News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[GGG107]

Ein andere Frage: Bei KeePass, sind die Daten im Klartext oder verschlüsselt im Speicher?

 

[phorris]

Es gibt gute Nachrichten für alle Besitzer eines Asus-Mainboards der 9er-Serie und auch X79. Asus hat uns soeben mitgeteilt, dass auch für Mainboards mit diesen Serien Spectre-BIOS-Updates erscheinen werden. Bereits in Kürze sollen erste Betaversionen verfügbar sein. Bis dahin sollen aber erst die Arbeiten an den Mainboards mit 100er-Serie aufwärts abgeschlossen werden.

Quelle: http://www.pcgameshardware.de/Mainboard-Hardware-154107/News/Spectre-BIOS-Updates-1247555/

 

[GGG107]

Quelle: http://www.pcgameshardware.de/Mainboard-Hardware-154107/News/Spectre-BIOS-Updates-1247555/

Also Sandy nicht?

 

[Rambo5018]

Edit: Hier stand Mist

Hat MSI bisher was verlauten lassen? Ich habe ein MSI Z97 G43

 

[phorris]

Also Sandy nicht?

X79 ist doch Sandy Bridge!?

 

[Iscaran]

@unbelievers:

Hier ist der Super-Gau von MD schön zusammengefasst:

http://blog.2600hz.com/meltdown-and...65513748&utm_medium=social&utm_source=twitter

Illustrating the Risk this Threat Poses
Let’s say I’m a hacker, and let’s say Amazon Web Services (AWS) is impacted by Meltdown and Spectre (they might not be, this is just hypothetical). I could, in theory, sign up for an AWS virtual server of my own. AWS will assign me a virtual machine on a physical box shared with other customers, under the assumption that we’ll share it without being able to access each other’s data because that’s what the software enforces. Let’s also pretend the box I end up on is shared with a Bank of America server.

Using this new exploit, it turns out that I can probably access some of Bank of America’s data -- without them even knowing -- even though the assumption is that our boxes have a virtual “wall” between them.

Frei ins Deutsche übersetzt:
"Risiko Veranschaulichung:
Nehmen wir an, ich bin ein Hacker, und sagen wir mal, Amazon Web Services (AWS) wird von Meltdown und Spectre betroffen (möglicherweise nicht, das ist nur hypothetisch). Ich könnte mich theoretisch für einen eigenen virtuellen AWS-Server anmelden. AWS wird mir eine virtuelle Maschine auf einer physischen Box zuweisen, die mit anderen Kunden geteilt wird, unter der Annahme, dass wir sie teilen, ohne auf die Daten der anderen zugreifen zu können, da dies die Software erzwingt. Lassen Sie uns auch so tun, als würde die Box, auf der ich lande, zufällig mit einem Bank of America-Server geteilt.
Mit diesem neuen Exploit stellt sich heraus, dass ich wahrscheinlich auf einige der Daten von Bank of America zugreifen kann - ohne dass sie es überhaupt wissen - und dasss obwohl die Annahme besteht, dass unsere Boxen eine virtuelle "Wand" zwischen ihnen haben."

Genau das Szenario das ich oben schon erklärt habe...das ist nicht nur ein Hirngespinst.
ABER !!! Es ist eben zum Glück quasi schon gepatched. Das KPTI-Update verhindert die Nutzung von Meltdown. Die Lücke in der Hardware-Architektur ist aber dennoch immer noch da !!! Es kann also gut sein dass man auch hier in späterer Zeit nochmal nachbessern muss.
UND !!! Es ist weit wichtiger das kommerzielle Anbieter von Server und Cloud-Diensten gegen MD patchen als der kleine End-User Client.

Der Größte Schutz für Otto-DAU ist, kein Hacker interessiert Otto-DAU.

 

[mkdr]

Ein andere Frage: Bei KeePass, sind die Daten im Klartext oder verschlüsselt im Speicher?

Sobald der Text auf dem Monitor steht muss es ja unverschlüsselt irgendwo abgelegt sein im Speicher, außer es wird als Bild gerendert.

 

[Dark Matter]

Edit: Hier stand Mist

Hat MSI bisher was verlauten lassen? Ich habe ein MSI Z97 G43

Mir hat MSI gestern mitgeteilt, dass es Updates für Z97 geben wird, dauert aber noch ne weile.

 

[xexex]

Ein andere Frage: Bei KeePass, sind die Daten im Klartext oder verschlüsselt im Speicher?

Dann zum dritten mal!

While KeePass is running, sensitive data (like the hash of the master key and entry passwords) is stored encryptedly in process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data.
Furthermore, KeePass erases all security-critical memory when it is not needed anymore, i.e. it overwrites these memory areas before releasing them.

KeePass uses the Windows DPAPI for encrypting sensitive data in memory (via CryptProtectMemory / ProtectedMemory). With DPAPI, the key for the memory encryption is stored in a secure, non-swappable memory area managed by Windows. DPAPI is available on Windows 2000 and higher. KeePass 2.x always uses DPAPI when it is available; in KeePass 1.x, this can be disabled (in the advanced options; by default using DPAPI is enabled; if it is disabled, KeePass 1.x uses the ARC4 encryption algorithm with a random key; note that this is less secure than DPAPI, mainly not because ARC4 cryptographically is not that strong, but because the key for the memory encryption is also stored in swappable process memory; similarly, KeePass 2.x falls back to encrypting the process memory using ChaCha20, if DPAPI is unavailable). On Unix-like systems, KeePass 2.x uses ChaCha20, because Mono does not provide any effective memory protection method.

For some operations, KeePass must make sensitive data available unencryptedly in process memory. For example, in order to show a password in the standard list view control provided by Windows, KeePass must supply the cell content (the password) as unencrypted string (unless hiding using asterisks is enabled). Operations that result in unencrypted data in process memory include, but are not limited to: displaying data (not asterisks) in standard controls, searching data, and replacing placeholders (during auto-type, drag&drop, copying to clipboard, ...).
https://keepass.info/help/base/security.html

Das ist aber keine Ausnahme, sondern eher die Regel bei solchen Programmen. Bereits seit Windows 2000 hat Microsoft die DPAPI eingeführt um Kennwörter im Speicher vor Angriffen zu schützen und viele Programme (Edge, Chrome) nutzen diese Schnittstelle. Firefox nutzt sie NICHT und scheint anfällig zu sein.

On Windows, your Chrome saved passwords are encrypted using DPAPI. This mechanism ultimately derives a key from your Windows account password to keep the data secure, and so once you've logged in, the data can be decrypted by applications that rely on this store.

So, Chrome doesn't have access to your Windows account password at all. It relies on the fact that you're logged in be able to access the decrypted password data for filling in the password fields for forms. If you try to view your saved passwords, because there are clearly very sensitive pieces of data it has you enter your password, and Windows verify that it's correct to better assure that not only is it you who are logged in, but also you who are currently sitting in front of your computer at this moment, because you're the only one who should know that password. So, at this point, it doesn't actually need the password to decrypt the data, it's just a security measure to help protect your passwords from casual prying eyes.

Die Kennwörter landen dann nur noch kurzzeitig unverschlüsselt im Speicher wenn sie zum Beispiel an einen unsicheren Server zur Anmeldung übermittelt werden müssen. (http/ftp)

Andere Programme wie Notepad oder diverse unsichere Browserplugins halten ihren Inhalt hingegen ungesichert im Arbeitsspeicher und sich für viele Formen von Angriffen anfällig.

Den DPAPI Schutz gibt es natürlich auch nur unter Windows. Unter Linux oder anderen Betriebssystemen kann das anders aussehen, wie man bei der KeePass Beschreibung sehen kann. Dort liegen die Kennwörter dann unverschlüsselt im Speicher oder die Anwendungen müssen sich selbst um die Sicherheit kümmern.

 

[GGG107]

X79 ist doch Sandy Bridge!?

Ah, Sorry, stimmt. Ja, Sandy-E. Also ich meinte Sandy (Vorgänger), besser gefragt:
Bekommen Boards mit LGA 1155 Support also ​Cougar (wie in meinen Fall) bzw. Panther Point Chipset das Update?

​

Dann zum dritten mal!

Sauber, genau die Info suchte ich, gute Neuigkeiten.
Großes Danke für die Wiederholung für mich.

-
Zum Glück füge ich PWs nur per Zwischenablage ein, nach 12 Sekunden sind sie wieder raus.
Dachte mir schon das dieser ganze Browserquatsch (bzw. wohl nur Fireofox) da nichts verschlüsselt.

---
Unter Linux wird ebenfalls KeePass2 genutzt, unter Ubuntu Stable immer aktuell.
Wie sieht das dann da aus?

 

[HasseLadebalken]

Hier zwecks Microcode ne Lösung für's Bios aber nur für maximal EFI , UEFI ist anders wenn überhaupt selbst machbar, für Award und Phenix Bios.

[Guide] How to update CPU microcodes (NCPUCODE.BIN/CPUCODE.BIN) on a non-UEFI Award/Phoenix BIOS

Habe "cbrom198.exe" für mein Board verwendet


Gruss HL

 

[The_Void]

meine nette anfrage bei MSI erbrachte folgende rückantwort, betreff ausstattung des BIOS mit neuestem microcode:

Sehr geehrte/r Xxxxxxxxxx Xxxxxxxxxxxx,

vielen Dank für Ihre Anfrage.

Dies ist noch in Klärung wenn ein Bios update dafür von Nöten sein sollte werden wir daran arbeiten.

also braucht man den kopf noch nicht in den sand stecken. MSI vor!

 

[cbtestarossa]

Dieser Fall wird den Spreu vom Weizen bei den Anbietern trennen.

Bald werden wir sehen wer auf den Endkunden verzichten möchte und wer nicht.

 

[DFFVB]

Dieser Fall wird den Spreu vom Weizen bei den Anbietern trennen.

Bald werden wir sehen wer auf den Endkunden verzichten möchte und wer nicht.

Da sagst Du was... habe mir über Weihnachten ein Asus bestellt und bin mal gespannt, aber bisher siehts ja relativ verheißungsvoll aus... Mich nervt das tierisch, dass man mittlerweile immer so ne Art Ökosystem / Service mitkaufen muss... Apple Geräte sind ja eigtl. scheiße, aber dadurch, dass sich hardwareseitig kaum noch was tut, gewinnen sie viele Pluspunkte durch die schnellen und vielen Updates....

@xexex
Wie kommst Du denn darauf, dass alle immer ihre Passwörter in Notepad abspeichern? Hab ich bisher nur einmal gesehen - bei meiner Mom jenseits der 70....

​Du sagst FF sei unsicher, ich traue generell keiner Browser Passwort Verwaltung, hatte allerding skürzlich in der c't gelsen, dass FF eben sicherer als die anderen sei... Vlt kann da wer was zu sagen...

 

[Iscaran]

xexex neigt dazu immer den UNTEREN TEIL seines Zitates nicht zu lesen (oder zu ignorieren).

For some operations, KeePass must make sensitive data available unencryptedly in process memory. For example, in order to show a password in the standard list view control provided by Windows, KeePass must supply the cell content (the password) as unencrypted string (unless hiding using asterisks is enabled). Operations that result in unencrypted data in process memory include, but are not limited to: displaying data (not asterisks) in standard controls, searching data, and replacing placeholders (during auto-type, drag&drop, copying to clipboard, ...).

Was genau zeichnet nun die SP und MD Lücken aus ? GENAU der direkte Zugang zum Memory zu "jedem beliebigen Zeitpunkt X" (Wenn man nur lang genug wartet und idealerweise seinen Exploit ein wenig tuned auch dort zu kucken wo man was finden kann, was etwas wissen Vorraus setzt - dann kommt das passwort auch im klartext).
Speziell MD mit seinem quasi unbeschränkten und direkten Zugang zum GESAMTEN SPEICHERRAUM ist hier eben "easy to use" - aber zum Glück auch "easy to mitigate".

Und wenn du das passwort mittels copy und paste überträgst dann ist es in jedem Fall eine ziemlich geraume Zeit irgendwo im speicher...mindestens so lange bis genau der speicherteil wieder überschrieben wird. Und davor ist es in jedem Fall auch irgendwo direkt im CPU Cache usw.

Das ist ja immer das fatale an solchen "memory dump" exploits. Das man damit in der Regel jegliche "encryption" umgehen kann im Worst Case.

Aber du kannst gern weiterglauben dass dein KeePass der ultimative Schutz ist.

 

[GGG107]

Nunja, dazu müsste aber der Speicher zu jeder Zeit überwacht bzw gedumpt werden. Woran soll auch erkannt werden wenn das Passwort für ein paar Sekunden im Klartext drin steht? Zumal die Passwörter, also zumindest meine auch noch selbst kryptisch sind. Das sind ja Unmengen an Daten die da übertragen werden müssten...

Also ich sehe das schon als Bestätigung mit KeePass zumindest noch halbwegs sicher unterwegs zu sein. Mehr zumindest als Passwörter ein zu tippen, oder gar einem Browser oder noch besser Texteditor anzuvertrauen.

 

[call303]

Steht dieser Umstand:

Intel-CPUs verfügen offenbar ab Haswell (4. Core-i-Generation, 2013) über Unterstützung für „PCID“ und „INVPCID“

nicht im Widerspruch zu dieser Aussage:

Unter Windows 10 auf älteren Intel-CPUs (Haswell und älter) erwarte man, dass „einige“ Nutzer Leistungseinbußen wahrnehmen werden.

Sollte es da nicht "Ivy Bridge und älter" heißen?

 

[branhalor]

So richtig verstanden hast Du es nicht oder? Du kannst auch auf seriöse Seiten gehen... diese haben Werbefenster, den Inhalt kontrollieren die Werbenetzwerke, nicht die Webseitenbetreiber. Wenn die jetzt gehackt werden... Diese Anzeigen greifen ja schon heute Auto-Fill Daten ab, um Nutzer über verschiedene Seiten hinweg zu identifizieren... Ja die Gefahr ist konkret für Heim-User nicht dramtisch gestiegen, aber sie ist gestiegen...

Ok, danke Dir. Ich gestehe, daß mir das noch nicht so bewusst war.

Bin grad eben auch auf einen Artikel von Golem aufmerksam geworden - schon heftig...

https://www.golem.de/news/it-sicherheit-der-angriff-kommt-auch-ohne-eigene-fehler-1801-131790.html

Ich werde davon jetzt trotzdem keine schlaflosen Nächte bekommen , gebe aber zu, daß ich doch froh bin, sobald die Lücke wenigstens Software-seitig schonmal ordentlich bearbeitet und so weit wie möglich geschlossen ist. Updaten werde ich dann in den nächsten Tagen, sobald an den Fixes etwas mehr gefeilt wurde. (BIOS Update allerdings erst, wenn das wirklich ausgereift ist - da hab ich schon zu oft nur halbgare Version in den Händen gehabt, bei denen dann am Ende irgendwas nicht mehr so funktionierte wie es sollte... Nicht immer, aber oft genug.)

 

[SlaterTh90]

Irgendwie passen die Aussagen alle nicht zusammen. Einerseits wird von mehr als 20% Verlust gesprochen - einige Admins haben sich auf Twitter über CPU-Last Erhöhungen von bis zu ! 50% ! beschwert - und dann sagt Microsoft wieder dass das ganze "kaum spürbar" sei und viele Benchmarks belegen das auch....

Gut das AMD nur so halb betroffen ist. Schlecht das Ryzen im Laptop und Server Markt eigentlich noch garnicht angekommen ist. Wenns um Laptops geht hat man wirklich so gut wie keine Wahl.

Ich bin sehr gespannt ob sich noch was an der Performance tut - es ist auch komisch nen neues System zu kaufen mit dem Wissen das es eine Sicherheitslücke hat UND von Performance-Degration betroffen ist.

 

[UbieDubie]

Habe mir zu Weinachten ein neues System gebastelt auf Grundlage eines MSI Z370 Tomahawk (MS-7B47) auf dem ein HexaCore Intel Core i7-8700K, 4600 MHz (46 x 100) werkelt. Seit heute gibt es von MSI ein Bios-Update dafür.
- Update RST 15.9
- Improve memory compatibility.
- Update CPU Microcode.

Das interessante daran, finde ich, das angegebenr Erscheinungsdatum, der 25.12.2017...

...bin jetzt gespannt ob sich evtl. Leistungseinbuhsen bemerkbar machen.