Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Updates: Wie man Spectre und Meltdown…

Wir großist die Wahrscheinlichkeit..

  1. Thema

Neues Thema Ansicht wechseln


  1. Wir großist die Wahrscheinlichkeit..

    Autor: Schmax 12.01.18 - 14:11

    Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem Privatusrer wirklich ausgenutzt werden? Wenn ich hier die Beschreibung lesen scheint mir (als Leie) das Angriffsszenario auf Grund der Komplexität doch sehr unwahrscheinlich. Oder kann man die Lücken z.B. beim Surfen im Internet ausnutzen?

    Sorry für die vlt dumme Frage, aber ich bin in diem Thema doch sehr unbedarft. Daher danke für eine Rückmeldung.

  2. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:22

    Die Lücken können bei einem Besuch einer Webseite mit JavaScript Funktionalität ausgenutzt werden. Der Empfang einer HTML eMail ist mit dem Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Entsprechend kann ein recht gutes Schutzniveau erreicht werden wenn die JavaScript Engines derart konzipiert sind, dass MeltDown und Spectre ausgeschlossen sind. Die offene Frage ist somit?

    Kann eine JavaScript Engine derart konzipiert werden, dass MeltDown und Spectre ausgeschlossen sind?

    Diese Frage ist meines Erachtens noch nicht endgültig beantwortbar.

    Gruß,
    pica

    Bitte besucht mich unter http://sourceforge.net/u/pica-acip/profile/ gebt und gibt mir eure Kritik, Vorschläge, ...

    Neu: Restricted Types for Java
    Types that automatically check invariants

  3. Re: Wir großist die Wahrscheinlichkeit..

    Autor: kayozz 12.01.18 - 14:26

    pica schrieb:
    --------------------------------------------------------------------------------
    > Der Empfang einer HTML eMail ist mit dem
    > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

  4. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:30

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > pica schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Empfang einer HTML eMail ist mit dem
    > > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.
    >
    > Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail
    > Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

    eher den Virenscanner. Manche Virenscanner öffnen die eMail bevor diese an den eMail Client weiterreichen. Einige Virenscanner führen dabei sogar das JavaScript aus.

    Gruß,
    pica

    Bitte besucht mich unter http://sourceforge.net/u/pica-acip/profile/ gebt und gibt mir eure Kritik, Vorschläge, ...

    Neu: Restricted Types for Java
    Types that automatically check invariants

  5. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 12.01.18 - 14:31

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese
    > Sicherheitslücken bei einem Privatusrer wirklich
    > ausgenutzt werden? Wenn ich hier die Beschreibung
    > lesen scheint mir (als Leie) das Angriffsszenario auf
    > Grund der Komplexität doch sehr unwahrscheinlich.
    > Oder kann man die Lücken z.B. beim Surfen im
    > Internet ausnutzen?

    Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt. Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest nicht bei Privatgrundstücken.

    Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

  6. Re: Wir großist die Wahrscheinlichkeit..

    Autor: demon driver 12.01.18 - 14:45

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem
    > Privatusrer wirklich ausgenutzt werden?

    Schwierig zu sagen, aber seit gestern ist wohl raus, dass die ersten Exploitkits im Umlauf sind für das Szenario. Das heißt, dass ab sofort auch technisch unbedarfte Böswillige in der Lage sind, aktiven Schadcode in die Welt zu setzen, und das wiederum heißt, denke ich, dass es eher Tage als Wochen dauern wird, bis auch solcher Schadcode tatsächlich in die freie Wildbahn gelangt.

  7. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 02:40

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.

    Da du aber auf deinem Privatgrundstück ständig wilde Partys mit fremden Leuten feierst (=surfen auf fremden Webseiten mit aktivem Javascript), ist deine Grundstücksgrenze nicht sicher und das angelehnte Fenster wird schnell zum Beinbruch.

    Die Analogie gefällt mir :-)



    1 mal bearbeitet, zuletzt am 13.01.18 02:43 durch 1ras.

  8. Re: Wir großist die Wahrscheinlichkeit..

    Autor: TJone 13.01.18 - 05:41

    Man sollte aber nicht unerwähnt lassen, daß die bekannte Angriffsmethode von Spectre sehr langsam ist und damit eher für gezielte Angriffe viel interessanter ist.
    Zumindest für die gängigen Browser gibt es Fixes resp. sind welche in der Mache.

    Meine persönliche Meinung ist, daß vom bekannten Angriffsweg kaum eine wirkliche Gefahr ausgeht. Gruseliger wirds, wenn man eine neue Methode aus der Spectreklasse findet, die effizienter funktioniert und sein schnelleres Durchsuchen erlaubt.

  9. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 10:56

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Da du aber auf deinem Privatgrundstück ständig wilde
    > Partys mit fremden Leuten feierst (=surfen auf fremden
    > Webseiten mit aktivem Javascript), ist deine
    > Grundstücksgrenze nicht sicher und das angelehnte
    > Fenster wird schnell zum Beinbruch.
    >
    > Die Analogie gefällt mir :-)

    Mir gefällt auch deine Erweiterung derselben. :-)

    Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn schließlich hat man es in der Hand, wie wild die Party werden darf und welche Leute man dafür in seinen Garten lässt.

    Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal einer einsteigt.

  10. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 11:11

    TJone schrieb:
    --------------------------------------------------------------------------------
    > Gruseliger wirds, wenn man eine neue Methode aus
    > der Spectreklasse findet, die effizienter funktioniert
    > und sein schnelleres Durchsuchen erlaubt.

    Ich weiß gerade nicht, ob das technisch überhaupt möglich ist. Schließlich geht es konstruktionsbedingt um random data, man hat also gar keine Möglichkeit, das Abfischen zu strukturieren. Man muss tatsächlich alles linear und komplett abgreifen.

    Uns damit ist es ja auch noch nicht getan. Die abgefischten Daten sind erst einmal noch gar keine, sondern lediglich Zahlenwerte - eine komplett kontextlose Kette von Nullen und Einsen. Diese zu strukturieren und verwertbare Informationen zu extrahieren ist recht aufwändig, auch wenn man es teilweise automatisieren kann. Ziemlich unwahrscheinlich, das damit Massenangriffe gestartet werden - bis man durch den Wust durch ist, hat sogar ein DAU mal seine Passwörter gewechselt. Selbst ein gezielter Angriff auf Ottnormalbürger ist kaum rentabel, denn es ist viel Aufwand, um *vielleicht* verwertbare Informationen zu gewinnen.

    Da ist es einfacher und lukrativer, mit den ohnehin erforderlichen Grundzugriff Ransomware und Keylogger zu installieren und parallel die geflügelte Affen fleißig Spam im Namen nigerianischer Prinzen verschicken zu lassen, anstatt sie mit der Auswertung abgefischter Daten zu beauftragen.

    Bei High Value Targets in Wirtschaft, Forschung und Militär (allerdings auch bei prominenten/vermögenden Privatpersonen) sieht es natürlich wieder ganz anders aus.

  11. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 14:30

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da du aber auf deinem Privatgrundstück ständig wilde
    > > Partys mit fremden Leuten feierst (=surfen auf fremden
    > > Webseiten mit aktivem Javascript), ist deine
    > > Grundstücksgrenze nicht sicher und das angelehnte
    > > Fenster wird schnell zum Beinbruch.
    > >
    > > Die Analogie gefällt mir :-)
    >
    > Mir gefällt auch deine Erweiterung derselben. :-)
    >
    > Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn
    > schließlich hat man es in der Hand, wie wild die Party werden darf und
    > welche Leute man dafür in seinen Garten lässt.

    Der durchschnittliche Nutzer hat es in der Hand, wie wild die Party wird und welche Leute er in seinen Garten lässt? Wie viele fremde Leute hat er wohl gerade eben nur durch den Besuch von golem.de in seinen Garten gelassen?

    Ist ja nicht so, dass der Ottonormalnutzer mit abgeschaltetem Javascript unterwegs wäre und grundsätzlich einen Adblocker verwendet. Und Werbeverteilnetze haben ja auch noch nie Schädlinge verteilt.

    Ich denke wir sollten uns darauf einigen, dass der Ottonormalnutzer gar nicht weiß, wie wild die Partys sind die er da feiert und welche Leute teilnehmen.

    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Privatgrundstücke als Analogie zu privaten Rechnern, Smartphones und Tablets sind gerade der Ort, wo sich die meisten privaten Dokumente befinden, welche nicht in die Hände Dritter gehören.

  12. Re: Wir großist die Wahrscheinlichkeit..

    Autor: maverick1977 13.01.18 - 15:13

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Es geht ja auch gar nicht um die abgelegten Daten (Dokumente, Bilder, Videos, Office-Daten), sondern um Zugangsdaten, die im Speicher abgelegt sind, weil ein Programm gerade genutzt wird, während jemand anders Dir eine Frage stellt, auf die Du die passende Antwort nicht weißt und mal eben in Google danach suchst.

    Du klickst auf Ergebnisse um diese in Augenschein nehmen zu können. Problem 1: Es wird mit großer Sicherheit eine Website sein, auf der Du noch nicht warst. 2. wird dort Werbung aus einem Werbenetzwerk eingebunden, bei dem man hoffen kann, dass es durch Adblocker gesperrt ist, was man vorab jedoch nicht prüfen kann. 3. ist jeglicher JavaScript-Code somit als pauschales Risiko anzusehen, denn die Fixes der Browserhersteller werden wohl kaum jeglichen Zugriff auf den Arbeitsspeicher unterbinden können.

    Also, egal was Du versuchst, es wird eine Möglichkeit geben. Und da Werbenetzwerke oder Websites von ganz alleine die Nutzer locken, braucht man als Angreifer einfach nur ein wenig Zeit.

  13. Re: Wir großist die Wahrscheinlichkeit..

    Autor: mehrfachgesperrt 17.01.18 - 18:14

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.
    >
    > Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in
    > Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

    Netter und anschaulicher Vergleich. Danke dafür.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AutoScout24 GmbH, München
  2. Techniker Krankenkasse, Hamburg
  3. Edenred Deutschland GmbH, Berlin
  4. über Dr. Maier & Partner GmbH Unternehmensberatung, österreichische Alpen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 199,90€ + 5,99€ Versand (Vergleichspreis CPU 206,39€)
  2. 189€
  3. (u. a. MSI Z370 SLI Plus für 111€ + 5,99€ Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Überwachungstechnik EU-Parlament fordert schärfere Ausfuhrregeln
  2. Apple Messages-App kann mit Nachricht zum Absturz gebracht werden
  3. Partnerprogramm Geld verdienen auf Youtube wird schwieriger

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

  1. Breko: Waipu TV gibt es jetzt für alle Netzbetreiber
    Breko
    Waipu TV gibt es jetzt für alle Netzbetreiber

    Netzbetreiber können jetzt einfach Waipu TV anbieten. Sie müssen mit dem Betreiber Exaring ein Peering und eine Schnittstelle für das Management der Kundendaten einrichten.

  2. Magento: Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert
    Magento
    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

    Oneplus hat seine Untersuchung zu kopierten Kreditkarten abgeschlossen. Angreifer konnten wohl eine Schwachstelle für Cross-Site-Scripting ausnutzen.

  3. Games: US-Spielemarkt wächst 2017 zweistellig
    Games
    US-Spielemarkt wächst 2017 zweistellig

    "Spektakulär" findet der wichtigste US-Branchenverband das Wachstum von Gaming-Hardware und -Software im Jahr 2017. Mittlerweile beschäftigen die Unternehmen der Spieleindustrie mehr als 220.000 Mitarbeiter allein in den USA.


  1. 18:53

  2. 17:28

  3. 16:59

  4. 16:21

  5. 16:02

  6. 15:29

  7. 14:47

  8. 13:05