Intel - Hardwarebug

suiyuan schrieb:
Haben Meltdown und Spectre konkrete Auswirkungen wie ihr derzeit mit eurer Technik arbeitet? Also in Bezug auf Online-Banking, verschlüsselte Mails, usw... Oder laßt ihr euch davon nicht beeindrucken?
Zum Vergrößern anklicken....
Hab direkt Noscript im Browser installiert, ansonsten habe ich meinem Win-Lappi ohnehin nicht wirklich getraut :)

Schau auch mehrmals am Tag in die OpenBSD-errata und verwende bis zum Patch Linux ( <- Danke Intel )
 
Die Frage ist hierbei: Ist man mit Linux momentan sicherer unterwegs als z.B. mit OpenBSD?

Um die Lücken auszunutzen, muss Code auf dem eigenen Rechner ausgeführt werden. Also muss Code erstmal auf den eigenen Rechner gelangen. Firefox ist ja inzwischen gepatched und JS wird soweit wie moeglich vermieden.

Um Code im Speicher mitzulesen, bedarf es "nur" root-Rechte auf dem jeweiligen Rechner. Dank pledge und sonstigen Sicherheitsmechanismen unter OpenBSD ist es für den Angreifer um einiges schwieriger, root-Rechte zu bekommen als z.B. unter Linux.

Ich würde mich von Meltdown und Spectre nicht verrückt machen lassen und weiter auf altbewährtes setzen, als panisch nach halbgaren Alternativen ausschau zu halten.
 
midnight schrieb:
Um Code im Speicher mitzulesen, bedarf es "nur" root-Rechte auf dem jeweiligen Rechner. Dank pledge und sonstigen Sicherheitsmechanismen unter OpenBSD ist es für den Angreifer um einiges schwieriger, root-Rechte zu bekommen als z.B. unter Linux.

Ich würde mich von Meltdown und Spectre nicht verrückt machen lassen und weiter auf altbewährtes setzen, als panisch nach halbgaren Alternativen ausschau zu halten.
Zum Vergrößern anklicken....
Soweit ich mich jetzt über Meltdown informiert habe, ist OpenBSD zwar nicht immun, aber deutlich besser geschützt durch simpel gesagt andere Verhaltensweisen als beim Typischen Unix/Linux:

Zitat Peter Hessler:
Code: 
OpenBSD's syscalls are actual syscalls with context switches, instead of a shared memory region between kernel/userland.
https://bsd.network/@phessler/99291274119329309

Dennoch fühle ich mich momentan unter einem gepatchten Linux und virtualisierter Hardware wohler, bis eben der Patch kommt. Firewalls und ähnliches laufen natürlich weiterhin mit OpenBSD

P.S: Chromium erhält den Patch erst ab 64.0.0 (nach meinem Wissen) und Firefox nutze ich unter OpenBSD nicht (weil pledge() usw.)
 
Ich denke mir mal als normaler Endnutzer an einem Rechner Zuhause dürften die beiden Probleme eigentlich nicht so dramatisch sein. Immerhin muss man ja ein Programm das die Lücke ausnutzen kann erst einmal selbst herunterladen und ausführen. Wer jetzt solche Software selbst ausführt hat vermutlich andere Defizite in seinem Sicherheitskonzept als ein Bug im Prozessor ;) Und wer nicht jedes JavaScript das um die Ecke kommt erlaubt dürfte auch nicht unsicherer sein als ohne diese Lücke. Man muss immer bedenken das ein Angreifer der es schafft auf dem eigenen System Code auszuführen, der wird in der Regel auch einen Weg finden böse Dinge zu tun. Wenn die eine Lücke nicht klappt gibt es noch hunderte andere die bekannt oder unbekannt sind.

Die wirkliche A-Karte haben hier wohl Serverbetreiber. Zuhause kann man sich zwar gut schützen durch die Brain.exe, aber ein Serverbetreiber hat eben nur bedingt Kontrolle darüber was ein Nutzer in seiner VM tut und da wäre es dann wohl möglich Daten zu erhalten die man nicht haben dürfte oder sogar aus der VM Ausbrechen. Aber wer weiß was noch für Bomben in der Technik steckt ;)
 
midnight schrieb:
Um Code im Speicher mitzulesen, bedarf es "nur" root-Rechte auf dem jeweiligen Rechner. Dank pledge und sonstigen Sicherheitsmechanismen unter OpenBSD ist es für den Angreifer um einiges schwieriger, root-Rechte zu bekommen als z.B. unter Linux.
Zum Vergrößern anklicken....

Nach meinem Wissensstand brauchst du keine Root-Rechte.
 
-Nuke- schrieb:
Nach meinem Wissensstand brauchst du keine Root-Rechte.
Zum Vergrößern anklicken....
Wär mir auch neu, weiterhin existiert kein pledge für Firefox. Finde leider den Timestamp nicht auf die Schnelle, aber bei dieser "Vorlesung" erklärt Theo warum pledge() + Firefox nicht kompatibel sind:
Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

http://img.pr0gramm.com/2018/01/07/2ee76d12762c2f95.png
Hier nochmal eine schicke Karikatur :)

EDIT: youtube-Link hinzugefügt
 
-Nuke- schrieb:
Nach meinem Wissensstand brauchst du keine Root-Rechte.
Zum Vergrößern anklicken....

Ich wollte damit aussagen, dass ich wegen eines bugs, welcher im privaten Umfeld kaum ausnutzbar ist, nicht auf Linux umsteigen würde.

Linux hat ganz andere Moeglichkeiten, durch welche root-Rechte erlangt werden koennten und wenn man erstmal root-Rechte hat, ist man nicht mehr auf meltdown usw. angewiesen.

Windows hat den patch ja auch schon. Wuerdet ihr deswegen nun auf Windows umsteigen? Ich denke nicht.

Das ist aber meine ganz persoenliche Meinung. ;-)
 
Es gibt übrigens nicht "den" Patch. Das was in Linux und Windows gefixt wurde ist Meltdown. Gegen Spectre Variant 1 gibt es bisher fast gar nichts, außer die Browser-Geschichte und gegen Spectre Variant 2 gibt es nur BIOS/Microcode-Updates.

Der Software-Fix von Google gegen Spectre Variant 2 ist noch in Arbeit.
 
midnight schrieb:
Linux hat ganz andere Moeglichkeiten, durch welche root-Rechte erlangt werden koennten und wenn man erstmal root-Rechte hat, ist man nicht mehr auf meltdown usw. angewiesen.
Zum Vergrößern anklicken....
Ich müsste um zufrieden zu sein, sämtliche Passwörter usw. von meinem OpenBSD-System temporär entfernen, da ich darauf keine Lust habe zog ich mir ein Debian und installierte es vollvirtualisiert. Für mich ist das eher eine Arbeitsersparnis, selbst ein ungepatchtes Debian wäre für diesen Zweck okay

midnight schrieb:
Windows hat den patch ja auch schon. Wuerdet ihr deswegen nun auf Windows umsteigen? Ich denke nicht.
Zum Vergrößern anklicken....
Ich glaube die typische Linux-Desktop-Distro ist auch nicht sicherer, als ein Win10 (sofern der Nutzer dahinter mit Hirn arbeitet)
 
mogbo schrieb:
Ich müsste um zufrieden zu sein, sämtliche Passwörter usw. von meinem OpenBSD-System temporär entfernen, da ich darauf keine Lust habe zog ich mir ein Debian und installierte es vollvirtualisiert. Für mich ist das eher eine Arbeitsersparnis, selbst ein ungepatchtes Debian wäre für diesen Zweck okay
Zum Vergrößern anklicken....

Da die Angriffe gegen die CPU gehen sind auch/insbesondere Virtualisierungen angreifbar. Ich würde also ein "Notfallsystem" in dem Falle nicht virtualisieren wollen sondern auf Blech setzen...
 
Rakor schrieb:
Da die Angriffe gegen die CPU gehen sind auch/insbesondere Virtualisierungen angreifbar. Ich würde also ein "Notfallsystem" in dem Falle nicht virtualisieren wollen sondern auf Blech setzen...
Zum Vergrößern anklicken....

XEN:
https://xenbits.xen.org/xsa/advisory-254.html
Meltdown can be mitigated by running guests in HVM or PVH mode. There are no mitigations for Spectre.

Ich habe eigentlich gehofft das eine vCPU das ganze verkompliziert


EDIT:
Bissl was aus dem OpenBSD Archiv vom Samstag: https://marc.info/?t=151521438600001&r=1&w=2
 
mogbo schrieb:
Ich glaube die typische Linux-Desktop-Distro ist auch nicht sicherer, als ein Win10 (sofern der Nutzer dahinter mit Hirn arbeitet)
Zum Vergrößern anklicken....

Ich kann nur für mich sprechen, aber ich nutze Windows seit Version 3.1 und hatte noch nie irgendwelche Probleme mit Viren, Sicherheit oder sonst etwas. Das gleiche trifft auch auf Linux zu. Der Sicherheitsvorteil von Linux ist eben primär der das die Systeme in aller Regel sicherer vorkonfiguriert auf der Festplatte landen als ein Windows wo man erst einmal als Admin unterwegs ist. Aber wenn man an ein paar Stellschrauben dreht und sein Hirn nutzt, dann spielt es kaum eine Rolle ob Windows oder Linux. Wobei wenn Linux auf dem Desktop so verbreitet wäre wie Windows, dann würden Angreifer auch schnell böse Löcher finden. Aktuell besteht einfach kein Bedarf daran. Und das Linux nicht sicher ist sieht man ja bei den ganzen gehackten Server, wo es sich eben lohnt ;) Wobei dort eben die Frage ist ob ein Angriff erfolgreich war weil es einfach eine Lücke gab, oder der 18 jährige Kevin für seinen Clan einfach unbrauchbar das System aufgesetzt hat ;)
 
-Nuke- schrieb:
Hier auch eine vereinfachte Erklärung was da eigentlich abgeht beim Angriff: https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Zum Vergrößern anklicken....

Dazu n-gate: “The leading manufacturer of light-blinking hardware is smug about the fact that their computers are too primitive to be affected by the problems of real computers.” ... :D

Spannend: Auf Hacker News wurde gestern dieses Patent von 1990 rumgereicht, das sich mit genau so was befasste. Der Einsender merkte an, dass es ein beängstigendes Zeichen ist, dass so was immer wieder passiert. Man solle doch häufiger mal Warnungen von früher ernst nehmen und nicht warten, bis es zu spät sei.

Nachtrag:

mogbo schrieb:
Ich glaube die typische Linux-Desktop-Distro ist auch nicht sicherer, als ein Win10 (sofern der Nutzer dahinter mit Hirn arbeitet)
Zum Vergrößern anklicken....

Das liegt daran, dass Microsoft sehr viel Geld für Qualitätssicherung bezahlt und Linuxdistros halt nicht.
 
Tja, Intel veröffentlicht keine Changelogs für ihren Microcode. Das Update des Ports beinhaltet auch nur ein Update auf eine Version aus dem November, der Spectre-Fix ist da definitiv nicht drin. Wobei ich es auf keiner meiner Skylake und Kaby Lakes CPU geschafft habe, dass sie den Microcode mit Fix schlucken. Der ist irgendwo weiter oben verlinkt...
 
Intel und AMD haben auch noch "offiziell" gar kein Firmware-Update raus gebracht. Das wird bisher nur über irgendwelche geschlossenen Kanäle verteilt. Ich würde da auf Consumer-Hardware noch Abstand von nehmen.
 
Ich mache mir ja immer noch Gedanken um den Berkeley Paket Filter. Der wurde ja im ersten und zweiten Szenario beim Bounds check bypass und Branch target injection Angriff genutzt. Wie will man den eigentlich sehen: als Angriffswerkzeug, oder als Einfallstor? Irgendwie ist der BPF ja beides. Wie wir aber wohl alle wissen, sind Berkeley Entwicklungen in der Software Welt beliebt und finden sich in vielfältiger Form, Namen und Iterationen in der großen weiten Softwarewelt wieder. So auch auf Linux. Und auch für Microsoft standen Berkley Entwicklungen Pate.

Jetzt frage ich mich, wo da noch so alles etwas Berkeley Paket Filter drinstecken mag, so etwa bei Provider Ausrüstung in der Netzwerktechnik ist es doch kaum denkbar, dass das alles ohne Berkley Entwicklungen oder Derivate davon auskommt. Juniper? Cisco?

Und was JIT betrifft, Java, Android Userland Dalvik, Microsofts .NET? Langweilig wird das Jahr 2018 wohl nicht werden. :ugly:

Und im übrigen finde ich, dass zu viel an Javascripts auf Webseiten als Pest, zumal, wenn es von dubiosen Drittservern kommt. Das hat ja ohnehin schon Tür und Tor für Angreifer geöffnet, aber nun, mit den bisherigen Erkenntnissen durch die neuen Angriffsszenarien dürfte das noch schwerer ins Gewicht fallen.
 
-Nuke- schrieb:
Intel und AMD haben auch noch "offiziell" gar kein Firmware-Update raus gebracht. Das wird bisher nur über irgendwelche geschlossenen Kanäle verteilt. Ich würde da auf Consumer-Hardware noch Abstand von nehmen.
Zum Vergrößern anklicken....
Im Changelog für das BIOS meines Thinkpad sehe ich: 22.12.2017 -
CHANGES IN THIS RELEASE
Version 2.33

[Important updates]
- Update includes a security fix.
- Enhancement to address CVE-2017-5715.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben