In eigener Sache:

007: Schutzsoftware mit der Lizenz zum Töten von Spectre-Code
007 erreicht sein Ziel, in dem es bedingte Verzweigungen (conditional branches) untersucht und den Programmablauf (control flow) überwacht, bevor der Code übersetzt wird. Der Algorithmus versucht so, bösartigen Code, der Spectre-Lücken ausnutzen will, zu neutralisieren, während das Programm kompilliert wird.  Bei 007 handelt es sich nicht um den einzigen Ansatz, Spectre-Angriffe zu erkennen und bei der Übersetzung des Programms zu verhindern. Sollten sich die zwei Prozent Performance Overhead in der Praxis allerdings als realistisch erweisen, so könnte der Bond-Algorithmus in Zukunft aber eine wichtige Waffe gegen Spectre sein – falls es wirklich zu ernstzunehmenden Angriffen auf die Lücke kommt.

https://www.heise.de/security/meldung/...on-Spectre-Code-4112150.html

 

 

https://arxiv.org/pdf/1807.05843.pdf  

"Zwar wurden bisher keine Spectre-Angriffe in freier Wildbahn beobachtet – der einzige bekannte Schadcode sind Test-Code von Sicherheitsforschern – "

und weitergehen...  

Casino Royal wäre jetzt gut....

Zutaten
– 6 cl Gin
– 1,5cl Vodka
– 0,75cl Lillet Blanc
– Eiswürfel
 

mit - es sei denn, Du bekommst auf einmal so eine E-Mail:

Erpressungsmails mit echten Passwörtern im Umlauf
https://www.heise.de/security/meldung/...rtern-im-Umlauf-4109834.html

Na dann hope ich mal, dass Du davon nicht betroffen bist! ;-)  

teils nicht mehr möglich bei alten Compus ..... da hilft nichts ....

In den vergangenen Jahren gab es auf den Sicherheitskonferenzen etliche Vorträge rund um die Sicherheit der Firmware, und einige davon werde ich Ihnen im Folgenden vorstellen. Hinzu kommen die im vergangenen Jahr bekannt gewordenen Probleme mit Intels Management Engine, und sehr wahrscheinlich werden die durch die CPU-Schwachstellen Spectre und Meltdown nötig gewordenen Microcode-Patches ebenfalls noch für Ärger sorgen. Denn auch die werden über die Firmware realisiert, was zum einen automatisch zu neuen Schwachstellen führen wird, zum anderen aber auch ein weiteres potenzielles Angriffsziel darstellt.

https://entwickler.de/online/windowsdeveloper/...mware-579843653.html  

zu mir kommen :-)))))

Bei Android Smartphones sieht es noch viel düsterer aus. Da ist meist schon nach 1 Jahr "Schicht-im-Schacht". Da gibt es noch nicht einmal mehr Updates für das Betriebssystem Android.

Wobei ich bei Notebooks nicht unbedingt die Firmware Updaten muss. Warum sollte man das auch machen, wenn es keine Änderungen am Mainboard gab? Mit Spectre & Co. ist auch ein Firmware-Update letztendlich auch nur Flickschusterei und dies sogar zu Lasten der Rechnerleistung. Intel sollte die fehlerhaften Prozessoren austauschen! Die Hardware hat schließlich einen Designfehler. Aber vermutlich wären sie danach pleite! ;-)  

"Die eingesetzten Passwörter stammen vermutlich aus Hackerangriffen auf Websites wie Foren oder Shops. Online-Ganoven erbeuten bei schlecht abgesicherten Sites massenweise Nutzerdaten wie Namen, Mail-Adressen und Passwörter und versuchen die Daten anschließend auf Handelplattformen im Darknet zu Geld zu machen. "

Mein Linux- Kernel ist sehr erfreut.

Glückauf  

Angriffe wie z. B. auf die Firmware können wegen den Designfehlern der Prozessoren unerkannt durchgeführt werden (Spectre und Meltdown). D. h. auch Angriffe auf die Kennwörter, d.  h. auch auf Identitäen wären so unerkannt möglich. Eine Abwehr ist somit nicht mehr möglich!  

Spectre ist in freier Wildbahn noch nicht gesichtet worden.
Thematik seit Anfang des Jahres bekannt.

https://www.heise.de/security/meldung/...own-und-Spectre-3933043.html

Aber gut,  interessant das mal durch zuspielen.
Wenn Du mit Windows 10 oder ähnlichen Unsinn unterwegs bist würde ich mir in Punkto
Sicherheit ganz andere Gedanken machen.
Auf meinen Rechner ist seit über 20 Jahren Linux drauf, und verwende AMD.
Natürlich mit aktuellen Kernel-Patches.

Glückauf  

ist doch egal. Beide - und auch noch andere Hersteller - sind hiervon betroffen. Das Betriebssystem bekommt von Spectre-Angriffen, wenn diese z. B. direkt auf Hardwarebasis erfolgen, doch überhaupt nichts mit (und Du vermutlich auch nicht). Da reicht es z. B. schon aus, wenn man eine mit entsprechendem Schadcode infizierte "USB-Tastaturbeleuchtung" oder ein "Ladegerät mit USB-Anschluss für eine E-Zigarette" mit dem USB-Anschluss eines Rechners zu verbindet. Es muss also noch nicht einmal ein Datenstick sein. Und überhaupt, es gibt da noch ganz viele andere Wege (u. a. Firmware, etc.), um einen Rechner mit so etwas zu infizieren. Und wenn diese Lücke erst einmal ausgenutzt wird, sind dann auch sämtliche Daten für den Angreifer verfügbar, nebst den Zugriffsrechten zu allen Netzwerkressourcen und Servern, über die man verfügt.

Hier ist es ganz nett und verständlich dargestellt -  Schichtenmodell in der Computertechnik:

https://www.elektronik-kompendium.de/sites/com/1309111.htm  

Wollte ich heute Moin noch schreiben.

Klar, reicht die Einspielung über USB (alte Kiste
über präpariete Hardware), aber
wie immer, es muss ein ausführbarer Code sein.
Deshalb, warum der Umweg über Spectre und Co.?
Auf dem Linux-System guck der erstmal nur doof.

btw.
Spectre soll ja indirekt wirken und nach malware Ausschau halten und ins System lotsen.
Trotzdem Zitat Fachpresse "nicht in freier Wildbahn" Das sind Laborergebnisse!

Brauchst mich nicht gleich "Krummer Hund" zu nennen :-)

Nur, wenn ich schon darüber nachdenke dann auch am richtigen Ende.
Ich muss regelmäßig die Windosen meiner Jungnarren bearbeiten.
Die zocken auf den Dingern und fangen sich Sachen ein.
Anfang des Jahre hatten wir so ein Ostblock-Trojaner drauf,
haben selbst nicht die Virenscanner gelöst.
Musste mit Linux-Livesystem das Ding händisch finden und entfernen.
Es reicht aus, wenn Du Dich mit offenen JavaScript auf dubiosen Seiten
rumtreibst, nisten sich im cache ein.

Glückauf beim Suchen


 

Die Frage ist, gibs da seit einem halben Jahr was Neues?
Mal sehen, vielleicht sollten wir das Thema in meinen Test.- Linuxthread nehmen.
__________________________________________________  

Betriebssystemebene sind Flickschusterei und bremsen die Hardware aus. Das ist fast vergleichbar mit der Dieselaffäre und den Softwareupdates. Die Hardware muss getauscht werden- sonst wird das nix!

Hardwarebasierte Angriffe über "Spectre" sind deshalb interessant, weil der Benutzer durch die Betriebssystemupdates im trügerischen Sicherheitsglauben ist, der Fehler sei behoben bzw. das Sicherheitsloch geschlossen - mitnichten!

Zu Deinen Fragen zu #15:

Das Betriebssystem und hierauf installierte Applikationen bekommen vom Schadcode nichts mit, wenn Maschinencode bereits zuvor ausgeführt wurde. Das kann z. B. schon beim Verbinden mit einem USB-Gerät passieren. Um es noch ein wenig besser zu verdeutlichen: Adminbefehle wie z. B. su (substitute user) oder SUDO, etc. werden hierbei nicht erforderlich, um den bösen Maschinencode direkt auszuführen und Schaden anzurichten.  Schau einmal hier - Heise hat hierzu auch etwas geschrieben: "Wenn USB-Geräte böse werden"

https://www.heise.de/security/meldung/...te-boese-werden-2281098.html  

ist ne alte Kiste..... schon von 2014

Wir vermischen hier Themen,
sehe bei Spectre keine Neuigkeiten

Lies den Bericht auf Computerbase, der ist selbst auf Pro-linux gelobt.
Habe noch ne super Quelle.... dazu später mehr

und schau  mal bei Gelegenheit rein

https://www.ariva.de/forum/gruppe/Fuer-die-Linux-Freunde-1509  

 

"Monate nach den Korrekturen für 64-Bit-x86-Systeme schützt jetzt auch der für 32-Bit-ARM-Kerne zuständige Linux-Code vor der ersten (u. a. 1, 2) und zweiten (u. a. 1, 2, 3, 4) Variante der Prozessor-Sicherheitslücke Spectre, ..."  zuletzt geändert 19.07.2018  

"Weiterhin ist das Updaten des Betriebssystems nicht alleine ausreichend, um die Schwachstellen vollständig zu beheben. Es ist prinzipiell notwendig, Updates auch für die Firmware/BIOS zu installieren."

https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/...cke_10012018.html

Oder hier einfach mal nachlesen:

https://www.elektroniknet.de/design-elektronik/...spectre-155197.html  

Der Artikel BSI ist vom 10 Januar 2018

Der Zweite e-Net.de geht schon ins Detail..
Ich bleibe aber am Ball.

Habe schon 2 große Anfragen losgelassen, Kollega  IT Sicherheit eines Großkonzerns
und natürlich hier im Hause....
Mein alter IT- Fritze, "hätte könnte wenn"  Hier wird das locker gesehen.

Schaun wir mal..