bei Juniper Networks, konnte bisher in freier Wildbahn kein Fall entdeckt werden, der die Lücken ausnutzt. Da diese Lücken aber schon seit rund 20 Jahren bestehen, kann niemand mit Bestimmtheit sagen, ob sie nicht in der Vergangenheit bereits von Geheimdiensten oder Kriminellen ausgenutzt wurden.

    Eines ist jedoch bereits jetzt klar: Die Auswirkungen dieses Design-Fehlers werden uns noch lange begleiten und beschäftigen. Ganz besonders im Fall von Spectre, da hier jede Anwendung einzeln gegen die Lücke abgeichert werden muss. die Kernel-Patches reichen hier nicht aus.