Compyblog

Am Dienstag hat Apple angekündigt, wann die Firma ihren 2017 im Juni bereits angekündigten Lautsprecher mit Internetfunktionen in den Handel bringen würde: Und zwar am 9. Februar. Bestellen können ihn Leute in USA, Australien und Großbritannien ihn ab Freitag. Nachdem das Gerät ein iOS-Gerät mit mindestens iOS 11.2.5 benötigt, war auch klar, dass es nicht mehr lange dauern würde, bis das Update erscheinen sollte, und so war es auch. Die diversen Twitter-Accounts meldeten Diensteg gegen 19 Uhr MEZ, dass das Update (Build: 15D60) verfügbar wäre. Ich hatte da nur das Problem, dass keins meiner iOS-Geräte (iPhones, iPad)das Update angeboten bekam. Dafür hat die Watch-App das zeitgleich freigegebene watchOS 4.2.2 gefunden und schon auf die Uhr gespült. Irgendwann nach 19:30 beliebte dann auch ein iPhone endlich mal das Update zu finden, was mit Rund 170 MB nicht gerade gigantisch war.

Mittwoch hat Apple dann verkündet, was mit dem nächsten Update mit höherer Nummer in der zweiten Stelle (11.3) kommen sollte. Neben den bereits in einem Interview von Tim Cook angekündigten Funktionen rund um die Akkusteuerung (Hinweis auf verlangsamte CPU wegen ungesundem Akku, Möglichkeit, die Verlangsamung bewusst abzuschalten) kommen da weitere Animoji (benötigen ein iPhone X) gibt es irgendwas für AR, Verbesserungen bei Nachrichten, Erweiterungen bei Health. Anders als seinerzeit iOS 9.3, mit dem mehr als eine Watch mit dem iPhone verbunden werden konnte, springt mich da nichts spontan an, was ich dringend haben wollen würde. Aber das Update dürfte auch irgendwo im März erst verfügbar werden, da wäre es nicht gut, händeringend darauf zu warten.

Nach Bekanntwerden der Sicherheitslöcher in allen neumodischen CPUs (Spectre) und besonders in Intel-CPUs (Meltdown) hat Intel ein Mikrocode-Update rausgegeben, was man in die CPU reinladen kann. Da gab es allerdings ziemlich schnell Berichte, dass gerade bei nicht ganz neuen CPUs nach dem Update Rechner gehäuft neustarten würden. In der vergangenen Woche hat Intel dazu schon gemeldet, dass sie eine Idee hätten, was die Reboots verursachen würde, und ein neues Update angekündigt. Inzwischen geht Intel sogar so weit, von der Installation des ersten Updates abzuraten. Da ist wohl wirklich irgendwas reichlich blöd gelaufen.

Immerhin sind die ersten Hinweise auf die Sicherheitsrelevanten Fehler bereits letztes Jahr im Juli aufgeschlagen, da würde man doch meinen, dass ein darauf basierender Fix hinreichend hätte getestet sein sollen. Mal ganz von der Absurdität abgesehen, dass es inzwischen Software-Updates für eigentlich mal als reine Hardware gedachte Rechnerkomponenten wie CPUs gibt. Mit dem Wissen aus einem Lehrbuch, was ich mir vor Jahren mal durchgelesen habe, und was Intel-CPUs vom 8080 bis zum Pentium Pro betrachtet hat, vermute ich, dass bei der Umsetzung von Assembler-Befehlen zum CPU-internen Mikrocode eine Änderung möglich sein könnte. Und da ist offenbar irgendwo ein Fehler mit dem Update reingekommen. Aber neue CPUs enthalten ja auch schon ein ganzes Minix-basiertes Betriebssystem, was in der Welt meines Lehrbuches schlicht nicht vorstellbar war.

Hoffen wir, dass Intel seinen Kram mal hinbekommt, und Anwender nicht unter überraschend neu startenden Rechnern leiden müssen, nachdem ja heute fast jedes elektrische Gerät auch einen Computer beinhalten kann.

Den Schadsoftware-Spezialisten von Kaspersky ist wohl etwas in die Finger geraten, von dem sie meinen, dass das eine Staatswanze wäre.

Das Stück Software läuft auf Android-Telefonen und enthält vor allem Funktionen, die man bei Spionagesoftware erwarten würde. So lässt sich die Umgebung abhören, der Aufenthaltsort des Mobilgerötes und vermutlich seines Besitzers verfolgen und aus Messenger-Apps Gespräche raustragen. Dazu kommen dann noch ein paar Sicherheitslöcher, die dazu führen, dass die Wanze mit Root-Rechten auf dem Android läuft.

Nachdem sich sonst keine Hinweise auf übliche Malware-Funktionen (Alle Daten verschlüsseln, nach Lösegeld verlangen) finden, liegt die Vermutung schon mal nahe, dass das keine übliche Malware ist, sondern irgendwas wanziges. Und dann deuten auch noch ein paar Hinweise auf Italien als Ort, wo zumindest die Hersteller sitzen, aber vermutlich auch die Ziele der Wanze. Soltle es sich nicht um eine staatliche Wanze handeln (Dementi vom italienischen Staat wäre schon fällig gewesen), könnte man immer noch in Richtung Mafia vermuten. Nachdem der Staat/die Polizei sich nicht laut dazu geäußert hat, interpretiere ich mal: Der italienische Staat schnüffelt mit der Wanzware.

Neues von der Aufmerksamkeits-Mafia, auch bekannt als Werbebranche: Die haben jetzt mal Zahlen veröffentlicht, wie schlimm sie Apples Tracking-Reduktion so finden, die mit den Herbst-Updates für Mac und iOS und nur für den Safari-Browser zur Verfügung steht. Und zwar würde das der Mafia "ein fünftel" des Umsatzes vorenthalten. Wer an der Stelle Mitleid entwickeln wollte, darf sich daran erinnern, dass es vor Jahren schon die Idee gab, dass Browser-Nutzer per Do-Not-Track-Header den Servern mitteilen könnten, dass sie es vorzögen, nicht von der Aufmerksamkeits-Mafia verfolgt zu werden. Das hat die Mafia unter lauten Gelächter abgelehnt. Und jetzt, wo in einem eher unwichtigen Browser so eine aktive Tracking-Begrenzung enthalten ist, heult die Mafia laut rum.

Da fällt es mir wirklich schwer, Mitleid zu entwickeln. Nachdem freundlich Bitten nicht geholfen hat, und gerade harte Unterdrückung der Mafia nun doch wehtun soll, könnte ja vielleicht langsam die Erkenntnis bei den Verantworlichen reifen, dass eine weitere Verschärfung der Werbe-Gebrülls nicht hilft, und man sich auf weniger aufmerksamkeitsheischende, Hinterherschnüffelnde Wege der Produktanpreisung konzentriert. Andererseits wurde Werbemüll noch nie weniger aufdringlich.

In der letzten Woche sind etwas früher als vermutlich geplant zwei Sicherheitslöcher in CPUs öffentlich gemacht worden. Die erste namens Meltdown betrifft wohl nur Intel-CPUs, während die zweite namens Specter neben Intel- auch in ARM- und vielleicht AMD-CPUs anzutreffen ist.

Details über die Löcher sind noch eher weniger verfügbar, aber was ich bisher mitgenommen habe, liegen beide Fehler darin begründet, dass schon seit bummelig zwanzig Jahren CPUs nicht mehr auf Speicherzugriffe warten um Befehle schon mal spekulativ auszuführen. Wenn dann die Speicherinhalte gefühlte Ewigkeiten später in der CPU eintreffen, hat die hinter dem jeweiligen Befehl schon mal weitergemacht. Haken daran: Es gibt ja auch bedingte Verzweigungen in Programmen. Dagegen haben die CPU-Architekten dann Branch Prediction gebastelt, die vorhersagen soll, welcher Zweig des Programmflusses ausgeführt werden soll.

Und da setzen nun die Bugs an: Wenn ein Programmzweig abhängig von bestimmten Speicherinhalten (die kommen später erst in der CPU an) ausgeführt werden könnte, führt die also schon mal auf Verdacht Befehle aus. Wenn sich dann nach der Speicherlieferung herausstellt, dass die Befehle doch nicht ausgeführt werden sollten, hat die CPU umsonst gearbeitet, tut aber so, als wäre nichts geschehen. Bei den nutzbaren CPU-Registern merkt man das nicht, aber bei Caches rund um die CPU. Und mit bestimmten Tricks kann so Speicherinhalt indirekt ausgelesen werden, sofern man die CPU dazu bringen kann, Code auszuführen.

Aufgefallen sind die Bugs, weil im Lnux-Kernel größere Umbauten eingearbeitet wurden, die bestimmte Adresstabellen dupliziert haben, um die Kernel-Adressen nicht in den Lookup-Tabellen zu haben, während andere Programme laufen. Das ist als Kernel Page Table Isolation schon in der theoretischen Betrachtung gewesen, wurde nun aber kurzfristig wichtiger. Dabei kam dann raus, dass es den Meltdown-Bug in Intel-CPUs seit 1995 gibt, der irgendwie den gesamten Speicher des physischen Rechners angreifbar macht, was besonders bei virtuellen Rechnern unangenehm ist. Und in dem Zusammenhang hat Googles Project Zero auch gleich noch Specter veröffentlicht, der irgendwie anders ist, und laut den davon betroffenen Hardware-Herstellern weniger schlimm wäre.

In dem Dunstkreis wurde auch bekannt, dass die Bugs schon im letzten Juni oder Juli gefunden wurden. Anders als bei Software-Löchern gab es hier keine harte 100-Tage-Frist, bis zu der irgendwas behoben sein musste, aber Software-Hersteller bekamen Hinweise. So ist zu erklären, dass im Linux-Kernel gerade umgebaut wurde, in Windows ein Patch kurzfristig erschienen wäre, und beim Mac mit dem Update auf 10.13.2 wohl bereits die Kernel-Adresstabellen gedoppelt wurden.

Längerfristig wird wohl eine neue Hardware-Generation nötig werden, aber so eine CPU entwickelt sich nicht mal eben in Monaten, da gehen eher Jahre für drauf. Bis dahin gibt es Workarounds, und die Hoffnung, dass bei betroffener Hardware maximal die Kernel-Adressen ermittelt werden können. Denn wenn der gesamte RAM beliebig ausgelesen werden könnte, wären sämtliche Sicherheitsmaßnahmen hinfällig.