Meltdown und Spectre: Kann man durch Verhaltens Strategie vorbeugen?

[couchpotato]

Seit mehreren Tagen recherchiere ich nach Lösungsvorschlägen, Vorgehensweisen und Strategien um die
Sicherheitslücken zu schützen.

Die Vorschläge die Betriebssystemupdates einzuspielen habe ich brav befolgt.
Nach BIOS Updates habe ich auf den Hersteller Support Seiten von meinem Packard Bell gesucht, aber da gibt es nichts und das kann ich mir auch nicht vorstellen, dass die da etwas bereit stellen.

Aus einem Interview mit einem IT-Guru habe ich folgendes entnommen:
- Damit diese Sicherheitslücke ausgenutzt werden kann müsste auf dem Rechner eine entsprechende Schadsoftware sein
- Diese Schadsoftware muss gestartet sein
- Wenn ich dann gleichzeitig sicherheitsrelevante Daten öffne, wäre ein auslesen dieser Daten möglich.

Bitte sagt mir ob meine laienhafte Strategie erfolgreich sein kann:

-Ich benutze einen Computer mit einem neu installierten Betriebssystem (sollte ohne Schadsoftware sein)
-Auf diesem Computer installiere ich keine einzige Drittanbieter Software, auch sonst keine SW
-Ich benutze den Browser nur für das Onlinebanking und rufe keine anderen Seiten damit auf
-Somit könnte meine Sicherheitslücke nicht angegriffen werden, oder?

Weil ich sehr faul bin und keine Lust habe meinen Rechner neu zu installieren, habe ich auch in Erwägung gezogen stattdessen die o.g. Prozedur mit Hilfe einer virtuellen Maschine zu machen.
Ist das Sinnvoll?
Als virtuelle Maschine käme aber nur Windows 7 oder XP in Frage (wegen Lizenzen) ein Linux kann ich nicht nehmen,
weil damit meine Bank nicht umgehen kann.

Wäre sehr Dankbar für Hilfe oder Aufklärung!

 

[Ramses_X]

bin kein super experte, aber keine drittsoftware installieren und keine dubiosen webseiten besuchen ruduziert das risiko sicherlich deutlich, wenn du bis auf das bios update alle patches hast.
von der vm bzw. einem alten bs halte ich nichts.

 

[alterSack66]

Ich denk mal, da wird es für einige Mainboards keine Updates mehr geben. Ich werf meinen Rechner deswegen nicht weg. Und in deinem Fall halt ich die Gefahr für sehr gering. 100 % Sicherheit hast sowieso nie.

 

[GTrash81]

So ganz funktioniert das nicht:
- um vor Meltdown und Spectre ganz sicher zu sein, braucht es die Patches
- Meltdown ist gerade dazu gedacht dass man auch aus einer VM heraus auch den RAM von anderen auslesen kann
- der Rechner für das Onlinebanking dürfte auch nur Onlinebanking machen und der Browser dürfte nur Edge/IE sein und dürfte keine Plugins enthalten

Als virtuelle Maschine käme aber nur Windows 7 oder XP in Frage (wegen Lizenzen) ein Linux kann ich nicht nehmen,
weil damit meine Bank nicht umgehen kann.

Wenn Linux nicht geht, wie funktioniert das Onlinebanking? Über eine spezielle Software? Denn HTML und Javascript kann jeder Browser, sogar Linux. Flash funktioniert unter Linux auch, genauso wie Java-Applets. Nur bei Silverlight wird es etwas problematisch wenn ich mich recht entsinne.

Windows 7 oder XP

Die Frage stellt sich bei Sicherheit gar nicht. XP ist EoL und mittlerweile offen wie ein Scheunentor.

 

[Fortatus]

Für Meltdown und Spectre muss der Angreifer auf deinem Rechner Code ausführen können. Die Lücken sorgen dafür, dass er dann mehr lesen kann, als er eigentlich dürfte. Das größte Einfallstor für fremden Code auf dem System ist Javascript im Browser. Ergo dürfte z.B. NoScript helfen. Danach kommt wahrscheinlich Flash. Also solche Sachen nur bei vertrauenswürdigen Seiten ausführen lassen und nicht die ganzen zusätzlich reingeladenen Trackinganbieter etc. Die sind eine Seuche (auch ohne Meltdown&Spectre)

P.S.: Der Super-GAU bei Meltdown ist ja, dass man damit sogar aus einer virtuellen Maschine ausbrechen kann, wenn die Betriebssysteme nicht gepatched wurden. Daher sind die ganzen Cloud-Anbieter auch so heftig betroffen. Also Patchen, Patchen, Patchen

Und wieso kannst du kein Linux nutzen? Wenn das Banking über den Browser läuft, geht Firefox in openSUSE oder sonstigem Linux-Derivat genauso wie Firefox in Windows.

 

[m.Kobold]

Soviel ich weiß, wird hier diese Sicherheitslücke nur gepuscht, das ist nur ein Sturm der sich schnell wiederlegt.

Zumindest für den Privat Anwender.

Untermstrich findet die ausnutzung über den Browser durch Javawebseiten statt, das kann theoretisch auch stinknormale werbung auf offiziellen seiten sein.

Wenn jemand die lücke bei dir erfolgreich ausnutzt, kann er deinen Ram durchsuchen und z.B. deine letzten eingegebenen Passwörter sehen.

Daher nutze ich uBlock Origin und NoScript für meinen Browser und denke damit hat sich die ach so *HYPE* schlimme Sicherheitslücke erledigt.


Falls ich falsch liege, kann mich ja gerne jemand berichtigen.

 

[couchpotato]

Das Onlinebanking bei meiner Bank funktioniert bei meiner Bank mit Hilfe eines Browser Plugin und HBCI.
(Das Plugin funktioniert nur mit dem Internet Explorer)
Ich habe schon eine virtuelle Maschine mit Linux Mint erstellt und eine freie Banking Software, welche Hibiscus heißt installiert.
Aber ab dem Punkt in dem ich Hibiscus angefangen habe einzurichten, habe ich gezögert, weil es irgendwie sehr exotisch ist und dann hat mich der Mut verlassen.

Echt blöd, ich recherchiere seit Tagen im Internet und nichts ist mehr verläßlich.
Ich werde wohl ein Notebook mit Windows 10 nehmen, es neu installieren und genau wie oben beschrieben verfahren.
Dieses Notebook werde ich ausschließlich für das Banking nutzen und sonst nichts.
Das sollte doch klappen, oder?

 

[owned_you]

- um vor Meltdown und Spectre ganz sicher zu sein, braucht es die Patches

falsch! Meltdown und Spectre beruhen auf einer Lücke in der Hardware! Diese kann man nicht patchen ... die Patches und Microcodes usw. können die Lücke nicht schliessen, das kann man nur durch Austausch der CPU mit einer die diese Lücke nicht mehr hat, diese müssen aber erstmal existieren!

Die ganzen Patches Microcodes usw. können nur eines: Sie erschweren das Ausnutzen dieser Lücke!

 

[alterSack66]

Ich halte das auch für etwas übertrieben, die Lücke gibts ja schon länger und welche es sonst noch gibt weißt auch nicht. Mit HBCI und aktuellen OS und Browser sollte da nix passieren. Ausschließen kannst halt nix. Da hilft dir ein neues NB auch wenig.

 

[Sc0ut3r]

als ottonormal user no script und adblock für den browser, app gesteuerte firewall und eine vernünpftige AV software

wenn man nicht grade fahrlässig im internet surft und unbekannte apps runterlädt, passiert garnichts

 

[DJND]

Ich halte das auch für etwas übertrieben, die Lücke gibts ja schon länger und welche es sonst noch gibt weißt auch nicht. Mit HBCI und aktuellen OS und Browser sollte da nix passieren. Ausschließen kannst halt nix. Da hilft dir ein neues NB auch wenig.

Nun weiß aber die ganze Welt heute von Meltdown oder Spectre. Neue Sicherheitslücken werden gerade deswegen so heiß gehandelt, da fast niemand sie kennt und somit keinerlei Fixes existieren. Es gibt bestimmt noch zahllose Lücken in allen Ebenen von Hardware bis Software auf diversen Ebenen. Nur solange niemand sie kennt kann sie auch niemand in Schadprogrammen ausnutzen.

Aber Schadprogramme machen sich nicht nur neue Lücken zu Nutze. Wirklich gut geschriebene Schadsoftware beinhaltet einen ganzen Schwung an Komponenten für Lücken, die bereits gefixt sind. Warum? Na weil zahlreiche Nutzer entweder veraltete Software (Windows XP anyone?) nutzen, die bereits nicht mehr gewartet werden vom Hersteller - so der Hersteller überhaupt noch existiert - oder aber weil Nutzer zu faul sind bekannte Fixes einzuspielen.

Gerade letzteres ist verbreitet. Manchmal steckt dahinter sogar System, denn jeder Fix fürs Betriebssystem kann möglicherweise Drittsoftware lahmlegen. Und das dann wieder zu beheben kann teuer werden. Die WannaCry Ransomware, die im Mai 2017 diverse Rechner und sogar ganze Unternehmen lahmlegte nutzte beispielsweise primär eine Sicherheitslücke im Betriebssystem Windows aller Varianten aus, die von Microsoft bereits im März 2017 geschlossen wurde. Nebenbei bemerkt saß der amerikanische NSA auf dieser Sicherheitslücke und hat sie zur Entwicklung eigener Schadsoftware genutzt anstatt sie an Microsoft zu melden.

Die Folge dieser Situation war in Windows 10, daß man dort Updates nur sehr umständlich deaktivieren kann.

Also, nur weil eine Lücke schon länger existiert und es noch viele andere Lücken gibt hat das nicht zu bedeuten, daß du sicherer bist. Da gibts soetwas wie Herdensicherheit wie bei biologischem Impfen großer Teile der Bevölkerung nicht.

 

[couchpotato]

Okay, danke für Euere Stellungnahmen zu dem Thema.
Ich fühle mich bestätigt.
Habe einen bösen Verdacht, dass es zu einem Hype gemacht wurde um bestimmte Chip Hersteller zu schädigen und um Kaufanreize für die Zukunft zu setzen
Wenn die erste CPU ohne diesem "offenen Scheunentor" auf den Markt kommt, dann werden endlich wieder neue Prozessoren gekauft.
Aber Verschwörungstheorie beiseite, es hat hoffentlich viele mal wieder aufgeweckt über ihr Verhalten mit dem Computer nachzudenken.
Danke!

 

[GTrash81]

Ich halte das auch für etwas übertrieben, die Lücke gibts ja schon länger und welche es sonst noch gibt weißt auch nicht. Mit HBCI und aktuellen OS und Browser sollte da nix passieren. Ausschließen kannst halt nix. Da hilft dir ein neues NB auch wenig.

Das Problem ist, wovon niemand weiß, sucht niemand nach. Jetzt wo alle darüber wissen, werden die entsprechenden Viren und Trojaner erstellt.

Die ganzen Patches Microcodes usw. können nur eines: Sie erschweren das Ausnutzen dieser Lücke!

Wenn das stimmt, haben da aber so einige Berichte im Detail geschlampt. Es heißt durch die Patches und Microcodes, wird dieser Teil der CPU-Logik übersprungen und man ist dadurch nicht mehr angreifbar.
Und ja, ich weiß dass dies in der CPU als physikalischer Schaltkreis, vielleicht auch nur teilweise, eingebettet ist und die einzige Option gegen Meltdown ist auf die Zen-Architektur zu wechseln....laut den Berichten mit den nicht ganz korrekten Details.....

als ottonormal user no script und adblock für den browser, app gesteuerte firewall und eine vernünpftige AV software

"Problem": die Seite die man gerade benutzen muss/möchte hat Javascript-Elemente, die freigeschaltet werden müssen.
Wenn dann noch die folgende Geschichte dazu kommt, dann gute Nacht:
https://hackernoon.com/im-harvestin...swords-from-your-site-here-s-how-9a8cb347c5b5

Habe einen bösen Verdacht, dass es zu einem Hype gemacht wurde um bestimmte Chip Hersteller zu schädigen und um Kaufanreize für die Zukunft zu setzen

Hier muss man die Seite beachten. Zu Hause auf dem einzelnen PC ein nicht ganz so drastisches Thema. Bei AWS, Azure etc. wo man mit einer VM auf dem gleichen Host den kompletten RAM abziehen kann, ist die Sache deutlich gefährlicher.