• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Security: Alte Hardware vs Meltdown&Spectre

Themenstarter #1
Hallo an alle,

manche bevorzugen ältere Geräte, Laptops z.B. da die weniger Sche*, UEFI backdoors usw auf ihren Mainboards&Prozessoren haben. Auf der anderen Seite alle ältere Prozessoren sind verwundbar auf Meltdown, oder Spectre Angriffe.

Gibt's Leute hier die irgendeine Meinung dazu haben?

Hab es unter 'OpenBSD' gepostet da mich das alles vor allem im Kontext vom OpenBSD interessiert.
 

turrican

Well-Known Member
#2
Aus meiner Sicht als privater Nutzer von Intel:

Hab hier nur alten Schrott (der jüngste Rechner is knapp über 10J, wenn man von nem RasPi und Handies/Tablets absieht), und hatte mal aus Spass so ein Script (unter Linux) laufen lassen, was einem die Vulnerabilites anzeigt.

Hat einige Vulns angezeigt, für andere war der Prozi scheinbar nicht anfällig. Im Endergebnis sass ich davor und dachte "so what?" und verwende die Maschinen heute noch.

Die Angriffsvektoren sind real, aber doch auch sehr theoretisch; klar, auf ner VM Umgebung mit zig-Kunden auf der gleichen Maschine sieht das schon wieder anders aus, aber in dem Metier bin ich nicht (mehr) tätig.

Was wäre die Alternative?

Ryzen? Anstatt Intel ME kriegt man da halt AMD SPS; und auch weiss keiner so richtig, was deren Microcode auf dem Die eigentlich so den ganzen Tag tut... (der Microcode auf den Intelprozessoren ist ja quasi auch nur ein Wrapper um x86 auf die darunterliegende RISC Kern-Architektur umzubiegen; da gabs dann auch so schöne Sachen wie aushebeln der Ring-Struktur und Sprung direkt von Ring 3 in Ring 0 usw)

ARM? Auch wieder (proprietäre) Binär-BLOBs notwendig; war ja u.a. auch bei RasPi und Konsorten schon Gegenstand kontroverser Diskussionen

RISC-V? Hat jemand von euch schon so ein System am laufen? Gibts die bezahlbar schon irgendwo?

ELBRUS CPU? siehe Zeile oben

Gibts ein CPU-Ökosystem, welches komplett ohne Tadel in dieser Beziehung ist? Ich denke: nein; zumindest wäre mir keins bekannt - außer Z80, 6502, oder m68k... :D
... und wenn dann die CPUs "clean" sind, dann hat man z.B. Firmware in den integrierten DRAM Controllern, auf welche man keinen Zugriff und Einfluss hat, wie z.B. beim i.MX8M, welchen MNT Reform für ihren Laptop nutzt...
 

mr44er

moderater Moderator
Mitarbeiter
#3
Bei Kisten, die von außen erreichbar sind wäre ich vorsichtig und würde patchen, was halt geht.

Kisten innen kann man vernachlässigen, wenn man nicht jede .exe ausführt, die Unbekannte so per Mail geklickt haben wollen. ;)
 

Rakor

Administrator
Mitarbeiter
#4
Naja, das ist eine sehr persönliche Frage. Ich stand heute erst wieder vor der Überlegung in neue Hardware zu investieren und hab direkt mal auf Seiten von einschägigen Gebrauchthändlern gesucht. Dabei kam mir auch der Gedanke mit anfälligen CPUs etc. Im Moment verwende ich fast nur alte Schinken die gut 7 Jahre alt sind. Auf den alten Kiste habe ich die einschlägigen Firmwarepatches laufen. Klar bringen die keine 100%ige Sicherheit, aber die Ausnutzung der bekannten Dinge wird dadurch schon sehr erschwert.

Kaufst du für teuer teuer Geld neue Hardware bis du aber auch nicht davor bewahrt, dass nicht nächstes Jahr eine ähnliche Schwachstelle kommt die du nicht flicken kannst. Zudem bin ich der Meinung, dass im privaten Umfeld, wo viel Software installiert wird die nicht professionell auditiert wurde (und auch da kommt es vor) die Hardware vermutlich eher das kleinere Problem darstellt. Wenn man sich überlegt wieviele Zeilen Code von wie vielen Entwicklen ihr Werk auf dem heimischen Rechner verrichten, dann würde ich so oder so nicht meine Hand dafür ins Feuer legen, dass da nicht mal was schief geht.

Im professionellen Umfeld sind die finanziellen Gegebenheiten ggf. andere und das finanzielle Risiko rechtfertigt einen Hardwaretausch bei bekannten Schwachstellen, aber im privaten Sektor muss man sich, so denke ich, seine Risikobewertung nochmal genau überlegen. Das Ziel sollte ein vergleichbares Sicherheitsniveau sein. Installierst du Software von Chip.de würde ich mir über Hardwarelücken keine Gedanken machen, um es überspitzt darzustellen.
Und wie @mr44er sagt ist die Frage der Risikoexposition zu bewerten. Ein Server im Internet hat andere Kriterien als ein Desktop im Privatbereich. Aber Vorsicht, an einigen Stellen ist der private Desktop vielleicht stärker exponiert, da du damit im Internet rumsurfst und Code ausführst den du nicht kennst (Javascript etc.), wohingegen der Server nicht so einfach fremden Code ausführt.

Man sollte es sich gut überlegen. Ich bin mittlerweile bei dem Punkt zu sagen es lohnt sich nicht für mich. Ich installiere Patches und Updates möglichst zeitnah, sehe die Ausnutzbarkeit der Hardwarebugs als zu schwierig als, dass ich als Ziel es wert wäre diese auf mich zuzuschnitzen und rechne damit, dass es Schwachstellen gibt. Vermutlich erliege ich eher einem eigenen Konfigurationsfehler oder einem "oh hab ich vergessen ein Backup anzulegen" oder ähnliches.
Wie gesagt, geschäftlich sieht das völlig anders aus.
 

turrican

Well-Known Member
#5
Wie gesagt, geschäftlich sieht das völlig anders aus.
Wie gesagt, was hat man für ne Alternative (auch geschäftlich) - die heutigen CPUs sind so komplex, wer könnte da noch genau sagen, was alles geht und was nicht - außer halt, was bewußt vom Hersteller eingebaut wurde... und von welchem die Hersteller wissen.

Es gab ja z.B. vor Jahren auch schon die Überlegung, was wäre wenn... die Chipfertiger in der Fab dann einfach ein paar Funktionen "dazulithographieren" welche es in den Release-Plänen der Hersteller zu dieser CPU nicht gab - die paar Millionen Transistoren mehr fallen ggf gar nicht auf, und alle möglichen Befehle einer CPU kann man schliesslich auch nicht mehr einfach mal so abfragen (das war beim 6502 ja noch ziemlich einfach und in endlicher Zeit machbar).

Wenn man bedenkt, dass etliche aktuelle "Enterprise" Firewall-Appliances auf x86_64 basieren, und die dann entweder alle IntelME oder AMD PSP eingebaut haben - welche quasi "vor" dem OS und der "sichtbaren" Hardware sitzen - und von Remote erreichbar sind; welche Alternative hat man dann auch als Geschäft noch? Von nahezu 100% Sicherheit ist man somit noch mehr entfernt als man eh schon war - somit ist man wieder beim Risk-Asessment; und sollte dazu konsequenterweise alle diese Appliances als "bis zu gewissem Grad untrusted" einstufen (was aber wiederum ggf nicht gern gesehen wird, meiner Erfahrung nach).

Solange es kein System auf dem Markt gibt, welches quelloffen vom BIOS bis zur CPU/Busbridge ist und welches nicht irgendwo irgendwelche geschlossenen Binärblobs benötigt, wird sich die Situation nicht bessern.
 

stadtkind

Well-Known Member
#6
Raptor Computing Systems beschriebt ihre Talos Systeme (basieren auf POWER9 CPUs) als:

Designed with a fully owner-controlled CPU domain, you can audit and modify any portion of the open source firmware on the Talos™ II mainboard, all the way down to the CPU microcode.
Leider preislich arg in der Oberklasse.

Bei RISC-V gibt es https://www.sifive.com/boards, aber preislich auch noch meilenweit von ARM SBCs entfernt.

Ich denke trotzdem das 2030 nur noch AMD/Intel x86, ARM und RISC-V eine Rolle spielen werden.
 

Rakor

Administrator
Mitarbeiter
#7
Wie gesagt, was hat man für ne Alternative (auch geschäftlich) - die heutigen CPUs sind so komplex, wer könnte da noch genau sagen, was alles geht und was nicht - außer halt, was bewusst vom Hersteller eingebaut wurde... und von welchem die Hersteller wissen.
Ich sag nicht, dass man da große Alternativen hat, sondern dass die Risikobeurteilung und die damit einhergehenden Maßnahmen sich unterscheiden können. Wenn du privat sagst, dass sich der Aufriss nicht lohnt wirst du bei hoch-kritischen Systemen im Unternehmensumfeld evtl doch überlegen ob du genau diesen Typ einsetzt (nur weil er billig ist) oder ob du das ganze evtl. lieber nochmal in eine eigene Zone stellst die dann vielleicht von zwei Firewalls unterschiedlicher Hersteller back2back abgegrenzt ist etc.

Solange es kein System auf dem Markt gibt, welches quelloffen vom BIOS bis zur CPU/Busbridge ist und welches nicht irgendwo irgendwelche geschlossenen Binärblobs benötigt, wird sich die Situation nicht bessern.
Ich befürworte quelloffene Systeme und ich denke, dass es ist der richtige Weg zu sicheren Systemen. Aber ich meine ein quelloffenes System ist dadurch noch lange nicht sicher. Natürlich sind Hintertüren in Blobs leichter zu verstecken als in offenem Quellcode, aber den muss erst mal einer komplett lesen, verstehen und dann auch noch die Schwachstelle finden. Es bietet zwar mehr Optionen der Kontrolle aber heutige Systeme der derart komplex, dass es leider keine einfache Sache ist.
 

CommanderZed

OpenBSD User
Mitarbeiter
#8
Es geht hier um sehr kompexe Fragen die teilw. garnicht "bis zum ende" zu beantworten sind.

Ich halte es nicht für sinnvoll aus Securitysicht auf "alte Hardware" zu setzen, wenn müsste das ja "Pre Intel Management & Co." sein und das ist ja dann schon 12+ Jahre alte Hardware.

Generell könnte man ja auch nen altes BIOS durch irgend ne andere Version ersetzen die irgendwas böses macht, selbst nachprüfen kann ich das nur in dem ich regelmäßig das mit einem anderen externen Gerät auslese und dann die Checksummen vergleiche. Theoretisch kann ich das mit nem UEFI auch, aber bei nem Bios ist es Theoretisch leichter (!) das jemand externes das für dich validiert (Oder du selbst mit genug Kentniss) - aber hat das jemand mit deiner Hardware von 2007 gemacht? Hast du davon die Prüfsummen?)

Man kann das "sehr groß" spannen wenn man möchte. Macht aber halt auch nur sehr begrenzt sinn. Auch wenn man das nicht gut finden muss, ich finde auch das es ein Problem ist das es zurzeit keine "sichere" Plattform gibt. Aber irgendwelche alte Hardware zu verwenden ist verm. auch nicht weiter hilfreich.

@stadtkind/Raptor> Auch hier ist es natürlich fraglich in wie fern du dem mehr vertraust, schreiben kann man viel, da wäre dann halt die auch die Frage wer hat das mal validiert dem du vertraust, und woher weißt du das es noch immer exakt überall die Firmware ist? Wie prüfst du das, sind die Chips wie früher gesockelt, du packst die in nen Lesegerät und machst wieder Prüfsummen gegen die validierte Firmware? Eher nicht, sowas sockelt man ja glaub ich nicht mehr.

Theoretisch ist unendlich viel möglich aus dem bereich Hardware, Firmware, Management-Engines e.t.c.

Mein "Trost" ist hier ein bisschen, das solche Firmware & Co. lücken ja zurzeit sofern man das "weiß" nicht "breit" verwendet werden, nicht mal von "normalen" profesionellen Angreifern sondern eher dann wenn hinter Angriffen wirklich sehr viel Energie (Geld, Politisches) steckt.
Also bin ich entweder nicht das Ziel, oder es gibt alternativ noch genügend andere Ansatzpunkte komplett ausserhalb des Systems, von Kameras bis hin zur Folter.

Das ist - für mich - alles eher etwas über das man sich Gedanken macht wenn man als admin irgendwie für Daten verantwortlich ist, die für Russland, China, USA & Co evtl. interessant sein könnten.

Wäre ich politisch verfolgter, würde ich sämtlichen IT-Systemen wohl zu einem gewissen Grad misstrauen.
 

mr44er

moderater Moderator
Mitarbeiter
#9
Aber irgendwelche alte Hardware zu verwenden ist verm. auch nicht weiter hilfreich.
Eine Ausnahme fällt mir ein:
Die Atom-Plattform war mangels Features von den großen Kloppern komplett verschont geblieben. Wäre eine Möglichkeit, wirklich billig Hardware zu bekommen, man was Kleines hosten will/muss.
Lahm ist hier aber wirklich lahm und noch dazu im Verhältnis stromfressend, eben ~2010er Hardware. Dafür aber möglichst sicher.
Achja, sagte ich schon, dass sie langsam sind? ;)
 

turrican

Well-Known Member
#10
Guter Punkt mit den Atom CPUs - die Ur-Atom CPU basierte doch auf nem P3 Kern, wenn ich mich recht erinnere, also sollte noch aus der "vor-ME" Zeit sein, wie sah das mit neueren Generationen bzw der letzten Generation aus?
 

CommanderZed

OpenBSD User
Mitarbeiter
#13
... oder nen 8086 aber wo führt das hin?
Genau das meine ich, gabs nicht auch mal son Projekt wo jemand einen sehr einfachen Prozessor mit Transistoren e.t.c. aufgebaut hat? Sinnvoll ist halt nur etwas anderes.

Hey, ich könnte euch noch nen Dual-Pentium-2-System anbieten wenn jemand möchte, von diesem modernen Hochsicherheitssystem würde ich mich für schlappe 12.500,00 EUR für Forenmitglieder trennen (Ohne Garantie!)(SCNR). :rolleyes:

(Ich hab ja eine (kleine) Sammlung alter Hardware vom Atari Homecomputer über den 486 bis zum Athlon XP und 2,3 neuere Notebooks - aber das ist halt eine Nostalgiesammlung, nichts was ich irgendwie mit moderner Software verwende)
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#14
Ich würde die Ausgangsfrage anders formulieren: Muss wirklich jedes System direkt oder indirekt am Internet hängen? Wenn man auf die permanente Internetverbindung verzichtet und Maschinen wieder offline betreibt, stellen sich viele Sicherheitsfragen erst gar nicht.
 

Rakor

Administrator
Mitarbeiter
#15
Ich würde die Ausgangsfrage anders formulieren: Muss wirklich jedes System direkt oder indirekt am Internet hängen? Wenn man auf die permanente Internetverbindung verzichtet und Maschinen wieder offline betreibt, stellen sich viele Sicherheitsfragen erst gar nicht.
Da bin ich vollkommen dabei... Leider wird es immer schwerer Systeme rein offline zu betreiben (so meine Wahnehmung).
 
Themenstarter #17
Ich würde die Ausgangsfrage anders formulieren: Muss wirklich jedes System direkt oder indirekt am Internet hängen? Wenn man auf die permanente Internetverbindung verzichtet und Maschinen wieder offline betreibt, stellen sich viele Sicherheitsfragen erst gar nicht.
Interessante Antwort. Ich hätte mich klarer ausdrücken sollen. Mir geht es vor allem um Netzwerkaspekte der Sicherheit.

Bzg geschäftlich vs privat, oder was wiederum geschäftlich Sinn macht, diese Sachen sind mir meistens klar. Die Frage war eher vom Aspekt eines (obwohl vielleicht ehemaligen) Enthusiast. Privat es wird immer schwieriger für mich einen Grund für Benutzung eines sicheren OS oder Software zu finden. Zum Bsp es gibt schon relativ sichere protokole und Verschlüsselung/Datentausch/Kommunikation Software, aber was hilft einem Signal zu benutzen wenn MITM eine Sache von gestern ist. Ja es kann dich schon von von örtlichen Polizei in Zimbabwe od Türkei beschützen, od 'russische' Hacker, script kiddies, aber einem Enthusiast geht es normalerweise nicht darum.

Wenn es um geschäftliche Aspekte von Sicherheit geht, die sind, und waren schon immer, meiner Meinung nach, ein Scherz. Wer glaubt man kann sich mit propritären Hardware und Software (auch meisten OS Systeme wie Linux) gegen z.B. Industrielle Spionage in sagen wir Deutschland beschützen, der irrt sich gewaltig (IMO natürlich). Wiederum ja natürlich es gibt vieles was mann gegen Ransomware ua. machen kann, aber wenn kümmert dass.