Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Updates: Wie man Spectre und Meltdown…

Wir großist die Wahrscheinlichkeit..

  1. Thema

Neues Thema Ansicht wechseln


  1. Wir großist die Wahrscheinlichkeit..

    Autor: Schmax 12.01.18 - 14:11

    Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem Privatusrer wirklich ausgenutzt werden? Wenn ich hier die Beschreibung lesen scheint mir (als Leie) das Angriffsszenario auf Grund der Komplexität doch sehr unwahrscheinlich. Oder kann man die Lücken z.B. beim Surfen im Internet ausnutzen?

    Sorry für die vlt dumme Frage, aber ich bin in diem Thema doch sehr unbedarft. Daher danke für eine Rückmeldung.

  2. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:22

    Die Lücken können bei einem Besuch einer Webseite mit JavaScript Funktionalität ausgenutzt werden. Der Empfang einer HTML eMail ist mit dem Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Entsprechend kann ein recht gutes Schutzniveau erreicht werden wenn die JavaScript Engines derart konzipiert sind, dass MeltDown und Spectre ausgeschlossen sind. Die offene Frage ist somit?

    Kann eine JavaScript Engine derart konzipiert werden, dass MeltDown und Spectre ausgeschlossen sind?

    Diese Frage ist meines Erachtens noch nicht endgültig beantwortbar.

    Gruß,
    pica

  3. Re: Wir großist die Wahrscheinlichkeit..

    Autor: kayozz 12.01.18 - 14:26

    pica schrieb:
    --------------------------------------------------------------------------------
    > Der Empfang einer HTML eMail ist mit dem
    > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.

    Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

  4. Re: Wir großist die Wahrscheinlichkeit..

    Autor: pica 12.01.18 - 14:30

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > pica schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Empfang einer HTML eMail ist mit dem
    > > Besuch einer Webseite mit JavaScript Funktionalität gleichzusetzen.
    >
    > Gott sei Dank nicht, bzw. bei den meisten E-Mail Programmen / Webmail
    > Clients nicht. Wenn doch sollte man sein Mail-Programm wechseln.

    eher den Virenscanner. Manche Virenscanner öffnen die eMail bevor diese an den eMail Client weiterreichen. Einige Virenscanner führen dabei sogar das JavaScript aus.

    Gruß,
    pica

  5. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 12.01.18 - 14:31

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese
    > Sicherheitslücken bei einem Privatusrer wirklich
    > ausgenutzt werden? Wenn ich hier die Beschreibung
    > lesen scheint mir (als Leie) das Angriffsszenario auf
    > Grund der Komplexität doch sehr unwahrscheinlich.
    > Oder kann man die Lücken z.B. beim Surfen im
    > Internet ausnutzen?

    Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt. Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest nicht bei Privatgrundstücken.

    Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

  6. Re: Wir großist die Wahrscheinlichkeit..

    Autor: demon driver 12.01.18 - 14:45

    Schmax schrieb:
    --------------------------------------------------------------------------------
    > Wie groß ist die Wahrscheinlichkeit, dass diese Sicherheitslücken bei einem
    > Privatusrer wirklich ausgenutzt werden?

    Schwierig zu sagen, aber seit gestern ist wohl raus, dass die ersten Exploitkits im Umlauf sind für das Szenario. Das heißt, dass ab sofort auch technisch unbedarfte Böswillige in der Lage sind, aktiven Schadcode in die Welt zu setzen, und das wiederum heißt, denke ich, dass es eher Tage als Wochen dauern wird, bis auch solcher Schadcode tatsächlich in die freie Wildbahn gelangt.

  7. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 02:40

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.

    Da du aber auf deinem Privatgrundstück ständig wilde Partys mit fremden Leuten feierst (=surfen auf fremden Webseiten mit aktivem Javascript), ist deine Grundstücksgrenze nicht sicher und das angelehnte Fenster wird schnell zum Beinbruch.

    Die Analogie gefällt mir :-)



    1 mal bearbeitet, zuletzt am 13.01.18 02:43 durch 1ras.

  8. Re: Wir großist die Wahrscheinlichkeit..

    Autor: TJone 13.01.18 - 05:41

    Man sollte aber nicht unerwähnt lassen, daß die bekannte Angriffsmethode von Spectre sehr langsam ist und damit eher für gezielte Angriffe viel interessanter ist.
    Zumindest für die gängigen Browser gibt es Fixes resp. sind welche in der Mache.

    Meine persönliche Meinung ist, daß vom bekannten Angriffsweg kaum eine wirkliche Gefahr ausgeht. Gruseliger wirds, wenn man eine neue Methode aus der Spectreklasse findet, die effizienter funktioniert und sein schnelleres Durchsuchen erlaubt.

  9. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 10:56

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Da du aber auf deinem Privatgrundstück ständig wilde
    > Partys mit fremden Leuten feierst (=surfen auf fremden
    > Webseiten mit aktivem Javascript), ist deine
    > Grundstücksgrenze nicht sicher und das angelehnte
    > Fenster wird schnell zum Beinbruch.
    >
    > Die Analogie gefällt mir :-)

    Mir gefällt auch deine Erweiterung derselben. :-)

    Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn schließlich hat man es in der Hand, wie wild die Party werden darf und welche Leute man dafür in seinen Garten lässt.

    Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal einer einsteigt.

  10. Re: Wir großist die Wahrscheinlichkeit..

    Autor: Der Held vom Erdbeerfeld 13.01.18 - 11:11

    TJone schrieb:
    --------------------------------------------------------------------------------
    > Gruseliger wirds, wenn man eine neue Methode aus
    > der Spectreklasse findet, die effizienter funktioniert
    > und sein schnelleres Durchsuchen erlaubt.

    Ich weiß gerade nicht, ob das technisch überhaupt möglich ist. Schließlich geht es konstruktionsbedingt um random data, man hat also gar keine Möglichkeit, das Abfischen zu strukturieren. Man muss tatsächlich alles linear und komplett abgreifen.

    Uns damit ist es ja auch noch nicht getan. Die abgefischten Daten sind erst einmal noch gar keine, sondern lediglich Zahlenwerte - eine komplett kontextlose Kette von Nullen und Einsen. Diese zu strukturieren und verwertbare Informationen zu extrahieren ist recht aufwändig, auch wenn man es teilweise automatisieren kann. Ziemlich unwahrscheinlich, das damit Massenangriffe gestartet werden - bis man durch den Wust durch ist, hat sogar ein DAU mal seine Passwörter gewechselt. Selbst ein gezielter Angriff auf Ottnormalbürger ist kaum rentabel, denn es ist viel Aufwand, um *vielleicht* verwertbare Informationen zu gewinnen.

    Da ist es einfacher und lukrativer, mit den ohnehin erforderlichen Grundzugriff Ransomware und Keylogger zu installieren und parallel die geflügelte Affen fleißig Spam im Namen nigerianischer Prinzen verschicken zu lassen, anstatt sie mit der Auswertung abgefischter Daten zu beauftragen.

    Bei High Value Targets in Wirtschaft, Forschung und Militär (allerdings auch bei prominenten/vermögenden Privatpersonen) sieht es natürlich wieder ganz anders aus.

  11. Re: Wir großist die Wahrscheinlichkeit..

    Autor: 1ras 13.01.18 - 14:30

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da du aber auf deinem Privatgrundstück ständig wilde
    > > Partys mit fremden Leuten feierst (=surfen auf fremden
    > > Webseiten mit aktivem Javascript), ist deine
    > > Grundstücksgrenze nicht sicher und das angelehnte
    > > Fenster wird schnell zum Beinbruch.
    > >
    > > Die Analogie gefällt mir :-)
    >
    > Mir gefällt auch deine Erweiterung derselben. :-)
    >
    > Ich würde allerdings aus dem "Da" im ersten Satz ein "Falls" machen, denn
    > schließlich hat man es in der Hand, wie wild die Party werden darf und
    > welche Leute man dafür in seinen Garten lässt.

    Der durchschnittliche Nutzer hat es in der Hand, wie wild die Party wird und welche Leute er in seinen Garten lässt? Wie viele fremde Leute hat er wohl gerade eben nur durch den Besuch von golem.de in seinen Garten gelassen?

    Ist ja nicht so, dass der Ottonormalnutzer mit abgeschaltetem Javascript unterwegs wäre und grundsätzlich einen Adblocker verwendet. Und Werbeverteilnetze haben ja auch noch nie Schädlinge verteilt.

    Ich denke wir sollten uns darauf einigen, dass der Ottonormalnutzer gar nicht weiß, wie wild die Partys sind die er da feiert und welche Leute teilnehmen.

    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Privatgrundstücke als Analogie zu privaten Rechnern, Smartphones und Tablets sind gerade der Ort, wo sich die meisten privaten Dokumente befinden, welche nicht in die Hände Dritter gehören.

  12. Re: Wir großist die Wahrscheinlichkeit..

    Autor: maverick1977 13.01.18 - 15:13

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Idealerweise hat man Wertsachen und wichtig Dokumente sowieso nicht im Haus
    > auf dem Partygelände, dann ist es auch nicht so schlimm, selbst wenn mal
    > einer einsteigt.

    Es geht ja auch gar nicht um die abgelegten Daten (Dokumente, Bilder, Videos, Office-Daten), sondern um Zugangsdaten, die im Speicher abgelegt sind, weil ein Programm gerade genutzt wird, während jemand anders Dir eine Frage stellt, auf die Du die passende Antwort nicht weißt und mal eben in Google danach suchst.

    Du klickst auf Ergebnisse um diese in Augenschein nehmen zu können. Problem 1: Es wird mit großer Sicherheit eine Website sein, auf der Du noch nicht warst. 2. wird dort Werbung aus einem Werbenetzwerk eingebunden, bei dem man hoffen kann, dass es durch Adblocker gesperrt ist, was man vorab jedoch nicht prüfen kann. 3. ist jeglicher JavaScript-Code somit als pauschales Risiko anzusehen, denn die Fixes der Browserhersteller werden wohl kaum jeglichen Zugriff auf den Arbeitsspeicher unterbinden können.

    Also, egal was Du versuchst, es wird eine Möglichkeit geben. Und da Werbenetzwerke oder Websites von ganz alleine die Nutzer locken, braucht man als Angreifer einfach nur ein wenig Zeit.

  13. Re: Wir großist die Wahrscheinlichkeit..

    Autor: mehrfachgesperrt 17.01.18 - 18:14

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > Schmax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie groß ist die Wahrscheinlichkeit, dass diese
    > > Sicherheitslücken bei einem Privatusrer wirklich
    > > ausgenutzt werden? Wenn ich hier die Beschreibung
    > > lesen scheint mir (als Leie) das Angriffsszenario auf
    > > Grund der Komplexität doch sehr unwahrscheinlich.
    > > Oder kann man die Lücken z.B. beim Surfen im
    > > Internet ausnutzen?
    >
    > Stark vereinfacht: Wenn dein Rechner ein Grundstück mit einem Haus drauf
    > wäre, wäre jetzt ein Fenster im zweiten Stock dieses Hauses nur angelehnt.
    > Ein geschickter Einbrecher könnte durch dieses Fenster einsteigen - jedoch
    > muss er dazu erst einmal auf den Grundstück kommen. Mit eine sicheren
    > Grundstücksgrenze und ein wenig Aufmerksamkeit, wer sich auf einem Grund
    > und Boden herumtreibt, sind angelehnte Fenster kein Beinbruch.. Zumindest
    > nicht bei Privatgrundstücken.
    >
    > Bei einer Bank, einer Militär- oder Forschungseinrichtung (oder in
    > Gefängnissen ;-)) sind angelehnte Fenster jedoch anders zu beurteilen.

    Netter und anschaulicher Vergleich. Danke dafür.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. AKDB, München, Nürnberg
  3. BSH Hausgeräte GmbH, Traunreut
  4. Hochschule Albstadt-Sigmaringen, Albstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Teilzeit-UFOs, Rollenspielgeschichte und Würfelpiraten
Mobile-Games-Auslese
Teilzeit-UFOs, Rollenspielgeschichte und Würfelpiraten
  1. Playerunknown's Battlegrounds Mobilversion von Pubg in Europa erhältlich
  2. Mobile-Games-Auslese Abfahrten, Verliebtheit und Kartenkerker
  3. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI
Kryptobibliotheken
Die geheime Kryptosoftware-Studie des BSI
  1. Russische IT-Angriffe BSI sieht keine neue Gefahren für Router-Sicherheit
  2. Fluggastdaten Regierung dementiert Hackerangriff auf deutsches PNR-System
  3. Government Hack Hack on German Government via E-Learning Software Ilias

Raumfahrt: Die Digitalisierung des Weltraums
Raumfahrt
Die Digitalisierung des Weltraums
  1. Raumfahrt Mann überprüft mit Rakete, ob die Erde eine Scheibe ist
  2. Raumfahrt Falsch abgebogen wegen Eingabefehler
  3. Raumfahrt Falscher Orbit nach Kontaktverlust zur Ariane 5

  1. VDE Tec Report: Viele Firmen suchen IT-Experten im Ausland
    VDE Tec Report
    Viele Firmen suchen IT-Experten im Ausland

    Der Mangel an Informatikern, IT-Experten und Ingenieuren verschärft sich weiter. Zugleich gibt es zu wenige betriebliche IT-Ausbildungsplätze und weiterhin viele Arbeitslose aus der Branche.

  2. TV-Kabelnetz: Übernahme von Unitymedia durch Vodafone steht kurz bevor
    TV-Kabelnetz
    Übernahme von Unitymedia durch Vodafone steht kurz bevor

    Durch den Verkauf von Unitymedia an Vodafone für 16,5 Milliarden Euro dürfte ein nationaler Kabelnetzbetreiber entstehen. Doch die Deutsche Telekom versucht, das zu verhindern.

  3. Kaum FTTH: Unzufriedenheit der Bauern über Internetversorgung wächst
    Kaum FTTH
    Unzufriedenheit der Bauern über Internetversorgung wächst

    Die Bauern in Deutschland sind zunehmend über das schlechte Internet verärgert. Sie fühlen sich abgehängt. Festnetz und Mobilfunk seien unzureichend ausgebaut.


  1. 14:34

  2. 13:40

  3. 13:00

  4. 12:21

  5. 16:00

  6. 14:00

  7. 12:18

  8. 11:15