News Sicherheitslücken: Kernel-Entwickler empfiehlt Intel SMT zu deaktivieren

[fdsonne]

Ein Hoch auf die Doppelmoral.

Was hat das mit Doppelmoral zu tun? Der mündige Bürger entscheidet selbst, so einfach läuft das... Mal davon ab bleibt das Risiko vergleichsweise gering- vor allem in Relation zu Softwarethemen mit Security Relevanz.
Abonnier dir mal die Cert-Bund Meldungen, da bekommst du täglich! mehrere Hände voll Meldungen mit häufig viel unmittelbarer Gefahr...

Mich würden insbesondere Risikoumgebungen interessieren, also z.B. Virtualisierung für verschiedenste Kunden auf der selben Hardware.

Bei den Servern unter meiner Fuchtel sind alle bekannten Mitigations aktiv in Umgebungen mit Zugriffen Dritter. Nicht aber beim Rest - ist da Jemand der unbemerkt Code ausführen kann, haben wir eh andere Probleme, vor allem securitytechnischer Natur!

Leider wird in den Foren viel zu viel Unsinn gelabert was diese Themen angeht, weil man meist selbst die Zusammenhänge gar nicht versteht. Gerade in Bezug der Risikoabschätzung.

Ich bezweifle dass sich die Situation durch Software entspannen lässt.. Auf kurz oder lang kann man solche Systeme nur austauschen. Bitter für die Kunden aber hier ist hoffentlich auch Intel in der Pflicht da etwas entgegen zu kommen.

Intel macht da nix, was soll auch passieren? Der Fehler ist im Design, das fixt sich nicht im Silizium. Workarounds umgehen Teile davon. Mehr passiert nicht. Es gibt keine 100% Sicherheit, man muss gucken was man kauft und abwägen ob das tut für den geplanten Zweck. Auch andere Hersteller und Entwickler haben Bugs in ihren Produkten, bei Software sogar mit unmittelbarer Gefahr (beim ungünstigen Fall)

 

[Herdware]

Was mich ein wenig wundert ist, dass man sehr viel über die diversen Sicherheitslücken liest, die in den letzten Monaten und Jahren entdeckt wurden und zumindest alle aktuellen Intel-CPUs betreffen, also sicher 80% aller Rechner, inklusive sicherheitskritischer Server usw.. Aber von erfolgreichen Angriffen und konkretem Schaden (abseits der Leistungsverluste durch diverse Patches oder Deaktivieren von Funktionen) liest man wenig bzw. nichts.

Haben wirklich alle Betroffenen so schnell und gründlich reagiert, dass kein einziger Hacker die bekannten Sicherheitslücken bei einem bedeutenden Unternehmen ausnutzen konnte? Sowas hätte doch Schlagzeilen machen müssen.
Gab es keine Angriffsversuche?
Oder wird das einfach unter den Tisch gekehrt?

 

[andr_gin]

Müssten schon unterscheiden zw. Private und Firma


Müsste man schon unterscheiden zw. Privat und Firmen, bei Privat gebe ich dir Recht aber in Firmen sieht das ein wenig anders aus und hier müsste auch unterschieden werden von welcher Größe wir da reden und was die so laufen haben auf der Intel CPU...

Ich würde das sogar noch konkretisieren:
SMT sollte auf Systemen deaktiviert werden, wo virtuelle Maschinen unterschiedlicher Kunden auf einem physischen System gehostet werden.
Selbst auf einem typischen Bürorechner oder sind die Lücken auch komplett egal. Wenn es einem Angreifer gelingt hier nativen Code auszuführen hat er sowieso schon gewonnen.

Im Übrigen war selbst vor Meltdown zumindest bei manchen HP Servern SMT schon default off. Bei AMD Servern wird es ähnlich sein. Deshalb verstehe ich die Aufregung ehrlich gesagt nicht.

 

[Helge01]

Gab es keine Angriffsversuche?
Oder wird das einfach unter den Tisch gekehrt?

Das liegt daran, dass es viel einfachere auszunutzende Lücken in der installierten Software gibt. Wenn manche wüssten wie katastrophal es dort teilweise aussieht, dann wären sie froh, wenn sie nur die Lücken in der CPU hätten.

Kein Mensch macht sich die Arbeit eine Tür aufzubrechen, wenn das Fenster daneben offen ist.

 

[Minutourus]

Ich würde das sogar noch konkretisieren:
SMT sollte auf Systemen deaktiviert werden, wo virtuelle Maschinen unterschiedlicher Kunden auf einem physischen System gehostet werden.
Selbst auf einem typischen Bürorechner oder sind die Lücken auch komplett egal. Wenn es einem Angreifer gelingt hier nativen Code auszuführen hat er sowieso schon gewonnen.

Im Übrigen war selbst vor Meltdown zumindest bei manchen HP Servern SMT schon default off. Bei AMD Servern wird es ähnlich sein. Deshalb verstehe ich die Aufregung ehrlich gesagt nicht.

Jede Firma tickt anders und ich habe mich eher primär auf Server und dessen Dienste bezogen aber auch im Client Bereich durchaus ein Thema, je nach Firma und deren Sicht was die Daten Sicherheit betrifft..

 

[DickeHupen]

Wir sollten mal einen Thread eröffnen was Spiele Leistung und Sicherheit angeht. Wer sehr Interessant. Besonders das ich per Zufall gestern ein Win10 Enterprise LTSC für meine Spiele aufgesetzt habe und jeden Sicherheitsmist deaktiviert habe. Die Leistung war schon besser gegenüber einer aktuellen 1909 wo alles an ist.

 

[fdsonne]

Haben wirklich alle Betroffenen so schnell und gründlich reagiert, dass kein einziger Hacker die bekannten Sicherheitslücken bei einem bedeutenden Unternehmen ausnutzen konnte? Sowas hätte doch Schlagzeilen machen müssen.
Gab es keine Angriffsversuche?
Oder wird das einfach unter den Tisch gekehrt?

Praktisch ist so ein Angriff sehr speziell und vor allem aufwendig. Zudem läuft praktisch idR. keine Laborumgebung um sich gezielt auf ein einziges Ziel zu konzentrieren.
Simples Beispiel, auf meinen Hosts laufen teils 50-100 VMs, die Wahrscheinlichkeit dass da Jemand Daten abfingern kann ist nahezu ausgeschlossen, wenn man weis was man dafür machen muss.
Warum nicht stattdessen aus der VM ausbrechen? Da gibts immer mal kritische Lücken, warum nicht stattdessen andere Wege nutzen?

 

[Iscaran]

Und wie Intel immer noch darauf beharrt, dass die HT-Deaktivierung unnötig sei. Dabei ist gerade die SMT-Architektur bei Intel die Quelle fast allen übels der neuen CPU-Lücken.

 

[Fliz]

Bis auf HP gibts von den großen OEMs leider immer noch keine vernünftigen Alternativen mit AMD.. Da wird Intel noch viele Exklusivverträge haben..

 

[Svartpilen]

sind davon auch Sandboxen betroffen?

 

[AncapDude]

Nutze Intel mit SMT und bin völlig angstfrei. Hackt mich doch wenn ihr könnt

 

[Nozuka]

Alle haben sich über Intel echauffiert als die Lücken aufkamen. Völlig zurecht wie ich finde.

... Aber freiwillig und proaktiv SMT abdrehen wird am Ende vermutlich doch kaum jemand.

Ein Hoch auf die Doppelmoral.

Ich sehe da keine Doppelmoral. Es verlangt ja niemand von Intel, dass sie SMT deaktivieren, sondern dass sie eine richtige Lösung finden. Intel wird auch niemanden dazu auffordern SMT zu deaktivieren, weil man dadurch ja ein teures Feature nicht mehr benützen kann und das garantiert eine Klagewelle starten würde.

 

[Gerry18]

Lachen würde ich nicht denn das kann Andere Morgen genau so treffen.

Ob ich wenn empfählen würde das zu deaktivieren?
Klar weil der große Teil von uns privaten User würde es nicht merken wenn sein Rechner angegriffen wird oder man ihm schon was untergejubelt hat. Da müssen wir uns halt auch mal ehrlich sein. Hat ja keine Sinn wenn wir uns selbst was vor machen.

Abgesehen davon wer ein reiner Gamer ist, für den wird es reichen wenn nur 6 oder 8 Kerne aktiv sind. Blöd ist es halt bei denen die nur 4 Kerner haben.

 

[Discovery_1]

Mein core i5-3450 hat kein Hyper-Threading, also bin ich auf der "sicheren" Seite, richtig?

Ist denn auf diesem Wege überhaupt schon mal ein ernsthafter Hack public geworden?

 

[Snowi]

Müsste man schon unterscheiden zw. Privat und Firmen, bei Privat gebe ich dir Recht aber in Firmen sieht das ein wenig anders aus und hier müsste auch unterschieden werden von welcher Größe wir da reden und was die so laufen haben auf der Intel CPU...

Mein AG zählt zur Kritischen Infrastruktur in DE (Siehe https://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html)
Bei uns wurden die üblichen Patches von VMware & Co. eingespielt, das wars. Die gesamte Infrastruktur läuft mit Intel CPUs, die kriegt man nicht alle einfach so ersetzt. Wird bei den anderen auch nicht großartig anders sein.

 

[Minutourus]

@Snowi Geht mir genauso das mit dem ersetzen, zumindest den Server Bereich...

 

[Discovery_1]

Evtl. ist eine Schadenersatz-Klage gegen Intel möglich? @Snowi und @Minutourus

 

[Minutourus]

@Discovery_1 ... Ähmm ja LuL.. ^^ Danke für den Grinser im Gesicht..

 

[Nozomu]

Mein core i5-3450 hat kein Hyper-Threading, also bin ich auf der "sicheren" Seite, richtig?

Kann man so sehen.

 

[Herdware]

Mein core i5-3450 hat kein Hyper-Threading, also bin ich auf der "sicheren" Seite, richtig?

Es gibt inzwischen eine ganze Reihe bekannter CPU-Sicherheitslücken und wenn ich mich nicht irre, haben nicht alle mit SMT zu tun. In den ersten Artikeln zu Spectre und Meltdown hieß es jedenfalls, dass alle CPUs mit Out of Order-Befehlsausführung betroffen sind. Das würde dann zurückreichen zu den alten Pentium Pro (1995) und z.B. auch PowerPC. Also auch Single-Core-CPUs ohne SMT.