Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Her mit euerem Fazit zu Meltdown und Spectre
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2053
Location: Germany

PostPosted: Mon Jan 08, 2018 4:34 pm    Post subject: Her mit euerem Fazit zu Meltdown und Spectre Reply with quote

Intel - Kauft ihr jetzt AMD oder macht ihr um Ryzen einen bogen?

Immerhin gab es hier berichte das bei der Installation auf AMD Ryzen einige Probleme auftraten oder sind da mittlerweile die Probleme durch Updates komplett behoben und die Installation läuft perfomant und bequem durch?

Mich ärgert aktuell nicht nur die Diskussion um Meltdown*/Spectre und die damit verbundene ca. 20% langsamere Ausführung von jeglichem Code. Sondern auch Intels Art überall diese Management Engine

Wie geht ihr damit um? Neue Hardware kaufen oder die alte mit Einbußen halt weiter verwenden?

Bei der Managment Engine bin ich mir auch immer noch nicht sicher welche Sicherheits-Probleme das hervorruft, nicht jeder Mainboard-Hersteller bietet ja einen Patch für die Problematik an und ich hoffe einfach das sich die ME nicht Remote ohne direkten Hardware Zugriff oder Bios Zugriff. Ausnutzen lässt.

Auch bleibt die Frage offen ob man das Problem mit einem Patch in den Griff bekommt. Intel hat ja angekündigt das sie alle Prozessoren nach 2012 noch mit einem Patch nach bessern wollen. Ob das die Leistungseinbußen behebt?

Gleichzeitig könnte es dann aber ein Vorteil sein das die Systeme mit der Management Engine über eine Art Betriebsystem on Chip, verfügen. Selber kommt mir dabei aber Unbehagen auf. Ich hab halt gedacht die packen alle Funktionen als in Schaltkreise gegossene Hardware und dann wäre ein Patchen nicht mehr möglich. Aber anscheinend gibt es auch eine Firmeware die dann einfach im Bios liegt und die Intel ME noch mit einem Firmewarepatch versorgt. Vielleicht kann sich da noch einiges zum besseren wenden.

Ärgerlich finde ich den Gedanken das diese Chips aber quasi ein integriertes OS mitbringen schon, denn wir wissen ja alle wie Anfällig Router oder WLAN Accesspoints oder IoT Geräte mit der Zeit werden, wenn man sie nicht patched. Aus dem selben Grund finde ich auch die Management Engine von Intel so unsexy. Es ist als hätte ein Angreifer heimlich eine Change das Bios zu hacken oder eine Art Dauer Krypto-Miner im Hintergrund laufen.

Sicher aus militärischer Sicht macht es Sinn, möglichst viele Systeme für einen DDOS Angriff im Petto zu haben, die dann in der Art eines roten Knopfes in dem neuen Kalten Krieg für Frieden im Cyberwehr-Land sorgen.

Praktisch gesehen finde ich die Idee aber überhaupt nicht gut. Ich fühle mich dadurch unsicherer und Anfälliger und das Verhältnis zu meinen Computer hat was die Wiredness Skala betrifft einen starken Ausschlag nach oben erhalten.

Es bleibt das diffuse Gefühl der Sicherheit. Ähnlich wie im Kalten Krieg wo niemand möchte das die Waffen abgeworfen werden und die Systeme möglichst sicher sein sollen, aber dauerhaft die Gefahr besteht das "Doktor Seltsam oder wie ich lernte die Bombe zu lieben." jederzeit die eigene Wirklichkeit und die Vorstellung von physikalischen Gegebenheiten aus hebelt.

Besonders diffuse ist das Gefühl wenn man darüber nachdenkt das diese Sicherheitslücke schon seit Juli 2017 (Meltdown) bzw Juni 2017 (Spectre), bekannt ist und wir knapp 7 Monate auf den Patch warten mussten!

Da kann mir doch keiner erzählen das auf dem Exploit-Schwarzmarkt eine solche Lücke nicht schon lange gehandelt oder ausgenutzt wird. Es hat auch etwas von dem bewussten Design einer Backdoor finde ich.

Wahrscheinlich werde ich mittelfristig die Mainboards tauschen und auf Ryzon wechseln, im Zuge einer direkten Hardware-Aktualisierung.

P.s.: Frohes neues Jahr an alle Gentoo-Nutzer und Entwickler!

*Link geht hier im Forum nicht, wohl wegen der Klammern daher folgt er hier:
https://de.wikipedia.org/wiki/Meltdown_(Sicherheitsl%C3%BCcke)
https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 462
Location: münchen.de

PostPosted: Thu Jan 11, 2018 9:57 am    Post subject: Reply with quote

Auch wenn ich sonst eher der Aluhutfraktion angehöre, glaube ich in diesem Fall nicht an Vorsatz aka. Backdoor. Ich denke von dieser Art Side Channel Angriff waren wohl alle Beteiligten überrascht.

Neue Hardware kaufen macht vorerst keinen Sinn. Gibt ja keine (x86) die gegen Spectre auch immun ist.

Ich war von Anfang der 90er bis vor ein paar Jahren steter AMD Fan und habe mir nur entsprechende Hardware gekauft. Erst als AMD gar kein Land mehr gesehen hat und ich auch noch von Desktops auf Laptops umgestiegen bin, bin ich zu Intel gewechselt. Jetzt weiß man ja, wie sich Intel einen Teil ihres Performance Vorsprungs durch Verzicht auf Sicherheit erkauft hat. Wenn der nächste Hardware-Wechsel ansteht (vllt nächstes Jahr) und es energiesparsame aber leistungsstarke AMD Notebooks gibt, werde ich reuevoll wieder zurückwechseln.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3147
Location: de

PostPosted: Thu Jan 11, 2018 8:01 pm    Post subject: Reply with quote

Korrigiert mich bitte, wenn ich falsch lieg: Ohne jetzt tiefer in der Materie zu stecken, sollte die Lücke doch hauptsächlich Cloud- und virtualisierte System betreffen. Falls ich das richtig verstanden hab, können wohl über das Auslesen des Lookaheadbuffers auf der CPU die Daten anderer eigentlich geschützter Speicherbereiche gelesen werden. Also kann eine VM theoretisch die Daten einer anderen VM abgreifen. Dazu muss aber eine entsprechende Anwendung auf dem betroffenen Rechner installiert sein.

Oder mit anderen Worten ausgedrückt: Für den Privatnutzer dürfte die Lücke irrelevant sein.

Im Serverbereich soll's wohl bei der IO-Leistung vor allem mit kleineren Dateien unter Windows ziemliche Performanceeinbrüche von bis zu 60% geben.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2053
Location: Germany

PostPosted: Thu Jan 11, 2018 8:38 pm    Post subject: Reply with quote

Edit:
heise.de: FAQ zu Meltdown und Spectre

Heise hat da ein gutes FAQ zu.
Edit-Ende.

Ja eher der Cloudbereich wegen Docker und openstac. Aber eigentlich auch alle Normale Server.

Ist ein bisschen wie Heartbleed nur das nicht direkt die Krypto bzw der Netzwerk Stack betroffen ist.

Aber Adress Layout Space Randomization ist dadurch wirkungslos geworden. Man kann einfacher Bufferoverflow Schwachstellen nutzen um sich eine Rücksprungadresse zu greifen und so quasi einen Root-Prozess oder Treiber Fehler ausnutzen den ASLR zuvor verhinderte.

Das man alle Speicherinhalte von Adesse x bis y (Achtung Hörensagen) auslesen kann erinnert mich an die Windows 98 Zeit.

Von daher betrifft das alle Anwender auch die Privatleute. Ist halt eine Frage der Zeit bis es für Browser Surf By oder Advertise bugs gibt

Muss mich noch genauer damit befassen und vllt ist es nicht so schlimm, aber ich dachte zuerst es wäre weniger schlimm und das mit dem Adressbereich klang nicht gut. Hab da leider noch keine Zeit gehabt selber mal die Exploits zu testen oder auszuprobieren.

Aber wenn es nicht schlimm wäre würde man doch drauf verzichten und fehlendes ASLR in kauf nehmen für X Prozent mehr Leistung.

Edit: Wie im Heise-Howto Man kann halt wenn man die Browser angreift, Logindaten die in der Browser-Crypto-Wallet liegen auslesen und theoretisch auch wenn man eine Werbung oder cross-site scripting Lücken nutzt das man dann die im Speicher befindlichen Password User Kombinationen im Browser auslesen. Weil sie sich zum Beispiel in der Browser Session ja zeitgleich im RAM befinden, auch bei CLIENT Systemen, Handys, Smart-TVs...

Ist echt eklig. So eklig das die Browser Hersteller einen Meltdown/Spectre Patch in der letzten Version panisch nach gereicht haben um ein wenig Schutz zu bieten wenn das Betriebssystem noch keinen Patch hatte. Hab mir die Browser-Sache aber auch nicht angeschaut, kann sein das das nur das Crypto-Wallet ... ach mist Wie heißt das richtig? Dachte damals auch das das Wallet halt keien Kryptowährungen sondern die Zugangsdaten enthält. Genauer und besser ist aber den Key-Ring/Schlüsselbund der im Browser integriert ist und Nutzernahmen/Passwörter Kombis verwaltet.

Ist an manchen ecken schon Ekliger als eine ASLR Lücke. Wie im Beispiel des Browsers..

Damals machte man Witze das der Editor zu einem Betriebssystem wird, mittlerweile ersetzt der Browser fast das Betriebsystem. ;)

Wegen den Kernel-Patches und Performance Verlusten, gibt es z.B. ein tolles Video (oder Artikel) von Digital Foundry wie es sich bei Windows Systemen verhält und das ganze sich negativ auf Videospiele auswirkt, wegen größeren Leistungseinbußen.

Das Schlimme an der Sache ist, es ist noch nicht abzusehen ob die KAISER Patches Schutz bieten, sie verringern wieder nur die Wahrscheinlichkeit das der Angriff erfolgreich ist (wie bei ASLR auch schon). Problem ist aber das die Nachwehen der Geschichte noch viel größer sein können als erwartet. Die Hardwarelücke selber kann man auch durch Patches nicht fixen. Neue Hardware (später wenn es welche mit Fixes gibt) ist da die sicherste Methode. Die Aktuellen Kernel-Patches und Micro-Code Updates machen es Angreifern aber schwerer.

Für Offline-Anwendungen macht es aber keinen Sinn. Spielt man also keine Online-Games sondern Offline oder vielleicht nur im Vertrauten LAN, könnte man alte Kernel einsetzen. Wenn man Lokale Angreifer ausschließen kann.

Aber in unserer vernetzten Welt wird das immer schwieriger.

Edit: Ahh jetzt verstehe ich das erst, das Problem ist nicht direkt im ASLR, sondern in der Sprung-Vorhersage der Prozessoren. Quasi die Mechanik die bei den Prozessoren eine Beschleunigung erzielt weil sie versucht zu erraten wie die Sprung-Register und der im Speicher zu habende virtuelle Adressraum in "Zukunft" sein werden. Gut dann ist das kein typischer Buffer-Overflow und hoffentlich auch kein Windows-98 Szenario mit Auslesemöglichkeiten zum Speicher.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2053
Location: Germany

PostPosted: Thu Jan 11, 2018 10:07 pm    Post subject: Reply with quote

Ach das wichtigste Fazit hab ich leider vergessen es für euch DICK zu unterstreichen: Passwörter ändern!

Weil halt sowohl in Cloud oder Virtuellen Serveranwendungen die Webseiten Bereitstellen, die Passwörter abhanden gekommen sein könnten. Oder in den letzten Tagen über Angriffe auf Browser oder halt Smartphone-Browser etc..

Denn es besteht die Chance das die eigenen Passwörter es schon Listen geschafft haben die aktive Gehandelt werden.

Edit: Fuck, alle Ios Geräte sind betroffen und auch Qualcomm hat bestätigt das ihre CPUs betroffen sind. Leider gibt es da aktuell noch keine Liste welche genau betroffen sind, aber wahrscheinlich auch meine Smartphones auf denen ich LineageOS ich einsetze. Hoffentlich bekommen die älteren Kernel-Version der Android Geräte (Kernel 3.4.113) auch einen Kaiser-Patch, noch besser wäre halt zu wissen das sie keinen Brauchen und dadurch keine Performance Einbußen hätten.
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1582
Location: Germany -> Saxony -> Leipzig

PostPosted: Fri Jan 12, 2018 11:29 am    Post subject: Re: Her mit euerem Fazit zu Meltdown und Spectre Reply with quote

ChrisJumper wrote:
Wie geht ihr damit um? Neue Hardware kaufen oder die alte mit Einbußen halt weiter verwenden?


In meinen Fall wäre ich ziemlich dämlich mit einem Wechsel in finanzieller Hinsicht. Vom i7-3520M im Thinkpad X230 über einen i5-3570T (nur 45W) im Heimserver (der mit RT-Kernel läuft, wegen latenzfreier Audioverarbeitung) bis zum i7-4790K im Arbeits/Spielerechner ist das in Summe ein vierstelliger Betrag, den ich da investiert habe. Bei normaler Benutzung kommt keiner der Systeme über Load 0.5 hinaus; wenn die mehr als üppigen Reserven jetzt ein wenig schrumpfen, werde ich das wohl nichtmal merken.

ChrisJumper wrote:
Ach das wichtigste Fazit hab ich leider vergessen es für euch DICK zu unterstreichen: Passwörter ändern!


Das sollte man sowieso regelmäßig machen :)

Edith: passender Comic :D
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 462
Location: münchen.de

PostPosted: Fri Jan 12, 2018 1:06 pm    Post subject: Reply with quote

Ausführliche Infos gibt es auch im englischen Gentoo Forum u.a. mit Links zu funktionierenden PoC zu Spectre und Meltdown.

Um etwas Licht ins Dunkel zu bringen:

Meltdown is für Server, Cloud, VMs und Co schlimmer als für den durchschnittlichen Desktop Benutzer. Mit diesem Intel Bug kann der Kernelspeicher ausgelesen werden und somit Informationen über andere VMs oder Mandanten gesammelt werden. Mit den Kernelspeicher Information kann man eventuell auch andere Angriffe vorbereiten um aus einer VM auszubrechen. Für diesen Bug gibt es einen Kernel Patch, welcher den Kernel- und Userspace- Speicherbereich deutlich trennt. Das geht allerdings zu Lasten der Performance. System Calls werden dabei deutlich langsamer. Also langsamere IO, Festplatten- und Netzwerkzugriffe. Auf Spiele etc sollte sich das weniger auswirken als auf VM-Betrieb, Datenbank und Co. Wer einen betroffenen Intel Prozessor hat sollte:
Code:
CONFIG_PAGE_TABLE_ISOLATION=y
aktivieren. AMD User können sich das sparen und sind dann nicht von den Performance-Einbußen betroffen.

Spectre betrifft alle gängigen CPUs (AMD wohl nur in Variante 2). Mit Spectre lässt sich nicht der Kernelspeicher auslesen, aber der Userspace-Speicher. Ein bösartiges Programm kann also auf den Speicherbereich anderer Programme zugreifen und dort z.B. Passwörter auslesen. Mozilla hat in einem Blogeintrag erwähnt, dass sie das auch über Javascript im Browser ausnutzen konnten. Für diesen Angriff sind sehr genaue Zeitstempel nötig. Deshalb hat Mozilla als Quick Fix bzw. als temporäre Mitigation die Zeitstempel-Genauigkeit im Firefox verringert. Das wird wohl noch nicht der letzte Patch dazu sein. Man kann wohl Software durch Compiler Flags sicher gegen Spectre machen. Das wird auch im englischen Teil des Gentoo Forums diskutiert. Das habe ich allerdings in den letzten Tagen nicht weiter verfolgt. Außerdem erschweren die CPU Microcode Updates (siehe Wiki) der Hersteller Spectre Angriffe.

Beide Bugs (bzw. alle drei Varianten) werden ausgenutzt in dem bösartiger Code auf einer betroffenen CPU ausgeführt wird. Meine größte Sorge ist hier durch Webseiten nachgeladenes Javascript. Dafür gibt es zwar diverse Scriptblocker, aber ganz kommt man (ich) um Javascript leider nicht herum.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2053
Location: Germany

PostPosted: Sun Jan 14, 2018 12:03 pm    Post subject: Reply with quote

Danke für den Hinweis forrestfunk81,

ich hatte in der Tat nirgendwo diese Konfiguration gesetzt aber die Tage noch mal schnell alle Kernel neu gebaut.

Ich bin froh das meine Annahme über ALSR falsch war, das was Fefe in seinem Blog angesprochen hatte, lesenswert ist auch der Verweis auf Negative Result: Reading Kernel Memory From User Mode von Anders Fogh einer der Forscher an der Lücke. Das Paper ist vom 28 Juli 2017 und war bei Fefe auch verlinkt.

Es ist wohl komplizierter da die Sprungvorhersage zu manipulieren. Speicher auslesen auch Kernelspeicher auf ungepatchten Systemen ist kein Problem wenn man sehr viel Zeit bei der Ausführung hat. Das Webseiten-Szenario greift da nicht weil der Code der Webseite ja nur aktiv bleibt bis der Browser oder das Tab geschlossen wird. Aber da fällt mir dank Adware-User-Tracking direkt eine Möglichkeit ein das der Server den User und der einzelnen Devices per Fingerprint identifiziert und dann einfach eine Pause einlegt und später an anderer Stelle weitermacht. Fällt dann natürlich auch mehr auf, aber wofür gibt es Botnetze wenn nicht zum umleiten und verschleiern von Traffic?

Ausschließen kann man das Umleiten des Programmflusses wohl auch nicht, aber wenigstens ist es sehr kompliziert das zu versuchen, aber die Lücke gibt das vielleicht her. Berichten zufolge, gibt es Varianten von Meltdown/Spectre bei denen Angreifer volle Kontrolle (? vielleicht lesen und schreiben) über Angreifbare Adressen des Kernelspeichers hat (vor dem KAISER-PATCH). Aber das könnte eine Frage der Zeiteinteilung sein. Spannend wäre ob man auch in den Kernel-Speicher schreiben könnte und ob man so quasi Shell-Code wie bei einem Typischen Buffer-Overflow platziert bekommt indem man dann eine Rücksprungadresse überschreibt mit der Adresse des Shellcode.

Letzteres ist eventuell gar kein Problem weil es andere Schutzmechanismen gibt die das verhindern (Code der einen Canary verwendet, oder Speicher der als NonExecuteable markiert ist). Hängt davon ab wie die Branch Prediction arbeitet und wie Änderungen in den Arbeitsspeicher wandeln. Da muss ich noch mehr drüber Lesen.

Doch das ist wohl nicht ganz so einfach und damit ist bis auf weiteres die Lücke nicht so Brand gefährlich wie bisher von mir angenommen.

Mit mehr Entwicklungszeit und Testing könnte ich mir aber vorstellen das man je nach Architektur-Typ und Laufzeitumgebung (Smartphone, Desktop, Geldautomat, Cloudserver, NAS, Fritzbox, Smart-TV, Alexa...) ganz unterschiedliche Angriffsszenarien für eine Maschine konstruiert, die in eine Art Rainbowtable packt die dann auch auf den Geräten die Laufzeitumgebung prüft und CPU oder RAM-Auslastung und dann hätte man schnell einen fiesen Exploit gebastelt der dann auch Code zur Ausführung bringt.

Sicher das löst nicht das Problem wie der Code auf die Systeme kommt. Aber das war bei IT-Systemen ja alter Kaffee, auch das man sich zum bauen eines Exploit gezielte Gedanken machen muss und der Exploit am Ende mehr oder weniger Universell ausfällt.

Das wird uns bestimmt noch Jahre beschäftigen und ungemütlich!

Wenn man es noch nicht hat am besten sofort Gute Backups regelmäßig fahren auf Offline-Systeme.

Wenn Remote-Code Execution durch andere Lücken in eine ungemütliche Konstellation rücken könnten da Krypto-Trojaner auch für Server und Linux kommen. Aber dafür müsste man erst mal auf die Systeme drauf und mit den neuen KAISER-Patches haben sich die Chancen verbessert das der Angriff (nur mehr Zeit braucht). Im Idealfall bekommt man das halt mit das im Hintergrund was passiert. Hat man Pech, arbeitet da schon der Krypto-Trojaner und verschlüsselt fleißig.

Update: Gibt jetzt auch eine Infoseite im Gentoo-Wiki zu der Sicherheitslücke
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum