So versuchten Intel, Google & Co. Spectre geheim zu halten

Meltdown and Spectre
Meltdown and Spectre (© 2018 Public Domain/ CURVED Montage )

Mittlerweile gehen Experten davon aus, dass Meltdown und Spectre nahezu alle Geräte mit  Intel-, AMD- oder ARM-Chipsatz gefährden. Das genaue Ausmaß ist noch unklar, aber beinahe jeden Tag kommen neue Details ans Licht. The Verge hat jetzt offenbart, wie Intel, Google und andere Beteiligte, Spectre lange Zeit geheim hielten.

Die wohl erste Person, die Spectre entdeckt hat, war Jann Horn von Googles Project Zero. Das 2014 ins Leben gerufene Sicherheitsexperten-Team spürt im Auftrag des Suchmaschinenriesen regelmäßig unbekannte Schwachstellen in Computern und Software auf. Am 1. Juni 2017 informierte Horn Intel, AMD und ARM in einer E-Mail über die Sicherheitslücke, die wir inzwischen als Spectre kennen.

Project Zero informierte selbst Google nicht

Er veranschaulichte das Problem mit einem Exploit an Intel- sowie AMD-Prozessoren und bat die Empfänger der Mail, das Thema äußerst vertraulich zu behandeln: "Wir haben bis jetzt noch niemand anderen bei Google darüber informiert." Die Chip-Hersteller sollten sich daran ein Beispiel nehmen und Informationen mit anderen Parteien nur dann teilen, wenn dies unbedingt nötig sei.

Diese Art der Geheimhaltung ist bei Sicherheitslücken dieser Größenordnung übrigens nicht ungewöhnlich. Das soll verhindern, dass Kriminelle die Schwachstelle ausnutzen können, bevor es ein schützender Patch existiert. Normalerweise gibt Project Zero den Herstellern 90 Tage Zeit, um eine Sicherheitslücke zu schließen. Das Problem im Fall von Spectre: Nicht nur die drei Hersteller mussten eine Lösung finden, sondern auch unzählige andere Unternehmen wie zum Beispiel die Anbieter von Betriebssystemen, Browsern oder Cloud-Diensten.

Computer-Experten entdeckten erste Hinweise

Die betroffenen Unternehmen wurden also über Spectre informiert und veröffentlichten in den folgenden Monaten Patches, ohne zu offenbaren, welchen Zweck diese tatsächlich erfüllen sollten. Was dem Durchschnittsverbraucher nicht aufgefallen war, machte jedoch einige Computer-Experten stutzig. Eindeutige Hinweise lieferten offenbar Änderungen am Betriebssystem Linux, das bei den meisten Cloud-Diensten zum Einsatz kommt und daher im Kampf gegen Spectre und auch Meltdown eine große Rolle spielt.

Da Linux ein Open-Source-System ist, müssen alle Veränderungen daran veröffentlicht werden. Nach Durchsicht der Changelogs rochen einige Computerexperten den Braten. Ein Update vom 18. Dezember 2017 identifizierte Linux-Veteran Jonathan Corban als "Security-Patch, der unter Zeitdruck fertiggestellt wurde, um eine Deadline einzuhalten." Die Tragweite von Spectre war bis dahin aber noch nicht bekannt.

AMD hielt sich nicht an die Abmachung

Ein entscheidender Hinweis kam von einem Chip-Hersteller selbst: AMD war nicht glücklich darüber, dass seine Prozessoren in dem Linux-Update als gefährdet aufgelistet wurden. Deswegen erklärte ein Entwickler des Unternehmens in einer öffentlichen E-Mail, warum AMD-Prozessoren nicht gefährdet seien und erläuterte dabei, worin die Sicherheitslücke im Kern besteht. Das machte Fachleuten das Ausmaß der Sicherheitslücke klar. In der darauf folgenden Woche füllten Gerüchte über Spectre einschlägige Foren. Zum Jahreswechsel nahmen die Spekulationen schließlich so an Fahrt auf, dass The Register beschloss, das Geheimnis zu lüften: Am 2. Januar 2018 veröffentlichte die Webseite einen Artikel, darüber, dass ein Designfehler in modernen Prozessoren eine massive Sicherheitslücke bedingt.

Spectre: Bingo!

Die Industrie reagierte irritiert darauf. Eigentlich wollte man die Öffentlichkeit erst eine Woche später informieren – während der CES 2018, die zumindest etwas von den Ausmaßen hätte ablenken können. Das war aber spätestens am 3. Januar 2018 nicht mehr möglich: Einen Tag nach dem Artikel von The Register veröffentlichte der Computer-Experte "brainsmoke" die Sicherheitslücke auf Twitter und kommentierte dies schlicht mit "Bingo!" Das war der Tropfen, der das Fass endgültig zum Überlaufen brachte. Google hob das Embargo noch am selben Tag auf und nach mehr als sieben Monaten der Geheimhaltung wurden sämtliche Forschungsergebnisse auf zwei Webseiten veröffentlicht.

Wie findet ihr das? Stimmt ab!
Weitere Artikel zum Thema