Der Hardware-Laberthread Vol. 2

Nachdem sich herausgestellt hat dass die Funktionalität durch Installation des DX9-SDKs wiederherzustellen ist, nun auch noch die Aussage von jemandem, der wirklich was zu sagen hat bei AMD:
https://twitter.com/CatalystMaker/status/948224999726501890

Jetzt können wir alle wieder beruhigt nach Hause gehen

 

Klingt schlimmer als es wirklich ist.

 

Kommt noch eine Begründung oder soll man sich auf dein Wort verlassen?

 

Fefe hat drüber geschrieben, wenn du auf seine Meinung was gibst.

"Die Maßnahmen, die sie da gerade durchführen, um das zu bekämpfen, sind potentiell mit sehr großen Performanceeinbußen verbunden (weil pro Syscall-Kontextwechsel ein TLB-Flush notwendig wäre).

Ich mache mir keine Sorgen. ASLR ist eh kein Schutz sondern nur eine Mitigation, d.h. es verhindert keine Sicherheitslücken, es macht sie nur schwerer auszunutzen. Ein Sicherheitskonzept, dessen Sicherheit auf ASLR basiert, ist also eh wertlos. Das schaltet man an, weil es da ist und nichts kostet.

Wir werden mal sehen müssen, wie stark die Performanceeinbußen in der Praxis sind. Die werden am Schlimmsten bei Workloads mit vielen Syscalls sein, d.h. Netzwerkservices und sonstige I/O-intensive Geschichten. Und natürlich Virtualisierung, klar. Aber wer das macht, erwartet ja eh keine gute Performance.

Ich mache mir da jetzt jedenfalls keine schlaflosen Nächte deswegen. Andere Maßnahmen wie Seccomp-Sandboxing und W^X sind viel wichtiger als ASLR. Und eigentlich war ASLR ja auch bloß eine weitere Ausrede dafür, unsere Software weiterhin nicht ordentlich zu auditieren. Wir haben ja ASLR!1!! Ich sehe das also sogar verhalten optimistisch. Vielleicht fangen die Leute jetzt mal an, auf Security zu achten. Wenn die Mitigations öffentlichkeitswirksam wegbrechen."

Wobei Fefes Optimismus ja hauptsächlich darauf basiert, dass er sich wünscht, dass die alle mal ordentlich auf die Fresse fliegen und es danach besser machen.

Edit: Ich möchte hinzufügen, dass ich nichts von dem verstanden habe, was ich gerade gepostet hab.

 

Ok dachte hätte den Link dazugefügt, kann Fefe besser.
https://blog.fefe.de/?ts=a4b423a5

 

Ja toll, Fefe sagt halt in erster Linie dass ASLR grundsätzlich nur eine Mitigation ist Das ändert aber nichts daran dass es schon immer als relativ Vorteil beschrieben wurde, auch zB von Chrome-Entwicklern, denen man erstmal wenig vorhalten kann was "richtige" Sicherheit angeht. Und das bricht halt nun weg bzw. muss teuer in Software gepatcht werden.

Wäre das bei AMD passiert, würde man die Firma jetzt wahrscheinlich totschreiben...

 

Ist es auch, ich finde das Argument überzeugend. Wer sich auf ASLR verlässt ist verloren. Unsicherer Software wird dadurch nicht auf magische Weise sicher.

 

Das nicht. Aber es kann sichere Software eben noch sicherer machen. Keine Software erreicht 100%, das ist unmöglich und das können Techniken wie ASLR abfedern.
Für die Integrität von virtuellen Maschinen in Cloudumgebungen scheint es auch eine relativ große Rolle zu spielen/gespielt zu haben.

Dass die ganzen Kernelentwickler über die Feiertage ohne große Audits so einen Aufruhr machen, kommt auch nicht alle Tage vor

 

Fefe hat ein Update zu seinem Blogeintrag gepostet:

 

ARM64 ist wohl auch betroffen. Beim Linux-Kernel wird die Mitigation trotz der Einbußen standardmäßig aktiviert, die Hardwarehersteller müssen es dann selbst deaktivieren. Auch auf alte Kernel-Versionen wird zurückportiert, was bei so einem heftigen Eingriff sonst niemals passieren würde. Auch das ein Hinweis auf die Schwere des Fehlers.

 

Das klingt nach einem Fehler aus der Dimension "will take five years to fix and will cost half a billion dollars". So schwere Fehler in der Prozessorarchitektur sind richtig übel.

Nachtrag: der normalsterbliche Endanwender und der typische Computerspieler werden von den Performance-Einbußen durch den Patch vermutlich wenig bis gar nichts zu spüren bekommen.

 

Insbesondere wenn man sich dann mit dem Musterbeispiel für Kulanz Mindfactory rumschlagen darf

 

Bei Intel verkauft man schonmal die eigenen Aktien: https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx

Gut, CPU-Bugs gibts permanent und vorhergesagt wurde sowas auch schon lange:
https://danluu.com/cpu-bugs/

Die aktuelle Ausprägung ist trotzdem recht übel ^^ Microsoft hat bei den Insidern schon seit November einen Patch

 

Meine AMD-Mitleids-Aktien freuts...

 

Intel Responds to Security Research Findings
Intel believes these exploits do not have the potential to corrupt, modify or delete data.

Intel believes its products are the most secure in the world

Management Engine...

 

Habe deinen Börsenlink mal weitergepostet, Lurtz, das wiederum brachte einen User auf Folgendes:
http://www.nasdaq.com/symbol/intc/insider-trades

Und der erste Verweis auf den Bug im Juli:
https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

 

Tja, AMD wohl doch betroffen, und gegen den anderen Angriff scheint erstmal kein Kraut gewachsen.
https://meltdownattack.com/

 

Das ist richtig groß. Vor allem Spectre. Könnte einer der übelsten Sicherheitsbugs aller Zeiten sein.

Hunderte von Millionen von Mobilgeräten werden nie Patches bekommen. Atomgeräte sind wohl kaum mehr lauffähig mit den Patches. Viele Produktivumgebungen zu patchen wird ein Albtraum, wenn überhaupt möglich.

In Chrome kann man übrigens das experimentelle Feature "Site Isolation" aktivieren um die Auswirkungen etwas zu lindern:
https://www.chromium.org/Home/chromium-security/ssca

Mozilla schreibt:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

Project Zeros Beitrag:
https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

 

Wäre cool, wenn AMD binnen der nächsten 21 Monate eine gefixte CPU für die AM4-Plattform rausbringt, dann liegt mein CPU-Kauf noch innerhalb der Garantie. Und ausnahmsweise fällt der Beweis, das Produkt sei von Anfang an beschädigt, nicht schwer.

 

Na, mal gucken, das ist AMDs aktuelles Statement dazu:

https://www.amd.com/en/corporate/speculative-execution

Demnach hält AMD die Angriffswahrscheinlichkeit für Spectre 1 (bounds check bypass (CVE-2017-5753)) durch die Software-Updates für unöglich und Spectre 2 (branch target injection (CVE-2017-5715)) für nahezu unmöglich. Meltdown (rogue data cache load (CVE-2017-5754)) ist aufgrund der anderen Architektur ohnehin kein Problem.

 

Ist denn die Zen Architektur auch betroffen? Im GoogleZero blog standen nur 2 ältere bulldozer(?) Prozessoren als Testgeräte..

 

Meltdown is a big wrench thrown at us and Intel. Spectre is an insidious path full of snares lying ahead of us all.

Mozilla: Our internal experiments confirm that it is possible to use similar techniques from Web content to read private information between different origins.

Leute, installiert Updates wo es nur geht Wer noch alte Browserversionen oder irgendwelche Chromium/Firefox-Forks verwendet, good luck...

Side Channel Analysis Security issue von Intel:
https://s21.q4cdn.com/600692695/files/doc_presentations/2018/Side-Channel-Analysis-Security.pdf

Wer es ganz genau wissen will:

Meltdown:
Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.
https://meltdownattack.com/meltdown.pdf

Spectre:
Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre.
https://spectreattack.com/spectre.pdf

Ein 22 Jahre alter höchst sicherheitsrelevanter Bug, der über Generationen von CPUs und Betriebssystemen mitgeschleppt wurde? Ein Schelm wer da noch Böseres vermutet...

 

Was auch wieder großartig ist: Die Windowspatches können anscheinend nur ausgeliefert werden wenn die installierte Antivirenlösung darauf vorbereitet ist

 

Ein Grund mehr, das Antivirenprogramm zu deinstallieren

 

Aber das schützt mich doch!!! Antivirus ist die Lösung für alles!

 

3 verschiedene Lücken.
Spectre 1 Betrifft neben Intel auch AMD und ARM
Spectre 2 Betrifft Intel, konnte auf AMD bisher nur nicht nachgewiesen werden ist aber möglich
Meltdown betrifft bisher nur Intel

 

Toll, bei Reddit wird "this will not affect your game performance that much" bis zur Löschung runter gevotet und Aussagen wie "time to stop updates" haben mehrstellige Upvotes

 

Dir ist schon klar, dass ASLR 1995 im besten Fall ein Konzept in irgendeiner Schublade war? Solche Bugs passieren und sie können auch verdammt lange unentdeckt bleiben. Performance-Optimierungen wie Out of Order Execution sind ziemlich komplexes Zeug. Da kann's noch eine Tonne weitere Seiteneffekte geben, an die bisher niemand gedacht hat.

 

Ein Zitat aus dem Meltdown-Paper unter Acknowlegdement:

Das ist Ironie pur, wenn man sich anschaut, wie z.B. in den Kommentaren bei Computerbase auf Intel eingedroschen wird. Dabei haben vermutlich 99,99% aller Leute, die jetzt die Klappe aufreißen, überhaupt keinen blassen Schimmer, wie solche Fehler entstehen und wie man sie findet, weil in der Regel noch nicht mal grundlegende Informatik-Kenntnisse haben -- und dazu zähle ich nicht, dass man einen Rechner unfallfrei zusammenbauen kann.

 

Was ist Ironie pur? Doch wohl nicht das Lob an Intel. So klingt es aber in deinem Text

Ansonsten gebe ich dir aber Recht: vielen Kommentatoren ist gar nicht klar, dass das zwar "bug" genannt wird, aber eine ganz andere Hausnummer als ein Softwarebug oder ein verbogener Pin ist. Vor allem haben sie keine Vorstellungen davon, was für ein Aufwand betrieben werden muss, um den Fehler zu beseitigen.

 

Using #Meltdown to steal passwords in real time: https://twitter.com/misc0110/status/948706387491786752

Hello #Firefox, this is #Meltdown. And these are your passwords: https://twitter.com/lavados/status/948716579801493506

Full Ubuntu was running with Firefox in the background. No need to have a "quiet" system for #Meltdown. Interestingly, the more load we had one the system, the better it worked.

Mag sein. Aber das ist ja nur die Spitze des Eisbergs. Ich sage nur Management Engine...

Möchte hier aber nicht als Intel-Basher verstanden werden. Das ist offensichtlich weit größer als Intel.

 

Auch wenn AMD erstmal weniger betroffen scheint: Je mehr über den Bug und die Angriffsmethoden bekannt wird, desto eher sind immer raffinierte und massenkompatiblere Exploits zu erwarten, aus einem "almost impossible" kann schnell ein "widespread use" werden.

Naja, erst einmal sind Intels massenweise und doppelt betroffen, dem Endanwender kann es relativ egal sein, wie der Bug zustande gekommen ist und wer dafür verantwortlich ist, Fakt ist, er hat ein defektes Produkt. Und hat dafür seit vielen Jahren schon Mondpreise bezahlt. Kann die Wut und Häme verstehen.

 

Die Management Engine ist ein komplett anderes Thema. Andere Abteilungen usw. Man kann höchstes darüber diskutieren, ob Intels Konzepte, die Sicherheit ihrer Produkte zu gewährleisten, Fehler aufweisen. Dennoch passieren Bugs immer wieder, auch vermeintlich leicht vermeidbare.

Intels Pressemitteilung, die teils regelrecht zerlegt wird, mag suboptimal gewesen sein, aber sie sagen auch zurecht, dass Spectre alle betrifft. Das Ding mag aktuell noch als eher theoretisch angesehen werden, sowas kann sich aber auch schnell ändern. Als Heartbleed (OpenSSL) aufkam, sah man das auch zuerst als eher theoretischer Natur bzw. als schwer auszunutzen an, bis ein paar findige Leute ein paar Wochen später, relativ zuverlässig und mit vergleichsweise wenigen Aufrufen, Private Keys auszulesen.

 

2015: The art of cache timing covert channel on x86 multi core:
https://www.youtube.com/watch?v=7X772EBdvnM

Juli 2017: https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

So ganz aus dem Nichts kommt es nicht...

Intel ist auch die Firma, die mal McAfee gekauft hat...

 

Das ist ein Seiteneffekt einer seit Jahrzehnten existierenden Technologie, um die Leistung von IA-32/x86-CPUs zu verbessern -- kein Defekt. Wenn Du jeden CPU-Bug als Defekt deklarieren willst, viel Spaß beim Durchlesen der Errata von sämtlichen CPU-Herstellern der letzten Jahrzehnte. Die Liste ist verdammt lang.

 

Na, dann ist es halt ein Exploit. Haarspalterei.

 

Okay boys, wie viele Rollen Aluminium brauche ich, um sicher zu sein?

 

1.21

 

Dennoch bewegt man sich da halt an den Grenzen dessen was menschlich machbar ist. An solchen CPU-Designs arbeiten bereits die besten der besten. Es gibt hier keine einfachen Lösungen.

Kann natürlich sein dass die Chiphersteller was absichtlich ignoriert oder vertuscht haben und das Problem damit verschlimmert haben.