News Intel ZombieLoad: Hyper-Threading sorgt erneut für große Sicherheitslücken

[Beitrag]

Gut, dass ich mich bei meinem letzten Neukauf für einen i5 7600K entschieden hatte. Ursprünglicher Grund war natürlich, dass ich es nicht einsehe nur für HT saftige 50% Aufpreis zu zahlen.
Aber jetzt hat es sich gleich doppelt gelohnt:

• Geld gespart
• keine HT-Lücken
• die Leistung rechtfertigt einen Kauf von Ryzen 3000 gerade so noch. Hätte ich 'nen 7700K, wäre umrüsten natürlich unsinnig und ich würde länger mit einem Intelschen Schweizer Käse mit nur 4 Kernen rumgurken. ^^

 

[0x8100]

Wir haben auch noch Win XP Rechner (Maschinensteuerungen) selbst da bekommen wir regelmäßig Patches, zahlen aber auch dafür. hust Die meisten Geldautomaten übrigens auch. ... hust

auch damit ist schluss -> https://www.heise.de/newsticker/mel...tende-von-Embedded-POSReady-2009-4368252.html

 

[Lee Monade]

Und dass man das nicht mit Webseitenauswahl selbst absichern kann, sollte spätestens der letzte mtibekommen haben, also zB auch die CB Seite "infiziert" war

Viele seriöse Seiten waren schon infiziert, teilweise durch Werbung, Hacker, oder weil ein Mitarbeiter misst gebaut hat. Weshalb mittlerweile Add und Script Blocker pflicht ist aber auch das schützt nur zu 99%

Von daher kann ich dir da nur recht geben

 

[Krautmaster]

@rg88

nicht jeder HW Bug ist direkt durch jede HP ausnutzbar will ich meinen. Sinnvoll ausnutzbar. Dazu braucht es noch einen sinnvollen Angriffsvektor, imho betrifft es mich mit meinem Intel ja wohl auch, da frag ich mich also was jemand bei mir angreifen will, und wozu. Passwörter im Ram? Kann er haben, alles wichtige sollte man eh mit 2 Factor gesichert haben. Generell dürften 99.99% der PC User hier kein sinnvolles Ziel darstellen.

Ja es mal "polemisch dümmlich dahergesagt" sein, aber meine Erfahrung zeigt dass einen genau diese Panik und eigene Dümmlichkeit die meisten Anwender erst in die Gefahr treibt. Eben dann wenn man Phishing zum Opfer fällt (zb wenn die Homepage einen weißmachen will der PC is unsave und einen mit Maleware belohnt) oÄ.


Edit. Man sollte potentielle Gefahren (egal welcher Art) schon in Relation setzen. Stichwort tödlicher Unfall auf dem Weg zur Arbeit vs Absturz mit dem Flugzeug.
Die Chance dass wohl einer die unsachgemäß entsorge Harddisk vom alten PC ausliest ist vermutlich größer als die hier nen finanziellen Verlust oder andere Schäden wegen der Intel Lücken zu erleiden.

Der größte Schaden den diese Intel Lücken verursachen ist wohl der dass Performance drauf geht. Das kostet. Dem Privatanwender im schlimmsten Fall Nerven.

 

[Stuxi]

Ich denke, das Thema wird viel heißer gekocht als es gegessen wird .

Und genau diese Sichtweise ist doch das Problem! Solange das immer relativiert wird und die vorherrschende Meinung ist, dass doch alles nur aufgebauscht ist und überhaupt nicht so schlimm, wird sich doch wohl kaum was ändern. Warum auch? Umsatz ist ja trotzdem mehr als genug da.

Und dann wird sich wieder beschwert wenn Intel weiterhin Performance auf Kosten der Sicherheit generiert.

Wir haben in unserem Haushalt einen Intel-PC (meinen), zwei Intel-Notebooks...Soll ich die in die Tonne werfen?

Natürlich nicht. Aber ggfs. beim nächsten CPU-Kauf wieder dran denken. (Ja ich weiß das du auch mit uns im Ryzen Hypetrain mitfährst )

 

[Botcruscher]

War doch angekündigt und zu erwarten.

 

[Lee Monade]

Generell dürften 99.99% der PC User hier kein sinnvolles Ziel darstellen.

Natürlich nicht, außer wenn er zum Minen oder als Bot Netzwerk benutzt wird. Ansonsten sind die ganzen Intel Bugs aber dafür zu gebrauchen wenn ich eine VM Miete und so Code auf der CPU ausführen kann das ich den ganzen Server übernehmen kann. So kann ich den kompletten Server für eigene Zwecke nutzten oder allen anderen Usern die Daten stehlen.

 

[Ned Flanders]

da frag ich mich also was jemand bei mir angreifen will, und wozu. Passwörter im Ram? Kann er haben

Äh... also meine darf er nicht haben... Sorry!

Bist Du bei Deiner Firma irgendwie für IT Sicherheitskultur zuständig? Ich hoffe nicht!

 

[Volkimann]

Sicherheitslücken hin oder her! Ich verstehe nicht, warum das immer so groß aufbauscht werden muß.

Was heißt denn aufgebauscht? Ja, die Lücken sind für Privatanwender bisher scheinbar nicht so relevant. Irrelevant würde ich nicht sagen.
Aber man sollte sich doch wohl damit auseinander setzen müssen, insbesondere ob Intel eben bewusst auf Kosten der Sicherheit gewisse Entscheidungen getroffen hat um die Performance zu steigern.

 

[NoXPhasma]

Äh... also meine darf er nicht haben... Sorry!

Ohh, warum nicht? Ich will aber! Bitte, bitte

 

[rg88]

nicht jeder HW Bug ist direkt durch jede HP ausnutzbar will ich meinen. Sinnvoll ausnutzbar. Dazu braucht es noch einen sinnvollen Angriffsvektor, imho betrifft es mich mit meinem Intel ja wohl auch, da frag ich mich also was jemand bei mir angreifen will, und wozu. Passwörter im Ram? Kann er haben, alles wichtige sollte man eh mit 2 Factor gesichert haben. Generell dürften 99.99% der PC User hier kein sinnvolles Ziel darstellen.

Du beantwortest das ganze eigentlich selbst. Nur weill es NOCH nicht sinnvoll ausnutzbar ist, heißt das nicht, dass es das nicht ist. Das ist wie immer nur eine Frage der Zeit.
Durch das permanente runtergerede von bekannten Lücken werden dann auch keinerlei Patches installiert. Super. Dann hat man einen rießigen Haufen direkt infizierbare Rechner.
Und wenn du denkst, dass DU kein Opfer werden kannst, weil du unwichtig bist?
1 -> Verschlüßelungstrojaner
2 -> Bot-Netzwerke
Das sind die zwei häufigsten Gründe fremde Rechner zu infizieren. Bei einem Hardwarebug idealerweise noch direkt das BIOS infizieren und nicht nur das OS.
Es ist sehr naiv und kurzsichtig was du zu dem Thema von dir gibst. Sonst bist du doch auch besser im reflektieren?

 

[Krautmaster]

ich meine bei den meisten Lücken geht es nach wie vor darum Daten abgreifen zu können, wüsste nicht dass damit bisher direkte Injections und Manipulationen möglich wären.

 

[Rockstar85]

@Krautmaster
Das Problem an der Geschichte ist ja, dass Intel seit 2005 auf etwaige Probleme mit ihrer SMT hingewiesen wurde. Man hat das damals als unrelevant abgewiesen.
Intel hier am Ende Unwissenheit zu attestieren, ist nicht zielführend.. Man hat es in kauf genommen, wäre die richtige Aussage
Hier mal nen Link zur News, die Quellen findet man dort:
https://techreport.com/news/8324/is-hyper-threading-a-security-risk
Quelle:
http://www.daemonology.net/hyperthreading-considered-harmful/
http://www.daemonology.net/papers/htt.pdf

Ich weiß nicht, wie Intel das Problem angehen soll. Der Imageschaden dürfte Hoch sein, AMD freut es entweder, oder man prüft derzeit die eigene Architektur auf Fehler, denn auch AMD hat ja ein Problem mit Spectre, auch wenn es weniger gravierend ist.

Vllt gibts ja endlich mal ne Klage, vllt tauscht Intel das Stepping.. Vllt gibt es keine SMT CPUs mehr, dann wäre man aber auf Doppelte Kernzahlen angewiesen.. Im Klartext ist der I5 3570K sicherer als sein eigentlich zukunfstsicherer Bruder der 3770K. Also wäre der I9 9900K eigentlich nur nochn I7 9700K.. Mal sehen, wie die Anleger darauf reagieren werden

 

[rg88]

Edit. Man sollte potentielle Gefahren (egal welcher Art) schon in Relation setzen. Stichwort tödlicher Unfall auf dem Weg zur Arbeit vs Absturz mit dem Flugzeug.
Die Chance dass wohl einer die unsachgemäß entsorge Harddisk vom alten PC ausliest ist vermutlich größer als die hier nen finanziellen Verlust oder andere Schäden wegen der Intel Lücken zu erleiden.

Whataboutism in Reinform...

 

[franzerich]

langsam wirds peinlich... können die vielleicht mal mit ihre neuen Prozessoren rausrücken die angeblich zumindest Meltdown und Spectre schon architektonisch gefixt haben? Diesen "alten verbuggten Scheiss" will man sonst nicht mehr freiwillig kaufen...

 

[Krautmaster]

@Rockstar85

ich denke nicht dass ein Stepping da irgend etwas ändern würde. Wie gesagt, eine Basis Designentscheidung die über viele Gens nicht angefasst worden ist da so grundlegend, dass gar nicht mal eben ein Stepping die Sache lösen würde. ja, gut möglich dass Intel damals das Risiko durchaus kannte und sich bewusst entschieden hat den Weg zu gehen den man gegangen ist. Das tun viele Firmen und jeder einzelne wohl fortlaufend, Risiken abwegen. Hier hat Intel dann wohl ins Klo gegriffen, massiv sogar.
Würde nur meinen dass man es sich nicht zu einfach machen sollte mit einer Quasi Aussage von wegen "Intel hätte damals ja nur mal eben was anders machen müssen und alles wäre gut". Wäre dem so würde es ja auch nicht zig Gens brauchen die Sache nun auszubaden, sofern überhaupt möglich.

 

[STangs]

Wie sieht das eigentlich mit den alten C2D Prozessoren aus? Sind diese auch betroffen? Habe noch so einen in meinem Laptop und weis, dass mein nächste Laptop eine AMD CPU haben wird.

 

[Iceberg87]

Und genau diese Sichtweise ist doch das Problem! Solange das immer relativiert wird und die vorherrschende Meinung ist, dass doch alles nur aufgebauscht ist und überhaupt nicht so schlimm, wird sich doch wohl kaum was ändern. Warum auch? Umsatz ist ja trotzdem mehr als genug da.

Nein, das wollte ich damit nicht ausdrücken . Selbstverständlich finde ich es gut, daß darüber berichtet wird. Ist überhaupt keine Frage. Nur wird ja oft immer so getan, als dieses Problem nur Intel allein angeht. Es betrifft aber auch AMD und ARM - wenngleich in geringerem Umfang. Wenn man 100%ig auf Nummer Sicher gehen möchte, dann darf man sich halt derzeit gar keinen PC/Notebook/Tablet/Smartphone mehr kaufen.

Und ja, du hast recht: Ich fahre momentan auch ein bissel auf dem Ryzen Hypetrain mit . Hat aber nichts mit den Meltdown Sicherheitslücken bei Intel zu tun. Dürfte halt einfach ne geile CPU werden. Und mein System ist ja auch nicht mehr grade das neueste. Da wirds schön langsam mal wieder Zeit für was neues.

Lg,

Ice

 

[Krautmaster]

1 -> Verschlüßelungstrojaner
2 -> Bot-Netzwerke

dazu müsste man dann erstmal ne Korrelation zu herstellen, zB sprunghafter Anstieg der Befälle mit Bekanntwerden Spectre Meltdown. Vermutlich ist "whatsapp.web" und "mail" für weit mehr deiner genannten Attacken verantwortlich, eben da viele Anwender über Phishing oder Scram Webseiten an diese Trojaner oder Bot Netz Maleware gelangen.
Wüsste stand jetzt nicht wie Spectre / Meltdown hier in Zusammenhang stehen könnten, rein technisch / logisch.

Ergänzung (14. Mai 2019)

Bist Du bei Deiner Firma irgendwie für IT Sicherheitskultur zuständig? Ich hoffe nicht!

bin ich nicht. Keine Sorge. Aber das letzte was denen die dafür verantwortlich sind einfallen würde ist zb HT auf unserer Server Farm abzuschalten, da muss ich dich enttäuschen. Ist das jetzt fahrlässig?

 

[Volkimann]

Der Imageschaden dürfte Hoch sein,

Imageschaden? Bisher hat Intels Image eine Teflon Beschichtung gehabt. Selbst der allergrößte Scheisshaufen ist spurlos an Intels Image abgerutscht, ohne auch nur eine Bremsspur zu hinterlassen.
Der Kunde hat immer brav weiter konsumiert ohne zu Hinterfragen.