Umgezogen

Das Megos IT Security Blog ist umgezogen: Die neue Adresse ist https://www.megos.ch/blog/.

Die Beiträge hier bleiben zwar vorerst stehen, aber neue Einträge gibt es nur am neuen Ort.


Ich begann über einen Umzug nachzudenken, als mir bewusst wurde, dass WordPress (die Firma) Werbung schaltet auf dem Blog in der Gratis-Variante. Das wollte mir nicht recht zusammenpassen mit einem Blog über IT-Sicherheit, wo doch gerade Werbung ein grosses Problem darstellen kann punkto Sicherheit und auch punkto Tracking.

Es gibt für 4 Euro im Monat als eine Art Abo eine „Befreiung“ von dieser Werbung und eine Menge zusätzlicher Features, und ich hätte dieses Angebot von WordPress fast angenommen. Server und Traffic kosten Geld, Support-Mitarbeiter kosten Geld, man bekommt einiges geboten, ja warum nicht 4 Euro pro Monat, um all das zu honorieren und auch um mitzuhelfen, dass das Angebot auch in Zukunft bestehenbleibt? Eigentlich gerne.

Dann aber stand ich am Punkt, dass ich nur mit Kreditkarte oder dann mit PayPal plus dort hinterlegter Kreditkarte hätte zahlen können; einfach nur Guthaben bei PayPal war nicht genug. Warum? WordPress scheint es wichtig zu sein, dass sie nach Ablauf des Jahres das Abo selbständig ohne Rückfrage um ein weiteres Jahr verlängern können.

Und das war mir zu dumm…

Advertisements

Kernschmelze bei IT-Sicherheit

Wenn andere Leute gegen Windmühlen kämpfen dürfen, darf ich auch einen Versuch starten, gegen die allgemeine Abstumpfung bei Themen der IT-Sicherheit anzuschreiben, anhand konkreter laufender Ereignisse, bevor Sie von diesen endgültig nichts mehr lesen wollen.


Wo beginnt unsere heutige Geschichte? Vermutlich Jahre in der Vergangenheit, wo irgendwelche Chip-Designer bei Intel sich überlegt haben, wie sie ihre Prozessoren noch schneller machen können. Sie denken sich ein Feature namens Speculative execution aus, und entscheiden sich für eine besonders aggressive Variante dieses Features, weitaus aggressiver als es z.B. später Kollegen bei AMD machen:

Beim „Ausführen zum Voraus“ von Prozessorbefehlen wird zunächst nicht geprüft, ob damit verbundene Speicherzugriffe gemäss Schutzmechanismen zulässig wären; es wird mal munter zugegriffen und erst irgendwann später auf Zulässigkeit geprüft. Was hätten die Intel-Ingenieure wohl damals auf die Frage geantwortet, ob das nicht gefährlich sei? Vielleicht „Iwo, ist ja eh alles nur spekulativ ausgeführt.“

Dann, vor etwas über einem halben Jahr, beweist jemand das Gegenteil. Man hätte es ahnen können, dass das früher oder später kommt: Bei der Komplexität, die heutige Prozessoren haben, ist eine solche Entscheidung in etwa das, was ich „das Schicksal herausfordern“ nenne und eigentlich nicht haben möchte beim CPU-Lieferanten meines Vertrauens. Das hätte wirklich nicht sein müssen, aber nun gut.

Jetzt geht die Geschichte erst richtig los: Intel und ein paar andere Betroffene räumen sich ein halbes Jahr Zeit ein, um Gegenmassnahmen zu entwickeln, und zwar im Geheimen. Sowohl das halbe Jahr wie auch die Geheimhaltung kann man durchaus kritisch sehen, wenn man will – schliesslich verkaufte Intel in dieser Zeit munter alle problematischen Prozessoren weiter.

Dann, nach Ablauf dieser selbst genehmigten, wie ich meine sehr grosszügigen Schonfrist, bringt Intel Mikrocode-Updates für ihre CPUs heraus. Mit einer kompletten Problemlösung? Nein, für Spectre nur teilweise. Für alle betroffenen Prozessoren? Nein, (zunächst?) nur für die, die höchstens 5 Jahre alt sind. Funktionieren die Updates wenigsten so wie gedacht? Nein, Intel muss sie zurückziehen, nachdem es bei zu vielen Computern nach dem Update zu Instabilitäten kommt.

Aus dem Gedächtnis und frei übersetzt, schrieb Intel in einer Pressemitteilung zum vorläufigen Rückzug der Updates in etwa folgenden denkwürdigen Satz: „Die Rate spontaner Neustarts war bei einigen Computern zu hoch.“ Liebe Leute, welche Rate spontaner Neustarts grösser als 0 wäre denn nicht zu hoch gewesen?

Natürlich brauchen nun Betriebsysteme aller Hersteller, sofern sie auf Intel-Prozessoren laufen, ebenfalls Updates.

Microsoft findet beim Programmieren seiner Updates für Windows heraus, dass einige Hersteller von Antiviren-Software derart „schmutzige Tricks“ verwenden, wenn sich sich im Betriebssystem festkrallen, um dieses zu „schützen“, dass sie mit den Updates nicht klarkommen.

Dürfen Antiviren-Hersteller überhaupt solche Tricks anwenden, im Interesse der Sache und weil sie ganz allgemein ja zu den „Guten“ gehören? Man kann, wie so erstaunlich oft in dieser Geschichte, gut und gerne geteilter Meinung sein.

Aber gut. Microsoft lässt sich etwas einfallen: Die Updates schalten sich erst scharf, nachdem die auf dem Computer vorhandene Antiviren-Software Bescheid gibt, sie sei nach einem eigenen Update jetzt soweit.

Aber auch hier wird, wenn Sie mich fragen, alles andere als sauber gearbeitet: Wenn Sie Windows 7 betreiben und keine Antiviren-Software installiert haben, passiert – gar nichts. Sie bekommen Ihre Januar-Patches einfach nicht, ohne Warnung warum nicht, ohne Hinweis auf fehlende Antiviren-Software in diesem speziellen Zusammenhang.

Ich könnte noch einige Zeit so weiter schreiben, über Pleiten, Pech und Pannen bei den bisherigen Versuchen der Computer-Branche, auf Meltdown und Spectre zu reagieren, aber ich muss wohl langsam auf den Punkt kommen, um den es mir bei diesem Blog-Eintrag eigentlich geht:

Dass all diese Dinge nicht zu einem Riesenskandal geführt haben, mit Kauf-Boykotts, dem Intel-Chef von einem Kongress-Ausschuss gegrillt, Protest-Aktionen vor dem Intel-Hauptsitz, usw., liegt meiner Meinung nach zu einem guten Teil an nur 1 Effekt: Abstumpfung.

Vielleicht hätte es vor 10 Jahren noch einen Riesen-Aufschrei gegeben, aber heute passiert in Sachen IT-Sicherheit so viel, dass eine akute Gefahr der Resignation und der Abstumpfung besteht.

Ich gebe es zu: Wenn Sie nach Lektüre meiner Zeilen hier entsprechende Symptome bei sich selbst bemerken, ist alleine dadurch noch nicht viel gewonnen. Viele Möglichkeiten, sich gegen solche Dinge zu wehren, hat man ja meistens nicht. Aber trotzdem, es ist wohl so, dass eine Wende zum Besseren mit der Erkenntnis bei möglichs vielen Leuten beginnt, dass hier ein Skandal stattfindet, mit dem die Akteure eigentlich nicht durchkommen dürften.