PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Diskussion zu: Als wie Endanwender-relevant werden Meltdown, Spectre, Zombieload ...


Leonidas
2019-09-22, 10:27:18
Link zur Umfrage:
https://www.3dcenter.org/umfrage/als-wie-endanwender-relevant-werden-meltdown-spectre-zombieload-co-angesehen


Link zur Umfrage-Auswertung:
https://www.3dcenter.org/news/umfrage-auswertung-als-wie-endanwender-relevant-werden-meltdown-spectre-zombieload-co-angesehen

Gast
2019-09-22, 11:04:45
Bitte was soll das?

Vor paar Tagen ne Umfrage mit "Spricht gegen AMD blabla". Nu ne Umfrage mit "Spricht gegen Intel blabla"? Versucht ihr grad absichtlich Streit an zu zetteln oder was?

Ja, AMD hat Startprobleme mit ihren neuen CPUs.
Ja, Intel hat Altlasten in ihren CPUs.

Ja und? Bild am Sonntag oder Frau im Spiegel klatsch Presse läßt grüßen.

Werdet mal wieder professionel bitte!

Lowkey
2019-09-22, 11:08:39
Yo es ist interessant wie Intel das Marketing handhabt und die Presse an sich schweigt. Was fehlt ist ein Beispiel für das Ausnutzen einer Sicherheitslücke. So ein Fall würde es in den Tagesschau schaffen. Gibt es nicht? Warum gibt es ihn nicht? Weil dann gäbe es auch in den USA eine Sammelklage oder eine Reparationszahlung wie im Falle von AMD.

Für AMD Jünger ist es nur ein weiteres Kaufargument, wo allerdings die Entscheidung schon getroffen wurde. Denn ich kann mir nicht vorstellen, dass die Intel Besitzer wegen den Sicherheitslücken zu AMD wechseln. Dafür benötigt man wie gesagt ein Beispiel, wo es eingetreten ist.

Man müßte die Umfrage vermutlich anders formulieren um die Besitzstände mit zu erfassen, was aber schwer wird.

Schnoesel
2019-09-22, 11:39:29
Ich kann mich ja irren aber war es nicht so, dass Sidechannel Attacken so gut wie nicht nachweisbar sind oder sogar gar nicht?! Würde mich also nicht wundern wenn daher nichts über bereits erfolgte Attacken bekannt wird und damit wäre dieses Argument für mich dann auch nicht gültig.

pipin
2019-09-22, 11:44:45
Eigentlich muss man Variante 3 nehmen, aber mir fehlt da irgendwie noch die Variante:
- Für den Desktop nicht so relevant, wie für den Serverbereich

Letztendlich gibt es ja einige, die schon empfohlen haben Hyperthreading ab zu schalten.

lumines
2019-09-22, 11:46:25
Was fehlt ist ein Beispiel für das Ausnutzen einer Sicherheitslücke. So ein Fall würde es in den Tagesschau schaffen. Gibt es nicht? Warum gibt es ihn nicht?

Weil die meisten Leute nicht googlen können. Knapp zwei Tage nach dem Bekanntwerden von Meltdown gab es erste PoCs für jeden frei zugänglich auf GitHub. Alleine in meiner näheren Tech-Bubble kenne ich mindestens eine Person, die selbst einen Exploit für Meltdown geschrieben hat.

Eigentlich muss man Variante 3 nehmen, aber mir fehlt da irgendwie noch die Variante:
- Für den Desktop nicht so relevant, wie für den Serverbereich

Erstens das und zweitens sind die Konsequenzen dieser Lücken für die meisten Unternehmen zu traumatisch, um entsprechend darauf zu reagieren, weil sie wortwörtlich alle etablierten Abstraktionsschichten überschreiten. Alle Sicherheitsrichtlinen, Planungen (verringerte Leistung der Systeme und unplanmäßige Downtimes durch haufenweise Patches für Anwendungen und OS) und Kalkulationen (Hardwarekosten etc.) werden über den Haufen geworfen.

Ich kann mich ja irren aber war es nicht so, dass Sidechannel Attacken so gut wie nicht nachweisbar sind oder sogar gar nicht?! Würde mich also nicht wundern wenn daher nichts über bereits erfolgte Attacken bekannt wird und damit wäre dieses Argument für mich dann auch nicht gültig.

Das ist ja nicht nur auf Sidechannel-Attacken beschränkt, auch wenn die vielleicht besonders unangenehm sind, weil man sie besonders schwierig ausfindig machen kann. Deshalb ist das einfach keine sinnvolle Metrik, mit der man die Sicherheit von Systemen misst. Die meisten Leute stecken da mental noch in den 90ern, als alles noch schön konkret begreifbar und die Angriffe weniger abstrakt waren. In der Post-Meltdown-Ära ist das nur leider keine Option mehr.

Lehdro
2019-09-22, 11:57:36
Für den Desktop Otto Normalo: Ärgernis wegen minimaler Performanceeinbußen.

Für die Serverseite? Absolute Katastrophe.

aufkrawall
2019-09-22, 12:10:24
Für den Desktop Otto Normalo: Ärgernis wegen minimaler Performanceeinbußen.

mitigations=off

Lowkey
2019-09-22, 12:20:45
Hmm ... also mit dem Testiso 1909 (wegen der besseren Hyperthreading Erkennung musste ich das mal testen) kann ich mit inspectre den Spectre Schutz nicht mehr deaktivieren. Also nimmt man ein 1809 Windows und dazu ein Bios von 2018 und hat den schnellsten Intel Rechner ;)


Weil die meisten Leute nicht googlen können. Knapp zwei Tage nach dem Bekanntwerden von Meltdown gab es erste PoCs für jeden frei zugänglich auf GitHub. Alleine in meiner näheren Tech-Bubble kenne ich mindestens eine Person, die selbst einen Exploit für Meltdown geschrieben hat.


Wenn es verständlich wäre, dann hätte die Presse über ein Fallbeispiel berichtet. Wie im Falle von diversen Whistleblowern und ihren Enthüllungen gibt es die Sicherheitslücken eigentlich nicht. Sind wir schon bei der Lückenpresse? Die Presse liebt nichts lieber als Einzelschicksale. Wieso kam da so wenig?

Aroas
2019-09-22, 12:25:05
Grundsätzlich ist es einfach ein Ärgernis, wenn Hardware Sicherheitslücken aufweist. Da beißt die Maus keinen Faden ab. Völlig egal, ob das für mich als Privatnutzer letztlich wirklich eine akute Gefahr darstellt, oder nicht.

Auf jeden Fall ist das Thema sehr viel ernster und relevanter als das dümmliche Gejammer über nicht erreichten Boost Takt bei AMD Ryzen 3000.

Wieviel Performance "verliert" man als Nutzer einer solchen CPU aufgrund der Boost Takt Problematik? So gut wie nichts!
Wieviel Performance verliert man als Nutzer einer betroffenen Intel CPU, wenn man das System wirklich sicher patched? Eine ganze Menge!

Lowkey
2019-09-22, 12:34:14
Hmm laut den Usertests sind es nur 3% Performanceverlust, wenn man wirklich alles aktiviert. Beim Spielepc limitiert die Grafikkarte, also ein vollgepatchte Intel CPU spielt keine Rolle.

iamthebear
2019-09-22, 13:57:57
Man muss hier zwischen 2 Arten von Lücken unterscheiden:
Variante1: Diejenigen, die in einer Skriptsprache ausgeführt werden können um z.b. auf den Speicher des hostenden Prozesses zuzugreifen.
Variante2: Diejenigen, die native Code benötigen, um auf andere Prozesse oder andere virtuelle Maschinen am selben physikalischen Gerät zuzugreifen.

Variante 1 ist für den Endanwender relevant. Hier hat man mit Spectre V1 auch schon den Worst case, da die Lücke nicht schließbar ist (zumindest nicht ohne massive Performanceeinbrüche was uns ca. 15 Jahre zurück wirft).
Dies kann jedoch auf der Softwareebene umgangen werden, indem keine Funktionen zur genauen Zeitmessung (< 50ns) mehr zur Verfügung gestellt werden. Im Falle von Javascript haben alle Browserhersteller schon reagiert. Offline Sandboxes wie Virenscanner haben keine Gefährdung, da nur Lesezugriffe möglich sind und es keine Möglichkeit gibt die gewonnenen Daten heim zu senden oder anderweitig zu nutzen.
Wie es mit Flash oder Java Applets aussieht weiß ich nicht, aber die haben sowieso größere Probleme.

Variante 2 ist für den Endanwender irrelevant. Wenn es einem Amgreifer gelingt nativen Code auf einem Rechner auszuführen, hat er sowieso schon gewonnen. Dann werden schon die ganzen Netzlaufwerke verschlüsselt. Das Einzige was einen Angreifer hier noch interessieren könnte ist Schreibzugriff auf andere höherepriviligierte Prozesse, um sich tiefer im System zu verankern, solange es nur Lesezugriff ist, ist es in der Regel ziemlich uninteressant.
Selbst auf einem klassischen Firmenserver sind die Lücken relativ unspektakulär, da nativer Code, der als Domänenadmin läuft sowieso schon Schreib/Lesezugriff auf alle Rechner der Domäne hat.

Ein wirkliches Problem sind diese Lücken erst, wenn auf einem physischen Maschine mehrere Kunden die Möglichkeit haben nativen Code auszuführen z.B. mit virtuellen Maschinen. Hier sind die Lücken eine echte Katastrophe, wenn z.B. Daten eines Mitbewerbers abgefragt werden können oder Passwörter/SSL Zertifikate etc. gestohlen werden können.
Diese Systeme laufen jedoch weder auf einem Desktop Betriebssystem wie Windows 10, noch werden Desktop CPUs eingesetzt. Weiters handelt es sich bei den Systemadministratoren bei Cloud Providern ja nicht um den typischen Privatuser DAU. wer virtuelle Maschinen für seine Kunden hostet sollte entsprechend informiert sein und selbst so weit sein dass er SMT deaktiviert, falls diese nicht sowieso in den Defaulteinstellungen schon der Fall ist. Bei meinem letzten HPE Server war das übrigens schon Anfang 2016 der Fall, lange vor Meltdown.

lumines
2019-09-22, 14:58:13
Offline Sandboxes wie Virenscanner haben keine Gefährdung, da nur Lesezugriffe möglich sind und es keine Möglichkeit gibt die gewonnenen Daten heim zu senden oder anderweitig zu nutzen.

Bis auf den Windows Defender benutzt kein Virenscanner eine Sandbox. Nur Lesezugriffe ist auch optimistisch. Viele Antivirenscanner bewegen sich sogar oft im Kernelspace, weil sie so effizienteren Zugriff auf das Dateisystem haben.

IchoTolot
2019-09-22, 15:56:49
Viel Lärm um Nichts. Berührt uns als Normalnutzer nicht im geringsten.

Gast
2019-09-22, 16:00:57
Für mich als Desktopuser eigentlich komplett irrelevant.

All die Lücken erfordern die Ausführung von Schadcode am Zielsystem auszuführen.

Wenn man allerdings Schadcode am Zielsystem ausführen kann, braucht man kein Spectre/Meltdown whatever mehr, dann kann man viel einfacher Schaden anrichten.

Die einzig wirklich relevante Lücke für Desktop-User ist SpecteV1, und diese betrifft AMD und Intel gleichermaßen, also da gibt es nicht wirklich einen Unterschied, und leider ist diese Lücke bei beiden auch noch immer offen.

Der Software-Workaround aktuell ist ja, dass man in Javascript keine genauen Timer mehr zulässt, wobei fraglich ist, ob dies wirklich ausreichend ist. Man könnte sich in Javascript nämlich auch selbst einen Timer bauen der vermutlich ausreichend genau ist.

paul.muad.dib
2019-09-22, 20:29:20
E Für einen Angriff auf Privatrechner gibt es wahrscheinlich vielversprechendere und einfachere Methoden. Dennoch bleibt ein diffuses Gefühl zurück, dass Intel Prozessoren inhärent unsicher sind. Man muss sich eher mal um Bios und Softwareupdates kümmern, was wiederum Aufwand und Risiko bedeutet. Außerdem bekommt man für ältere Systeme vom Hersteller keine Updates mehr.

Insofern nicht wirklich ein Ausschlusskriterium für Intel aber durchaus etwas, was bei der doch sehr knappen Entscheidung zwischen beiden berücksichtigt werden sollte.

BBig
2019-09-23, 00:29:28
Hmm laut den Usertests sind es nur 3% Performanceverlust, wenn man wirklich alles aktiviert. Beim Spielepc limitiert die Grafikkarte, also ein vollgepatchte Intel CPU spielt keine Rolle.

Was sind den "Usertests"?
Klar, beim Gaming limiert (meistens) die GraKa, aber darum geht hier nicht.
Es geht um die CPU-Performance. Und den "unterschiedlichen Verlust" den Intel / AMD durch die Migrations erfahren.

Futter zum lesen:
=> https://www.phoronix.com/scan.php?page=article&item=sandy-fx-zombieload (Stand: 24 May 2019)
=> https://www.phoronix.com/scan.php?page=article&item=amd-zen2-spectre (Stand: 15 July 2019)

Ja, ist die phoronix-test-suit (Linux) und ja, da sind eine Menge synthetischer Tests dabei. Aber mit 3% kommste bei Intel nicht hin.

konkretor
2019-09-23, 07:21:07
Fand den Artikel damals ganz interessant


https://www.golem.de/news/spectre-und-meltdown-all-unsere-moderne-technik-ist-kaputt-1801-131961.html



Bei Android klaffen auch Sicherheitslücken und keine sau juckts wenn es keine Updates vom Hersteller gibt.

Gast
2019-09-23, 08:16:15
Fand den Artikel damals ganz interessant


https://www.golem.de/news/spectre-und-meltdown-all-unsere-moderne-technik-ist-kaputt-1801-131961.html



Bei Android klaffen auch Sicherheitslücken und keine sau juckts wenn es keine Updates vom Hersteller gibt.

Ist ja auch nicht der gewohnte Lieblingsfeind wo sofort Beisreflexe einsetzen .
Diese und die Boostumfrage zeigen eigegendlich nur die Mannschaftsstärke der jeweiligen Ultras im Lager das Thema geht völlig unter.

Leonidas
2019-09-23, 12:36:04
Vor paar Tagen ne Umfrage mit "Spricht gegen AMD blabla". Nu ne Umfrage mit "Spricht gegen Intel blabla"? Versucht ihr grad absichtlich Streit an zu zetteln oder was?


Nein, Streit ist hier nicht die Frage. Aber Aufarbeitung. Und auch diese Stimmen, die in der Minderheit sind, müssen gehört werden. Der üblichen Masche der Presse, sich immer nur auf die Meinung der Mehrheit einzustellen, muß zumindest versucht werden entgegenzutreten.

Daneben geht die Umfrage auf eine kürzliche Anmerkung im Forum zurück (finde leider das Posting nicht mehr), welches anmängelte, das es bislang keine solche Umfrage gegeben hatte. Das fand ich überzeugend und wollte dies damit nachholen.





Eigentlich muss man Variante 3 nehmen, aber mir fehlt da irgendwie noch die Variante:
- Für den Desktop nicht so relevant, wie für den Serverbereich


Eben deswegen habe ich den Server-Bereich in der Umfrage ausgeschlossen. Die Bedingungen dort sind ganz andere.

aufkrawall
2019-09-23, 14:16:20
Klar, beim Gaming limiert (meistens) die GraKa, aber darum geht hier nicht.

Auch wenn nicht die GPU limitiert, sind es in Spielen trotzdem meist nur ~3%.

Gast_16
2019-09-23, 16:00:19
Ein potentiell unsicheres System zu betreiben, ist ein Problem. Abseits aller Intel- oder AMD-Vorlieben würde mich dies als Kunden abschrecken. Android als Argument kann man kaum gelten lassen. Schließlich wird nur ein sehr unbedarfter User ein Handy für Banking oder dergleichen verwenden. Weitere Sidechannel-Attacken sind zudem denkbar.

Lehdro
2019-09-23, 16:05:49
Bei Android klaffen auch Sicherheitslücken und keine sau juckts wenn es keine Updates vom Hersteller gibt.
Ist ja auch nicht der gewohnte Lieblingsfeind wo sofort Beisreflexe einsetzen .
Kommt da noch mehr als Whataboutism (https://de.wikipedia.org/wiki/Whataboutism)?

Es geht bei der Umfrage um die Einschätzung des Themas des jeweilig befragten Publikums. Da geht es weder um die Praxis, Theorie noch um andere Probleme, sondern rein um die eigentliche Thematik und deren Bewertung, siehe Fragestellung der Umfrage. Ich kann eben schon das Thema als durchaus massiv ärgerlich einstufen, auch wenn nur 3% Leistung in der Realität fehlen würden - ich könnte schließlich auch 0% Leistungsverlust haben und mir keine Sorgen um eventuelle, theoretische oder praktische Sicherheitslücken machen müssen. Alles eine Frage der Betrachtung - und genau die wird hier abgefragt.

aufkrawall
2019-09-23, 16:11:41
Ryzen ist teilweise aber auch nicht zu 100% lückenfrei, nur so irgendwie nah dran. Machst du dir um das Restrisiko auch Gedanken?
Gibt zwar Mitigations via OS, aber da bleibt ja auch wieder das Restrisiko, dass man sich irgendwann irgendwo drum kümmern oder Sorgen machen muss...

Lehdro
2019-09-23, 16:59:53
Ryzen ist teilweise aber auch nicht zu 100% lückenfrei, nur so irgendwie nah dran. Machst du dir um das Restrisiko auch Gedanken?
Gibt zwar Mitigations via OS, aber da bleibt ja auch wieder das Restrisiko, dass man sich irgendwann irgendwo drum kümmern oder Sorgen machen muss...
Ja, klar.
Aber der Konjunktiv wurde bei meinem Posting bewusst gewählt. :)

Loeschzwerg
2019-09-23, 17:23:19
Alles eine Frage der Betrachtung

Weshalb die beiden zitierten Aussagen ja irgendwie auch wieder passen ;)

Gast
2019-09-23, 20:22:11
Es gibt nirgends 100% Sicherheit, weder im echten Leben noch im digitalen.

Jedes Schloss ist im Endeffekt ein Kompromiss zwischen dem Aufwand für dieses Schloss und dem Aufwand dieses zu knacken.

Aktuell scheint mir der Aufwand dieses Schloss zu knacken noch um Größenordnungen zu hoch zu sein, um mir irgendwie ernsthaft Sorgen zu machen.

Gast_16
2019-09-23, 22:24:18
Es gibt nirgends 100% Sicherheit, weder im echten Leben noch im digitalen.

Jedes Schloss ist im Endeffekt ein Kompromiss zwischen dem Aufwand für dieses Schloss und dem Aufwand dieses zu knacken.

Aktuell scheint mir der Aufwand dieses Schloss zu knacken noch um Größenordnungen zu hoch zu sein, um mir irgendwie ernsthaft Sorgen zu machen.

Eine höchst seltsame Sicht; sicher sehr bequem, diese Lebensweise. Dann kann man sich ja schön die Hütte mit Amazon-Wanzen vollpacken und IoT-Geräte nutzen. Facebook noch schön auf dem Handy installieren und erst mal fremde Rufnummern in die Cloud pumpen. Nee, lass mal.

Sicherheitsforscher sind total nutzlos...*g*

Intel hat ein Designproblem; derzeit noch nicht für jeden ausnutzbar; das Potenzial ist aber vorhanden. Erst wenn dieses behoben ist, kann ich die CPUs wieder guten Gewissens erwerben.

Summerbreeze
2019-09-24, 02:43:00
Diese Art von Seitenkanal Attacken unter denen momentan hauptsächlich Intel CPUs leiden, sind seit 2005 vom Pentium 4 bekannt. Damals wurden sie von Intel als nicht schwerwiegend kommentiert.
Mir kommt es halt auch ein wenig Seltsam vor, das unter Pat Gelsinger als CTO damals SMT aus den CPUs erst rausgeschmissen und mit seinem Abgang bei Intel in die Nehalem Generation wieder nahezu unverändert eingefügt wurde. Gelsinger legte damals viel Wert auf Sicherheit.
Warum eigentlich, sollte man auf eine Technik, welche mir min. 20-30% Mehrleistung bringt verzichten? Noch dazu unter starkem Konkurrenzdruck?.

Leider bleiben diese Art von Einbrüchen idR unbemerkt und erst wenn der Dieb die gestohlenen Schlüssel gegen dich verwendet, machst ein dummes Gesicht. Es ist noch nichts bekannt geworden?
Würdet ihr damit Hausieren gehen, von jedwedem Haus in der Stadt unbemerkt den Generalschlüssel stehlen zu können?

Meine Meinung: Intel hat mein Vertrauen gebrochen. Ihnen war der Vorsprung vor dem Wettbewerb wichtiger als die Sicherheit der Kunden.
Da AMDs Geschäftsgebaren nicht so Mies wie Intels ist, sie sehr gute Produkte liefern und viel weniger Auffällig wg Sicherheitsproblemen sind, ist es für mich keine Frage welche PC Plattform ab nächsten Monat meinen Schreibtisch befeuert.

Loeschzwerg
2019-09-24, 07:14:13
Meine Meinung: Intel hat mein Vertrauen gebrochen. Ihnen war der Vorsprung vor dem Wettbewerb wichtiger als die Sicherheit der Kunden.


How dare you! :freak:

Summerbreeze
2019-09-24, 09:55:50
Ryzen ist teilweise aber auch nicht zu 100% lückenfrei, nur so irgendwie nah dran. Machst du dir um das Restrisiko auch Gedanken?
Gibt zwar Mitigations via OS, aber da bleibt ja auch wieder das Restrisiko, dass man sich irgendwann irgendwo drum kümmern oder Sorgen machen muss...
Kein technisches System ist oder war jemals zu 100% Fehlerfrei. das geht gar nicht.
Nun ist es aber so, das die eine Firma ihren Vorteil bewusst über die Sicherheit des Kunden gestellt hat.
Die Häufung der Fehler- / Sicherheitsmeldungen spricht ja doch einigermaßen für sich. Weiß ich denn, was noch in der Zukunft auf mich zukommt? Und nur weil der Wettbewerb dir nicht garantieren kann, das er zu 100% Fehlerfrei ist, ist dir das Egal?
Herzlichen Glückwunsch!

Anfang letzten Jahres habe ich einen -wie ich meine- sehr guten und kompetenten Vergleich der beiden Architekturen bezüglich dieses Problems gelesen. (Leider finde ich ihn nicht mehr wieder) Der Autor kam hier jedenfalls zu dem Schluss das Intel voraussichtlich ein verhältnismäßig deutlicher Umbau seiner Architektur bevorsteht, da rein aus dem Studium der Funktionsdiagramme noch einige weitere Fehlermöglichkeiten ersichtlich wurden. (Hat sich ja bestätigt) Bei ZEN hat er damals nur ein oder zwei mögliche Fehlerquellen entdecken können, welche sich auch noch mit verhältnismäßig geringem Aufwand beseitigen lassen sollten.

Dies hat mich persönlich schon ein wenig Schockiert, da ich von Intel bis dahin eine recht hohe Meinung besaß. Als ich dann mitbekam, dass diese Fehlerklasse seit 2004/2005 eigentlich bekannt ist, habe ich für mich persönlich die Konsequenzen gezogen.
Auf 5 bis möglicherweise 10% (in der Spitze) Leistung in Games kann ich gern verzichten. Die Integrität meiner Daten ist mir wichtiger.
Warum sollte man es einem Dieb leichter machen als unbedingt nötig?

aufkrawall
2019-09-24, 10:01:08
Warum sollte man es einem Dieb leichter machen als unbedingt nötig?
Diese Betrachtungsweise ist aus der Perspektive eines Konsumenten nur leider hysterischer Quatsch. Nenn mir mal einen Proof of Concept, der mir diese Lücken im aktuellen Browser demonstriert.

JVC
2019-09-24, 10:21:36
Ich kaufe nix mit einem offensichtlichem Fehler, auch wenn es mich vermutlich nicht betreffen könnte/sollte/müsste ...

M.f.G. JVC

Gast
2019-09-24, 11:39:40
Meltown, Spectre und Co jucken mich eigentlich nicht, Intel flickt über Microcode updates und ME Updates schön und gut.
Mich kotzen da mehr die Motherboard hersteller an die weder Biose zur verfügung stellen noch einem Tools in die Hand geben um selbst aktiv zu werden bei den älteren Platinen. Absolutes negativ Beispiel als einziger der großen hat Asus absolut nichts für Sandy/Ivybridge getan! Auch hat man als einziger einen den Signaturzwang im Bios scharf geschaltet. Einfach so mal ein Mod-Bios auf spielen ist da nicht! Die alten Flasher Programme darf man sich mühevoll zusammen suchen und mit ganz ganz viel glück findet man noch auf einer zwielichtigen Seite ein Downloadlink der noch aktiv ist nach Jahren. "Microcode" einfügen ist dank UEFI BIOS Updater vom Winraid Forum ja mit 3 Tastenklicks erledigt. Am flashen des modbios habe ich aber echt wochenlang herum probiert bis ich was hatte was geklappt hat. Wenn der Schutz einmal aus ist, kann man jetzt wenigstens ohne weiter Schwierigkeiten "normal" flashen mit aktuellen tools oder übers bios. Mein Hass geht geht nicht richtung IOntel sondern einzig gegen Asus!

Gast_16
2019-09-24, 14:48:58
Meltown, Spectre und Co jucken mich eigentlich nicht, Intel flickt über Microcode updates und ME Updates schön und gut.


Nein, Intel flickschustert nur an den Symptomen herum. Man wappnet sich gegen einzelne Attacken anstatt das grundlegende Designproblem anzugehen.

Die Boardhersteller sind hier eher diejenigen, die den Mist mitmachen müssen.

Summerbreeze
2019-09-24, 15:42:02
Diese Betrachtungsweise ist aus der Perspektive eines Konsumenten nur leider hysterischer Quatsch. Nenn mir mal einen Proof of Concept, der mir diese Lücken im aktuellen Browser demonstriert.

Das kann ich nicht. Es ist aber auch nicht wichtig, ob so ein Proof of Concept schon öffentlich existiert.
Wenn ich mir ein Stück Software schreibe, welches diese Fehler ausnutzen kann, dann werde ich den Teufel tun, dies aber mit Sicherheit nicht veröffentlichen. Dann wäre ich ja schön Blöd.

Ich habe jetzt aber auch nicht von jetzt auf gleich meine Rechner außer Betrieb genommen und die CPU Firma gewechselt. Es ist aber mittlerweile der Zeitpunkt für mich da, das neue Rechner in Sichtweite sind und ich werde mir mit Sicherheit nicht noch so ein verbugtes Teil ins Haus holen.
Warum sollte ich das tun?

aufkrawall
2019-09-24, 15:53:20
Das kann ich nicht. Es ist aber auch nicht wichtig, ob so ein Proof of Concept schon öffentlich existiert.
Wenn ich mir ein Stück Software schreibe, welches diese Fehler ausnutzen kann, dann werde ich den Teufel tun, dies aber mit Sicherheit nicht veröffentlichen. Dann wäre ich ja schön Blöd.

Eigentlich nicht. Da kann man als "Sicherheitsforscher" gleich eine Webseite schalten und jede Menge E-Fame und mehr für sich und ggf. sein Institut einheimsen.


Warum sollte ich das tun?
Muss man ja auch mit Zen 2 nicht mehr. Man muss sich trotzdem nicht verrückt machen lassen (oder andere nicht verrückt machen...).

Gast_16
2019-09-24, 16:13:23
Muss man ja auch mit Zen 2 nicht mehr. Man muss sich trotzdem nicht verrückt machen lassen (oder andere nicht verrückt machen...).

"Verrückt machen" ist eine Wertung, die ich nicht teilen kann. Auf das Problem hinweisen muss man in meinen Augen immer wieder, bis Intel seine Hausaufgaben gemacht hat. Ein grundlegender Designfehler, der zu Sicherheitslücken führt, ist zu beheben. Schade, daß man heute offensichtlich so vieles akzeptiert.

Opprobrium
2019-09-24, 16:52:26
Absolutes negativ Beispiel als einziger der großen hat Asus absolut nichts für Sandy/Ivybridge getan! Auch hat man als einziger einen den Signaturzwang im Bios scharf geschaltet. Einfach so mal ein Mod-Bios auf spielen ist da nicht! Die alten Flasher Programme darf man sich mühevoll zusammen suchen und mit ganz ganz viel glück findet man noch auf einer zwielichtigen Seite ein Downloadlink der noch aktiv ist nach Jahren. "Microcode" einfügen ist dank UEFI BIOS Updater vom Winraid Forum ja mit 3 Tastenklicks erledigt. Am flashen des modbios habe ich aber echt wochenlang herum probiert bis ich was hatte was geklappt hat. Wenn der Schutz einmal aus ist, kann man jetzt wenigstens ohne weiter Schwierigkeiten "normal" flashen mit aktuellen tools oder übers bios. Mein Hass geht geht nicht richtung IOntel sondern einzig gegen Asus!
Hass ist natürlich übertrieben, aber ich bin auch enttaüscht. Mein sehr hochpreisiges Asus Board (Haswell) hat ebenfalls seit Ewigkeiten (2014) kein Biosupdate mehr gesehen. Das macht mir eigentlich nichts aus, weil es läuft wie es soll. Aber mit irgendeiner Reaktion auf Meltdown/Spectre hatte ich dann doch gerechnet. Naja, war wohl ohnehin mein letztes Asusboard :smile:

Birdman
2019-09-24, 19:05:55
Hass ist natürlich übertrieben, aber ich bin auch enttaüscht. Mein sehr hochpreisiges Asus Board (Haswell) hat ebenfalls seit Ewigkeiten (2014) kein Biosupdate mehr gesehen. Das macht mir eigentlich nichts aus, weil es läuft wie es soll. Aber mit irgendeiner Reaktion auf Meltdown/Spectre hatte ich dann doch gerechnet. Naja, war wohl ohnehin mein letztes Asusboard :smile:
Die Microcodes kommen ja seit einiger Zeit mit dem OS mit, daher haben sich viele Mainboard-Hersteller das patchen der alten Platinen gespart.
Vom Sicherheitsstandpunkt her ist dies auch quasi nicht mehr notwendig.

Es ist bei einigen Boards auch nicht so einfach nachzurüsten, oftmals machen hier zu klein dimensionierte flash ROMs einem solchen Update einen Strich durch die Rechnung.

Wir haben @work auch noch einige solcher Systeme im Einsatz, oder solche wo man den Hersteller explizit für ein gepatchtes BIOS anfragen muss, inkl. Angabe des verbauten CPU Models.
Dann bekommt man ein BIOS mit dem Microcode für nur genau diese eine CPU und wenn man diese mal wechseln würde, muss man ein neues/anderes BIOS einspielen.

Opprobrium
2019-09-24, 20:50:00
Es ist bei einigen Boards auch nicht so einfach nachzurüsten, oftmals machen hier zu klein dimensionierte flash ROMs einem solchen Update einen Strich durch die Rechnung.

Oh, vom Sicherheitsstandpunkt ist mirbdas egal, der PC ist inzwischen auch nicht mehr wirklich am Internet. Aber von einem damals sehr teuren Workstationboard eines Premiumherstellers erwartet man dann doch mehr. Inklusive ausreichend dimensioniertem Flash ROM oder eventuellem Verzicht auf Fullscreen Logos und UEFI Menüblingbling wenn der Platz doch knapp wird.

War doch gerade bei dem einen oder anderen AM4 Board die gleiche Problematik: Für die Unterstützung neuer CPUs reicht der Platz nicht, dafür hat das UEFI einen animierten Hintergrund :rolleyes:

Birdman
2019-09-25, 09:54:06
..teuren Workstationboard eines Premiumherstellers erwartet man dann doch mehr....
LoL? Die Welt der Pfennigfuchser dreht leider anders :freak:

Selbst bei Server-Hardware wird hier gespart...
Wer z.B. gedacht hat dass AMDs Rome Prozessoren auf den Naples Plattformen läuft, der wird in vielen Fällen enttäuscht werden. Compatibility my Ass, weil hier wiederum zu kleine Flash ROMs verbaut wurden.
So kann man z.B. beim kompletten SuperMicro oder Dell Portfolio von Gen1 Ryzen Server ein Upgrade auf die neue CPU Generation knicken.

Wobei gemunkelt wird dass hier nicht unbedingt die Geiz ist geil Mentalität für dieses Debakel verantwortlich zu sein scheint, sondern eine falsche oder fehlende Spezifikation seitens AMD beim Design der damaligen Plattformen.

Gast
2019-09-25, 22:01:56
Klingt ja so als wenn es keine Intel CPUs ohne HT gäbe...
Habe mir extra einen i7-9700K anstatt dem i7-9900K zugelegt um bezüglich HT keine Sicherheitslücken zu haben und das bisschen "Mehrperformance" von HT ist nun wirklich vernachlässigbar, sofern überhaupt richtig genutzt.

Freestaler
2019-09-25, 23:37:22
LoL? Die Welt der Pfennigfuchser dreht leider anders :freak:

Selbst bei Server-Hardware wird hier gespart...
Wer z.B. gedacht hat dass AMDs Rome Prozessoren auf den Naples Plattformen läuft, der wird in vielen Fällen enttäuscht werden. Compatibility my Ass, weil hier wiederum zu kleine Flash ROMs verbaut wurden.
So kann man z.B. beim kompletten SuperMicro oder Dell Portfolio von Gen1 Ryzen Server ein Upgrade auf die neue CPU Generation knicken.

Wobei gemunkelt wird dass hier nicht unbedingt die Geiz ist geil Mentalität für dieses Debakel verantwortlich zu sein scheint, sondern eine falsche oder fehlende Spezifikation seitens AMD beim Design der damaligen Plattformen.

Supermicro sieht dies so:

Both Supermicro's H11 and H12 generations of servers and motherboards are compatible with 2nd generation AMD EPYC™ processors* and can support up to DDR4-3200MHz memory. This provides a fast upgrade track and investment protection on A+ H11 gen systems for new and existing deployments, when PCI-E® 4.0 support is not a necessity. H11 ist die Napels Plattform. Boards, Server usw. Dropin* hier vermutlich für den Punkt, dass man kein alte Naples CPU für Bios Update braucht. Https://www.supermicro.com/en/products/aplus/solutions/sp3

Und jetzt bitte zurück zu Thema und weglassen dieses Fanboy gelabbere. Nutzt ja jede Möglichkeit.

Kennt einer einen grossen Hoster der nun wirklich HT deaktiviert überall ohne aufpreis? Ich kanns mir nicht vorstelle. Und selbst in der Branche (Finanz) in der ich Tätig bin, ist nur ne Theoretische Diskussion. Es warten alle ab und on the Edge wird zumindest Bios aktualisiert jedoch bleibt HT aktiv. Auch ist es nicht wirklich ein Kaufentscheid für andere Lieferanten.

Birdman
2019-09-26, 11:29:46
Supermicro sieht dies so:

H11 ist die Napels Plattform. Boards, Server usw. Dropin* hier vermutlich für den Punkt, dass man kein alte Naples CPU für Bios Update braucht. Https://www.supermicro.com/en/products/aplus/solutions/sp3

Und jetzt bitte zurück zu Thema und weglassen dieses Fanboy gelabbere. Nutzt ja jede Möglichkeit.
Bitte informier dich korrekt - die ganzen Rev 2.0 Mainboards der H11 Plattform vertreibt SuperMicro erst seit August 2019!!!!
Alles was vorher gekauft wurde hat Rev 1.01B und trägt keine Naples CPU

Was hier nun bzgl. Rome über den Marketingkanal rausgeschickt wird ist nur wischi-waschi, quasi alle bestehenden SuperMicro Epyc/Naples Kunden sind gearscht. (und ja, dazu gehöre ich, bzw. meine Firma in nicht gerade geringem Ausmasse)

Denniss
2019-09-26, 12:05:29
Und wieder einmal hat's der mainboardhersteller verbockt ......
Gibt ja bei AM4 auch einige

Freestaler
2019-09-26, 19:41:35
Wenn SM da wirklich kein h11 16mb Rome bios Nachliefert, dann ist happig. Kann ja kein investitionschutz sein beim H11 wie auf der Page vermerkt. Die rev2.0 wird ja erst die Tage geliefert. Das wäre wirklich schwach wenn den so bleibt.

Benutzername
2020-02-04, 18:39:41
Yo es ist interessant wie Intel das Marketing handhabt und die Presse an sich schweigt. Was fehlt ist ein Beispiel für das Ausnutzen einer Sicherheitslücke. So ein Fall würde es in den Tagesschau schaffen. Gibt es nicht? Warum gibt es ihn nicht? Weil dann gäbe es auch in den USA eine Sammelklage oder eine Reparationszahlung wie im Falle von AMD.

Die Sammelklage wegen der FX CPUs war in Kalifornien nach kalifornischem Verbraucherschutzrechten. Nicht für die USA insgesamt. Und naja, Juristen, die über Technik urteilen...


Für AMD Jünger ist es nur ein weiteres Kaufargument, wo allerdings die Entscheidung schon getroffen wurde. Denn ich kann mir nicht vorstellen, dass die Intel Besitzer wegen den Sicherheitslücken zu AMD wechseln. Dafür benötigt man wie gesagt ein Beispiel, wo es eingetreten ist.

Man müßte die Umfrage vermutlich anders formulieren um die Besitzstände mit zu erfassen, was aber schwer wird.


Also für den neukauf kenne Ich nur Leute, die AMD kaufen in letzter Zeit. aber wenn man schon einen core i7-irgendwas hat, dann drängt es im moment auch noch nicht eine neue CPU zu kaufen.

Gast
2020-02-04, 19:59:29
Für den Desktop Otto Normalo: Ärgernis wegen minimaler Performanceeinbußen.

Für die Serverseite? Absolute Katastrophe.

Als wenn der Desktop Otto Normalo keine Clouddienste konsumieren würde die dadurch teurer werden.

Gast
2020-02-04, 20:03:36
Bei Android klaffen auch Sicherheitslücken und keine sau juckts wenn es keine Updates vom Hersteller gibt.

Die Techpresse sollte einfach jedes Handy was keine Updates bekommt als unbrauchbar bewerten.

Platos
2020-02-04, 20:07:32
Wenn man ein Unternehmen hat, ist das natürlich was anderes. Aber als Privatuser beim Desktop ist das völlig irrelevant.

Mr.Smith
2020-02-04, 21:10:32
für den normaluser ist die frage, was es per fix an leistung kostet und wie groß der aufwand ist die fixes zu entfernen oder deren einspielung zu verhindern für maximale fps/leistung z.b.

Gast
2020-02-04, 21:30:08
Das dies möglich ist, beweisen die CPU-Designs von AMD, welche wie gesagt gegen den Großteil dieser CPU-Sicherheitslücken auch völlig ohne Patches immun sind.



Beweisen diese das wirklich? Ich wäre mir da nicht so sicher, und offenbar sogar AMD nicht, weil ihre Kommentare zu den Sicherheitslücken sind meistens in der Richtung "wir glauben dass AMD Prozessoren nicht betroffen sind". Ein klares Dementi schaut auf jeden Fall anders aus.

Zumal AMD Prozessoren auch von Spectre1 betroffen sind, was wohl die gravierendste aller gefunden Lücken ist.

Ich denke jedenfalls, die Aussage, dass AMD Prozessoren sicherer sind hat ungefähr den Wahrheitsgehalt wie die Behauptung dass MacOs prinzipiell sicherer ist als Windows, nur weil es für letzteres viel mehr Schadsoftware gibt.

Der wahre Grund dürfte aber zu großem Teil nicht ein prinzipiell sichereres Design sein, sondern das in beiden Fällen aufgrund der Marktverhältnisse einfach viel mehr Stunden in das Finden von Lücken bei Intel bzw. Microsoft gesteckt werden.

Man muss nur bedenken, dass an die Hyperthreading-Lücken in der Theorie schon zu Pentium 4 Zeiten gedacht und geforscht wurde. Trotzdem hat es bis vor kurzem gebraucht um ein nachstellbares PoC zu entwickeln.

AMD dürfte viel mehr das "Glück" haben, dass man einerseits bis vor gar nicht so langer Zeit so unwichtig war, dass sich kaum jemand die Mühe gemacht hat die Prozessoren genügend zu erforschen, und zusätzlich noch erst seit kurzem eine komplett neue Architektur hat, für die es sich zeitlich gar nicht ausgeht dass nur annähernd so viel Manpower in die Erforschung der Architektur gesteckt wurde.

Leonidas
2020-02-05, 03:57:35
Ich denke jedenfalls, die Aussage, dass AMD Prozessoren sicherer sind hat ungefähr den Wahrheitsgehalt wie die Behauptung dass MacOs prinzipiell sicherer ist als Windows, nur weil es für letzteres viel mehr Schadsoftware gibt.


Nein, dies trifft nicht zu. Bei Win vs. MacOS geht es wirklich nur darum, wieviel Schadsoftware jeweils vorhanden ist. Bei Intel vs. AMD im Bereich Spectre & Co. gibt es klare Maßgaben, welche Lücke welche CPU betrifft. AMD hat bei einigen Spectre-Varianten etwas rumgeeiert, aber bei allen nachfolgenden Lücken war die Sache klar - AMD nicht betroffen. Das wurde vor allem schon von den Forschern selber meistens klar dargelegt. Und AMD ist zum Glück nicht mehr so klein, das man die in der Frage einer solchen Lücke einfach nicht mehr beachtet bzw. nicht AMD gegentestet.

Schon bei der ersten Spectre-Welle war klar, das AMD irgendwas prinzipiell anders gemacht hat bei seinem SMT. Daher die geringere Anfälligkeit gegenüber vor allem den späteren Lücken. Hier liegt allem Anschein nach ein klarer Technik-Unterschied vor.

Legendenkiller
2020-02-05, 08:55:08
Naja man könnte ja jetzt sage solange auf dem Rechner eine Schadsoftware wie Windows, iOS, Android mit Sicherheitslücken im 3 stelligen Bereich läuft und evtl auch noch ein Browser oder Office mit Marcos benutzt wird, ist es eh egal.

Es gibt dann beliebig mehr und leichtere Angriffswege.

Und bei den sehr beliebten phishing Angriffen ist oft der Layer 8 die größte Schwachstelle ;-)

BigKid
2020-02-05, 14:55:37
Ich glaube vielen Benutzern ist einfach nicht klar dass sie mit den Patches beglückt werden - egal ob sie die Gefahr für Real halten oder nicht.

Was wiederum mittlerweile in Summe zu erheblichen Performanceeinbussen führt. Man spricht bei Mängeln üblicherweise bei >5% von erheblich.

Defakto wäre es möglich aber schwer (und teuer) das mal durchzuklagen...
Erfolgschancen sind da - etwas schlechter als bei ner Klage gegen VW (rein gefühlt laut nem Anwalt mit dem ich das mal verfolgt habe)... Das Problem ist mal wieder dass es keine Sammelklage gibt - somit steht der Streitwert (1x CPU) nem riesigen Aufwand gegenüber... Ansatzpunkt wäre der Händler... Mangel / fehlen einer zuges. Eigenschaft

Gast
2020-02-05, 18:30:01
Bei Intel vs. AMD im Bereich Spectre & Co. gibt es klare Maßgaben, welche Lücke welche CPU betrifft. AMD hat bei einigen Spectre-Varianten etwas rumgeeiert, aber bei allen nachfolgenden Lücken war die Sache klar - AMD nicht betroffen. Das wurde vor allem schon von den Forschern selber meistens klar dargelegt.


Es ist nur klar, dass die PoCs die bei Intel funktionieren nicht 1:1 bei AMD funktionieren.

Es ist aber nicht klar, ob es nicht andere PoCs gibt die auch oder nur auf AMD Prozessoren funktionieren würden, die nur noch nicht gefunden wurden.


Schon bei der ersten Spectre-Welle war klar, das AMD irgendwas prinzipiell anders gemacht hat bei seinem SMT. Daher die geringere Anfälligkeit gegenüber vor allem den späteren Lücken. Hier liegt allem Anschein nach ein klarer Technik-Unterschied vor.

Mir geht es jetzt eigentlich um das gesamte, und nicht nur um die Ausnützung der HT-Lücken, wobei die erste Spectre-Welle auch überhaupt nichts mit HT zu tun hat.

Weder AMD noch Intel geben logischerweise öffentlich die genaue Funktionsweise ihrer CPUs bekannt.
Die notwendigen Gadgets zu finden um die CPU in einen Zustand zu versetzen die ein Ausnutzen dieser Lücken ermöglicht benötigt aber die genaue Kenntnis der inneren Vorgänge in der CPU, und die können nur über Reverse Engineering ermittelt werden.

Insbesondere Zen ist aber noch gar nicht lange genug am Markt damit es Ausreichend Zeit für dieses Reverse Engineering gegeben hätte.

Man kann insofern sagen, ja Zen arbeitet anders, so dass die meisten Gadgets die für Intel funktionieren, bei Zen nicht funktionieren.

Das bedeutet aber noch lange nicht, dass es für Zen diese Gadgets nicht gibt und sie nur noch nicht entdeckt wurden.

Für den User ist es aber wohl erstmal egal, weil alleine aufgrund der Tatsache, dass Zen noch sehr neu ist, gemeinsam damit dass die meisten Forscher an Intel herumtüfteln wird es höchstwahrscheinlich noch sehr lange dauern, bis diese Gadgets für Zen entdeckt werden, sollten diese existieren, und bis dahin sind die heute eingesetzten CPUs eh schon veraltet.

Leonidas
2020-02-06, 03:59:16
Vielleicht kommt da noch was - ja, das kann man denken. Aber ich kann es mir als Schreiberling nicht leisten, so eine These zu kreiieren - weil da ja automatisch eine Anschuldigun drinsteckt, das AMD-CPUs eventuell unsicher wäre. Das kann speziell ich erst dann bringen, wenn ich was handfestes habe.

Insofern: Nachdenken darüber - ja. Aber berichtenswert ist das noch nicht, das ist zu ungar.

Gast_16
2020-02-06, 07:57:57
Vielleicht kommt da noch was - ja, das kann man denken. Aber ich kann es mir als Schreiberling nicht leisten, so eine These zu kreiieren - weil da ja automatisch eine Anschuldigun drinsteckt, das AMD-CPUs eventuell unsicher wäre. Das kann speziell ich erst dann bringen, wenn ich was handfestes habe.

Insofern: Nachdenken darüber - ja. Aber berichtenswert ist das noch nicht, das ist zu ungar.

Ist doch auch Mumpitz. Wir sprechen über den Ist-Zustand. Und unbewiesene Thesen ändern nichts an der Realität.