Spectre und Meltdown: Warum wusste lange niemand von den Sicherheitslücken?

Ein interessanter Hintergrundbericht von «The Verge» beschäftigt sich mit der Frage, wie überhaupt zwei der schwerwiegendsten Sicherheitslücken der IT-Geschichte so lange unter Verschluss gehalten werden konnten. Denn es ist kaum denkbar, dass mehrere Akteure der IT-Industrie sich nicht untereinander über aktuelle Schwachstellen austauschen. Die Hardware-Lücken Meltdown und Spectre betreffen schliesslich das Herzstück des Computers, den Prozessor, und eröffnen nach Ansicht von Experten mehr als ein Dutzend Angriffsmöglichkeiten. Kurz notiert: Intel war sich des Problems schon länger bewusst und eine offizielle Information von Intel war auf den 9. Januar geplant. Aber wilde Gerüchte und das Wissen über die Prozessorlücken zogen immer weitere Kreise, sodass selbst Intels PR-Besänftigungswille vom Gadget-Rauch der CES nicht erdrückt werden konnte.

Der Chipkonzern arbeitete demnach schon seit Monaten intensiv an einer Patch-Lösung, als ein Forscherteam um Michael Schwarz von der Graz University of Technologie das Problem im Dezember letzten Jahres entdeckt und Intel angeschrieben hatte. Die Antwort von Intel kam etwa neun Tage später mit dem Vermerk, dass man schon von den Sicherheitsproblemen wisse. Graz zuvorgekommen ist ein gewisser Jahnn Horn von Googles Project-Zero-Team, der bereits im Juni 2017 auch AMD über die gefundenen Schwachstellen informiert hatte. Die Fassade war aber irgendwann nicht mehr aufrechtzuerhalten, als bereits ein Kernel-Forscher einen Reproduzierungsversuch vertwitterte, nachdem schon einige Informationen aus gefluteteten Mailboxen anderer Security-Experten öffentlich wurden.

Bingo! #kpti #intelbug pic.twitter.com/Dml9g8oywk

— brainsmoke (@brainsmoke) 3. Januar 2018

Wenn Sicherheitsexperten schwerweigende Hardware- oder Software-Lücken entdecken, werden in der Regel zuerst die Hersteller des Produkts kontaktiert, damit diese unter Geheimhaltung die Updates entwickeln können, um die Lücken den weiteren Partnern und Kunden schonend beizubringen. Als die Forscher von Graz und von Googles Project-Zero-Team den beiden Prozessorlücken auf die Schliche kamen: Waren diese auch mit einem ganz anderen Problem konfrontiert? Wie hält man eine solche Schwachstelle, welche die ganze Industrie betrifft, lange genug unter Verschluss? Es müssen schliesslich viel mehr Akteure verständigt werden. Horn von Project Zero war demnach vorsichtig genug, indem er zuerst die drei Chipmacher (AMD, ARM und Intel) angeschrieben hatte, damit diese selber ihren Ablauf definieren konnten, wie sie weitere Kunden und Partner über den Ernst der Lage informieren. Horn selber warnte davor, nur die nötigsten Informationen weiterzugeben. Bald wurde aber klar, dass auch die Betriebssysteme gepatcht werden mussten, womit sich der Kreis auf einmal um eine andere Gruppe von Entwicklern zog. Dann stellte sich plötzlich heraus, dass auch Browser betroffen sind. Und mit den Cloud-Plattformen von Amazon, Microsoft und Google, die auf potenziell angreifbaren Servern laufen, waren es auf einmal ein Dutzend weitere grosse Hersteller, die irgendwie mit den ersten Patches beginnen mussten.