Donnerstag 11. Januar 2018
Meltdown und Spectre – Gefahren für Modellbahner und Modelleisenbahn-Zubehör

Mit den Meltdown und Spectre getauften Angriffsszenarien können nahezu alle CPUs der heute eingesetzten PC- und Hobbyelektronik-Systeme, Mobilgeräte und Minicomputer attackiert werden. Es ist nur eine Frage der Zeit, bis Kriminelle auch den passenden „Dosenöffner“ für Ihre angreifbaren Systeme zum Einsatz bringen. Als Gefahren drohen insbesondere Passwortdiebstahl, Phishing und das Auslesen von Verschlüsselungen und Daten aus Ihren Anwendungen. Das sollten Sie zu diesem Super-GAU der Informationsbranche als Modelleisenbahner wissen.

Meltdown und Spectre: Worum genau geht es eigentlich?

Es wird derart häufig über Sicherheitslücken berichtet, dass viele PC-Anwender schon nur noch „mit dem halben Ohr“ hinhören und sich ansonsten auf Antiviren-Programme und die Update-Automatiken verlassen. Doch die Angriffsszenarien Meltdown (dt. Kernschmelze) und Spectre (dt. Schreckgespenst) unterscheiden sich völlig von den bislang üblichen Software-Mängeln. Denn hier handelt es sich um Designfehler in CPUs (Central Processing Unit, zentrale Prozessoreinheit), also in der Geräte-Hardware, die ursprünglich auf Entwicklungen bei Intel basieren.

Das erschwert naturgemäß mindestens die Möglichkeiten, die Fehler zu beheben, ja macht eine Fehlerbehebung praktisch sogar unmöglich. Denn schließlich kann man eine CPU, die das zentrale arithmetische Herzstück eines IT-Systems ist, nicht einfach mal eben gegen ein völlig anderes Modell tauschen. Und da diese Sicherheitslücken neben „richtigen“ CPUs auch die hochintegrierten SoCs (System on a Chip) in vielen Mobilgeräten betreffen, ist der Super-GAU perfekt.

Nachdem Sicherheitsforscher unter anderem der TU Graz bereits Mitte 2017 mit drei Angriffsszenarien (2 Varianten wurden Spectre „getauft“, eine Meltdown) diese Sicherheitslücken entdeckt hatten, veröffentlichte Google Anfang 2018 einen Bericht zu diesem „Project Zero“. News und Updates hierzu können Sie an diesem Direktlink bei Google nachlesen (engl.).  

Meltdown und Spectre sind ein Problem, dessen Tragweite bislang noch garnicht richtig erfasst ist. Denn es sind weit mehr als nur persönliche Geräte betroffen. Die Schwachstelle könnte auf Servern und in Rechenzentren sowie auf Cloud-Computing-Plattformen wie Amazon Web Services, Microsoft Azure oder Google Cloud ausgenutzt werden. Unter den richtigen Bedingungen könnten Kunden dieser Cloud-Dienste Meltdown oder Spectre nutzen, um Daten anderer Online-Kunden zu stehlen. 

Meltdown und Spectre: Was geht das Modelleisenbahner an?

Viele Modelleisenbahner steuern ihre Modellbahn-Anlagen digital per Windows PC- oder Notebook (praktisch immer Intel- oder AMD-Prozessoren) und sind somit bei jedem System betroffen, das über eine Internet-Verbindung verfügt. Immer häufiger werden auch Smartphones und Tablet-PCs als mobile Fahrgeräte eingesetzt, schließlich ist der Modellbahner an sich ausgesprochen Technik-affin.

Und nicht nur das: Die Modellbahn-Digitalzentralen und -Fahrgeräte sind mit diverse Typen von Mobile-CPUs und SoCs ausgestattet. Wir haben rund um die Modelleisenbahn diese Fakten für Sie zusammengetragen: 

1. Die Märklin-Digitalzentrale „Central Station 1“ (60212) wird von einem SoC Sharp LH79525 angetrieben. Dieses System-on-a-Chip kann nicht erfolgreich durch Meltdown oder Spectre attackiert werden und ist daher sicher.
2. Die „Märklin Central Station 2“ (Art.-Nr. 60213) basiert auf dem Prozessor Marvell PXA270. CPUs von Marvell sind ebenfalls nicht betroffen.
3. Die Railware „Railbox“ arbeitet mit einem Prozessor Intel Core i3 (Standard) und einem Intel Core i5 (Luxe). Diese CPUs mit dem von Intel intern benutzten Namen „Ironlake“ werkeln in von Shuttle gefertigten Mini-PCs und sind anfällig gegen beide (eigentlich sind es ja drei) Angriffsszenarien.
4. Die Digitalzentrale ESU ECoS ist mit einer CPU 32-Bit ARM720T ausgestattet, die zur bereits 1997 gestarteten ARM7-Familie des CPU-Herstellers gehört. Diese in „embedded-Systemen“ sehr verbreiteten Chips sind immun gegen Meltdown- und Spectre V1- / Spectre V2-Attacken. Da hat ESU also ebenfalls eine gute Wahl getroffen.
5. Betroffen sind aber eine Reihe anderer ARM-Prozessoren (Advanced RISC Machines). Chips dieses Typs gehören weltweit zu den meistverbreiteten Mikroprozessoren. Betroffen sind alle Geräte mit ARM Cortex A8, A9, A15, A17, A57, A72, A73, A57, R7 und R8. Im ESU Mobile Control II Funkhandregler (Art.-Nr. 50114) arbeitet eine ARM Cortex A8, die den sicherheitsrelevanten Designfehler aufweist.
6. Aber sie ist nicht allein betroffen, denn auch im PIKO SmartControl (von ESU entwickelt) arbeitet derselbe ARM Cortex A8 CPU-Typ (PIKO SmartControl Basic Set Art.-Nr. 55040). Derbes Problem: Für das auf dem Gerät eingesetzte und völlig veraltet Android 4.1. "Jelly Bean" gibt es schon lange keine Updates mehr.
7. Der nagelneue Viessmann Commander 2 setzt intern die Technik des Einplatinencomputers Raspberry Pi 3 ein, der auf einem SoC mit 64/32-Bit Quad-Core CPU vom Typ ARM Cortex-A53 basiert. Dieser Chip, der eine spezielle "In-Order-Pipeline" für die Befehlsabarbeitung nutzt, arbeitet auch in Millionen von Mobilgeräten und ist von diesen Sicherheits-Designschwächen nicht betroffen.
8. Im Sommer kommt bei vielen Garten-Modellbahnern die Digitalzentrale Massoth „DiMAX 1200Z“ zum Einsatz. Und das können die Gartenbahner mit gutem Gewissen tun, denn die DiMAX 1200Z ist mit einer CPU „ATmega128“ des US-Herstellers Atmel ausgestattet. Die Prozessoren von Atmel sind mit Meltdown oder Spectre nicht attackierbar. Neben Massoth-Produkten finden Sie die Atmel-Prozessoren auch auf der rund um Modellbahn und Modellelektronik sowie in Schulungen häufig eingesetzten, quelloffenen Arduino-Plattform.
9. Der Minicomputer Raspberry Pi 2 wird ebenfalls rund um Modelleisenbahn und Hobbyelektronik sowie in der „Maker-Szene“ für vielerlei Projekte eingesetzt. Ausgestattet ist das Gerät mit einer CPU ARM-Cortex-A7 oder -A53. Beide CPU-Designs sind nicht anfällig!

Mit kostenlosen Tools auf Sicherheitslücken überprüfen

1. Windows-PCs testen: Der deutsche IT-Security-Hersteller G DATA stellt einen kostenlosen Meltdown & Spectre-Scanner bereit. Der Scanner fragt wichtige Parameter und Einstellungen des Computers ab, darunter

• ob aktuelle Updates von Microsoft installiert sind
• welcher Computerprozessor verbaut, und ob dieser von den Sicherheitslücken betroffen ist
• welches Betriebssystem auf dem Computer verwendet wird
• ob sicherheitskritische BIOS-Einstellungen vorgenommen wurden
• ob ein verifiziertes AV-Produkt installiert ist, das mit neuen Patches von Microsoft kompatibel ist

Nach Abschluss der Prüfung gibt der Scanner Tipps, an welchen Stellen Verbesserungsbedarf besteht. Internetnutzer sollten daher die angegebenen Sicherheitsvorkehrungen aus dem Scan-Programm umgehend durchführen, damit ein bestmöglicher Schutz des Systems gewährleistet ist.

Systemvoraussetzungen: Der G DATA Meltdown & Spectre-Scanner läuft ab Windows 7 und erfordert .NET Framework ab Version 4. Der Scanner wird an diesem Direktlink auf der G DATA-Webseite angeboten. 

2. Mobilgeräte testen: Mobile-CPU-Hersteller Qualcomm hat bestätigt, dass zumindest einige seiner Snapdragon-Chips, wie sie millionenfach in Smartphones eingesetzt werden, für Spectre- und teils auch für Meltdown-Angriffe anfällig sind. Für Mobilgeräte (Android und iOS) gibt es bislang zwar keine spezielle App mit einem Testverfahren, aber es gibt die kostenlose Web-App „Spectre Meltdown CPU Checker“, die Mobilgeräte der folgenden Hersteller unterstützt (alphabetische Sortierung): 

• Apple
• Honor
• HTC
• Huawei
• LG
• Motorola
• Samsung

 

Die Anwendung ist einfach: Rufen Sie auf Ihrem Mobilgerät mit dem Browser diese Adresse auf ricompro.it auf und scrollen dort bis zum Bild Ihres Smartphones. Wenn Sie auf das Bild tippen, wird der Test ausgeführt.

 

Aktuelle Produkte zur PC-Sicherheit bei amazon.de

 

Nur zur Sicherheit: Was Sie gegen Meltdown und Spectre unbedingt tun sollten

Da es sich beim Kern des Problems um Hardware handelt, die schlampig erstellten und offensichtlich nur mangelhaft getesteten Routinen in einer CPU ja „fest verdrahtet“ sind, kann zwar auf höherer Software-Ebene vom BIOS bis zum Betriebssystem und dessen Komponenten (Treiber) gepatcht werden, jedoch beseitigt wird der Fehler dadurch natürlich nicht.

Es wird nur Angreifern schwieriger gemacht, die Sicherheitslücken zu nutzen und damit die Wahrscheinlichkeit eines erfolgreichen Angriffs reduziert. Die erschütternde Wahrheit: Erst mit dem Neukauf eines Systems mit einer nicht-kompromittierten CPU werden diese Sicherheitslücken beseitigt.

Doch was können Sie trotzdem konkret tun? Die einfache (und unbefriedigende) Antwort ist: Setzen Sie ein System ein, dessen CPU nicht von den Sicherheitsmängeln betroffen ist. Bis es soweit ist, dass entsprechende Austausch-CPUs oder -Geräte angeboten werden, maximieren Sie Ihren Schutz gegen Meltdown und Spectre mit folgenden Maßnahmen: 

1. Sofern Sie die Auswahl haben, setzen Sie zumindest bis zur Auslieferung aller Updates besser AMD-basierte als Intel-basierte PC-Systeme ein, denn diese CPUs sind immun gegen Meltdown und auch gegen eine der beiden Spectre-Angriffsmethoden.
2. Spielen Sie bei allen Browsern die Sicherheitsupdates ein, die zum Teil bereits erstellt worden sind. Manuell starten Sie die Suche und Installation der Updates meist mittels "Menü > Hilfe > Über …" Benutzen Sie keine Browser, für die (noch) keine Sicherheitsupdates gegen diese Angriffsszenarien angeboten werden.
3. Betriebssystem-Updates werden automatisch eingespielt, sofern Sie nicht die Automatik deaktiviert haben. Bis ein Update auf Ihren Rechner automatisch ausgerollt wird, kann es zudem einige Zeit dauern. In Windows 10 prüfen Sie das Vorliegen von Updates mittels "Einstellungen > Update und Sicherheit > Windows Update", oder Sie setzen die Suchen-Funktion (Lupensymbol) ein und suchen nach „windows update“.
4. Welche GPUs (Grafikprozessoren) von dem Sicherheitsmalheur betroffen sind, ist derzeit noch nicht abschließend klar. Vorbildlich schnell reagiert hat Nvidia, dessen „GeForce“ Grafikkarte nicht nur bei Gamern sehr verbreitet sind. Nutzer von Nvidia-Grafikkarten sollten den gepatchten Grafiktreiber umgehend installieren, um die Anfälligkeit für Spectre-Attacken zu senken. Es handelt sich um Grafiktreiber für die Consumer-Serie GeForce und auch die Profi-Grafikkarten der Serien Quadro, NVS und Tesla. Die Treiber erhalten Sie über www.nvidia.de.
5. Wenn Sie einen neueren PC anbieten, prüfen Sie, ob Ihr PC- bzw. Mainboard-Hersteller ein BIOS-Update (Firmware-Update) anbietet. Zu Marken-Mainboards gibt es meist innerhalb der ersten ein bis zwei Jahre ein BIOS-Update, das Sicherheitsprobleme löst und Fehler behebt. Bei Mainboards, die älter als 2 Jahre oder nicht „Marke“ sind, können Sie sich diese Mühe allerdings sparen.
6. Genereller Tipp: Stellen Sie nur dann mit oder für die betroffenen Geräte eine Internet-Verbindung her, wenn es unabdingbar ist, also z.B. für Software-Installationen oder Firmware-Updates, nicht im Dauerzustand per WLAN und nicht im allgemeinen Fahrbetrieb. Halten Sie das nach Möglichkeit so lange durch, bis eine akzeptable Lösung angeboten wird.
7. Abschließend noch ein genereller Tipp: Auf als betroffen erkannten Rechnern sollten Sie nach Möglichkeit so wenig wie möglich mit sensiblen Daten hantieren, am besten garnicht. Von Anwendungen wie Online-Banking, Adressdatenbanken oder unverschlüsseltem E-Mail- oder Messenger-Verkehr ist auf solchen Systemen vorerst dringend abzuraten.

 

Hinweis: Dieser Artikel wird bei wichtigen neuen Erkenntnissen fortlaufend aktualisiert und erweitert.

 

Modellbahn-Lexika bei amazon.de

 

 

Von: Rudolf Ring