Elias Schwerdtfeger

Ich habe es immer wieder gesagt: Es ist eine dumme Idee, jeder Website im Internet das Privileg einzuräumen, Code innerhalb des Webbrowsers auszuführen, und es ist eine gute Idee, mit einem einfach zu verwendenden Browser-Addon dafür zu sorgen, dass dieses Privileg immer bewusst vergeben werden muss, wenn man einer Website aus gutem Grunde vertraut. Vor allem, wenn das so einfach wie ein paar Klicks ist. (Wer eine noch feinere Steuerung haben will oder muss und sich nicht von einem gewissen Aufwand erschrecken lässt, sollte sich unbedingt uMatrix etwas genauer anschauen.)

Ich bin immer wieder für einen paranoiden Spinner und für einen Dummkopf gehalten worden, und manchmal wurde mir das sogar offen gesagt. Gut, dann habe ich halt geschwiegen und mit nur noch kaum wahrnehmbaren Kopfschütteln zugeschaut, wie die gleichen Menschen, die mich für einen geisteskranken Idioten halten, wie ein dressiertes Äffchen in irgendwelchen Antivirus-Schlangenölen herumklickten und sich sicher fühlten, wenn sie dort Texte angezeigt bekamen, die sie gar nicht verstanden. Am Ende sahen sie ein grünes Schild mit einem Haken und fühlten sich geborgen in ihrem selbstverschuldeten Unwissen. Wer interessiert sich schon für Computersicherheit, wenn es auch gefühlte Sicherheit gibt? »Und außerdem funktionieren so viele Websites nicht mehr ohne Javascript… da ist es doch umständlich, wenn man da immer wieder Ausnahmen zurechtklicken muss« – Nein, Idiot! Wenn du immer wieder Ausnahmen zurechtklickst, weil irgendein Cyberhütchenspieler von Scheißjournalist dich auf seiner verlogenen Lügenpressewebsite anlügt¹, kannst du das mit NoScript auch gleich lassen! Dann lad halt alle zum Spielen mit deinem Rechner ein! Wird bestimmt ne tolle Party. 😈

Nun, »dank« Meltdown und Spectre hat sich die Situation nun ein bisschen geändert. Endlich ist der SuperGAU da, der irgendwann einmal kommen musste! Oder, um den ungewöhnlich guten Heise-Artikel von Andreas Stiller (vielen sicher noch aus Heises guten Zeiten bekannt) zu zitieren (ja, da ist ein bisschen Fachchinesisch drin):

Mit dem Szenario »Spectre« haben die gleichen Autoren einen weiteren Angriff gestartet, bei dem das Kernel-Mapping nicht benötigt wird, und der infolgedessen weder mit KPTI noch mit Hardsplit begegnet werden kann. Er beschänkt sich vorerst zwar nur auf den User-Prozess selber – doch auch das kann äußerst kritisch sein, wenn man zum Beispiel mit Javascript auf beliebige Speicherbereiche des Browsers zugreifen kann – und das geht sowohl bei Intel, AMD und ARM (Liste der betroffenen Prozessoren)

Um beliebige Speicherinhalte des Webbrowsers – zum Beispiel so etwas wie gespeicherte Passwörter oder die ausgefüllte Seite mit der Banküberweisung – auszulesen, bedarf es keines Trojaners, den man irgendwie so untergejubelt bekommen muss, dass er ausgeführt wird und gegen den dann vielleicht sogar das Antivirus-Schlangenöl noch hilft, wenn es den Schädling überhaupt erkennt. Es bedarf nur eines kleinen Javascriptes, das bequem in jede Website eingebettet werden kann. Zum Beispiel nach einem Crack einer Website. Und bei den modernen Websites, die ihre Skripten gern aus zwanzig bis dreißig kunterbunt durchs Web gesprenktelten Quellen zusammenladen, auch nur eines Cracks eines dieser Javascript-Hoster, damit man gleich ganz viele verseuchte Websites hat. Oder, wenn es sich lohnt – zum Beispiel, weil man in großem Maßstab Passwörter (für Google, Facebook, Twitter, Amazon, Netflix, eBay und dergleichen) und Kreditkartendaten ausspähen will – auch, indem man einen dieser Javascript-Hoster schlicht aufkauft. Oder, indem man eine gephishte Kreditkarte und die missbrauchte Identität eines Dritten zur Hand nimmt, um Werbebanner für die Einblendung in andere Websites (zum Beispiel bei ihrer Tageszeitung, bei T-Online, bei Heise Online oder irgendeiner anderen durch Reklameeinblendung monetarisierten Website) zu »bezahlen«, um dann darüber Javascript in Websites einzubetten, die viele Menschen für vertrauenswürdig halten. Deshalb sind und bleiben Adblocker ja auch eine unentbehrliche Sicherheitssoftware, die einen wichtigen Transportweg für Schadsoftware an der Wurzel unterbindet. Zumindest das wird mir inzwischen oft geglaubt, weil da die GAUs schon passiert sind.

»Aber die Website, die ich da benutze, ist sicher, die hat ein Schlösschen in der Adressleiste, da kann kein Dritter mitlesen?« Vergiss es! Wenn der Browser einen Text anzeigen kann, kann dieser Text über Spectre ausgelesen werden. Nichts, was in deinem Browser läuft, ist sicher, wenn du jeder Dreckssite Javascript erlaubst.

Und das »Beste« daran: Dieser durch ein Softwareupdate nicht wirklich zu behebende Fehler ist in gewissen Kreisen seit über einem halben Jahr bekannt und niemand kann eine Ausnutzung dieses Fehlers nachträglich erkennen.

Ich bin ziemlich guter Dinge. Ich habe seit Jahren kaum noch einer Website Javascript gestattet, und wenn sie mir ohne Javascript nichts zu sagen hatte, habe ich eben eine andere Quelle genommen. Wer das nicht so gehandhabt hat, sollte jetzt besser mal schnell sämtliche Passwörter ändern… 🙁

Und ich sage es noch einmal und ich werde hoffentlich niemals müde, es zu wiederholen: Es war schon immer eine sehr dumme Idee, jeder Website in diesem Web – es gibt darin auch eine Menge Machwerke von Leuten, die niemand vermisste, wenn es sie nicht gäbe – das Privileg einzuräumen, Code innerhalb des Webbrowsers auszuführen. Schon lange vor Spectre. Jetzt ist es eine saudumme, verantwortungslose Idiotenidee, wenn man trotzdem so weitermacht.

Ich habe übrigens auch immer wieder gesagt, dass die »Cloud« eine sehr dumme Idee ist. Und ich wurde dafür sogar schon ausgelacht, im Regelfall aber mindestens für »ein bisschen paranoid« gehalten.

Aber jetzt ist Meltdown bekannt geworden. Jeder Prozess (ohne, dass eine besondere Berechtigung dafür erforderlich wäre), kann auf Speicher jedes anderen Prozesses auf dem gleichen Rechner (und sogar auf Speicherbereiche des Betriebssystemkerns) zugreifen. Es ist nicht möglich, diesen Zugriff zu entdecken.

Schlangenöl ist wirkungslos.

Linux ist sicherer? Nein. MacOS ist sicherer? Nein. Der Fehler liegt im Intel-Prozessor.

Übrigens: Beinahe jeder Serverrechner im Internet läuft mit Intel-Hardware und Intel-Prozessoren.

Auf einem Server in der Cloud laufen mehrere Instanzen mit mehreren verschiedenen Benutzerrechten oder gar in virtuellen Maschinen, gut voneinander getrennt? Nein, die sind nicht voneinander getrennt. Ein Prozess auf diesem Server oder in einer dieser virtuellen Maschinen, der Meltdown ausnutzt, kann auf alles™ zugreifen. Wenn ein solcher Zugriff geschehen ist, kann er nicht entdeckt werden. Der Fehler in Intel-Prozessoren, der diesen Zugriff ermöglicht, ist seit mindestens sechs Monaten bekannt, möglicherweise einigen Menschen auch schon etwas länger. Niemand weiß, wie lange er wirklich schon bekannt ist.

Oh, da lagen Daten in der Cloud, die niemanden etwas angehen? Private Fotos, die man nicht als Köder für eine Dating-Betrugssite sehen möchte (Beispiel eins, Beispiel zwei, Beispiel drei)? Kinderfotos aus dem Urlaub, bei denen man ganz einfach nicht möchte, dass sich jemand einen darauf runterholt? Eigene Fotos, bei denen man das auch nicht möchte? Korrespondenz, die niemanden etwas angeht? Persönliche Daten anderer Menschen? Betriebliche Daten, die unter besonderem Schutz stehen? Gar geschäftliche Geheimnisse? Angebote und Rechnungen? Tja, dumm gelaufen, so etwas gehört sowieso nicht auf die Computer anderer Menschen.

Und angesichts der Tatsache, dass »so etwas« jetzt bereits in ganz anderen Händen sein kann, ohne dass es auswertbare Angriffsspuren oder auch nur ein paar Indizien dafür gibt, sollte jetzt hoffentlich auch etwas unterbelichteteren Zeitgenossen einleuchten, wie schlecht die Idee der »Cloud« von ihrem ersten Tag an war. Ja, die Idee war schon lange vor Meltdown schlecht. (Beispiel eins, Beispiel zwei, Beispiel drei, Beispiel vier, Beispiel fünf, Beispiel sechs, Beispiel sieben, Beispiel acht… gut, dass jede natürliche Zahl einen Nachfolger hat, sonst könnte man die vielen Beispiele gar nicht aufzählen.)

Ist schon doof, wenn man dem fürs Lügen bezahlten Werber und seinem hässlichen, stinkenden Bruder, dem Journalisten, glaubt, die einem mit vereinter Stimme so lange von der »Cloud« erzählen, bis sie sogar noch das Stammhirn auslöffeln können.

Ich war zum Glück nicht so doof, und ich werde auch nie so doof werden. Dafür lachen einige über mich. Damit kann ich leben. (Die lachen ja auch noch über mich, weil ich es ablehne, ein Smartphone zu benutzen – und merken gar nicht, dass sie ganz ohne jede »Cloud« die Computer anderer Leute in ihrer Tasche und mitten in ihrer Privat- und Intimsphäre haben.)

Aber ich vermisse den Trost darin, Recht gehabt zu haben… 🙁

¹Ihr braucht mich nicht darüber aufzuklären. Ich bin mir durchaus bewusst, dass dieser Tonfall nicht zu einer »sachlichen« Auseinandersetzung führt. Da es generell nur wenigen Journalisten gelingt, zu vermeiden, dass ich ihnen die Verachtung ihrer Leser vollumfänglich zurückgebe, ist mir das aber egal.