News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[Ayo34]

Und wie genau kriege ich jetzt meine in MariaDB verlorenen 30% wieder rein, du studierter Informatiker?

Das ist sehr simpel. Du musst einfach 30% mehr Hardware kaufen! Wobei die 30% neue Hardware dann ja auch wieder von der Lücke betroffen wäre...

 

[NameHere]

Zum Glück ist Mathematik kein Bullshit-Bingo und das lernt man sehr früh in der Schule.

 

[s.0.s]

Stehe vor einem Upgrade aber verzichte dann lieber. Gibt es Statements von den Herstellern ob zeitnah Revisionen der CPUs kommen?

 

[xxlrider]

Das ist natürlich schon ne Nummer zumal das eine der Hauptaufgabengebiete der dort getesteten Epycs sein dürfte.

Viele CPUs scheinen heutzutage ihre Geschwindigkeit auch auf Kosten von Sicherheit zu erlangen.
Die Frage ist, was da der Könsigsweg sein soll.
Den (vermeintlichen) Geschwindigkeitsvorteil von 1-2 Generationen in Stopfen von Sicherheitslöchern zu verdampfen, oder eben doch mit gewissem Risiko leben und die Geschwindigkeit mitnehmen....

Die Frage ist doch wie realistisch wird Otto Normalverbraucher davon bedroht.
Und wie realistisch wäre der Aufwand zur Bedrohung.

 

[Hatsune_Miku]

Haben die nichts besseres zu tun als immer irgendwelche lücken zu suchen ? Seien wir mal ehrlich, je länger man sucht desto mehr wird man finden. Gab doch irgendwo mal ein kleinen text wo es erläutert wurde, das CPUs etc offen wie ein scheunentor sind und man immer was finden kann wenn man es denn will.

 

[fdsonne]

Viele CPUs scheinen heutzutage ihre Geschwindigkeit auch auf Kosten von Sicherheit zu erlangen.
Die Frage ist, was da der Könsigsweg sein soll.

Das ist ein Trugschluss, wenn nicht gar eine falsche Schlussfolgerung. Denn nicht der mitigierte Weg ist die Basis für eine Leistungsmessung, sondern der (nicht existente) in Hardware direkt richtig gemachte müsste es sein.

Was halt im Nachgang unmöglich zu machen ist, weil die CPUs ja auf dem Markt sind.
Es wird dann nur aber in den Foren häufig gedacht, dass das umgehen der Auswirkung (Mitigation der Sicherheitslücke) in Software der richtige Weg ist - was es aber nicht ist. Es ist ein meist sehr hässlicher Workarround um das Ausmaß der Sicherheitslücke zu egalisieren oder stark zu verringern.

außer vielleicht die Geheimdienste, aber ganz sicher nicht irgendwelche kriminellen. Die hätten wieder Ressourcen noch know how.

Nicht "irgendwelche" Kriminellen - das mag sein. Aber DIE richtigen Kriminellen
Am Ende sind Sicherheitsforscher auch nur Menschen und davon gibt es auf diesem Planeten bald 8 Mrd. Die paar wenigen Sicherheitsforscher, die für den schmalen Taler arbeiten oder das für sich aus (ohne Selbstzweck) machen, stehen sehr sicher in absolut keinem Verhältnis zu denen, die das ganze auf anderen Ebenen fabrizieren, wovon nur Niemand was weis.

Warum? Ganz einfach - weil da Milliarden und Abermilliarden von Doller zu holen/machen sind. Während die Bug Bounty Programme der Hersteller oder Entwickler in aller Regel sehr geringe Beträge (in Relation) aufzeigen.

Was sind denn da deine Referenzen, um dir da glauben schenken zu können? Ich bezweifle stark, dass deine genannten Gruppen auch nur annähernd mit den Sicherheitsforschern mithalten können bei derart komplexen Schwachstellen.

Daran zu zweifeln zeigt, dass du sehr sicher keine Ahnung von Software Entwickelung hast und dich noch nie mit der selbst simpelsten Art (in OpenSource Projekten) arrangiert hast.
Jeder 0815 Hobby Software Entwickler KANN! theoretisch mitmachen. Aber nicht jeder hat die Zeit und vor allem das Geld um das zu tun. Ohne Job in aller Regel kein Einkommen.

Und genau hier liegt das Problem - mit KnowHow bekommt man zwangsweise an Geld. Und je nach dem wie moralisch man dort unterwegs ist, winkt auf der "bösen" Seite drastisch mehr Geld, dafür aber auch viel höheres Risiko. Für Geld tun viele Menschen fast alles

Ganz simples Beispiel - Man suche und teste selbst nach Bugs - finde etwas und habe die Wahl nen echten ZDE im Darknet zu verticken, wo entsprechende Gruppen horrende Summen dafür zahlen oder für nen Appel und ein Ei dem Hersteller zu melden. Was macht wohl der gemeine "Black Hat"??

Die Frage ist doch wie realistisch wird Otto Normalverbraucher davon bedroht.
Und wie realistisch wäre der Aufwand zur Bedrohung.

Realistisch? Sehr...
Nur geht die einzelne Nase in der Masse der Nutzer in aller Regel unter. Sprich das Risiko, dass da was passiert, der einzelnen Nase, ist ultra gering.

Anders schaut das aber in ganz gezielten Angriffsszenarien aus. Also wo gezielt auf ein bestimmtes Ziel hin versucht wird, an Daten zu kommen. In Firmen bspw.

 

[ThirdLife]

Stehe vor einem Upgrade aber verzichte dann lieber.

Auf einen Zen 3 Epyc mit 64 Cores den du für MariaDB nutzen willst ? 🤣

Dass dein aktuelles System ja auch langsamer wird hast du hoffentlich bedacht ?

 

[mae]

Und wie genau kriege ich jetzt meine in MariaDB verlorenen 30% wieder rein [...]?

Moeglich waer's vermutlich, indem man I/O mit io_uring statt mit system calls macht. Aber das Umschreiben ist wohl eine grosse Aufgabe (und io_uring muss erst einmal ordentlich abgedichtet werden, sonst hat man den Teufel mit dem Beelzebub ausgetrieben).

 

[tomgit]

Was sind denn da deine Referenzen, um dir da glauben schenken zu können?

Moment, lass mich mal kurz die Finanzen und Bezuschussung von staatlich finanzierten Hackergruppen darlegen....

Ich bezweifle stark, dass deine genannten Gruppen auch nur annähernd mit den Sicherheitsforschern mithalten können bei derart komplexen Schwachstellen.

Der Anreiz dürfte bei staatlichen Gruppen sogar größer sein - besonders, wenn diese in bad faith handeln. Kein Zwang zur Freigabe von Geheimnissen, keine Notwendigkeit die Schwachstelle mit dem Hersteller zu besprechen. Finanzierung ist sichergestellt, die Beute über die Hacks sind dann entweder ein netter Bonus oder finanzieren die Staatskasse etwas.
Gerade beim Reverse Engineering könnte sogar das Interesse von Seiten des Staates, der sich potenziellen gar von der Hardware unabhängig machen möchte, noch größer sein: Ein Klon ohne ausgenutzte Lücke ist potenzieller schwieriger zu knacken.

 

[Majestro1337]

Glaube mir, Kriminelle haben ganz andere Ressourcen und Möglichkeiten als ein paar Forscher. Egal ob diverse Hackergruppen mit richtigen Spezialisten oder auch staatliche Gruppen (Nordkorea, Iran, Russland). Dazu dann diverse Geheimdienste. Auch ist der Anreiz für diese Leute deutlich höher.

Wie und ob man die Sicherheitsslücken dann nutzen kann, ist wieder eine andere Sache. Aber es liegt in der Natur der Programmierung, dass keine 100% sicheren Programme geschrieben werden können.

Bei Geheimdiensten gehe ich mit und die genannten Staaten.
Bei "Privatwirtschaftlichen" Kriminellen hab ich dann aber eher den Eindruck dass Hollywood hier der Ideengeber war. Die beschränken sich dann eher auf "reicher Prinz aus zambesi braucht jetzt 1000€ von dir und wird sich dann erkenntlich zeigen" Mails. Das höchste der Gefühle sind Trojaner die was verschlüsseln, weil gudrun beim popup "wollen sie jetzt 1 Mio gewinnen?" Natürlich auf "ja!" Drückt.
Und da diese gaunerein mehr als genug Geld bringen haben die ja nicht Mal einen Anreiz da was zu entwickeln. Darüber hinaus gibt es keine organisierten mächtigen Männer im Hintergrund, die das steuern, organisieren, die Welt brennen sehen wollen und sowas dann entwickeln. Die gibt's nur bei James Bond und bei Verschwörungstheorien. In der Realität verhindert die individuelle Gier und die Unfähigkeit dieser Leute sich an Regeln zu halten sowas überhaupt aufzubauen. Die einzige Methode dort für Ordnung zu sorgen ist Gewalt und das geht nur bedingt, siehe mafia etc. Die haben alle ein natürliches Limit, obwohl die alle unlimitiert wachsen können. Aber die halten sich selbst klein.
Also nein - die haben nicht die Möglichkeiten sowas zu entwickeln oder zu erforschen. Das gibt's nur im Film. Genauso wie abgemagerte 50 kilo Schauspielerinnen, die 120 kilo muskelmänner verprügeln, Autos die in den See fallen und erstmal explodieren etc. pp.

 

[tomgit]

Bei Geheimdiensten gehe ich mit und die genannten Staaten.
Bei "Privatwirtschaftlichen" Kriminellen hab ich dann aber eher den Eindruck dass Hollywood hier der Ideengeber war.

Und wo willst du die Grenzen zwischen staatlichen und "privaten" Hackern ziehen?
Ich empfehle hier den Podcast "You are f****d", wo es um den Hack in Anhalt-Bitterfeld geht. Die letzte oder vorletzte Folge hat exakt das zum Thema.
Weil die Grenzen sind nicht immer so einfach. Und, klar, nicht jedes Script-Kiddie ist ein staatlich unterstützter Hacker, nur weil es nicht gleich in den Knast wandert. Wenn aber von Seiten der Staaten Unterstützungen fließen oder sämtliche Augen zugedrückt werden - selbst bei internationalen Haftbefehlen - ist die Sache doch etwas anders.

 

[Donnidonis]

Daran zu zweifeln zeigt, dass du sehr sicher keine Ahnung von Software Entwickelung hast und dich noch nie mit der selbst simpelsten Art (in OpenSource Projekten) arrangiert hast.

Da freut es mich ja dir zu sagen, dass du dich mal sowas von irrst. Bin seitdem ich mein Informatik Studium mit einem Master abgeschlossen habe seit 10 Jahren in der Softwareentwicklung tätig. In Gänze geht dein Beitrag ziemlich an dem vorbei, was ich geschrieben habe bzw. worauf ich hinaus wollte.

Edit: noch dazu: was hat das auffinden von solchen Hardware-Schwachstellen überhaupt mit OpenSource Softwareentwicklung zu tun?

Moment, lass mich mal kurz die Finanzen und Bezuschussung von staatlich finanzierten Hackergruppen darlegen....

Ja, Schwachstellen einkaufen kann man mit reichlich Geld auf jeden Fall. Darauf wollte ich aber nicht hinaus. Beim Staat für einen Haufen Geld direkt arbeiten? Das wird wohl nichts.

 

[andr_gin]

Der Leistungsverlust ist ja echt heftig.
Was einen negativen Beigeschmack hat ist, dass die 12. und 13. Generation anscheinend nicht betroffen ist. Das erweckt den Eindruck als würden die Vorgängergenerationen gezielt runter gepatched werden, um die Anwender trotz fehlender Innovationen zum Upgrade zu animieren.

Ich hoffe einmal stark, dass Microsoft nicht wieder alle Client Betriebssysteme mit Microcode Updates zwangsbeglückt. Soll jeder Admin selbst entscheiden, wo er den Performanceverlust in Kauf nimmt. Bis auf ein paar Cloud Provider mit mehreren Kunden pro physischer Maschine sehe ich den Bedarf nicht wirklich.

 

[tomgit]

Beim Staat für einen Haufen Geld direkt arbeiten? Das wird wohl nichts.

Nicht jeder Staat ist die BRD

Außerdem ist der (direkte) Gehalt auch nur ein Punkt. Gerade staatliche Hacker können sich international jetzt nicht so frei bewegen. Ergo dürfte Rechtssicherheit im Land eine große Rolle spielen. Wenn sie dann noch eine Möglichkeit erhalten, einen Teil oder alles der Beute behalten zu dürfen, dies irgendwie in Luxusgüter ausgeben dürfen, und zudem nicht an ausländische Behörden überführt werden - dann nimmt man vielleicht auch etwas weniger Gehalt in Kauf.

 

[dev/random]

50% ist natürlich echt heftig. Dann wird es bei anderen Datenbanken wahrscheinlich ähnlich aussehen.

Nicht unbedingt. Im selben Phoronix Test hatte Postgresql nur 10% bzw. 11% Verlust.

In wie weit hat diese Art der "Forschung" und vor allem Veröffentlichung die Menschheit denn nun vorangebracht? Sehr zweifelhaft was da abgeht...

So gesehen hätte ich noch lieber eine Welt ohne Schießpulver und Atombomben. Und natürlich lässt sich endlos über Ethik und Moral philosophieren. Aber von der Realität wird der Gedankengang nicht unterstützt.

Beim Staat für einen Haufen Geld direkt arbeiten? Das wird wohl nichts.

Zum Beispiel in den USA ist der Staat in der cybersecurity immer häufiger der beliebtere und besser zahlende Arbeitgeber als die Wirtschaft.

 

[Majestro1337]

@dev/random mit Schießpulver und Kernspaltung lässt sich aber jede Menge nützliches / gutes anfangen. Damit nachträglich (!) Sicherheitslücken/ Schwachstellen in anderer Leute Arbeit zu finden nicht wirklich

 

[Miuwa]

Gäbe es die nicht würde das vermutlich nie jemand merken - außer vielleicht die Geheimdienste, aber ganz sicher nicht irgendwelche kriminellen. Die hätten wieder Ressourcen noch know how.

Meine Vermutung wäre ja ehrlich gesagt, dass Kriminelle Netzwerke wesentlich mehr Ressourcen zu Verfügung haben, als diw durchschnittlichne Sicherheitsforscher an der Uni oder sogar bei Google, die solche Lücken meistens veröffentlichen.
Muss natürlich nicht heißen, dass diese Ressourcen für das Auffinden von solchen Fehlern genutzt werden, wenn sie denken, dass andere Dinge vielversprechender sind.

Ergänzung (17. August 2023)

@dev/random mit Schießpulver und Kernspaltung lässt sich aber jede Menge nützliches / gutes anfangen. Damit nachträglich (!) Sicherheitslücken/ Schwachstellen in anderer Leute Arbeit zu finden nicht wirklich

Doch, man kann sie schließen oder sich zumindest versuchen sie zu motivieren.

 

[dev/random]

@dev/random mit Schießpulver und Kernspaltung lässt sich aber jede Menge nützliches / gutes anfangen. Damit nachträglich (!) Sicherheitslücken/ Schwachstellen in anderer Leute Arbeit zu finden nicht wirklich

Computer sind grundsätzlich unzuverlässig und unsicher (für die theoretische Herleitung verweise ich die Arbeiten von Alan Turing, Alonzo Church und Fred Cohen).
Erforschen, Testen, Identifikation und Veröffentlichung von Schwachstellen ist der einzige Weg, um herauszufinden als wie sicher eine Software oder Hardware eingeschätzt werden kann. Und das ist genau der Nutzen, den diese Tätigkeiten liefern.

Die Alternative bestünde darin, ausnahmslos jedem Entwickler weltweit vollständig zu vertrauen. Und das hat schon bei Schlossern nicht gut funktioniert.

 

[tomgit]

mit Schießpulver und Kernspaltung lässt sich aber jede Menge nützliches / gutes anfangen

Dabei geht es wohl eher darum, dass die Technologie jeweils der Abschreckung dient oder primär im militärischen Nutzen steht. Spätestens nach der Entdeckung durch die eine Seite begann der Wettlauf, dass es auch die andere Seite für sich entdecken kann.
Das selbe kann man auch auf die Erforschung von Sicherheitslücken in Hard- und Software projizieren: Nur weile eine (politische) Seite nicht daran forscht, bedeutet das nicht, dass es die andere Seite nicht ausnutzen könnte.
Wir leben ja leider nicht in einer idealisierten Welt, die ohne Krieg, Abschreckung und Terror auskommt. Auch wenn die allermeisten persönlich wohl darauf gerne verzichten könnten.

 

[Majestro1337]

@tomgit @dev/random
Ich verstehe schon was ihr meint, aber ich verstehe nicht was es bringt die Schwachstelle dann detailliert beschrieben zu veröffentlichen und jedem zugänglich zu machen. Wenn man es dem Hersteller meldet und ihm bittet es in folgenden Designs zu beheben und ggf. zu mitigieren. Schön. Was nützt es den Fehler anderer öffentlich zu machen, wohlwissend das daraus nur schlechtes entstehen kann. Es gibt eine Menge gute Gründe das nicht zu tun und die Informationen vertraulich zu behandeln. Warum Forscher das genau veröffentlichen weiß ich nicht. Um sich wichtig zu machen, um sich und ihre Arbeit zu legitimieren, einfach für den fame oder weil sie eben der Meinung sind Wissenschaft muss sich nicht mit den Konsequenzen in der realen Welt beschäftigen und man sich damit einfach aus der Verantwortung zieht.