Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Updates: Wie man Spectre und Meltdown…

Wir großist die Wahrscheinlichkeit..

  1. Thema

Neues Thema Ansicht wechseln


  1. Wir großist die Wahrscheinlichkeit..

    Autor: Schmax 12.01.18 - 14:11

    Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem Privatusrer wirklich ausgenutzt werden? Wenn ich hier die Beschreibung lesen scheint mir (als Leie) das Angriffsszenario auf Grund der Komplexität doch sehr unwahrscheinlich. Oder kann man die Lücken z.B. beim Surfen im Internet ausnutzen?

    Sorry für die vlt dumme Frage, aber ich bin in diem Thema doch sehr unbedarft. Daher danke für eine Rückmeldung.

  2. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:22

    Die Lücken können bei einem Besuch einer Webseite mit JavaScript Funktionalität ausgenutzt werden. Der Empfang einer HTML eMail ist mit dem Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Entsprechend kann ein recht gutes Schutzniveau erreicht werden wenn die JavaScript Engines derart konzipiert sind, dass MeltDown und Spectre ausgeschlossen sind. Die offene Frage ist somit?

    Kann eine JavaScript Engine derart konzipiert werden, dass MeltDown und Spectre ausgeschlossen sind?

    Diese Frage ist meines Erachtens noch nicht endgültig beantwortbar.

    Gruß,
    pica

  3. Re: Wir großist die Wahrscheinlichkeit..

    Autor: kayozz 12.01.18 - 14:26

    pica schrieb:
    --------------------------------------------------------------------------------
    > Der Empfang einer HTML eMail ist mit dem
    > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

  4. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:30

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > pica schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Empfang einer HTML eMail ist mit dem
    > > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.
    >
    > Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail
    > Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

    eher den Virenscanner. Manche Virenscanner öffnen die eMail bevor diese an den eMail Client weiterreichen. Einige Virenscanner führen dabei sogar das JavaScript aus.

    Gruß,
    pica

  5. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 12.01.18 - 14:31

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese
    > Sicherheitslücken bei einem Privatusrer wirklich
    > ausgenutzt werden? Wenn ich hier die Beschreibung
    > lesen scheint mir (als Leie) das Angriffsszenario auf
    > Grund der Komplexität doch sehr unwahrscheinlich.
    > Oder kann man die Lücken z.B. beim Surfen im
    > Internet ausnutzen?

    Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt. Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest nicht bei Privatgrundstücken.

    Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

  6. Re: Wir großist die Wahrscheinlichkeit..

    Autor: demon driver 12.01.18 - 14:45

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem
    > Privatusrer wirklich ausgenutzt werden?

    Schwierig zu sagen, aber seit gestern ist wohl raus, dass die ersten Exploitkits im Umlauf sind für das Szenario. Das heißt, dass ab sofort auch technisch unbedarfte Böswillige in der Lage sind, aktiven Schadcode in die Welt zu setzen, und das wiederum heißt, denke ich, dass es eher Tage als Wochen dauern wird, bis auch solcher Schadcode tatsächlich in die freie Wildbahn gelangt.

  7. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 02:40

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.

    Da du aber auf deinem Privatgrundstück ständig wilde Partys mit fremden Leuten feierst (=surfen auf fremden Webseiten mit aktivem Javascript), ist deine Grundstücksgrenze nicht sicher und das angelehnte Fenster wird schnell zum Beinbruch.

    Die Analogie gefällt mir :-)



    1 mal bearbeitet, zuletzt am 13.01.18 02:43 durch 1ras.

  8. Re: Wir großist die Wahrscheinlichkeit..

    Autor: TJone 13.01.18 - 05:41

    Man sollte aber nicht unerwähnt lassen, daß die bekannte Angriffsmethode von Spectre sehr langsam ist und damit eher für gezielte Angriffe viel interessanter ist.
    Zumindest für die gängigen Browser gibt es Fixes resp. sind welche in der Mache.

    Meine persönliche Meinung ist, daß vom bekannten Angriffsweg kaum eine wirkliche Gefahr ausgeht. Gruseliger wirds, wenn man eine neue Methode aus der Spectreklasse findet, die effizienter funktioniert und sein schnelleres Durchsuchen erlaubt.

  9. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 10:56

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Da du aber auf deinem Privatgrundstück ständig wilde
    > Partys mit fremden Leuten feierst (=surfen auf fremden
    > Webseiten mit aktivem Javascript), ist deine
    > Grundstücksgrenze nicht sicher und das angelehnte
    > Fenster wird schnell zum Beinbruch.
    >
    > Die Analogie gefällt mir :-)

    Mir gefällt auch deine Erweiterung derselben. :-)

    Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn schließlich hat man es in der Hand, wie wild die Party werden darf und welche Leute man dafür in seinen Garten lässt.

    Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal einer einsteigt.

  10. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 11:11

    TJone schrieb:
    --------------------------------------------------------------------------------
    > Gruseliger wirds, wenn man eine neue Methode aus
    > der Spectreklasse findet, die effizienter funktioniert
    > und sein schnelleres Durchsuchen erlaubt.

    Ich weiß gerade nicht, ob das technisch überhaupt möglich ist. Schließlich geht es konstruktionsbedingt um random data, man hat also gar keine Möglichkeit, das Abfischen zu strukturieren. Man muss tatsächlich alles linear und komplett abgreifen.

    Uns damit ist es ja auch noch nicht getan. Die abgefischten Daten sind erst einmal noch gar keine, sondern lediglich Zahlenwerte - eine komplett kontextlose Kette von Nullen und Einsen. Diese zu strukturieren und verwertbare Informationen zu extrahieren ist recht aufwändig, auch wenn man es teilweise automatisieren kann. Ziemlich unwahrscheinlich, das damit Massenangriffe gestartet werden - bis man durch den Wust durch ist, hat sogar ein DAU mal seine Passwörter gewechselt. Selbst ein gezielter Angriff auf Ottnormalbürger ist kaum rentabel, denn es ist viel Aufwand, um *vielleicht* verwertbare Informationen zu gewinnen.

    Da ist es einfacher und lukrativer, mit den ohnehin erforderlichen Grundzugriff Ransomware und Keylogger zu installieren und parallel die geflügelte Affen fleißig Spam im Namen nigerianischer Prinzen verschicken zu lassen, anstatt sie mit der Auswertung abgefischter Daten zu beauftragen.

    Bei High Value Targets in Wirtschaft, Forschung und Militär (allerdings auch bei prominenten/vermögenden Privatpersonen) sieht es natürlich wieder ganz anders aus.

  11. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 14:30

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da du aber auf deinem Privatgrundstück ständig wilde
    > > Partys mit fremden Leuten feierst (=surfen auf fremden
    > > Webseiten mit aktivem Javascript), ist deine
    > > Grundstücksgrenze nicht sicher und das angelehnte
    > > Fenster wird schnell zum Beinbruch.
    > >
    > > Die Analogie gefällt mir :-)
    >
    > Mir gefällt auch deine Erweiterung derselben. :-)
    >
    > Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn
    > schließlich hat man es in der Hand, wie wild die Party werden darf und
    > welche Leute man dafür in seinen Garten lässt.

    Der durchschnittliche Nutzer hat es in der Hand, wie wild die Party wird und welche Leute er in seinen Garten lässt? Wie viele fremde Leute hat er wohl gerade eben nur durch den Besuch von golem.de in seinen Garten gelassen?

    Ist ja nicht so, dass der Ottonormalnutzer mit abgeschaltetem Javascript unterwegs wäre und grundsätzlich einen Adblocker verwendet. Und Werbeverteilnetze haben ja auch noch nie Schädlinge verteilt.

    Ich denke wir sollten uns darauf einigen, dass der Ottonormalnutzer gar nicht weiß, wie wild die Partys sind die er da feiert und welche Leute teilnehmen.

    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Privatgrundstücke als Analogie zu privaten Rechnern, Smartphones und Tablets sind gerade der Ort, wo sich die meisten privaten Dokumente befinden, welche nicht in die Hände Dritter gehören.

  12. Re: Wir großist die Wahrscheinlichkeit..

    Autor: maverick1977 13.01.18 - 15:13

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Es geht ja auch gar nicht um die abgelegten Daten (Dokumente, Bilder, Videos, Office-Daten), sondern um Zugangsdaten, die im Speicher abgelegt sind, weil ein Programm gerade genutzt wird, während jemand anders Dir eine Frage stellt, auf die Du die passende Antwort nicht weißt und mal eben in Google danach suchst.

    Du klickst auf Ergebnisse um diese in Augenschein nehmen zu können. Problem 1: Es wird mit großer Sicherheit eine Website sein, auf der Du noch nicht warst. 2. wird dort Werbung aus einem Werbenetzwerk eingebunden, bei dem man hoffen kann, dass es durch Adblocker gesperrt ist, was man vorab jedoch nicht prüfen kann. 3. ist jeglicher JavaScript-Code somit als pauschales Risiko anzusehen, denn die Fixes der Browserhersteller werden wohl kaum jeglichen Zugriff auf den Arbeitsspeicher unterbinden können.

    Also, egal was Du versuchst, es wird eine Möglichkeit geben. Und da Werbenetzwerke oder Websites von ganz alleine die Nutzer locken, braucht man als Angreifer einfach nur ein wenig Zeit.

  13. Re: Wir großist die Wahrscheinlichkeit..

    Autor: mehrfachgesperrt 17.01.18 - 18:14

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.
    >
    > Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in
    > Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

    Netter und anschaulicher Vergleich. Danke dafür.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. 10X Innovation GmbH & Co. KG, Berlin
  2. ALBA Nordbaden GmbH, Karlsruhe
  3. IcamSystems GmbH, Leipzig
  4. Hays AG, Raum Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 499€ (Bestpreis!)
  2. 569€ (Bestpreis!)
  3. 64,90€ für Prime-Mitglieder (Vergleichspreis 72,88€)
  4. (u. a. LG OLED65W8PLA für 4.444€ statt 4.995€ im Vergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

  1. Displaybruch: Reparatur des iPhone Xr wird teuer
    Displaybruch
    Reparatur des iPhone Xr wird teuer

    Anlässlich des Verkaufsstarts des iPhone Xr in der kommenden Woche hat Apple dessen Reparaturpreise veröffentlicht. Die Behebung eines Displaybruchs wird teurer als beim iPhone 8.

  2. Elektroauto: Audi E-Tron verspätet sich wegen Softwareproblemen
    Elektroauto
    Audi E-Tron verspätet sich wegen Softwareproblemen

    Audi kann sein Elektro-SUV E-Tron nicht wie geplant ausliefern. Grund sollen Softwareprobleme sein, die erst behoben werden müssen. Noch ist nicht klar, ob das wenige Wochen oder Monate kosten wird. Bei den Akkus soll es finanzielle Streitigkeiten geben.

  3. Telekommunikation: Mit dem Laser durch die Wolken
    Telekommunikation
    Mit dem Laser durch die Wolken

    Laser könnten Daten von Satelliten viel besser übertragen als Radiowellen. Aber was tun bei schlechtem Wetter? Forscher aus der Schweiz haben einen Weg gefunden und machen sich dabei jahrzehntealte Forschung zunutze.


  1. 07:30

  2. 07:16

  3. 07:00

  4. 16:31

  5. 13:40

  6. 11:56

  7. 10:59

  8. 15:23