Sicherheitslücke in Intel CPU's gefunden.

Dieses Thema im Forum "PC" wurde erstellt von peebee, 4. Januar 2018.

  1. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    maak gefällt das.
  2. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Laut Unterhaltung mit einem sehr alten (also Alter, nicht die Zeit wo ich den kenne!) Freunden könnte es sich um die damals (~1995) vermutete P2 CIA Hintertür handeln.
    Angeblich war da mal was in Diskussion das ab den P2 und neueren Prozessoren sich was verändert hat.
    Das nun, durch dummerweise rauskommen einer von vielen ~Lücken, nun neue Hardware gekauft werden muss (hat Intel schon einen Patch (der eh niemals 100% sicher ist da Hardware kaputt)?) ist ein netter wirtschaftlicher Begleiteffekt.
    Aber dafür einen Zugriff geopfert. Schlecht für Antiterrorfahndung.
     
  3. Cyclotron

    Cyclotron |||

    Intel macht bei der "Erklärung" wohl zwei Schritt vor und einen zurück - und dazwischen drehen sie Pirouetten.

    Im Ergebnis ist es wohl so, dass man bei älteren CPUs auf BIOS Updates setzt. Wenn wir uns nun angucken, wieviele ältere CPUs auf älteren Boards laufen, die nicht mehr supported werden... . Ich stelle mir auch grad vor, wie ich meinen ahnungslosen Eltern erkläre, was nun wieder ein BIOS ist. Und warum / wie man das updated - das wird doch nix.

    Und speziell was Windows betrifft empfiehlt man derzeit, auf Windows 10 zu gehen, weil dort die Programme "anders" gehandhabt würden als in 7 oder 8. Zusätzlich würden ältere Rechner besonders unter dem Leistungsverlust leiden.

    Das alles ist zumindestens ein Unfall zur rechten Zeit.
     
    Zuletzt bearbeitet: 11. Januar 2018
  4. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Mal in Hochkultur ausgedrückt: BIG THING!
     
  5. https://www.heise.de/newsticker/mel...Prozent-ab-SSD-I-O-deutlich-mehr-3938747.html

    Wenn Intel bei ihren zweifellos geschönten und superoptimierten Tests schon auf "6-10% oder auch mehr" (mehr=in Spezialfällen wie "Media Creation") kommt,möchte ich nicht wissen wie das dann in freier Wildbahn aussieht.Ebenso wenig wie das bei CPUs älter als 5 Jahren aussieht.

    Funny Sidenote:die obendrein heftigen Performance Einbrüche bei SSD Systemen.Nutzt ja gottlob kaum einer.Good Times.
     
  6. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Hat Intel denn schon seine Firmware aktuallisiert?
    Unter Linux ist die Version 20171117_p20171215 aktuell.
    https://packages.gentoo.org/packages/sys-firmware/intel-microcode
    Meine die wussten das doch seit ca. 1995. Da ist so etwas sportlich.
    Kommt dann Mitte des Jahres für aktuelle Prozessoren? Älter als 5 Jahre darf man dann in die Mülltonne (Afrika) schmeißen?
    AMD gibt es eine ~sichere neue Version 20180103-r1 https://packages.gentoo.org/packages/sys-kernel/linux-firmware.
    Gepatchter Kernel: Klasse und wer braucht schon die 30% CPU.
    Und sicher ist es nicht dadurch da HW kaputt.
    THX INTEL!
    https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html
     
    Zuletzt bearbeitet: 12. Januar 2018
  7. Intel CPUs sind ab 2008 betroffen. Und es sind herstellerübergreifend CPUs betroffen. Der CIA müsste ja wirklich über die alleinige Weltherrschaft verfügen, wenn sie dafür sorgen können, dass zB die Produkte von ARM (einer englischen Limited in größtenteils japanischem Besitz) ebenfalls betroffen sind. Klingt für mich erstmal wie eine Klassische Verschwörungstheorie fernab aller Fakten.
     
  8. Das wäre in der Tat sportlich, wenn sie bereits 13 Jahre vor der Einführung einer (in der Zukunft erfundenen) Neuerung wüssten, welche Sicherheitslücken 23 Jahre später darin einmal gefunden werden würden.

    Gibt es irgendwelche Fakten, welche diese krude These in irgendeiner Form untermauern könnten?
     
  9. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Nein, ich kenne mich da nicht aus.
    Sind evt. falsche Äußerungen meinerseits da ich mich mit der Materie eher wenig auskenne.
    Die ganze ~Informationsflut verbessert es auch nicht.
    Also nur Vermutungen meinerseits gestützt von - teils falsch interpretierten - Teilwissen.
     
  10. Cyclotron

    Cyclotron |||

    Was ist denn nun aktueller Stand? Mal liest man "CPUs ab 2008", mal "CPUs ab Pentium Pro", dann wieder "ab 2008" ... wobei zwischen Drama und professionellem Schulterzucken alles dabei ist.
     
  11. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Fundierte Richtigstellung ist sehr erwünscht!
    Ich blick da nicht durch.
    OK, also ist "Meltdown & Spectre" kein Bug.
    Nichts verstehe ich mehr.
    Quelle: https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html

    Hmm trotzdem Fragen über Fragen. *Kopfkratz*
     
    Zuletzt bearbeitet: 12. Januar 2018
  12. blauton

    blauton 6 von 5


    Meltdown alleine betrifft aber mWn ausschließlich Intel, das wäre also eher ein Argument für das Gegenteil.
    AMD und ARM sind teilweise von Spectre betroffen.
    Man muss heute bei jeder Sicherheitslücke davon ausgehen daß sie möglicherweise absichtlich platziert wurde und das nicht nur bei US Unternehmen und auch bei Open Source Projekten. Sabotage gab es allen Ortens.
    Es wäre im Übrigen auch nicht die CIA sondern die NSA die solche Lücken hortet und Angriffsszenarien für so gut wie jede Anwendungssoftware und Hardware hat.

    Trotzdem halte ich es für eher unwahrscheinlich daß die Lücken absichtlich reindesigned wurden weil es sich erstmal um Technik handelt die dazu da ist Prozessoren schneller zu machen als sie eigentlich von der Taktrate her sind.
    Einerseits.
    Andereseits haben moderne CPUs und OSs ja Mechanismen die solche Angriffe normalerweise erschweren und die verhindern sollen
    daß Prozesse auf andere Prozesse zugreifen. Es ist also nicht so daß die Art des Problems gänzlich unbekannt wäre.
    Kurz, man weiß es nicht, und kann Sabotage auch nie gänzliich ausschließen.

    Letztlich kostet CPU Entwicklung aber einen Haufen Geld und ist extrem komplex geworden, so komplex daß keiner mehr
    eine CPU zur Gänze durchschaut - und das bedeutet daß es vermutlich einfach wirtschaftliche und Komplexitätsgründe hat warum die Lücken
    existieren.
    Es gab ja auch andere CPU Bugs, bis hin zu Rechenfehlern. Aber was ist mit dem ME Bug vom Herbst zB?
     
    haebbmaster gefällt das.
  13. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    ==>
    https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html
    Also Zeitlich könnte es hinkommen?
     
  14. swissdoc

    swissdoc back on duty

    Meltdown & Spectre sind die Angriffs-Szenarien (Exploits), die die Sicherheitslücken der betroffenen CPUs prototypisch ausnutzen.
     
  15. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Ja, habe mich falsch ausgedrückt.
    Laut Intel Aussage
    "Das Unternehmen will erst gar nicht von einem Prozessorfehler sprechen – denn die Prozessoren arbeiteten ja exakt wie spezifiziert."
    verstehe ich so das es da keine Sicherheitslücken gibt.
    Oder Interpretiere ich das falsch?
     
  16. dbra

    dbra Ehrenpräsident des Technofreunde Ohlenburg e.V.

    Nein, ist beschönigend für: soll so sein, da wir leider von der Regierung gezwungen wurden, das so zu machen.
     
  17. Cyclotron

    Cyclotron |||

    Der fertige Prozessor tut genau das, was er tun soll. Also kein Bug im Sinne eines Produktionsfehlers. Es wurde aber bei der Konzeption der Hardware zu wenig Gewichtung auf den Sicherheitsaspekt gelegt, da Performance die höhere Priorität hatte. Ob vorsätzlich, fahrlässig oder naiv... das weiß ich als Nichtdabeigewesener auch nicht. Insgesamt aber eher ein "anfälliges Design" als ein "Prozessorfehler" - so jedenfalls lese ich die Berichte.
     
    Zuletzt bearbeitet: 13. Januar 2018
  18. Harte 12V

    Harte 12V Pro!

    Ich dachte die Regierung überwacht ganz offiziell und legal alle Knotenpunkte. Wieso sollten sie dann solch eine Sache für CPUs fordern die auch jede feindliche Regierung ausnutzen kann?
     
  19. dbra

    dbra Ehrenpräsident des Technofreunde Ohlenburg e.V.

    hat ja viele Jahre gut geklappt. clipper-chip googeln und zeitlich vergleichen.
     
  20. blauton

    blauton 6 von 5

    Das nennt man Full Spectrum Dominance.
    Die hacken bei der NSA erstmal einfach alles was sie hacken können.
    Zumal das mit dem Rausleiten aus den Knotenpunkten ja bis Snowden als VT galt.
    Vor nem Jahr oder so wurden irgendwo Bügeleisen (aus China denk ich) vom Zoll konfisziert weil:
    die sich in jedes W-LAN einhackten daß sie finden können. So sieht das da draußen aus.

    Es geht ja nicht nur ums abschnorcheln von Internet sondern auch um so feine Sachen wie Stuxnet etc.
    Wanzen im EU-Parlamentskonferenzräumen. Usw.
     
  21. blauton

    blauton 6 von 5

    Ja, oder "NSA Backup Key"
     
  22. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Ich finde es ~gerissen oder so was im ironischen Sinne wenn die $Firma dann sage:

    "denn die Prozessoren arbeiteten ja exakt wie spezifiziert."

    OK, bei Entwicklung kann es Fehler geben.

    "Speculative Execution wird seit 1995 in Prozessoren eingesetzt - erstmals mit dem Pentium Pro. Bereits im ersten Jahr des Einsatzes gab es Warnungen vor möglichen Seitenkanalangriffen auf vertrauliche Informationen."

    Aber wenn die $Firma 23 Jahre später dann so etwas sagen ist :connect:
    #251

    @NSA *gähn* Ist in China ein Sack Reis umgefallen?
    @Snowden ist ein Verbrecher?
     
    Zuletzt bearbeitet: 13. Januar 2018
  23. Harte 12V

    Harte 12V Pro!

    ist es für einen Laien schwer nun die Software zum ausnutzen der Lücke selbst zu erstellen?

    Also könnte theoretisch bspw meine Uroma einen Volkshochschulkurs Informatik besuchen um herauszubekommen was ich ihr zum Geburtstag im Internet bestellt habe?
    Das wäre nicht schön, denn dann wäre die ganze Überraschung versaut.
     
  24. Cyclotron

    Cyclotron |||

    Es ist aber - trotz angeblicher früher Warnung - in 23 Jahren niemand darauf gekommen, dem mal nachzugehen? Ich meine, es arbeiten ja nicht alle Programmierer und HW Developer bei / für den NSA. Am Maulkorb kann es ja nicht liegen, denn die Ergebnisse hätten in diesem Fall auch heute nicht bekannt werden dürfen / können.
     
  25. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

  26. Aus dem Heise Forum:

    "Bei Lesen der Foren Threads scheint es mir, dass einige Leser immer noch nicht begriffen haben, dass hier ein riesiges und echtes Sicherheitsproblem vorliegt, da die Angriffe nahezu trivial einsetzbar sind. Und wenn die JITer für JS in den Browsern erstmal den "richtigen" Binär-Code ausspucken, dann kann man den Bug sogar beim Websurfen in JS ausnutzen.

    Ich konnte nach dem Lesen der beiden Papers zu Meltdown und Spectre den Bug auf allen meinen aktuellen Intel Kisten reproduzieren. Sowohl mit eigenem C-Code als auch den Sourcen auf GitHub dazu.

    Die betroffenen Systeme stehen offen wie Scheunentore!

    Das größte Problem ist nach wie vor, sinnvolle VMEM Addressen im absichtlich verwürfelten 64bit Speicherlayout zu finden, sodass man tatsächlich auch sinnvolle Daten abgreifen kann. Das geht aber mit den in den Papers empfohlenen Methoden ebenfalls.

    Bei Einem bin ich mir absolut sicher: Ganz viele 'Hacker' werden jetzt versuchen diesen CPU Bug/Designflaw auszunutzen. Und da auch ich den Bug nun verstanden habe und ausnutzen konnte, dann werden es deutlich nerdigere Personen erst recht können.

    Wer also nur auf seinem Intel Rechner spielt und ansonsten alle sicherheitsrelevanten Tätigkeiten wie Online-Banking und die Verwendung von Passwörtern und Privaten Schlüsseln ausschließlich auf anderen sicheren Rechnern macht, darf sich sicher entspannt zurücklehnen.

    Ansonsten empfiehlt es sich alle Dienste und Aufgaben mit Kontakten zur Aussenwelt auf sichere Systeme zu verschieben. Schön wer noch ein paar unanfällige alte Rechnerkisten in der Ecke rumliegen hat."
     
  27. aintnopicnic

    aintnopicnic aktiviert

    Grade mal auf das aktuelle 10.13.2 geupdated.

    SSD Benchmark vorher: Read 2,7 GB Write 3,1 GB/s
    nach Update: Read 1,4 GB/s Write 2,2 GB/s

    Das ist mal ein dramatischer Einbruch.

    Geh wieder auf 10.11.6 zurück und der Rechner kommt vom Netz.
     
  28. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Das update ist ja nicht so das es "das" ist, eher ein Versuch von vielen die kommen werden es ~sicherer zu machen?
    100% sicher geht nur mit neuer Hardware, Software seitig ist das eher ein Flickenteppich mit Löchern, egal wie fein die auch sein mögen evt. irgendwann mal?
    Grade Intel dann kein zeitnahen Microcode update ist :fawk:
     
  29. Cyclotron

    Cyclotron |||

    Alten Kram hätte ich ja noch ... nur wird das mit dem heutigen Internet wohl nix auf den Kisten.


    [​IMG]

    Den hätte ich auch noch im Schrank liegen - Internet mit 486er, DOS und Lynx. Zukunft, ich komme... .
     
    Zuletzt bearbeitet: 13. Januar 2018
    Jörg gefällt das.
  30. Harte 12V

    Harte 12V Pro!

    Ich habe notfalls noch einen Amiga 1200 hier mit WLan Karte... Ob der aber überhaupt noch eine Webseite bewältigen kann bezweifel ich...die Auflösung dürfte zu gering sein und 10MB Ram zu wenig. Allerdings wäre ich dann vor Viren gefeit.