Spectre/Meltdown: So schützen Sie Ihre User

Back to overview

Nach der Veröffentlichung der „Spectre“ und „Meltdown“ genannten Sicherheitslücken in Prozessoren ist guter Rat meist teuer. Was sollten Entwickler und Admins jetzt tun, um ihre Websites und ihre User zu schützen? Erste Lösungsansätze kommen von den Chromium-Entwicklern.

„Spectre“ und „Meltdown“ sind der Super-GAU für die IT-Sicherheit, ganze 90% der Intel-CPUs sind betroffen. Die von den Forschern entwickelten Angriffs-Szenarien sind bislang eher theoretischer Natur, und sie sind aufwändig umzusetzen. Nicht jeder User muss sich gleich bedroht fühlen – wobei mehr als „nur“ eine weitere Gefahr für Internetnutzer hinzugekommen ist. Für Cloud-Betreiber, Anbieter großer B2B-Web-Dienste und Unternehmen, die auf Datensicherheit zwingend angewiesen sind, sind die neuen alten Lücken extrem schlechte Nachrichten.

Gefragt sind jetzt in erster Linie Web-Entwickler, Admins, Browser-Hersteller und Anbieter von Security-Lösungen. Sie müssen sich im Nachgang um das kümmern, was die Chip-Hersteller so sträflich vernachlässigten, als sie – begeistert vom Geschwindigkeitszuwachs – Out-of-order executions flächendeckend einführten. Denn genau hier liegt das Problem: Moderne Prozessoren spekulieren über die nächsten auszuführenden Schritte. Das bringt viel Geschwindigkeit, ermöglicht aber, so zeigen es die aktuellen Forschungsarbeiten, nicht-authorisierte Speicherzugriffe.

Genau hier liegt das Problem: In Websites integrierte 3rd Party Scripte können diese Lücke potentiell über den Browser nutzen – und direkt beim User Daten auslesen, etwa Passworte. So wird einmal mehr der Browser zum Einfallstor für Malware. Erste Patches gibt es bereits, die das verhindern, vor allem müssen jetzt aber Web-Entwickler tätig werden und Websites absichern, um potentielle Angriffe abzuwehren.

Was jetzt wichtig ist

Der Google-Entwickler „Surma“ twitterte einen Hinweis für Web-Entwickler:

Die Chromium-Entwickler haben die Tipps zusammengestellt. Und Chromium, die Open-Source-Grundlage für Google Chrome, unterstützt eines der wichtigsten Features, um das aktuell sich öffnende Einfallstor zu schließen: „specify a nosniff header for any URLs with user-specific or sensitive content

Das ist ohnehin ratsam, nicht erst seit Meltdown/Spectre. Und es ist auch kein großer Aufwand, diese Zeile dem Code der Seite hinzufügen:

X-Content-Type-Options: nosniff

Natürlich gibt es es noch weitere HTTP-Header, mit denen man in Browser eingebaute Sicherheitsfeatures aktivieren kann. Und die Entwicklung geht weiter – es ist schwer, hier up-to-date zu bleiben und seinen Usern immer den optimalen Schutz zu bieten.

Zudem hat nicht jeder Anbieter einfachen und schnellen Zugriff auf den Code, denn allzuoft liegt die Website bei externen Dienstleistern, oder ist so umfangreich, dass die eigentlich simple Implementierung dieses Features lange dauert.

Deshalb empfiehlt es sich, auf Security-Lösungen wie Sevenvals wao.io zurückzugreifen. Hier sind viele Schutzmechanismen bereits fest integriert und können ohne Aufwand ein- und ausgeschaltet werden. Die Aktivierung von „nosniff“ etwa erfolgt hier per Knopfdruck, ohne Eingriffe in den Code:spectre meltdown wao

Damit kann eine der wichtigsten Sofortmaßnahmen in Sekunden umgesetzt werden. Ein Vorteil solcher Komplettlösungen ist auch, dass künftige Sicherheitsfeatures schnell eingebaut werden – das permanente Updaten des Codes entfällt demnach.

Und zwei Dinge sind sicher: Es wird noch sehr viel gepatcht werden müssen, bis Meltdown/Spectre keine direkte Gefahr mehr sind. Es wird neue Lücken geben, und sie werden schwerwiegend sein.

 

Christian Brand (38) arbeitet seit über zehn Jahren für Technologie-Unternehmen. Er ist seit Mai 2017 Pressesprecher der Sevenval Technologies GmbH und schreibt für diesen Blog unter anderem Fachartikel rund um die „digitale Transformation“. Sein erster Computer war natürlich ein Commodore 64.

Back to overview