News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[Ayo34]

Zum Beispiel in den USA ist der Staat in der cybersecurity immer häufiger der beliebtere und besser zahlende Arbeitgeber als die Wirtschaft.

In anderen Ländern ist man da vielleicht offener. Hier kommst du im öffentlichen Dienst in deinen Dienst-Rang und verdienst X, egal was du leistet. Allerdings gibt es ja auch "Berater" und "externe Firmen" die beauftragt werden im Namen der Regierung und da kann man dann auch quasi ohne Gehaltsdeckel arbeiten.

 

[dev/random]

@Majestro1337 Angenommen Du bist in der Richtung tätig, hast eine neue Sicherheitslücke hinter verschlossenen Türen an den Hersteller gemeldet und 6 oder 12 Monate gewartet (wie z.B. bei downfall). Und es tut sich nichts, nicht mal eine Reaktion. Was machst Du dann?
Das ist in den letzten 25 Jahren nur allzu häufig bereits passiert und endete nach einigen full-disclosure Versuchen in dem derzeitigen Zustand des responsible-dislosure von Sicherheitslücken nach einer gewissen Zeit.

Du solltest dabei auch bedenken, dass Leute die Sicherheitslücken melden (egal an wen) in vielen Ländern auch schnell selbst haftbar gemacht werden. Gerade Deutschland ist mit dem §202c ein rechtlich heikeler Ort für Sicherheitsforschung. Solche Veröffentlichungen erfolgen nicht nur aus Eigeninteresse.

 

[Ayo34]

@tomgit @dev/random
Ich verstehe schon was ihr meint, aber ich verstehe nicht was es bringt die Schwachstelle dann detailliert beschrieben zu veröffentlichen und jedem zugänglich zu machen. Wenn man es dem Hersteller meldet und ihm bittet es in folgenden Designs zu beheben und ggf. zu mitigieren. Schön. Was nützt es den Fehler anderer öffentlich zu machen, wohlwissend das daraus nur schlechtes entstehen kann...

Der öffentliche Weg ist der einzig Richtige und alleine das erhöht auch den Druck. Wenn es übrigens Einer herausfindet, dann wird es auch ein Anderer herausfinden, der vielleicht nicht so freundlich ist.

Übrigens werden sicherheitsrelevante Bugs nicht einfach in die Öffentlichkeit gestellt und dann müssen die Hersteller schnell was machen, sondern es wird erst den Firmen mitgeteilt und erst viel später dann Allen mitgeteilt.

edit: da war jemand 2-3 Sekunden schneller

 

[tomgit]

Und die Vorgaben für die meisten Bughunting-Programme - auch eben jene, welche Unternehmen selbst fördern - sind da recht gut dokumentiert: Nach der Meldung ans Unternehmen darf/muss die Lücke innerhalb von X Tagen/Wochen/Monaten publiziert werden.
Zumal man nicht davon ausgehen sollte, dass nur die Forscher von der Lücke wissen. Sie sind nur diejenigen, die das an das Unternehmen melden. Wie viele Lücken es da draußen gibt, die schon aktiv ausgenutzt werden (Zero Day Lücken), kann man vermutlich nicht einmal erahnen.

 

[Majestro1337]

Ja mir ist schon bekannt, dass die Hersteller das mit entsprechender "Kulanzzeit" gemeldet bekommen.
Am der Stelle würde ich mir dann Mal gesetzliche Regulierung wünschen. Entsprechende Finanzierung durch öffentliche / staatliche Institutionen und die Verpflichtung das vertraulich zu behandeln. Im Gegenzug müssen Unternehmen entsprechende Fehler beheben wenn sie weiterhin Zugang zum Markt haben wollen. Die EU reguliert sonst so viel, warum nicht hier?
Sicherheitsthemen den Markt regeln zu lassen ist ne eher blöde Idee.

Wie dem auch sei: ich versteh eure Argumente, finde nur das muss sich besser regeln lassen als so wie das aktuell passiert. Das verunsichert Kunden, macht den Markt kaputt und am Ende profitieren vor allem dumme kriminelle, die blaupausen bekommen wie sie Leute mit veralteter IT hacken können. Bäh...

 

[voxelkopf]

Wenn ich das jetzt richtig verstanden habe, dann muß doch die gather-Instruktion von einem Schadprogramm aus aufgerufen werden. Das halte ich doch für unrealistisch, daß durchs bloße Browsen im Internet Daten ausgelesen werden können. Da müßte man sich ein zweifelhaftes Plugin installiert haben. Diese Sicherheitslücke der Öffentlichkeit zu melden, da hätte man auch noch etwas warten können. Den Code zur Ausnutzung der Schwachstelle gleich zum Download anzubieten, so daß jedes Kind da jetzt mit herumspielen kann....

Das Einlesen von verstreuten Daten ist in der SIMD-Programmierung sowieso schon der Flaschenhals. Wenn man um eine gather-Intruktion herum nicht genügend andere Instruktionen hat, die zum Überbrücken der Latenz parallel dazu ausgeführt werden können, dann kann man sich das auch sparen.
In der Liste von Intel sind übrigens auch Prozessoren der 12. und 13. Generation aufgeführt.

Es würde mich mal interessieren, ob vom Performanceverlust auch die maskierten Schreib- und Leseinstruktionen betroffen sind.

 

[Miuwa]

@tomgit @dev/random
Ich verstehe schon was ihr meint, aber ich verstehe nicht was es bringt die Schwachstelle dann detailliert beschrieben zu veröffentlichen und jedem zugänglich zu machen

Also erstens ist es für einen Forscher an der Uni natürlich essenziell, dass er seine Ergebnisse auch irgendwann publizieren kann, wenn er weiter Fördergelder erhalten will , seinen Abschluss bekommen will bzw. z.T. um überhaupt eine Vertragsverlängerung bekommen möchte. Darüber hinaus lebt die Forschung natürlich davon, dass Ergebnisse geteilt und begutachtet werden und andere Forscher auf diesen aufbauen können. So funktioniert Forschung und so entwickelt sich Wissen weiter. Nicht durch lauter Einzelkämpfer, die ihre Entdeckungen mit ins Grab nehmen, sondern durch Austausch.

Aber umgekehrt hat auch die Öffentlichkeit ein ganz konkretes Interesse daran: Grundsätzlich muss man ja davon ausgehen , dass eine Lücke, die von einer Person/Gruppe A gefunden wird auch von anderen gefunden wird, selbst wenn A sie nicht selbst veröffentlicht. Und wenn man Bedenkt, dass Zero Day Exploits scheinbar in Kriminellen Kreisen für mehrere Millionen Euro gehandelt werden muss man auch davon ausgehen, dass auch in diesen Keriesen Know-How und Ressourcen vorhanden sind um solche Lücken zu finden.
Responsible disclosure baut einerseits Druck auf die Firmen auf gefundene Lücken in ihrer Hard- und Software zu schließen und andererseits wissen dadurch die Nutzer eben auch dass sie einer Bedrohung ausgesetzt sind und haben eine Möglichkeit darauf zu reagieren.

Ergänzung (18. August 2023)

Wenn ich das jetzt richtig verstanden habe, dann muß doch die gather-Instruktion von einem Schadprogramm aus aufgerufen werden. Das halte ich doch für unrealistisch, daß durchs bloße Browsen im Internet Daten ausgelesen werden können.

Ich weiß nicht ob man diese Lücke aus dem Browser heraus ausnutzen kann, aber prinzipiell kann doch jede Website die ich ansurfe erstmal ziemlich beliebigen Javascript bzw. Webassembly Code ausführen. Bist du dir sicher, dass man derzeit keinen Code schreiben kann, der vom JIT dann letzten Endes auf die anfälligen Instruktionen gemappt wird?

Diese Sicherheitslücke der Öffentlichkeit zu melden, da hätte man auch noch etwas warten können.

Wie lange schwebt dir denn vor? Ist natürlich theoretisch immer ne individuelle Abwägungssache, aber einen objektiv optimalen Zeitpunkt gibt's eh nicht, von demher kann ich schon verstehen, wenn man sich an die "üblichen" Zeiten hält.

 

[dev/random]

Am der Stelle würde ich mir dann Mal gesetzliche Regulierung wünschen.

Die EU hat 2022 mit der Entwicklung einer entsprechenden Verordnung begonnen. Der politische Fortschritt des Cyber Resilience Act ist hier verfolgbar.

Die USA haben seit 2021 die Executive Order 14028, die allerdings nur staatliche Orgnaisationen und Firmen die Verträge mit dem Staat eingehen umfasst. Und in der Praxis fördert diese Regulierung leider mehr die Compliance Dokumentation als tatsächliche Sicherheit.

Sicherheitsthemen den Markt regeln zu lassen ist ne eher blöde Idee.

Dem stimme ich vollkommen zu.

 

[Supie]

Ich bin am Überlegen wie sehr mich das betrifft. Ich mache kein Onlinebanking, habe keinen Paypalaccount, kein E-Bay etc.......
Das einzige was man bei mir ablesen könnte, wären PW für Internetseiten wie diese hier. Die gesammelten Fixe sollten sich so konfigurieren lassen, das sie nur bei "gefährlichen" Sachen, also Passwörtern etc... kurz aktiv sind bei der Eingabe.

Wenn ich Gaming betreibe will ich Leistung - und habe weniger Sicherheitsbedürfnis, und wenn ich ein PW eingebe brauche ich Sicherheit, und nicht die Gamingperfromance........ Das müsste sich doch theroretisch mischen lassen oder? Je nach Anwendungsfall mal das Gewicht aufs eine , mal aufs andere legen.

Also ein reiner Gamingmodus der dann aber auch wirklich nichts anderes im Hintergrund zulassen darf, immer auf Anforderung des Users, wäre meine Antwort.
Mit einer Nachricht wenn er mit dem Game dann endet. Damit man ihn nicht wieder zu aktivieren vergisst wenn man in wieder braucht. Von mir aus per selbst hinzugefügter Verknüpfung in der EXE Datei.

Grenzfälle wie CAD, Videobearbeitung etc.. muss der User dann selber entscheiden wie geheim das ist.

Ach so ja, der jeweils aktive Modus müsste dann anhand von z.B. einer anderen Desktophintergrundfarbe bemerkbar sein, damit da kein böser Hacker so leicht rumspielen kann......

 

[s.0.s]

Auf einen Zen 3 Epyc mit 64 Cores den du für MariaDB nutzen willst ? 🤣

Dass dein aktuelles System ja auch langsamer wird hast du hoffentlich bedacht ?

Das aktuelle hab ich schon bezahlt.

 

[ThirdLife]

Das aktuelle hab ich schon bezahlt.

Also wenn du schon bezahlt hast ist Leistungsverlust also ok ? Dann kannst du also auch beim Mäc bezahlen und eine kommt vorbei und nimmt die Pommes wieder mit. Alles halb so schlimm. 🤣

Geile Logik herrscht hier.

 

[Supie]

Also wenn du schon bezahlt hast ist Leistungsverlust also ok ?

Hast du eine Alternative? Ich habe ja eine, wird die hohen Herrschaften nicht wirklich interessieren, von daher wirds wohl bei dem Leistungsverlust bleiben.

Kein Ding das ein Mensch entwirft, wird jemals völlig fehlerfrei sein. Man kann nur aus seinen Fehlern lernen und es versuchen immer besser zu machen.

Es kommthalt immer drauf an, wie sehr man davon betroffen ist, und ob man wählen kann, den Fix zu nutzen oder nicht, auf eigene Gefahr halt, wobei man da eventuell auch für andere freundlicherweise "mit entscheidet" falls der eigene Rechner dadurch unbemerkt zu Malwareschleuder wird........

 

[dernettehans]

Ich denke, dass sowohl AMD als auch Intel mehr tun könnten, um diese bestimmte Art der branch prediction sicherer zu machen. Sie könnten die Sicherheitsforscher der Uni Zürich auch einfach einstellen und ihnen ein hohes Gehalt dafür zahlen am Design der nächsten CPUs beteiligt zu sein, tun sie aber scheinbar nicht. Es liegt nicht im Interesse von Intel und AMD. Es kommt den Herstellern ja gerade gelegen, da die Kunden gezwungen werden die neuen Produkte zu kaufen. Man kann auch nicht damit argumentieren, dass es ein wirtschaftlicher Schaden wäre für die Hersteller, weil es keine Alternative gibt. Da beide Hersteller sowohl AMD als auch Intel betroffen sind, hat man als Kunde keine Wahl das "bessere" Produkt zu kaufen. Man könnte auch sagen, dass Intel als auch AMD es "darauf ankommen" lassen. So viel Performance wie es nur geht ins Design zu stecken mit dem Wissen, dass es vielleicht unsicher ist. Und wenn eine Lücke gefunden wird, egal. Kunden kaufen ja eh die nächsten Produkte.

 

[ThirdLife]

Hast du eine Alternative? Ich habe ja eine, wird die hohen Herrschaften nicht wirklich interessieren, von daher wirds wohl bei dem Leistungsverlust bleiben.

Ich glaub dir scheint der Kontext meiner Aussage nicht wirklich bewusst zu sein.

Zitierter Kollege behauptet auf einen Kauf zu verzichten obwohl er ja denselben Performance Gain bekommt wie davor, beides nur auf einem etwas tieferen Level je nach Anwendung.

Begründet wird das damit, dass Performance-Verlust ja ok sei bei seiner Hardware weil die schon bezahlt ist. Sorry, ich seh die Logik dabei nicht - wenn du sie siehst ok.

 

[tomgit]

Ich denke, dass sowohl AMD als auch Intel mehr tun könnten, um diese bestimmte Art der branch prediction sicherer zu machen. Sie könnten die Sicherheitsforscher der Uni Zürich auch einfach einstellen und ihnen ein hohes Gehalt dafür zahlen am Design der nächsten CPUs beteiligt zu sein, tun sie aber scheinbar nicht.

Mal davon abgesehen, dass mit sehr hoher Wahrscheinlichkeit ebenfalls Sicherheitsforscher an der Entwicklung der Prozessoren arbeiten, würde selbst die Anheuerung der Forscher der Uni Zürich nicht zwangsläufig bedeuten, dass die mit denen entstandenen Prozessoren frei von Fehlern sind.

Es liegt nicht im Interesse von Intel und AMD. Es kommt den Herstellern ja gerade gelegen, da die Kunden gezwungen werden die neuen Produkte zu kaufen.

Diese ganzen Verschwörungstheorien sind doch Unfug. Warum sollte AMD oder Intel Interesse daran haben?
Wer sagt denn, dass die Nachfolger frei von den Fehlern sind? Manche Spectre- und Meltdown-Varianten haben ja auch bei längst nach Disclosure veröffentlichten Prozessoren noch gegriffen. Es kann durchaus Generationen dauern, bis die geplante Architektur entsprechend angepasst wird.
Davon abgesehen erleiden die Hersteller zudem einen Reputationsverlust. Ist ja nicht so, als gäbe es weder für AMD oder Intel oder beide Alternativen.
ARM-Prozessoren haben sich in den letzten Jahren immer mehr zu brauchbaren Alternativen entwickelt, und PowerPC ist ebenso noch eine präsente und unterstützte Plattform. Solange die Software läuft, was zumindest bei ARM immer mehr der Fall ist, ist die Plattform ja weitestgehend egal.

 

[dernettehans]

Wer sagt denn, dass die Nachfolger frei von den Fehlern sind?

Genau. Du sagst du. Und man muss das übernächste Produkt kaufen. Und as hat nichts mit "Verschwörungstheorien" zu tun. Da es nur Intel und AMD gibt, ist man als Kunde machtlos auszuweichen.

Natürlich ist es für Großkunden lukrativ eigene CPUs auf basis von ARM oder Risc zu produzieren die nicht frei verkäuflich sind, und somit keine öffentlichen Tests dazu durchgeführt werden können um Fehler zu finden.

 

[tomgit]

Genau. Du sagst du. Und man muss das übernächste Produkt kaufen. Und as hat nichts mit "Verschwörungstheorien" zu tun. Da es nur Intel und AMD gibt, ist man als Kunde machtlos auszuweichen.

"Als Verschwörungstheorie wird im weitesten Sinne der Versuch bezeichnet, einen Zustand, ein Ereignis oder eine Entwicklung durch eine Verschwörung zu erklären, also durch das zielgerichtete, konspirative Wirken einer meist kleinen Gruppe von Akteuren zu einem oftmals illegalen oder illegitimen Zweck."
Von: https://de.wikipedia.org/wiki/Verschwörungstheorie
Ist so ziemlich eine Verschwörungstheorie, die hier beschrieben wird: Intel und AMD machen das, um auf illegitime, hier eher unmoralische Wege, den Kunden dazu zu bewegen, neue Produkte kaufen zu müssen.
Und in Software werden absichtlich Sicherheitslücken eingebaut, damit man auf neuere Produkte upgraden muss.
Und bei Autos werden im Laufe der Zeit Produktionsfehler entdeckt, damit man neue Autos kaufen muss.

Die Entwicklungsdauer einer Prozessorarchitektur ist auch im best Case mehr als ein Jahr - man muss sich nur überlegen, wie lange AMD an Ryzen arbeitete, oder wie oft Skylake wiederverwendet wurde. Besonders bei AMD macht die ganze Sache keinen Sinn, weil eben die aktuellste verfügbare Architektur betroffen ist und der Nachfolger frühestens in einem halben Jahr erscheint, auf Servern und Workstations wohl noch später. Wo soll es da Sinn ergeben? "Hier sind Sicherheitslücken in unserem aktuellsten Chip, die Mitigation kostet bis zu 50% Leistung, ihr könnt aber den Nachfolger kaufen... oh, halt."

Ockhams Rasiermesser: Es wurden Fehler gemacht, die entdeckt wurden.

Natürlich ist es für Großkunden lukrativ eigene CPUs auf basis von ARM oder Risc zu produzieren die nicht frei verkäuflich sind

Es gibt auch einige frei verkäufliche ARM-Prozessoren, da muss man nicht als "Großkunde" eigene Strukturen entwickeln.

 

[dernettehans]

Intel und AMD machen das, um auf illegitime

Falsch. Das wäre in der Tat eine Verschwörungstheorie. Ich sagte nicht, dass Intel und AMD absichtlich Fehler einbaun, diese also schon in der Planung bekannt sind, sondern absichtlich "schlampig" vorgehn bzw Performance vor Sicherheit zu stellen und Performance über allem zu stellen. Ich unterstelle nicht böshafte Absicht, sondern ein gewisses Vorgehn, wo die Wahrscheinlichkeit, dass die branch predictoren unsicher sind sehr hoch ist, und Intel und AMD dies in kauf nehmen, da es für sie einen Vorteil hat, es darauf anzulegen, diese nicht 100% sicher zu gestalten.

Ergänzung (18. August 2023)

Es gibt auch einige frei verkäufliche ARM-Prozessoren

Die frei verkäuflichen ARM CPUs waren auch alle anfällig für Spectre und Meltdown ähnliche Angriffe in den letzten Jahren.

 

[tomgit]

Ich unterstelle nicht böshafte Absicht, sondern ein gewisses Vorgehn, wo die Wahrscheinlichkeit, dass die branch predictoren unsicher sind sehr hoch ist, und Intel und AMD dies in kauf nehmen, da es für sie einen Vorteil hat, es darauf anzulegen, diese nicht 100% sicher zu gestalten.

Das klang aber bei

Es liegt nicht im Interesse von Intel und AMD. Es kommt den Herstellern ja gerade gelegen, da die Kunden gezwungen werden die neuen Produkte zu kaufen. Man kann auch nicht damit argumentieren, dass es ein wirtschaftlicher Schaden wäre für die Hersteller, weil es keine Alternative gibt.

ein wenig anders.

sondern ein gewisses Vorgehn, wo die Wahrscheinlichkeit, dass die branch predictoren unsicher sind sehr hoch ist

Die gesamte Speculative Execution scheint wohl sehr unsicher zu sein, ist aber zu tief in den Systemen integriert, als dass man wohl darauf verzichten könnte. Mit dem Nachteil, dass man sich eben noch immer mit den Auswirkungen, auch von Spectre, auf die Performance der Systeme befassen darf - wenn auch, im Falle des Zen 4, in nur sehr selektiven Workloads: https://www.phoronix.com/review/amd-zen4-spectrev2

 

[dernettehans]

auf die Performance der Systeme befassen darf

Das ist ja eine Katastrophe! Da steht ja, dass die Performance auch geringer wird, wenn man die älteren Spectre2 Mitigations deaktiviert!? Das ist ja nun der Gipfel! Das Problem wird vermutlich um so größer, je mehr verschiedene Lückern zusammen kommen. Es ist bisher ungewiss, welche Auswirkungen Spectre2 + Inception haben werden, und man nun vermutlich einzelne Mitigations gar nicht selektiv deaktivieren kann.