Naja es ist halt schon so eine Sache, wenn die PR Abteilungen sagen "das ist jetzt nicht sooo schlimm" und dabei versuchen sich so hinzustellen, dass die Kameras der Medien nicht mitbekommen, wie im Hintergrund die Clouds vom Amazon, Google und Microsoft rebooten
Den meisten Usern ist das halt egal. Da gilt im Grunde: wenn jemand Code auf meiner Maschine ausführen kann, hab ich eh verloren. (BRB Freeware Apps downloaden, installieren und immer "ja" und "amen" klicken :P JavaScript per Whitelist? Schadet doch nur der Usability. Ihr habt Passwörter zu
verbergen? Ihr pöhsen Teletouristen!)
Für die PaaS und IaaS Anbieter hingegen sind die Lücken halt ein GAU: deren Infrastruktur-Sicherheit baut darauf, dass der Code ihrer Kunden den Hypervisor nicht angreifen kann. Wenn du nun bedenkst, dass zum Beispiel die US Army zu den Kunden der Cloud-Anbieter zählt, dass die "GovCloud" nur ein Whitelabel von Amazon ist, dann wird klar, warum die Cloud im Hintergund rebooten muss, während die PR Abteilung der Bevölkerung was vom Pferd erzählt.
Würde mich nicht wundern, wenn da noch andere Sachen im Hintergrund passieren. Ich könnte mir zum Beispiel vorstellen, dass einige Behörden/Konzerne gerade von den Cloudanbietern fordern, dass die eigenen Systeme nicht auf der selben Hardware laufen wie die von irgendwelchen nicht vertrauenswürdigen Dritten. Nur für den Fall der Fälle. Die NSA lacht sich dabei natürlich ins Fäustchen und zeigt auf die Rechenzentren unter eigener Verwaltung, nur um dann einen Anfall zu bekommen, wenn sie feststellen, dass der Wordpress Blog von Major Noob auch seit Jahren ohne Update auf der MilCloud läuft. Brav isoliert in einer VM, die sich ihren Intel CPU mit einer VM teilt, die Raketenwerfer im Irak koordiniert. What could possibly go wrong?
(Reine Spekulation natürlich, alle meine Infos zur MilCloud habe ich von der ersten Seite der Googlesuche)
(Btw CSRA, die Betreiber der MilCloud, suchen händeringend nach IT Experten. Einsatzort ist... Fort Meade. )
Interessant ist Meltdown halt vor allem für all jene, die wissen wie man ein Kernel-Update macht. Das ist allerdings nur eine Minderheit der Bevölkerung, auch wenn man hier im NGB gelegentlich das Gegeteil wahrnehmen mag. Insofern bin ich für das Medienspektakel auch dankbar, denn als ITler kann man dem Management einfach die Tageszeitung hinlegen, wenn die wissen wollen, warum man ein laufendes System plötzlich anfassen will (um dann nebenbei das andere Dutzend noch offenen Lücken gleich mit dicht zu machen).
Und vielleicht
redpilled so ein Spektakel ja auch ein paar ITler, die trotz besserem Wissen und Gewissen aus purer Faulheit die eigene Infrastruktur schändlich vernachlässigen. (
Do you think Spectre is a problem? No.
Why not? There is a krack in the wall and the front door is open.)
Spectre-basierende Exploits in JavaScript dagegen sind einfach nur ekeleregend. Ich habe keinerlei Ahnung was in den Darkweb Marktplätzen gerade abgeht, aber ich vermute mal, dass dort mit mehr oder weniger funktionalem Spectre-basierendem Angeboten richtig Kohle gescheffelt wird. Target sind natürlich die DAUs, Leute die mit einem Browser surfen, der die Passwörter für ihre Social-Media-Identity, ihre Bankkonten und E-Mail Accounts kennt. Ebenso sieht es sicher im Smartphone-Bereich aus. Malware Apps lesen den Speicher anderer Apps aus. Tolle Wurst. Die Medien schreiben brav die Meldungen der PR ab: "zu hart zu exploiten, als dass der typische Kriminelle das hinbekommt" und übersehen dabei die Realität: Malware wird heute modular zusammengekauft. Es braucht nur ein paar High-End Geeks mit krimineller Energie um die nächste Welle Malware ins Rollen zu bringen. "Keine bekannten Exploits" ist eine Beruhigungspille für die Masse. There is PoC code is in the f***ing Whitepaper! Und das ist in der News verlinkt. Klar 99% öffnen das gar nicht erst. Und 99% derer, die es öffnen schließen es gleich wieder. Und 99% von denen, die es lesen versuchen damit nichts böses. Aber 1 Millionstel sind allein in der EU halt immer noch 350 Personen. Wenn 99% davon keinen Erfolg haben, dürften auf dem Schwarzmarkt in den nächsten Tagen 4 unterschiedliche Implementationen auftauchen. (Rundungsfehler dürft ihr behalten.) Und auf denen baut dann eine ganze Generation an neuen Modulen auf. Für Smartphones werden Module auftauchen die typische Massenmarkts-Apps angreifen. Google präsentiert "Retpolin" als Mitigation für solche Target-Apps gegen Branch-Target-Injection (Spectre Variante 2) und released am 3ten Januar still und heimlich schon mal eine neue Version der GMail App. Releasenote: "Fehlerkorrekturen und Leistungsverbesserungen." Ob es da einen Zusammenhang gibt? Wahrscheinlich nicht, ist zu früh, noch wird bei Retpoline ja darüber diskutiert Compiler anzupassen.
Diese ganze "hart to exploit" versus "modular malware" ist ein wenig so, wie wenn dir jemand erzählen will, Webseiten wären extrem schwierig, weil man dafür ja erstmal ein Betriebssystem und einen Webserver implementieren muss. Krypto ist auch schwierig. Deswegen nutzt man ja Libs, statt Krypto zu implementieren. Allen ernstes: hat hier jemand einen Taucheranzug und kann mal im Deepweb nachsehen gehen, was die Szene gerade so treibt? Bisschen Recherche machen? Wär doch ein schönes Thema für einen Artikel in der Tarnkappe.
*hust 8900$ auf Scylla hust* sorry hab mich verschluckt.
Aber nun zurück zum Thema "Alles halb so wild": was sollen einem die PR Abteilungen der Konzerne den sonst bitte erzählen?
Natürlich ist das alles nicht so schlimm, wenn man immer alle Updates installiert, keine Links anklickt, nicht irgend welche Sachen herunterläd,
nur vertrauenswürdigen Code ausführt, für jeden Dienst ein anderes Passwort hat, diese weder elektronisch speichert noch aufschreibt, Banking nur in der Filiale der Hausbank macht und den Computer abends in die Microwelle legt und morgends einen neuen kauft.
Also alles gar kein Problem, in der Realität, oder so? Wer sich daran nicht hält war ja vor Spectre auch schon am Ar***, wo also ist das Problem?
Da gab es doch mal so einen Spruch zum Thema "privilege escalation": man braucht das nicht. Man braucht nur den Code der die interessanten Daten klaut und eine App, die die Leute haben wollen. Die Rechte geben die dann selbst: "to install FreeShit you must disable your antivirus and run the installer as admin." - sounds reasonable, what could possibly go wrong?
Sorry ich bin noch im letzten Jahrtausend... "FreeShit needs access to your contacts, camera, keyboard, microphone and memory. FreeShit may upload your name, address and videos of your face and fingerprints to the cloud. Swipe right to accept." - what could possibly....
TLDR wer erklärt diese Lücken seien nur ein Tropfen auf dem heißen Stein verweist bei Diskussionen über Tschernobyl auch auf "kosmische Strahlung"
Umpf jetzt ist es schon nach vier ... ich hätte beim "im NGB nen Rant schreiben" nicht nebenbei noch die Whitepapers lesen sollen
Ich steig jetzt aus und schließ mich den 99% an.