Sicherheitslücken Spectre & Meltdown

[bct_ail]

Sicherlich habt ihr das mit den Sicherheitslücken Spectre & Meltdown schon mitbekommen.
Ich versuche mich gerade einzulesen und frage mich, was bedeutet das für unsere Wallets und Börsen? Erstmal die Finger von lassen?

[zauce]

Sicherlich habt ihr das mit den Sicherheitslücken Spectre & Meltdown schon mitbekommen.
Ich versuche mich gerade einzulesen und frage mich, was bedeutet das für unsere Wallets und Börsen? Erstmal die Finger von lassen?

Ohne mich nun groß mit dem Thema beschäftigt zu haben, finde ich folgende Reddit Diskussion ganz interessant: https://www.reddit.com/r/Bitcoin/comments/7o25px/cto_of_satoshilabs_trezor_is_not_vulnerable_to/

[Bambulee]

Die wohl beste Empfehlung für den Fehler in der CPU liefert CERT.
https://www.kb.cert.org/vuls/id/584653

und Snoden zeigt was passieren kann  
https://twitter.com/Snowden/status/949047283357806593


Diese signifikante Schnittstelle ist weit über ein Jahrzehnt alt und keinem ist etwas aufgefallen? Das ist kein Prozessor-Bereich wo sich ab und zu mal  zwischen 1 und 2 Uhr verirrt.
Nein, das ist die Schnittstelle überhaupt.

Das es in der Vergangenheit bei Hardware Hintertüren gegeben hat ist unbestritten.

[bct_ail]

Erklärungen für den Fehler gibt es ja genug. Aber was nun machen? Java Script ausschalten und erstmal nirgends mehr anmelden, keine Wallets mehr öffnen....?

[hodlcoins]

Das reicht nicht.
Irgendein Programm, z.B. auch Werbung auf einer Webseite, und du hast theoretisch die Möglichkeit das da ein Meltdown/Spectre drinsteckt.
Und wer weiß, ob nicht schon seit Jahren in irgendwelchen DLLs oder Treibern ein Meltdown untergebracht ist.

Prinzipiell ist das Ding das Dieselgate der IT-Industrie.
Jeder Kasten mit etwas Schläue und Internetanschluss muss umgehend in den Müll. Jeder.
Handy, Tablet, Laptop, PC, Konsole, Router, WLAN.
Milliarden von Servern bei Facebook, Google, Amazon, 1&1 und so weiter.
Ach so moderne VoIP-Telefone, meist auf Android/ARM-Basis.
Industrie 4.0? Oh. Alle Maschinen mit PC-Steuerung und Internet/Cloud-Funktion.
Yay.

Im Prinzip müssen wir alle zu Zettel und Stift zurück. Sogenannte IT geht nur noch wenn man nie niemals nicht vorhat die in die Nähe eines Internetanschlusses zu bringen.
Alle Patcherei frickelt ein Pflaster drauf, behebt aber das Problem nicht, und kann es auch nicht, weil der Prozessor getauscht werden muss. Punkt.

[fuhbaer]

Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren.

Javascript abschalten hilft auf alle Fälle einen Teil des Problems abzufangen (mit JavaScript ist es wohl sehr einfach einfach über irgendeine Webseite private Daten des Besuchers auszulesen). Diverse Browser-Updates sollen das für die Angreifer etwas schwieriger machen (aber das ist auch nur ein halber Schutz). 

[bct_ail]

Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren.

Und wie willst du dann traden oder etwas verschicken?

[mezzomix]

In diesem Fall sind Hardware Wallets (nur mit Display und Tastatur) eine sinnvolle Sache. Die sind bei einigermassen sinnvoller Implementierung darüber nicht angreifbar. Der Private Key darf die Hardware Wallet nur über das Display (Save Words etc.) verlassen. Jeder andere Weg muss ausgeschlossen sein. Die Schnittstelle zur Wallet darf kein DMA auf die Wallet erlauben.

[fuhbaer]

Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren.

Und wie willst du dann traden oder etwas verschicken?

Du musst halt abwägen was Du machen möchtest oder nicht, wenn Du eine Verbindung zum Traden —oder was auch immer— brauchst gehst Du halt Risiko ein. Z.B. zum reinen Minen brauchst Du keine Wallets online zu lassen, die können dann schön auf einer offline Maschine (oder auf einem Zettel Papier wenn mögl.) verbleiben.

[o_solo_miner]

Erklärungen für den Fehler gibt es ja genug. Aber was nun machen? Java Script ausschalten und erstmal nirgends mehr anmelden, keine Wallets mehr öffnen....?

Ja, Javascript aus (Ich verstehe nicht wieso man das überhaupt anschaltet*).
FF mit NoScript oder Crome mit xxx

Damit fährt man etwas sicherer, bei Seiten mit Passworteingabe immer (da gibt es keine Ausnahme) eine
eigenes Fenster öffnen.

Nur einer der Bugs kann "wirklich" Online erfolgen, für den zweiten benötigt man (noch) zugriff auf die Maschine selbst.

Sorgen würde ich mir aber um die vielen Android Handys machen, diese werden ja nicht alle mit einem Update versehen.
Wer da ein Wallet drauf hat .... 2FA und so.

Und ja, mich betrifft das nicht auf dem Handy, das hat Internet Abgeschaltet.
Und ja, es betrifft mich doch auf dem Tablett, Gigaset hat kein Update für das eigentlich gute Tab

Sempervideo hat eine schöne Erklärung über diese Bugs:
1. https://www.youtube.com/watch?v=ZkLjMm7Nu7s
2. https://www.youtube.com/watch?v=HWf529MJzkM

Blockchain erklärt:
https://www.youtube.com/watch?v=4Eoela-Ai-o

* und den Scheiß möchte ich eigentlich auch nicht:
google.com
gstatic.com

[bct_ail]

Ja, Javascript aus (Ich verstehe nicht wieso man das überhaupt anschaltet*).

Und wie soll man dann z.B. bei bittrex traden? Die wollen nämlich Javascript haben.

Damit fährt man etwas sicherer, bei Seiten mit Passworteingabe immer (da gibt es keine Ausnahme) eine
eigenes Fenster öffnen.

Womit fährt man sicherer?

Nur einer der Bugs kann "wirklich" Online erfolgen, für den zweiten benötigt man (noch) zugriff auf die Maschine selbst.

Welcher Online? Meltdown oder Spectre

Sorgen würde ich mir aber um die vielen Android Handys machen, diese werden ja nicht alle mit einem Update versehen.
Wer da ein Wallet drauf hat .... 2FA und so.

Das weiß ja sogar ich, dass das fahrlässig ist, auf dem gleichen System 2FA und Wallet drauf zu haben.

[o_solo_miner]

Und wie soll man dann z.B. bei bittrex traden? Die wollen nämlich Javascript haben.

Anschalten, sonst wird das nichts, aber in einem eigenen Browserfenster oder auf einem eigens dafür genutzen Rechner (Ja, ich weiß, zu Aufwändig, aber dafür gibt es VMs).

Womit fährt man sicherer?

genau so: Ein eigenes Fenster öffnen, kein Tab.

Das ist natürlich kein Allheilmittel, verhindert aber schon mal den Abgriff der Login Daten durch "Evil" scripte.

Welcher Online? Meltdown oder Spectre

Spectre

drittes Video von Sempervideo demonstreirt mal den Angriff:
https://www.youtube.com/watch?v=pUJ0hGJJbeE

Das weiß ja sogar ich, dass das fahrlässig ist, auf dem gleichen System 2FA und Wallet drauf zu haben.

Dann ist es ja gut, aber vieleicht Lesen das hier auch noch "Anfänger" denen das nicht so Bewußt ist.

[bct_ail]

(Ja, ich weiß, zu Aufwändig, aber dafür gibt es VMs).

Sowie ich das verstanden habe, könnten die Angriffe auch aus einer VM aufs Hauptsystem laufen. Fängt man sich also etwas auf der VM ein, so kann es auf dem Hauptsystem installiert werden und man bekommt es nicht unbedingt mit.


Sonst zu JavaScript aus: NoScript wäre auch noch eine Möglichkeit

[hodlcoins]

VMs werden durchsichtig mit Meltdown.

Man wäre in der VM zwar gegen evtl. unerwünschte Installationen halbwegs sicher (zumindest auf dem Hauptsystem), aber beide Hacks greifen das physikalische RAM ab.
Wo ein Hack läuft und wo die Daten benutzt werden ist also egal, solange das innerhalb einer Kiste passiert.

[Serpens66]

Updates können ja helfen, also ist es sicherlich nicht verkehrt diese auch zu installieren.
[...]
Heißt das nun, dass alle alten Tablets in die Tonne müssen, weil Hersteller/Betriebssysteme sich weigern ein Sicherheitsupdate zu geben?

[hodlcoins]

Ja.

Alle Geräte mit Cache im Prozessor sowie der Funktion der Sprungvorhersage mit Baujahr vor ca. 2019 müssen in den Müll oder isoliert werden.
Das betrifft Intel und AMD seit Mitte der 90er, ARM weiß ich nicht, wird aber ähnlich sein.

Einzig billigste Intel Atoms vor ca. 2013 haben das nicht und sind sicher.

[mezzomix]

Einzig billigste Intel Atoms vor ca. 2013 haben das nicht und sind vielleicht sicher.

Es ist nicht klar, ob da nicht noch mehr nachkommt. Alles in allem ziemlich ekelhaft - ein Seitenkanalangriff  auf die CPU. Im Prinzip müsste das ganze Exception Verhalten mit allen Optimierungen auf den Prüfstand gestellt werden. Und SMM, Secure World und ihre Abkömmlinge ebenfalls.

[hodlcoins]

Meine Aussage war natürlich immer im Kontext von Spectre und Meltdown gesehen, und die sind technisch nicht möglich bei den alten Atomen, da die keine Prediction haben.
Natürlich werden jetzt alle hellhörig und andere Tricks finden...

Andersrum will auch keiner "alte" Proze benutzen, 6 Monate ist ja meist schon Schrott. Läuft noch perfekt, ist aber eben als Anschaffung unerwünscht.

[mezzomix]

Andersrum will auch keiner "alte" Proze benutzen, 6 Monate ist ja meist schon Schrott. Läuft noch perfekt, ist aber eben als Anschaffung unerwünscht.

Ui, und mein Hauptrechner hat einen 560M, das sind eher 6 Jahre als 6 Monate und ich würde den (abgesehen von Spectre/Meltdown) noch lange nicht als Schrott betrachten. 

[Bierchen]

Ich habe mir jetzt einen raspberry pi bestellt und werde alle Wallets darauf halten. Der soll nämlich nicht betroffen sein. Private Keys bzw. Seeds werden offline gesichert.