Nach unten Skip to main content

Autor Thema: Gravierende Prozessor-Sicherheitslücke erfordert Aufmerksamkeit [off topic]  (Gelesen 3730 mal)

C
  • Moderator
  • Beiträge: 7.441
  • ZahlungsVERWEIGERUNG! This is the way!
Zwar themenfremd, aber meiner Ansicht nach dennoch ein Posting wert:

Aktuell geistert eine anscheinend Besorgnis erregende Prozessor-Sicherheitslücke durch die Medien.
Hierbei sind vermutlich nicht nur CPUs von Intel, sondern auch AMD, ARM,... betroffen.
Auch ältere CPU-Modelle.

Die Sicherheitslücke ermöglicht das Auslesen von Informationen, die in der CPU bearbeitet werden.
Hierzu gehören gegebenenfalls auch Passwörter, Crypto-Schlüssel, etc.

Das einfache Ausführen des Angriffsvektors in Form eines einfachen Java-scripts im Browser scheint zu genügen, weshalb die Browser- und Betriebssystem-Hersteller momentan eiligst dabei sind, ihre Patches auszurollen.
Ein schädliches Java-Script fängt man sich z.B. durch schadhafte Werbung auch auf vertrauenswürdigen Seiten, die die Werbung einfach aus Drittquellen unkontrolliert einbinden.

Weitere Infos:
Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau (Link nachträglich hinzugefügt, danke an User drboe (s.u.))
https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

Massive Lücke in Intel-CPUs erfordert umfassende Patches
https://www.heise.de/security/meldung/Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patches-3931562.html

Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen
https://www.heise.de/mac-and-i/meldung/Meltdown-und-Spectre-Alle-Macs-und-iOS-Geraete-betroffen-3934477.html

Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen
https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html

Browser-Hersteller reagieren auf Meltdown und Spectre
https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html

Was also tun?
- Browser und Betriebssystem updaten!
- Zur Verfügung gestellte BIOS-Updates einspielen
- Browser-Addons wie "uBlock Origin", "umatrix" und/oder "NoScript" verwenden
- Evtl. Einrichten des DNS-Filters "pi-hole" (siehe unten), um alle Clients im Intranet (auch Smartphones) vor Werbe-, Malware- und Trackingdomains zu schützen.
- Einige weitere Tipps findet man in den verlinkten Artikeln bzw. den dortigen Userkommentaren.
 

Pi-hole:
Wer zu Hause alle Netzwerk-Clients bzw. seine mobilen Geräte vor Werbung, Tracking und Malware schützen möchte, der kann mit wenig Aufwand und einer geringen Investition in z.B. in einen Raspberry Pi (Minicomputer für ca. 35€) einen DNS-Filter/blocker namens "Pi Hole" (https://pi-hole.net) einrichten.
Eine Anleitung hierzu findet man unter:
https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/

Durch pi-hole werden die DNS-Anfragen (URL -> IP Abfrage) mit frei verfügbaren Filterlisten abgeglichen.
Diese regelmässig und automatisch aktualisierten Filterlisten enthalten die Internetadressen für Werbe-, Malware- und Tracking-Domains und werden somit einfach nicht aufgerufen.
Dieses Vorgehen stellt somit eine sehr preiswerte und elegante Lösung, um den Schutz aller Clients im Intranet vor unter Umständen schädlicher Werbung, Tracking, Malware etc. deutlich zu erhöhen.


Edit "Bürger" @alle:
Diese technischen Hinweise haben wohl ihre Berechtigung, allerdings sollten wir diesen Thread als reinen Informations- und nicht als Diskussions-Thread verstehen, da dies den Rahmen und die Kapazitäten des Forums sprengt.
Danke für das Verständnis und die Berücksichtigung.


____
Edit "ChrisLPZ" 2018-01-06:
Links ergänzt, einige Korrekturen


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 06. Januar 2018, 10:48 von ChrisLPZ«
„Nie dürft ihr so tief sinken, von dem Kakao, durch den man euch zieht, auch noch zu trinken." (E. Kästner)

Schnelleinstieg | Ablaufschema | FAQ-Lite | Gutachten
Facebook | Twitter | YouTube

  • Beiträge: 7.388
Es kann aber auch das genaue Gegenteil der Grund sein; weil es keinen Zugriff hat, muß ein Grund konstruiert werden, damit es einen geben könnte?


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 05. Januar 2018, 21:27 von Bürger«
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)

Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;

- Parteien, deren Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;

- Gegner des Landes Brandenburg wie auch gesamt Europas;

K
  • Beiträge: 215
Der Aktionismus soll wohl den irrigen Eindruck verfestigen, jedweder Datenaustausch im  Internet wäre prinzipiell mit "geeigneten" Gegenmaßnahmen für den Nutzer sicher oder für einen Aussenstehenden nicht einsehbar.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 05. Januar 2018, 21:28 von Bürger«
- Omnipräsente Vielschreiber (Trolle) gebrauchen politisch motivierte Foren vielfach als Plattform um ein schon seit langer Zeit existierendes potemkinsches Dorf als funktonierenden Rechtsstaat zu propagieren.
- Horst Seehofer: "Diejenigen die entscheiden sind nicht gewählt und diejenigen die gewählt werden haben nichts zu entscheiden"
- Der deutsche Steuer- und Abgabenkuli stellt den Eliten eine Allmende bereit auf der sich jedes Rindvieh sattgrasen kann.

  • Beiträge: 106
  • BVerfG Beschwerde 2017 nicht angenommen (Feb 2018)
Selbst erzeugte Lücke?

Leider nur in Englisch und momentan scheinbar in USA aber da scheinen bestimmte Apps von Smartphones das mitschneiden von Gespräche und TV-Sendungen zu ermöglichen.  Was über den Atlantik geht klappt womöglich hier auch. Da ich weder einen Smartphone noch ein Fernsehen habe kann ich es nicht überprüfen.

Gruß

Lieven

Entschuldigung, hatte den Link vergessen - es sollte hier aber kein PC Forum werden

https://www.howtogeek.com/338409/hundreds-of-smartphone-apps-are-spying-on-your-tv-watching.-heres-how-to-disable-them/


Edit "Bürger" @alle:
Diese technischen Hinweise haben wohl ihre Berechtigung, allerdings sollten wir diesen Thread als reinen Informations- und nicht als Diskussions-Thread verstehen, da dies den Rahmen und die Kapazitäten des Forums sprengt.
Danke für das Verständnis und die Berücksichtigung.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 05. Januar 2018, 21:31 von Bürger«
A refusal to accept responsibility for one´s own actions is the greatest self-indulgence of all [source not known]
Hilfstexte und Musterbriefe: http://volxweb.org/node/166/

  • Beiträge: 2.624
  • Ersatzmaßstab Wohnung: das BVerfG erklärt die Welt
Heise schiebt eine Analyse nach und bezeichnet das Problem als "Security Supergau"...

Heise, 05.01.2018
Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.
https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

Die Erläuterungen lassen m. E. eigentlich nur eine echte Lösung zu: Neue CPUs.
Alles andere ist letztlich Flickwerk und gibt nicht das Gefühl, man könne sicher sein.

M. Boettcher


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 06. Januar 2018, 03:01 von Bürger«
Ken Je(b)sen, Betreiber von KenFM, soll "politische Entfremdung" betreiben und "unwahre Verschwörungstheorien" verbreiten. Daher beobachtet ihn der sogn. Verfassungsschutz. Würden die "Verschwörungspraktiker" dieses Dienstes ihren Maßstab an den öffentlich-rechtlichen Rundfunk und Publikationen von der BILD-Zeitung bis zum Magazin SPIEGEL anlegen, in Deutschland bliebe kein Medium unbeobachtet. So schnell wird in Deutschland zum Staatsfeind, der nicht mit dem Strom schwimmt.

b
  • Beiträge: 776
Zitat
Zwar themenfremd, aber meiner Ansicht nach dennoch ein Posting wert

Person P sieht das Ganze nicht als themenfremd. Alles rund um Zwangs-Rundfunkbeiträge läuft mit Computer-Infrastruktur, die gerade am Markt ist. Wer könnte sicher sein, dass die CPU-Lücke nicht schon benutzt wurde und alle Daten nicht schon aus BS abgezweigt wurden? Niemand.

Also jedes Thema rund um Sicherheit - auch diese - nehmen und gegen BS fahren.
Dieses Thema könnte man auch gegen bald kommenden Meldedatenzugriff benutzen.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 06. Januar 2018, 03:03 von Bürger«

  • Beiträge: 577
Zwar themenfremd, aber meiner Ansicht nach dennoch ein Posting wert [...]

Seh' ich auch nicht als "themenfremd" an.

JavaScript (JS), einer der potentiellen Angriffsvektoren für die Meltdown/Spectre Exploits, wird mittlerweile von sehr vielen Applikationen benutzt, und kommt u.a. bei unseren "Pressemitteilungen" nach Klicken auf den "Weiterlesen-Link" im Browser zur Ausführung (wenn nicht browserseitig oder anderweitig daran gehindert).

Gerade bei vielen Online-Zeitungen (i.e. FAZ, Handelsblatt e.a.) ist JS Pflichteinstellung, um nicht als "Werbeboykotteur" aufzufallen, und nichts zu lesen zu bekommen. Nur vergleichsweise wenige Online-Angebote wie bspw. der "tagesspiegel.de", "spiegel.de" oder "stuttgarter-zeitung.de" lassen sich weitestgehendst auch noch ohne JS bedienen. Auch über JS nachgeladene Drittanbieter-Webseiten, die dem Tracking dienen, und/oder um darüber Werbung zu schalten (wer weiß denn schon, woher's wirklich kommt?), werden zu potentiellen Einfallstoren - weshalb ich die Tipps von user ChrisLPZ aus dem Eingangspost hier nur nochmals jedem ans Herz legen möchte.

Für ebenso wichtig erachte ich aber noch weitere PC-, Tablet-, oder Smartphone-Applikationen des täglichen Gebrauchs.

Der Adobe PDF-Reader z.B. (das ist der, der immer "updaten" will) erlaubt (in Standardeinstellung) die Ausführung von JS Code. Das gleiche gilt für seine entsprechenden Browser-Plugins. Hier gibt es bereits viele, und vor allem einfache Alternativen.
(BTW, was PostScript als portable Seitenbeschreibungssprache (Basis des PDF-Viewers) mit ausführbarem Code zu tun haben muss, hat sich mir bis heute nicht erschlossen...)

Auch die Webaufritte (Audio-/Mediatheken) des ÖRR werden (unnötigerweise) fleißig mit Javascript bespaßt. Dazu gesellt sich dann Adobe/Macromedia Flash (sowie deren Implementation u.a. als Plugin für nahezu alle Browserprodukte) mit seiner Fähigkeit, JS Code auszuführen. Dabei will man beim ÖRR und deren medialen Webangeboten (bei Nichtvorhandensein der Flash-Player Komponenten) diese aktuell immer noch freundlich nachinstalliert wissen [1], um denn auch ein Video im Browser betrachten zu können (Mein Tipp: heise.de mal nach "Flash" durchsuchen). Selbst Youtube, und sogar facebook haben schon seit längerer Zeit (ca. Mitte 2015) auf HTML5 umgestellt. Und mit dem "App-Müll" (jetzt auch als "Audiothek" zu haben) ist noch lang' keine Besserung in Sicht.

M$s "Office"-Paket verfügt über eine eigene JS-API (Application Programming Interface). Von Word, über Excel bis hin zu Outlook (ein sog. "Mailclient") - alles lässt sich mit JS aufpeppen und natürlich auch missbrauchen (hatten wir ja auch schon öfter 'mal - noch bevor Meltdown/Spectre das Licht der Welt erblickten).

Und das Gefummel bei Firefox (läuft da eigentlich schon "Shumway"?) mit der generellen JS (De-)Aktivierung für keine oder alle Websites ist auch nicht völlig schmerzfrei zu bewerkstelligen.
Der gute alte Opera (v12.18 von Juni 2016) konnte per Site JS aktivieren, per default ließ sich das erstmal auf Aus setzen.

Die können jetzt an den Browsern flicken, was sie wollen (Uiii, ...der ist jetzt ja wieder richtig langsam) - das "Schneller-höher-weiter"-Feature vieler CPU-Architekturen ist damit ausgehebelt und es wird so schnell keinen adequaten Ersatz dafür geben (das Problem dürfte bereits seit ca. 2007 bekannt sein. Und nein, die NSA wusste seither bestimmt noch nichts davon...). Das, und nur das, gilt mit Sicherheit!

Was Andreas Stiller - ehemaliger "Prozessor-Guru" der c't - in seinem Szenario beschreibt, dürfte der Realität sehr nahe kommen (danke an user drboe für den obigen Link zum "Supergau"). Auch ich sehe viele CPUs (incl. den Motherboards) auf den riesigen Müllhalden in anderen Kontinenten verschwinden, sollten sich hier in ferner Zukunft tatsächlich Lösungen abzeichnen. Aber bis dahin tun's ja nun auch erstmal - ganz gemütlich - die "alten" CPUs - Baujahr ca. vor 2006-07 oder gar noch älter. ;-)


[1] Beispiel hier - Antwortseite ohne aktive Flash Komponenten (wer's abspielen kann, der hat auch "Flash" auf seinem Rechner):
Zitat: "Da ging leider was schief ... Um den Clip abspielen zu können, benötigen Sie das Flash-Plug-in ab Version 10.2. Dieses können Sie hier [2] kostenlos herunterladen."
http://www.ardmediathek.de/tv/ARTE-deutsch/live?kanal=5880

[2] Link nicht erwünscht


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 06. Januar 2018, 05:37 von drone«

C
  • Moderator
  • Beiträge: 7.441
  • ZahlungsVERWEIGERUNG! This is the way!
@drboe, @drone
Vielen Dank für den Link zur äußerst informativen Heise-Analyse und die weiteren Infos.

@KlarSchiff
Das Problem ist hier leider tiefergehender, als das ledigliche Abgreifen von Datenverkehr im Internet.
Diese CPU-Sicherheitslücken erlauben einer Anwendung/einem Script das Auslesen von in geschützten Bereichen der CPU verarbeitete Daten. Ein mit Werbung ausgeliefertes schädliches Javascript, welches im Browser ausgeführt wird, könnte somit beispielsweise Cryptokeys, die gerade von Deinem Mail- oder Messengerclient verwendet werden, auslesen.
Auf diesen CPU-Speicherbereich des Mail-/Messengerclients dürfte das Javascript überhaupt keinen Zugriff haben.
Das ist ungefähr so, als würde man die Wand zwischen Dir und Deinem Wohnungsnachbarn einfach mal auflösen.

@pinguin
Das wurde in den Userkommentaren auf heise.de auch thematisiert, ist jedoch eher unwahrscheinlich. 

Angesichts dieses Supergaus, der nicht nur die privaten PCs und Smartphones, sondern insbesondere auch Serverstrukturen betrifft, ist das Thema angesichts des Datenabgleichs mit den Einwohnermeldeämtern und daraus folgender Erschaffung einer datenschutzrechtswidrigen "Schattendatenbank" aller Deutscher Meldedaten vermutlich doch nicht so themenfremd, wie ich initial annahm.

An dieser Stelle sei auch auf den Thread mit einigen imposanten Datenleaks verwiesen:
Die Gefahr großer Datenbanken - Leaks von Bürger-Datenbanken
https://gez-boykott.de/Forum/index.php/topic,18182.msg119137.html#msg119137


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 06. Januar 2018, 11:14 von ChrisLPZ«
„Nie dürft ihr so tief sinken, von dem Kakao, durch den man euch zieht, auch noch zu trinken." (E. Kästner)

Schnelleinstieg | Ablaufschema | FAQ-Lite | Gutachten
Facebook | Twitter | YouTube

  • Beiträge: 979
  • So hatten sie es sich auch diesmal wieder gedacht.
Das könnte aber u. U. doch auch etwas Geduld erfordern...

...
Die Erläuterungen lassen m. E. eigentlich nur eine echte Lösung zu: Neue CPUs.
Alles andere ist letztlich Flickwerk und gibt nicht das Gefühl, man könne sicher sein.
...

...abgesehen davon, dass es vllt. auch als Positivum werten könnte, was die Deinerseits umrissene Abwesenheit des Gefühls anlangt, "man könne sicher sein".
Ein fiktiver Besucher hat bislang noch gar keine Info finden können, von *wem* denn eigentlich besagte Probleme (wohl ja schon im lt. Jahr) entdeckt bzw. ursprünglich an die "Öffentlichkeit" gebracht worden waren? Etwa seitens eines betrunkenen (oder bekoksten :-)) IT-Freaks (von wegen, dass insbesondere Besoffene [& kleine Kinder, dazu gleich] die vom Publikum gescheute Wahrheit zu sagen pflegen)? Oder von einem eher noch etwas unbedarften Spezialisten beiderlei Geschlechts - in dem Sinne also einer Figur ähnlich dem kleinen Mädchen aus dem Andersen'schen Märchen?

Immerhin ist wohl nicht nur einem fiktiven Besucher der Hype der ganzen letzten Jahre noch in dunkler Erinnerung, als insbesondere der jeweilige Staat öffentlich lauthals nach Möglichkeiten maximierter Überwachung von PCs bzw. deren Eignern lechzte, bzw. sich abwechselnd rühmte, das hinzubekommen - egal ob mit dem berühmten Bundestrojaner oder ähnlichem anderer Provenienz. Auch an ganz vereinzelte Meldungen in den etwa letzten 10 oder 15 Jahren, dass diesbzgl. jeweilige Regierungsstellen & Industrie miteinander in Interaktion stünden bzw. an Szenarien auf Hardware-/Prozessorebene, meint ein fiktiver Besucher sich ganz dunkel zu erinnern, sollte er das nicht doch geträumt haben

Insofern könnte man durchaus auch die Frage im Hinterkopf bewahren, ob die Problematik (wie von Herrn Stiller in Deinem verlinkten Artikel beschrieben) seitens der entspr. Ingenieure / Ingeniösen nicht vordenkenderweise voraussehbar gewesen wäre (wenn nicht wurde)? Also: tatsächliche Schlamperei, oder nur vermeintliche - im Sinne von "backdoor"?

Im zweiten Fall müsste wohl mit zusätzlicher Wartezeit - was Deine "neuen CPUs" anlangt - gerechnet werden, da ja dann ggf. auch noch die Dauer der nunmehr notwendig gewordenen neuen Verhandlungen der Industrie mit den jeweiligen Regierungsvertretern einzubeziehen wäre, welche Art "Hintertürchen" zur it-mässigen Überwachung der Bevölkerung nunmehr erfunden werden könnte :->>.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged
"Es ist dem Untertanen untersagt, das Maß seiner beschränkten Einsicht an die Handlungen der Obrigkeit anzulegen." - v. Rochow

"Räsoniert, soviel ihr wollt und worüber ihr wollt, aber gehorcht!" - Dieser Wunsch Friedr. II. ist wohl der Masse immer noch (oder wieder) Musik in ihren Ohren...

"Macht zu haben, heißt, nicht lernen zu müssen" - Karl Werner Deutsch. Der muss unsere Anstalten & die dt. Verwaltungsgerichtsbarkeit gekannt haben.

m
  • Beiträge: 436
Heise schiebt eine Analyse nach und bezeichnet das Problem als "Security Supergau"...
Die Erläuterungen lassen m. E. eigentlich nur eine echte Lösung zu: Neue CPUs.
Alles andere ist letztlich Flickwerk und gibt nicht das Gefühl, man könne sicher sein.
M. Boettcher

Es ist nicht ausgeschlossen, ob neue CPU's nicht so konzipiert und missbraucht werden, damit die totale Bürgerkontrolle umgesetzt werden kann.
Wer sagt denn, ob diese CPU-Sicherheitslücken nicht auch gewollt waren? Hauptsache die Medien haben wieder ein Thema und MS blockt meinen PC ständig mit neuen Software-Updates sowohl beim ausschalten als dann beim hochfahren. Die arbeiten alle für unsere Sicherheit. Nein danke.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged

  • Beiträge: 2.624
  • Ersatzmaßstab Wohnung: das BVerfG erklärt die Welt
Ein fiktiver Besucher hat bislang noch gar keine Info finden können, von *wem* denn eigentlich besagte Probleme (wohl ja schon im lt. Jahr) entdeckt bzw. ursprünglich an die "Öffentlichkeit" gebracht worden waren? Etwa seitens eines betrunkenen (oder bekoksten :-)) IT-Freaks (von wegen, dass insbesondere Besoffene [& kleine Kinder, dazu gleich] die vom Publikum gescheute Wahrheit zu sagen pflegen)?

Ich kenne die bevorzugten Dealer in Graz nicht, aber man kann in den Referenzen der Artikel schon einige Namen der "Freaks" lesen. M. E. muss man ihnen dankbar sein, dass sie einerseits die Forschung betreiben und andererseits die Ergebnisse allen mitteilen. Unter der Überschrift "KASLR is Dead: Long Live KASLR" gibt es einen namentlich gezeichneten Artikel:  https://gruss.cc/files/kaiser.pdf Die Autoren sind Daniel Gruss, Moritz Lipp, Michael Schwarz, Richard Fellner, Cl ?ementine Maurice, und Stefan Mangard von der Graz University of Technology, Austria

Google veröffentlicht im Rahmen seines "Project Zero" Details zu der Lücke und diverse Sicherheitsforscher haben mit Meltdown und Spectre zudem Angriffsszenarien beschrieben, die das Leck ausnutzen.

Zu den Spekulationen über Absicht, Backdoors usw.: ich mag den Begriff der Verschwörungstheorie nicht, aber hier ist er angebracht. Einmal gibt es immer wieder Prozessorbugs, zum anderen ist bei der Realisierung des  Wunsches nach immer höherer Verarbeitungsgeschwindigkeit die Security einfach hinten runter gefallen. Den Ingenieuren fehlte es schlicht an der nötigen Phantasie, wie man die dabei verwendete Technik ausnutzen könnte.
Nun, wo das Prinzip bekannt ist, entstehen immer mehr Angriffsoptionen. Das ist genau der Grund, warum m. E. letztlich nur CPUs ohne diesen Fehler das Problem beseitigen. Zudem sollte man seine Bereitschaft Daten Systemen anzuvertrauen, über die man keine Kontrolle hat, prüfen. "Cloud" bei Dritten war schon vorher für mich keine Option. Ich betreibe einige Server, die sämtlich inhouse plaziert sind, für eine ziemlich überschaubare Zahl von Leuten. Das wird sicher so bleiben. Auf meinem Telefon liegen auch keine Unternehmensdaten, -anwendungen etc. Auch das aus gutem Grund.

M. Boettcher


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged
Ken Je(b)sen, Betreiber von KenFM, soll "politische Entfremdung" betreiben und "unwahre Verschwörungstheorien" verbreiten. Daher beobachtet ihn der sogn. Verfassungsschutz. Würden die "Verschwörungspraktiker" dieses Dienstes ihren Maßstab an den öffentlich-rechtlichen Rundfunk und Publikationen von der BILD-Zeitung bis zum Magazin SPIEGEL anlegen, in Deutschland bliebe kein Medium unbeobachtet. So schnell wird in Deutschland zum Staatsfeind, der nicht mit dem Strom schwimmt.

z

zuwider

Es kann aber auch das genaue Gegenteil der Grund sein; weil es keinen Zugriff hat, muß ein Grund konstruiert werden, damit es einen geben könnte?

Das sehe ich genauso. Es erinnert auch an die ständige "erhöhte Terrorgefahr", die immer dann ausgegraben wird, wenn man ein neues Überwachungsgesetz verabschieden will.

Ich denke, wer alles was im Hintergrund laufen will deaktiviert (Java usw.), anonym mit Tor o.ä. im Netz unterwegs ist, Daten auf einer separaten Festplatte abspeichert und dabei die Netzwerkverbindung kappt bzw. eine eigene Partition dafür angelegt hat, ist eigentlich auf der sicheren Seite.
Im Zweifel mit Acronis o.ä. von einem frisch aufgesetztem System ein Image erstellen (bevor man im Netz ist!) und dann regelmäßig damit sein System zurücksetzen - das erspart die mühselige Virensuche.

Es wäre nicht das erste Mal, daß man mit einem vermeintlichen Sicherheits-Update sich die Trojaner erst auf den Rechner zieht - ich traue keinem mehr!

...ach ja, Gesundes Neues noch!


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged

  • Beiträge: 577
[...] Es erinnert auch an die ständige "erhöhte Terrorgefahr", die immer dann ausgegraben wird, wenn man ein neues Überwachungsgesetz verabschieden will. [...]
Um die es hier aber nicht geht. Real existieren derzeit mind. zwei Exploits, die z.B. über JavaScript (JS) (<> Java), oder PDF- und "Office"-Dateien (i.e. als Mailanhänge oder schon in einer HTML-Mail) auf einem Rechner zur Ausführung gebracht werden können. Hast Du Dir die JS Einstellungen in Deinem von Dir bevorzugten Browser 'mal angeschaut?

Zitat
[...] Im Zweifel mit Acronis o.ä. von einem frisch aufgesetztem System ein Image erstellen... [...]
... dem ich nur vollumfänglich zustimmen kann.

Zitat
[...] Es wäre nicht das erste Mal, daß man mit einem vermeintlichen Sicherheits-Update [...]
... sich "etwas" auf den Rechner zieht, bei dem man dem Hersteller vertrauen "soll", "kann", "muss". Das gilt i.Ü. für jegliche Form von "Updates" von Software. Wer also alle Formen von "Auto-Updates" toleriert, lebt sicherlich mit einem höheren "Risiko" sich etwas auf den Rechner zu holen, was man gar nicht haben wollte. Wissen tut man es ohnehin nicht (wer ist schon in der Lage, Source-Code zu studieren - so dieser überhaupt vorhanden ist). Spekulationen dazu erübrigen sich aber dadurch.


Edit DumbTV:
Eine vertiefte (technische) inhaltliche Diskussion kann das Forum nicht leisten. Es sollte lediglich auf das fast jeden betreffende Problem aufmerksam gemacht werden. Weitere Informationen und Diskussionen bitte auf den einschlägigen Seiten wie heise.de & Co. einholen bzw. fortsetzen.

Der Thread ist daher nun geschlossen. Danke für das Verständnis.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 08. Januar 2018, 20:16 von Bürger«

 
Nach oben