News Intel ZombieLoad: Hyper-Threading sorgt erneut für große Sicherheitslücken
- Ersteller Volker
- Erstellt am
- Zur News: Intel ZombieLoad: Hyper-Threading sorgt erneut für große Sicherheitslücken
Berlinrider
Commander
- Registriert
- Sep. 2009
- Beiträge
- 2.413
dideldei schrieb:
Ist die Frage ernst gemeint?
Forum-Fraggle
Commodore
- Registriert
- Okt. 2006
- Beiträge
- 4.281
Na toll, lassen wir also angelsächsisch das Produkt beim Kunden reifen. Denk nochmal beim nächsten Apothekenbesuch daran. Bzw. den an Glyphosat.rg88 schrieb:Man muss dafür verstehen, dass der angelsächsiche Kunde ganz anders tickt als ein deutscher.
Wenn du ein Produkt zurück rufst auf dem deutschen Markt, dann kommt das fast einem Skandal gleich, wie man nur so ein schlechtes Produkt auf dem Markt anbieten kann. Und das, obwohl ständig irgendwas zurückgerufen wird.
Der Angelsachse (und seine Derivate, sprich fast alles aus Übersee) tickt da gänzlich anders. Der mag Fehler bei seinem Produkt auch nicht, aber er liebt es gebauchpinselt zu werden und jede Rückrufaktion wird eher als toller Service gewertet, der das Produkt nochmals besser macht. Wichtig immer dabei ihn zu bauchpinseln, entweder mit einem Gutschein, einem Rabatt oder mit einer Entschuldigung.
Man hat sich schlicht dran gewohnt, dass Produkte nicht perfekt sind und honoriert Nachbesserungen. Der "Deutsche" (und seine Derivate, sprich Mittel/Westeuropa) erwartet ab dem Kauf Perfektion. Alles was nachgebessert werden muss ist ein Nogo und zeigt miese Qualität.
Genau diese unterschiedlichen Ansichten machen es für deutsche immer so schwer den Weltmarkt zu kapieren.
Genau deshalb versteht es der Deutsche auch oft nicht, warum sich die Kunden so "dumm" verhalten. Das ist ein Mentalitätsunterschied der fundamental ist und den viele nicht kennen oder einsehen wollen.
Beispiel aus dem Automobilbereich:
Fall: Von einhundertausend Autos beschleunigen drei von selbst oder unerwartet
Autohersteller A wird mit den klemmenden Gaspedalen konfrontiert. Er weißt das Problem von sich und riskiert eine Sammelklage. Der Kunde wird das Pedal verwechselt haben.
Autohersteller Y wird mit dem selben Problem konfrontiert. Er sagt, man habe das Problem analysiert und gibt einen Rückruf in die Werkstätten aus. Man tauscht das Bremspedal in ein minimal anderes Design und sagt, das Problem ist jetzt behoben.
Jetzt rate mal, wer am Ende mit einem Imagegewinn rausgeht und wer Angst haben muss, komplett vom Markt zu verschwinden
So ähnlich erging es Audi und Toyota in den USA.
Audi hat viele Jahre gebraucht um am Markt wieder Fuß zu fassen. Toyota ist fast ohne Blessuren aus der Sache rausgekommen.
In beiden Fällen wird die Ursache aber am Fahrer gelegen haben, die zu blöd waren die Pedale richtig zu bedienen und werden vom klagefreudigen amerikanischen System dafür noch belohnt.
Im Übrigen, im US-Raum läuft es so wie von der beschrieben, weil die Verantwortung von Tests beim Hersteller liegen. Entgeht ihnen was, wirds teuer. Hierzulande hat die Aufsichtsbehörde dann versagt. Deswegen bauchpinseln die Amis, aus Angst vor dem, was Bayer nun droht. Und sowetwas willlst Du?
yummycandy
Commodore
- Registriert
- März 2005
- Beiträge
- 4.372
Die potenziell bekannten hab ich hier schonmal versammelt. https://www.computerbase.de/forum/t...cherheitsluecken.1871954/page-2#post-22642747FGA schrieb:
Banned
Admiral
- Registriert
- Sep. 2014
- Beiträge
- 9.516
Flomek schrieb:
Da wird man auch lange drauf warten können.
Denn selbst die bisherigen Varianten (Meltdown/Spectre) wurden m.W. noch nie in "freier Wildbahn" ausgenutzt.
Kurz gesagt: Das Risiko für Privatanwender ist ohnehin nahe gleich null.
Generell gibt es in jeder Architektur etliche Bugs/Lücken, die einfach noch nicht erkannt worden sind. Auch bei Zen wird man Lücken finden, wenn die Architektur erst mal lange genug auf dem Markt ist.
Die Frage, die sich hier stellt, ist jedoch: Hat Intel damals bewusst potentielle Unsicherheiten in Kauf genommen, um einen Geschwindigkeitsvorteil zu erlangen?
Aber da wird man wohl keine verlässliche Antwort drauf geben können.
yummycandy
Commodore
- Registriert
- März 2005
- Beiträge
- 4.372
Obwohl man nicht gleich panisch zu werden braucht, halte ich diese Einstellung für fatal. Das keine Angriffe bekannt sind heißt nicht, daß es keine gab.Banned schrieb:
Banned
Admiral
- Registriert
- Sep. 2014
- Beiträge
- 9.516
@yummycandy
Schon. Nur ist es m.W. doch auch sehr zeitintensiv/aufwendig und nicht gerade einfach, solche Lücken auszunutzen.
Das müssen dann schon sehr gezielte Attacken sein, auf sehr ausgewählte Personen (z.B. Industrie-Spionage).
Wer auf Nummer sicher gehen will, nutzt ohnehin besser Linux oder BSD und deaktiviert HT.
PS: Ich persönliche würde mir keine Intel CPU mehr kaufen, bis die Architektur grundlegend verändert wurde. So weiß man einfach nicht, wie viel Leitung noch in Zukunft durch Patches verloren gehen wird.
Schon. Nur ist es m.W. doch auch sehr zeitintensiv/aufwendig und nicht gerade einfach, solche Lücken auszunutzen.
Das müssen dann schon sehr gezielte Attacken sein, auf sehr ausgewählte Personen (z.B. Industrie-Spionage).
Wer auf Nummer sicher gehen will, nutzt ohnehin besser Linux oder BSD und deaktiviert HT.
PS: Ich persönliche würde mir keine Intel CPU mehr kaufen, bis die Architektur grundlegend verändert wurde. So weiß man einfach nicht, wie viel Leitung noch in Zukunft durch Patches verloren gehen wird.
Zuletzt bearbeitet:
Berlinrider
Commander
- Registriert
- Sep. 2009
- Beiträge
- 2.413
Die Frage nach dem "was spürst du als Heimanwender" ist ganz einfach beantwortet:
Der fade Beigeschmack bei der Nutzung von Intel-Prozessoren lässt sich schlecht quantifizieren aber es bleibt ein messbarer Leistungsverlust im Vergleich zum Release-Zeitpunkt. Durch Patches, Updates etc. wurde effektiv Leistung genommen, egal wie relevant das für den Einzelkunden ist oder hat hier Jemand von Intel einen prozentualen Cashback zu seinem Leistungsverlust erhalten?
Die Wahrscheinlichkeit der Ausnutzung dieser Lücken kann hier gerne von Profis (zu denen ich nicht gehöre) diskutiert werden. Fakt ist, das Intel mit der SMT-Technik bewusst oder unbewusst Sicherheit gegen Leistung getauscht hat. Die Leistungs-reduzierenden Maßnahmen sind bspw. durch Windows-Updates automatisch aktiv wenn der Nutzer ein halbwegs aktuelles System nutzt, egal wie relevant seine Anwendungsszenarien in Bezug auf eine mögliche Attacke sind. Es mag komisch klingen aber das ändert am Ende die Bewertungsbasis zum Kaufzeitpunkt und wenn Intel transparent agieren würde, würden sie den Kunden einen Gutschein/Umtausch oder ähnliches anbieten. Ich glaube das das leider nicht passieren wird...
Auch in Bezug auf meine Signatur freue ich mich sehr auf den anstehenden Ryzen 3000 Launch.
Der fade Beigeschmack bei der Nutzung von Intel-Prozessoren lässt sich schlecht quantifizieren aber es bleibt ein messbarer Leistungsverlust im Vergleich zum Release-Zeitpunkt. Durch Patches, Updates etc. wurde effektiv Leistung genommen, egal wie relevant das für den Einzelkunden ist oder hat hier Jemand von Intel einen prozentualen Cashback zu seinem Leistungsverlust erhalten?
Die Wahrscheinlichkeit der Ausnutzung dieser Lücken kann hier gerne von Profis (zu denen ich nicht gehöre) diskutiert werden. Fakt ist, das Intel mit der SMT-Technik bewusst oder unbewusst Sicherheit gegen Leistung getauscht hat. Die Leistungs-reduzierenden Maßnahmen sind bspw. durch Windows-Updates automatisch aktiv wenn der Nutzer ein halbwegs aktuelles System nutzt, egal wie relevant seine Anwendungsszenarien in Bezug auf eine mögliche Attacke sind. Es mag komisch klingen aber das ändert am Ende die Bewertungsbasis zum Kaufzeitpunkt und wenn Intel transparent agieren würde, würden sie den Kunden einen Gutschein/Umtausch oder ähnliches anbieten. Ich glaube das das leider nicht passieren wird...
Auch in Bezug auf meine Signatur freue ich mich sehr auf den anstehenden Ryzen 3000 Launch.
Zuletzt bearbeitet:
Flomek
Vice Admiral
- Registriert
- Dez. 2011
- Beiträge
- 6.368
Stimmt natürlich schon @yummycandy , nur wenn man hier die Kommentare einiger User mitliest könnte man denken die digitale Welt steht kurz vor dem Zusammenbruch.
Das gute ist doch, dass die Lücken bekannt sind und aktiv dagegen gearbeitet wird. Man sollte ja generell sensibel mit seinen Daten und seinem Nutzungsverhalten sein, vielleicht wird das auch wieder bei einigen Leuten ins Gedächtnis gerufen bei solchen News.
Das gute ist doch, dass die Lücken bekannt sind und aktiv dagegen gearbeitet wird. Man sollte ja generell sensibel mit seinen Daten und seinem Nutzungsverhalten sein, vielleicht wird das auch wieder bei einigen Leuten ins Gedächtnis gerufen bei solchen News.
yummycandy
Commodore
- Registriert
- März 2005
- Beiträge
- 4.372
Das sieht nicht sehr vertrauenserweckend aus....
TrueAzrael
Commodore
- Registriert
- Nov. 2007
- Beiträge
- 4.652
Macht das Warten auf Ryzen 3000 gleich nochmal unerträglicher 
Naja die bisherigen HT-Lücken sind wohl bisher alle auf eine Designentscheidung der Prä-VM- bzw. Prä-WebApp-Zeit zurückzuführen. Da die mir bekannten Lücken die Ausführung von Code auf dem System erfordern, war das wohl damals auch eine halbwegs legitime Entscheidung.
Schlimmer finde ich eher, dass man nicht selbstständig an einem neuen Design gearbeitet hat als klar wurde, dass die Reise in diese Richtung geht.
Als Privatanwender würde ich da erstmal nicht groß Panik schieben, brav weiter für alles Updates einspielen und gut ist es. Für die paar Daten macht sich da wohl kaum jemand die Mühe einen gezielten Angriff zu starten. Vor allem da alle Angriffe sehr langsam Daten abgreifen und wohl auch nicht gezielt. Die gezogenen (Mini-)Dumps darf man dann wohl selbst nach brauchbarem abgrasen.
Naja die bisherigen HT-Lücken sind wohl bisher alle auf eine Designentscheidung der Prä-VM- bzw. Prä-WebApp-Zeit zurückzuführen. Da die mir bekannten Lücken die Ausführung von Code auf dem System erfordern, war das wohl damals auch eine halbwegs legitime Entscheidung.
Schlimmer finde ich eher, dass man nicht selbstständig an einem neuen Design gearbeitet hat als klar wurde, dass die Reise in diese Richtung geht.
Als Privatanwender würde ich da erstmal nicht groß Panik schieben, brav weiter für alles Updates einspielen und gut ist es. Für die paar Daten macht sich da wohl kaum jemand die Mühe einen gezielten Angriff zu starten. Vor allem da alle Angriffe sehr langsam Daten abgreifen und wohl auch nicht gezielt. Die gezogenen (Mini-)Dumps darf man dann wohl selbst nach brauchbarem abgrasen.
Dr. MaRV
Admiral
- Registriert
- Aug. 2006
- Beiträge
- 8.139
Gibt's nicht, weil keiner betroffen ist. Die Lücken zu nutzen ist aufwändig. Zu aufwändig für den Nutzen. Aber man kann gut Motzen und einen Hersteller schlecht reden, wenn man solche Lücken heranziehen kann. Was deren Existenz nicht weniger schlecht macht. Das ist wie das 25 € Lightning Kabel... das immer herangezogen wird, wie unverschämt teuer Zubehör für ein iPhone ist.icetom schrieb:
Flomek
Vice Admiral
- Registriert
- Dez. 2011
- Beiträge
- 6.368
@yummycandy
Hast du einen Link zu dem Tool? Würde ich mir heute Abend gerne mal angucken für meine 2 stationären und 2 mobilen Systeme.
Hast du einen Link zu dem Tool? Würde ich mir heute Abend gerne mal angucken für meine 2 stationären und 2 mobilen Systeme.
yummycandy
Commodore
- Registriert
- März 2005
- Beiträge
- 4.372
Etwas weiter unten auf der Seite. https://mdsattacks.com/Flomek schrieb:
pilzsammler2002
Lt. Junior Grade
- Registriert
- Juli 2018
- Beiträge
- 330
Also mal wieder das übliche hier, einige warnen for möglichem Datenabgriff, andere reden das klein.
Die meisten Kleinreder vergessen aber daß ihre Daten bei vielen Firmen vorliegen wo diese Daten durch die Lücken auf ihren Servern dann einfacher abgegriffen werden können.
Auch zuhause hat es eine Malware wie z.B. Keylogger einfacher durch mehr und größere Einfallstore.
Die meisten Kleinreder vergessen aber daß ihre Daten bei vielen Firmen vorliegen wo diese Daten durch die Lücken auf ihren Servern dann einfacher abgegriffen werden können.
Auch zuhause hat es eine Malware wie z.B. Keylogger einfacher durch mehr und größere Einfallstore.
