Massig Sicherheitslücken in Intel CPU's gefunden.
- Ersteller peebee
- Erstellt am
khz
||||||||||
.
FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
https://www.heise.de/newsticker/mel...ffen-wie-kann-ich-mich-schuetzen-3938146.html
FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
https://www.heise.de/newsticker/mel...ffen-wie-kann-ich-mich-schuetzen-3938146.html
khz
||||||||||
Laut Unterhaltung mit einem sehr alten (also Alter, nicht die Zeit wo ich den kenne!) Freunden könnte es sich um die damals (~1995) vermutete P2 CIA Hintertür handeln.
Angeblich war da mal was in Diskussion das ab den P2 und neueren Prozessoren sich was verändert hat.
Das nun, durch dummerweise rauskommen einer von vielen ~Lücken, nun neue Hardware gekauft werden muss (hat Intel schon einen Patch (der eh niemals 100% sicher ist da Hardware kaputt)?) ist ein netter wirtschaftlicher Begleiteffekt.
Aber dafür einen Zugriff geopfert. Schlecht für Antiterrorfahndung.
Angeblich war da mal was in Diskussion das ab den P2 und neueren Prozessoren sich was verändert hat.
Das nun, durch dummerweise rauskommen einer von vielen ~Lücken, nun neue Hardware gekauft werden muss (hat Intel schon einen Patch (der eh niemals 100% sicher ist da Hardware kaputt)?) ist ein netter wirtschaftlicher Begleiteffekt.
Aber dafür einen Zugriff geopfert. Schlecht für Antiterrorfahndung.
Cyclotron
|||||||||||
Intel macht bei der "Erklärung" wohl zwei Schritt vor und einen zurück - und dazwischen drehen sie Pirouetten.
Im Ergebnis ist es wohl so, dass man bei älteren CPUs auf BIOS Updates setzt. Wenn wir uns nun angucken, wieviele ältere CPUs auf älteren Boards laufen, die nicht mehr supported werden... . Ich stelle mir auch grad vor, wie ich meinen ahnungslosen Eltern erkläre, was nun wieder ein BIOS ist. Und warum / wie man das updated - das wird doch nix.
Und speziell was Windows betrifft empfiehlt man derzeit, auf Windows 10 zu gehen, weil dort die Programme "anders" gehandhabt würden als in 7 oder 8. Zusätzlich würden ältere Rechner besonders unter dem Leistungsverlust leiden.
Das alles ist zumindestens ein Unfall zur rechten Zeit.
Zuletzt bearbeitet:
Crabman
||||||||||
https://www.heise.de/newsticker/mel...Prozent-ab-SSD-I-O-deutlich-mehr-3938747.html
Wenn Intel bei ihren zweifellos geschönten und superoptimierten Tests schon auf "6-10% oder auch mehr" (mehr=in Spezialfällen wie "Media Creation") kommt,möchte ich nicht wissen wie das dann in freier Wildbahn aussieht.Ebenso wenig wie das bei CPUs älter als 5 Jahren aussieht.
Funny Sidenote:die obendrein heftigen Performance Einbrüche bei SSD Systemen.Nutzt ja gottlob kaum einer.Good Times.
Wenn Intel bei ihren zweifellos geschönten und superoptimierten Tests schon auf "6-10% oder auch mehr" (mehr=in Spezialfällen wie "Media Creation") kommt,möchte ich nicht wissen wie das dann in freier Wildbahn aussieht.Ebenso wenig wie das bei CPUs älter als 5 Jahren aussieht.
Funny Sidenote:die obendrein heftigen Performance Einbrüche bei SSD Systemen.Nutzt ja gottlob kaum einer.Good Times.
khz
||||||||||
Hat Intel denn schon seine Firmware aktuallisiert?
Unter Linux ist die Version 20171117_p20171215 aktuell.
https://packages.gentoo.org/packages/sys-firmware/intel-microcode
Meine die wussten das doch seit ca. 1995. Da ist so etwas sportlich.
Kommt dann Mitte des Jahres für aktuelle Prozessoren? Älter als 5 Jahre darf man dann in die Mülltonne (Afrika) schmeißen?
AMD gibt es eine ~sichere neue Version 20180103-r1 https://packages.gentoo.org/packages/sys-kernel/linux-firmware.
Gepatchter Kernel: Klasse und wer braucht schon die 30% CPU.
Und sicher ist es nicht dadurch da HW kaputt.
THX INTEL!
https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html
Unter Linux ist die Version 20171117_p20171215 aktuell.
https://packages.gentoo.org/packages/sys-firmware/intel-microcode
Meine die wussten das doch seit ca. 1995. Da ist so etwas sportlich.
Kommt dann Mitte des Jahres für aktuelle Prozessoren? Älter als 5 Jahre darf man dann in die Mülltonne (Afrika) schmeißen?
AMD gibt es eine ~sichere neue Version 20180103-r1 https://packages.gentoo.org/packages/sys-kernel/linux-firmware.
Gepatchter Kernel: Klasse und wer braucht schon die 30% CPU.
Und sicher ist es nicht dadurch da HW kaputt.
THX INTEL!
https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html
Zuletzt bearbeitet:
Grenzfrequenz
||||||||||
Intel CPUs sind ab 2008 betroffen. Und es sind herstellerübergreifend CPUs betroffen. Der CIA müsste ja wirklich über die alleinige Weltherrschaft verfügen, wenn sie dafür sorgen können, dass zB die Produkte von ARM (einer englischen Limited in größtenteils japanischem Besitz) ebenfalls betroffen sind. Klingt für mich erstmal wie eine Klassische Verschwörungstheorie fernab aller Fakten.
Grenzfrequenz
||||||||||
Das wäre in der Tat sportlich, wenn sie bereits 13 Jahre vor der Einführung einer (in der Zukunft erfundenen) Neuerung wüssten, welche Sicherheitslücken 23 Jahre später darin einmal gefunden werden würden.
Gibt es irgendwelche Fakten, welche diese krude These in irgendeiner Form untermauern könnten?
khz
||||||||||
Nein, ich kenne mich da nicht aus.
Sind evt. falsche Äußerungen meinerseits da ich mich mit der Materie eher wenig auskenne.
Die ganze ~Informationsflut verbessert es auch nicht.
Also nur Vermutungen meinerseits gestützt von - teils falsch interpretierten - Teilwissen.
Cyclotron
|||||||||||
Was ist denn nun aktueller Stand? Mal liest man "CPUs ab 2008", mal "CPUs ab Pentium Pro", dann wieder "ab 2008" ... wobei zwischen Drama und professionellem Schulterzucken alles dabei ist.
khz
||||||||||
Fundierte Richtigstellung ist sehr erwünscht!
Ich blick da nicht durch.
OK, also ist "Meltdown & Spectre" kein Bug.
Quelle: https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html
Hmm trotzdem Fragen über Fragen. *Kopfkratz*
Ich blick da nicht durch.
OK, also ist "Meltdown & Spectre" kein Bug.
Nichts verstehe ich mehr.
Quelle: https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html
Hmm trotzdem Fragen über Fragen. *Kopfkratz*
Zuletzt bearbeitet:
B
btrnm
Guest
Meltdown alleine betrifft aber mWn ausschließlich Intel, das wäre also eher ein Argument für das Gegenteil.
AMD und ARM sind teilweise von Spectre betroffen.
Man muss heute bei jeder Sicherheitslücke davon ausgehen daß sie möglicherweise absichtlich platziert wurde und das nicht nur bei US Unternehmen und auch bei Open Source Projekten. Sabotage gab es allen Ortens.
Es wäre im Übrigen auch nicht die CIA sondern die NSA die solche Lücken hortet und Angriffsszenarien für so gut wie jede Anwendungssoftware und Hardware hat.
Trotzdem halte ich es für eher unwahrscheinlich daß die Lücken absichtlich reindesigned wurden weil es sich erstmal um Technik handelt die dazu da ist Prozessoren schneller zu machen als sie eigentlich von der Taktrate her sind.
Einerseits.
Andereseits haben moderne CPUs und OSs ja Mechanismen die solche Angriffe normalerweise erschweren und die verhindern sollen
daß Prozesse auf andere Prozesse zugreifen. Es ist also nicht so daß die Art des Problems gänzlich unbekannt wäre.
Kurz, man weiß es nicht, und kann Sabotage auch nie gänzliich ausschließen.
Letztlich kostet CPU Entwicklung aber einen Haufen Geld und ist extrem komplex geworden, so komplex daß keiner mehr
eine CPU zur Gänze durchschaut - und das bedeutet daß es vermutlich einfach wirtschaftliche und Komplexitätsgründe hat warum die Lücken
existieren.
Es gab ja auch andere CPU Bugs, bis hin zu Rechenfehlern. Aber was ist mit dem ME Bug vom Herbst zB?
khz
||||||||||
==>
https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html
Also Zeitlich könnte es hinkommen?
swissdoc
back on duty
Meltdown & Spectre sind die Angriffs-Szenarien (Exploits), die die Sicherheitslücken der betroffenen CPUs prototypisch ausnutzen.
khz
||||||||||
Ja, habe mich falsch ausgedrückt.
Laut Intel Aussage
"Das Unternehmen will erst gar nicht von einem Prozessorfehler sprechen – denn die Prozessoren arbeiteten ja exakt wie spezifiziert."
verstehe ich so das es da keine Sicherheitslücken gibt.
Oder Interpretiere ich das falsch?
Cyclotron
|||||||||||
Der fertige Prozessor tut genau das, was er tun soll. Also kein Bug im Sinne eines Produktionsfehlers. Es wurde aber bei der Konzeption der Hardware zu wenig Gewichtung auf den Sicherheitsaspekt gelegt, da Performance die höhere Priorität hatte. Ob vorsätzlich, fahrlässig oder naiv... das weiß ich als Nichtdabeigewesener auch nicht. Insgesamt aber eher ein "anfälliges Design" als ein "Prozessorfehler" - so jedenfalls lese ich die Berichte.
Zuletzt bearbeitet:
H
HQDNXT34X
Guest
Ich dachte die Regierung überwacht ganz offiziell und legal alle Knotenpunkte. Wieso sollten sie dann solch eine Sache für CPUs fordern die auch jede feindliche Regierung ausnutzen kann?
B
btrnm
Guest
Das nennt man Full Spectrum Dominance.
Die hacken bei der NSA erstmal einfach alles was sie hacken können.
Zumal das mit dem Rausleiten aus den Knotenpunkten ja bis Snowden als VT galt.
Vor nem Jahr oder so wurden irgendwo Bügeleisen (aus China denk ich) vom Zoll konfisziert weil:
die sich in jedes W-LAN einhackten daß sie finden können. So sieht das da draußen aus.
Es geht ja nicht nur ums abschnorcheln von Internet sondern auch um so feine Sachen wie Stuxnet etc.
Wanzen im EU-Parlamentskonferenzräumen. Usw.
B
btrnm
Guest
Ja, oder "NSA Backup Key"
khz
||||||||||
Ich finde es ~gerissen oder so was im ironischen Sinne wenn die $Firma dann sage:
"denn die Prozessoren arbeiteten ja exakt wie spezifiziert."
OK, bei Entwicklung kann es Fehler geben.
"Speculative Execution wird seit 1995 in Prozessoren eingesetzt - erstmals mit dem Pentium Pro. Bereits im ersten Jahr des Einsatzes gab es Warnungen vor möglichen Seitenkanalangriffen auf vertrauliche Informationen."
Aber wenn die $Firma 23 Jahre später dann so etwas sagen ist
#251
@NSA *gähn* Ist in China ein Sack Reis umgefallen?
@Snowden ist ein Verbrecher?
"denn die Prozessoren arbeiteten ja exakt wie spezifiziert."
OK, bei Entwicklung kann es Fehler geben.
"Speculative Execution wird seit 1995 in Prozessoren eingesetzt - erstmals mit dem Pentium Pro. Bereits im ersten Jahr des Einsatzes gab es Warnungen vor möglichen Seitenkanalangriffen auf vertrauliche Informationen."
Aber wenn die $Firma 23 Jahre später dann so etwas sagen ist
#251
@NSA *gähn* Ist in China ein Sack Reis umgefallen?
@Snowden ist ein Verbrecher?
Zuletzt bearbeitet:
H
HQDNXT34X
Guest
ist es für einen Laien schwer nun die Software zum ausnutzen der Lücke selbst zu erstellen?
Also könnte theoretisch bspw meine Uroma einen Volkshochschulkurs Informatik besuchen um herauszubekommen was ich ihr zum Geburtstag im Internet bestellt habe?
Das wäre nicht schön, denn dann wäre die ganze Überraschung versaut.
Also könnte theoretisch bspw meine Uroma einen Volkshochschulkurs Informatik besuchen um herauszubekommen was ich ihr zum Geburtstag im Internet bestellt habe?
Das wäre nicht schön, denn dann wäre die ganze Überraschung versaut.
Cyclotron
|||||||||||
Ich finde es ~gerissen oder so was im ironischen Sinne wenn die $Firma dann sage:
"denn die Prozessoren arbeiteten ja exakt wie spezifiziert."
OK, bei Entwicklung kann es Fehler geben.
"Speculative Execution wird seit 1995 in Prozessoren eingesetzt - erstmals mit dem Pentium Pro. Bereits im ersten Jahr des Einsatzes gab es Warnungen vor möglichen Seitenkanalangriffen auf vertrauliche Informationen."
Aber wenn die $Firma 23 Jahre später dann so etwas sagen ist
#251
Es ist aber - trotz angeblicher früher Warnung - in 23 Jahren niemand darauf gekommen, dem mal nachzugehen? Ich meine, es arbeiten ja nicht alle Programmierer und HW Developer bei / für den NSA. Am Maulkorb kann es ja nicht liegen, denn die Ergebnisse hätten in diesem Fall auch heute nicht bekannt werden dürfen / können.
Crabman
||||||||||
Aus dem Heise Forum:
"Bei Lesen der Foren Threads scheint es mir, dass einige Leser immer noch nicht begriffen haben, dass hier ein riesiges und echtes Sicherheitsproblem vorliegt, da die Angriffe nahezu trivial einsetzbar sind. Und wenn die JITer für JS in den Browsern erstmal den "richtigen" Binär-Code ausspucken, dann kann man den Bug sogar beim Websurfen in JS ausnutzen.
Ich konnte nach dem Lesen der beiden Papers zu Meltdown und Spectre den Bug auf allen meinen aktuellen Intel Kisten reproduzieren. Sowohl mit eigenem C-Code als auch den Sourcen auf GitHub dazu.
Die betroffenen Systeme stehen offen wie Scheunentore!
Das größte Problem ist nach wie vor, sinnvolle VMEM Addressen im absichtlich verwürfelten 64bit Speicherlayout zu finden, sodass man tatsächlich auch sinnvolle Daten abgreifen kann. Das geht aber mit den in den Papers empfohlenen Methoden ebenfalls.
Bei Einem bin ich mir absolut sicher: Ganz viele 'Hacker' werden jetzt versuchen diesen CPU Bug/Designflaw auszunutzen. Und da auch ich den Bug nun verstanden habe und ausnutzen konnte, dann werden es deutlich nerdigere Personen erst recht können.
Wer also nur auf seinem Intel Rechner spielt und ansonsten alle sicherheitsrelevanten Tätigkeiten wie Online-Banking und die Verwendung von Passwörtern und Privaten Schlüsseln ausschließlich auf anderen sicheren Rechnern macht, darf sich sicher entspannt zurücklehnen.
Ansonsten empfiehlt es sich alle Dienste und Aufgaben mit Kontakten zur Aussenwelt auf sichere Systeme zu verschieben. Schön wer noch ein paar unanfällige alte Rechnerkisten in der Ecke rumliegen hat."
"Bei Lesen der Foren Threads scheint es mir, dass einige Leser immer noch nicht begriffen haben, dass hier ein riesiges und echtes Sicherheitsproblem vorliegt, da die Angriffe nahezu trivial einsetzbar sind. Und wenn die JITer für JS in den Browsern erstmal den "richtigen" Binär-Code ausspucken, dann kann man den Bug sogar beim Websurfen in JS ausnutzen.
Ich konnte nach dem Lesen der beiden Papers zu Meltdown und Spectre den Bug auf allen meinen aktuellen Intel Kisten reproduzieren. Sowohl mit eigenem C-Code als auch den Sourcen auf GitHub dazu.
Die betroffenen Systeme stehen offen wie Scheunentore!
Das größte Problem ist nach wie vor, sinnvolle VMEM Addressen im absichtlich verwürfelten 64bit Speicherlayout zu finden, sodass man tatsächlich auch sinnvolle Daten abgreifen kann. Das geht aber mit den in den Papers empfohlenen Methoden ebenfalls.
Bei Einem bin ich mir absolut sicher: Ganz viele 'Hacker' werden jetzt versuchen diesen CPU Bug/Designflaw auszunutzen. Und da auch ich den Bug nun verstanden habe und ausnutzen konnte, dann werden es deutlich nerdigere Personen erst recht können.
Wer also nur auf seinem Intel Rechner spielt und ansonsten alle sicherheitsrelevanten Tätigkeiten wie Online-Banking und die Verwendung von Passwörtern und Privaten Schlüsseln ausschließlich auf anderen sicheren Rechnern macht, darf sich sicher entspannt zurücklehnen.
Ansonsten empfiehlt es sich alle Dienste und Aufgaben mit Kontakten zur Aussenwelt auf sichere Systeme zu verschieben. Schön wer noch ein paar unanfällige alte Rechnerkisten in der Ecke rumliegen hat."
aintnopicnic
|||
Grade mal auf das aktuelle 10.13.2 geupdated.
SSD Benchmark vorher: Read 2,7 GB Write 3,1 GB/s
nach Update: Read 1,4 GB/s Write 2,2 GB/s
Das ist mal ein dramatischer Einbruch.
Geh wieder auf 10.11.6 zurück und der Rechner kommt vom Netz.
SSD Benchmark vorher: Read 2,7 GB Write 3,1 GB/s
nach Update: Read 1,4 GB/s Write 2,2 GB/s
Das ist mal ein dramatischer Einbruch.
Geh wieder auf 10.11.6 zurück und der Rechner kommt vom Netz.
khz
||||||||||
Das update ist ja nicht so das es "das" ist, eher ein Versuch von vielen die kommen werden es ~sicherer zu machen?
100% sicher geht nur mit neuer Hardware, Software seitig ist das eher ein Flickenteppich mit Löchern, egal wie fein die auch sein mögen evt. irgendwann mal?
Grade Intel dann kein zeitnahen Microcode update ist
100% sicher geht nur mit neuer Hardware, Software seitig ist das eher ein Flickenteppich mit Löchern, egal wie fein die auch sein mögen evt. irgendwann mal?
Grade Intel dann kein zeitnahen Microcode update ist
Cyclotron
|||||||||||
Alten Kram hätte ich ja noch ... nur wird das mit dem heutigen Internet wohl nix auf den Kisten.
Den hätte ich auch noch im Schrank liegen - Internet mit 486er, DOS und Lynx. Zukunft, ich komme... .
Zuletzt bearbeitet:
H
HQDNXT34X
Guest
Ich habe notfalls noch einen Amiga 1200 hier mit WLan Karte... Ob der aber überhaupt noch eine Webseite bewältigen kann bezweifel ich...die Auflösung dürfte zu gering sein und 10MB Ram zu wenig. Allerdings wäre ich dann vor Viren gefeit.
H
HQDNXT34X
Guest
Ich hatte leider kein Kinderzimmer...nur die Unterlage aus ausgedienten Förderbandgummi die damals von den Nordkoreanern gespendet wurden neben dem Webstuhl in der zugigen Baracke. Wir mussten damals Kleidung für die reichen Kinder der BRD herstellen. Aber für mich war es trotzdem Heimat.
ich habe als junger Dachs mal alle meine 150 Disketten brav und fleissig mit Viruscope gescannt und nach Virusmeldung "repariert" danach gingen gut 75% nicht mehr.
Das Programm hatte einfach Falschmeldungen produziert bei unbekannten Disk-Formaten wie sie bei vielen Spielen üblich waren.
Dabei waren die Viren doch eigentlich egal solange der Schreibschutz noch manuell war.
HDs gabs normal nicht und im RAM war nach dem Netzschalter auch Schluss.
Zuletzt bearbeitet von einem Moderator:
News
-
Rainy Day (bisher Otem Rellik) Hailström - Sampler & Drummachine- Gestartet von Moogulator
- Antworten: 1
-
-
SequencerTalk #206 Synthesizer Entwicklung über die Zeit, Rückschritte und Fortschritte und Neues
- Gestartet von Moogulator
- Antworten: 1
-
Knobula Pianophonic - Ein Piano für Leute die keine Pianos brauchen - Eurorack + MIDI!
- Gestartet von Moogulator
- Antworten: 1
-
9-11.5.2024, Fischbach bei Idar Oberstein, Modular Meeting Happy Knobbing 2024
- Gestartet von Moogulator
- Antworten: 0
-
-