zurück zum Artikel

Meltdown & Spectre: Google brüstet sich mit "unbemerkten" Cloud-Patches

Meltdown & Spectre: Google brüstet sich mit "unbemerkten" Cloud-Patches

Google hat die Super-GAU-Lücke nach eigenen Angaben schon vor Monaten gepatcht, ohne irgend jemandem was davon zu erzählen. Auch will man Spectre ohne Wenn und Aber gebannt haben, was den Aussagen der Entdeckern der Lücke widerspricht.

Forscher von Googles Project Zero waren maßgeblich an der Entdeckung und Erforschung der Sicherheitslücken Meltdown und Spectre [1] beteiligt. Google wusste daher seit mindestens Mitte 2017 von den drei verschiedenen Sicherheitslücken und dem Einfluss der Patches auf die Performance der betroffenen Prozessoren. Nun brüstet sich die Firma damit [2], die ersten Patches schon im September, beziehungsweise im Oktober 2017 auf den eigenen Cloud-Servern ausgespielt zu haben. Kunden hätten dabei keine Performance-Verluste bemerkt ("no perceptible impact"). Der Allgemeinheit bekannt geworden waren die Lücken erst im Januar 2018.

Außerdem ist Google mächtig stolz auf seine Compiler-Modifikation Retpoline [3]: Software, die mit Hilfe dieser Technik kompiliert wird, soll gegen die zweite Variante von Spectre komplett immun sein. Eine Behauptung, die den Einschätzungen in der akademischen Veröffentlichung der Entdecker der Lücken widerspricht. Google nennt seine Entdeckung einen "Moonshot [4]" – eine unwahrscheinliche Entdeckung oder Leistung, in der viel Arbeit steckt und die revolutionäre Auswirkungen hat.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

Retpoline soll die spekulative Ausführung von Befehlen sicher und mit minimalen Performance-Verlusten ermöglichen; entgegen der früheren Vermutung der Google-Ingenieure, man müsse auf bestehender Hardware ganz auf spekulative Ausführung verzichten, um sicher zu sein. Im wissenschaftlichen Paper zu den Spectre-Lücken [11] heißt es ebenfalls, man könne sich unmöglich sicher sein, ob man ein beliebiges Code-Konstrukt sicher auf aktuellen Prozessoren ausführen könne ("there is currently no way to know whether a particular code construction is, or is not, safe across today's processors").

Aber nicht nur Googles Behauptungen zur Retpoline-Technik widersprechen dem, was die Allgemeinheit bisher als gesichert angesehen hatte. Auch die Behauptung der Firma, die Patches hätten auf Produktiv-Servern zu keinen merklichen Performance-Verlusten geführt, decken sich nicht mit den Aussagen anderer Beobachter.

Nicht nur Microsoft sieht [12] "signifikantere Verlangsamungen" bei Endnutzern und Servern. Auch High-End-Nutzer wie der Online-Spiele-Betreiber Epic Games und andere Firmen der selben Branche sehen deutliche negative Auswirkungen auf ihre Server [13]. Ob Google diese Einbußen durch die eigene, bei Sysadmins legendäre, machtvolle Serverarchitektur auffängt, oder einfach nur besser patcht als andere Firmen, erklärt die Firma in ihrer Stellungnahme nicht.

Verwunderlich ist ebenfalls, dass Google offen zugibt, Patches für eine nicht öffentliche Lücke Monate vor deren Bekanntwerden eingespielt zu haben. Auf der einen Seite ist dies natürlich im Sinne der Google-Nutzer, auf der anderen Seite wirkt es unfair allen anderen Nutzern und den Mitbewerbern Googles gegenüber. Diese waren monatelang schutzlos, während Google die eigenen Systeme absichern konnte.

Natürlich liegt es in der Natur der Sache, dass der Entdecker einer Sicherheitslücke als erster Zugang zu Patches hat und es ist in der Security-Gemeinde auch Usus, Hersteller zu informieren, bevor eine Lücke öffentlich wird. Trotzdem hinterlässt Googles Stolz auf das eigene Können in diesem Fall wohl bei so manchem Beobachter einen üblen Nachgeschmack. Man fragt sich schon, ob die Entdecker der Lücke nicht lieber mehr Energie darauf verwendet hätten, Patches an die Allgemeinheit auszuliefern, anstatt die eigenen Server abzusichern.

(fab [14])


URL dieses Artikels:
http://www.heise.de/-3942644

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
[2] https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
[3] https://support.google.com/faqs/answer/7625886
[4] https://en.wiktionary.org/wiki/moon_shot
[5] https://www.heise.de/meldung/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html
[6] https://www.heise.de/meldung/Meltdown-Spectre-verstehen-Was-Unternehmen-jetzt-wissen-muessen-3954159.html
[7] https://www.heise.de/meldung/Meltdown-und-Spectre-im-Ueberblick-Grundlagen-Auswirkungen-und-Praxistipps-3944915.html
[8] https://www.heise.de/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html
[9] https://www.heise.de/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
[10] https://www.heise.de/thema/Meltdown-und-Spectre
[11] https://arxiv.org/pdf/1801.01203.pdf
[12] https://www.heise.de/meldung/Microsoft-ueber-Meltdown-Spectre-Details-zu-Patches-und-Leistungseinbussen-3937462.html
[13] https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update
[14] mailto:fab@heise.de