News Sicherheitslücken: Kernel-Entwickler empfiehlt Intel SMT zu deaktivieren

[RayKrebs]

Moment, ich soll einen 507€ teuren i9 9900k mal eben zum über 30% günstigeren i7 9700k (387€) degradieren um Werksmäßige Sicherheitslücken zu schließen?

Also DAS Kernfeature des i9 soll deaktiviert werden?
Wäre HT "kostenlos" dabei so wie bei der Konkurrenz, wäre es ja noch erträglich.
Aber man zahlt für diese Eigenschaft mal eben 30% extra und die soll deaktiviert werden?

Irgend etwas läuft doch gehörig schief

Mit ein Grund warum ich gleich nur den i7-9700K gekauft habe. Hauptsächlich ist es ein Gaming System und da bringt SMT eh nicht viel. Habe also Geld gespart und habe sogar weniger Angriffsmöglichkeiten.

 

[Nizakh]

Im Geschäftskundenumfeld ist das jetzt natürlich doppelt bitter: Habe ich mein eigenes Data-Center bzw. meine eigene Hardware, kann ich hier natürlich einfach proaktiv reagieren und alle Sicherheitspatche installieren und SMT deaktivieren. Natürlich in vielen Umgebungen mit einem gewissen (bekannten) Leistungsverlust. Problematisch ist es jetzt, wenn man sich in einer anderen Umgebung eingemietet hat oder in "der Cloud" unterwegs ist. Ob die großen Anbieter wie AWS oder Azure jetzt überall SMT abschalten wage ich zu bezweifeln...
Ich denke aktuell ist die Frage auch nicht primär ob man die Sicherheitslücke ausnutzen kann, sondern ab welchem Zeitpunkt diese Lücken wirklich genutzt werden. Solange da nichts bekannt ist, werden die großen Cloud-Anbieter wahrscheinlich nicht darauf reagieren. Das könnte (muss nicht) vielleicht der "Cloud-Supergau" werden.

Bezüglich Privat-Systemen: Hier würde mich wirklich ein aktueller Vergleich zwischen Alle Sicherheitspatche und Micro Code Updates + deaktiviertes SMT vs Alle Sicherheitspatche und Micro Code Updates + aktives SMT vs Alle Sicherheitspatche ohne Micro Code Updates + aktives SMT vs Keine Sicherheitspatche und keine Micro Code Updates + aktives SMT interessieren. Gerne mal aktuelle CPUs und falls das möglich ist auch mit älteren CPUs testen. Es muss natürlich nicht jede Generation sein, aber so das man einen groben Überblick bekommt, was da auf einen zukommen kann.
Ich denke für Privatnutzer ist die "blaue Option" die sinnvollste. Ganz ohne Sicherheitspatches/Micro Code Updates kann man natürlich bei einer reinen Gaming Kiste machen, aber es wäre interessant zu sehen wie hoch der Verlust überhaupt ist. Vielleicht ist es bei Games ja recht wenig Verlust und dann könnte man eigentlich auch sämtliche Sicherheitspatche und Micro Code Updates aktivieren.

 

[Laphonso]

Moment, ich soll einen 507€ teuren i9 9900k mal eben zum über 30% günstigeren i7 9700k (387€) degradieren um Werksmäßige Sicherheitslücken zu schließen?

Also DAS Kernfeature des i9 soll deaktiviert werden?
Wäre HT "kostenlos" dabei so wie bei der Konkurrenz, wäre es ja noch erträglich.
Aber man zahlt für diese Eigenschaft mal eben 30% extra und die soll deaktiviert werden?

Irgend etwas läuft doch gehörig schief

Oder zur Kenntnis nehmen und einfach weiterzocken, weil Du nicht betroffen bist in Deinem Gamingalltag?

Ergänzung (30. Oktober 2019)

Mmn. wird gerade für Privatnutzer viel zu viel Wind um die Sache gemacht.

Um Himmel Willen, Du schwimmst im AMDBase Forum gegen den Strom, Intel Bashing bringt Likes! Was machst Du nur Xes, die reality checks will doch niemand lesen!

 

[Ko3nich]

Sorry, aber solange diese Lücke ein rein theoretisches Problem darstellt; warum sollte ich es dann auf meinem Rechner deaktivieren?

Musst du auch nicht. Das ist deine Hardware.
Das ist auch eher eine News die in die Richtung schlägt dass sich große Server-Anbieter wohl noch eher für AMD entscheiden werden (müssen), weil sie für andere verantwortlich sind.
Wenn es da einen größeren Schaden gibt der auf die Nutzung dieser Lücke zurückzuführen ist ist es fahrlässig auf solche Fingerzeige nicht reagiert zu haben.

Und Intel ohne HT ist im Server-Umfeld einfach überhaupt nicht mehr konkurrenzfähig gegenüber AMD.

 

[Herdware]

Was der Nord VPN mit den Sicherheitslücken zu tun soll hat musst du mir auch erklären.

Ich habe den NordVPN-Hack nur als Beispiel benutzt, dass Server-Hacks in aller Regel durch klassische Sicherheitslücken in Software oder auch einfach menschliches Versagen (vergessen ein Tool zu deinstallieren bzw. den Kunden darüber zu informieren) möglich gemacht werden.

Ich wollte damit die Vermutung von DarkerThanBlack in Frage stellen, dass hinter allen oder auch nur einem größeren Teil der Hacks in letzter Zeit Intels CPU-Sicherheitslücken stecken.
Wie du auch, habe ich bisher noch von keinem solchen Fall etwas gehört.

 

[Wattwanderer]

Warum packt man nicht einen "Proof of concept" aus? Das würde den Druck stärker erhöhen als solche Forderungen wenn ihnen das wirklich so wichtig ist?

 

[Helge01]

Hmm heißt das jetzt, in der betrieblichen Virtualisierungsumgebung soll ich jetzt die hälfte alle vcpus abschalten, ja ne ist klar. Das kann nicht die Lösung sein.

Dann schalte auch gleich deine Virtualisierungssoftware ab, die hat bedeutend mehr und einfacher auszunutzende Sicherheitslücken. Besser noch gleich den ganzen Server, auch dieser ist leichter angreifbar als die Lücken in der CPU.

Mach mal ne Risikobewertung, dann siehst du das viel entspannter.

 

[Mr_Tee]

Juckt doch keinen mehr, einen Umsatzeinbruch hat das Intel vermutlich nie beschert, sonst wären die Zahlen auch Monate zuvor schon bescheiden ausgefallen.

 

[Joshinator]

Grade in Hinblick auf die Sicherheitslücken bei Intel haben mit die Quartalszahlen für Epyc überrascht.
Hatte eigentlich erwartet das man in den Rechenzentren so langsam aber sicher von Intel weg geht, eben weil die Sicherheit dort wichtig ist. Wenn eine VM so an die falschen Daten kommt ist es da recht fatal.

Als Privatperson sind diese Sicherheitsprobleme weniger relevant, nicht toll aber nichts weshalb man SMT deaktivieren muss. Wenn jemand auf deinem Rechner ist ist es sowieso zu spät, im Rechenzentrum wo aber jeder eine Instanz kaufen kann sieht das anders aus.

 

[yummycandy]

Warum packt man nicht einen "Proof of concept" aus?

Für welche Lücke denn genau?

 

[DarkerThanBlack]

Viel wahrscheinlicher sind die typischen Dinge: Passwort und Mailadresse entweder nicht komplex genug oder bei mehreren Diensten das gleiche verwendet, irgendwer hat dir beim eintippen über die Schulter geschaut oder du hast dir irgendwo einen „normalen“ Trojaner/Keylogger eingefangen.

PayPal hat mich darüber informiert, dass mein Konto gehackt wurde. Also ist der Hack bei ihnen passiert. Hat also nichts damit zu tun, dass ich selber daran schuld sei, so wie man es jetzt hier hinstellen möchte. Bin darüber auch nicht böse, denn es könnte ja auch so sein, wenn man mich nicht kennt.
Daher nutze ich AMD-CPUs. Da ist es doch deutlich sicherer unterwegs im Netz zu sein.

 

[Wattwanderer]

Für welche Lücke denn genau?

SMT soll ja eine Lücke aufmachen?

 

[Nizakh]

Um Himmel Willen, Du schwimmst im AMDBase Forum gegen den Strom, Intel Bashing bringt Likes! Was machst Du nur Xes, die reality checks will doch niemand lesen!

AMD Bashing bringt, wie man an deinem Post sieht, scheinbar genauso likes. AMDBase, IntelBase, nVidiaBase, AppleBase, SamsungBase, usw. Jeder Fanboy bezeichnet CB so wie es gerade in die eigenen "Argumente" passt. Generell frage ich mich hier immer öfters, warum hier nicht einfach eine konstruktive Diskussion geführt werden kann.

 

[Gandalf2210]

Alle haben sich über Intel echauffiert als die Lücken aufkamen. Völlig zurecht wie ich finde.

... Aber freiwillig und proaktiv SMT abdrehen wird am Ende vermutlich doch kaum jemand.

Ein Hoch auf die Doppelmoral.

Und jetzt? Soll ich meinen Golf wegwerfen nur weil der beim Abgas schummelt? Darf ich mich dann auch nicht über den betrug beschweren?

 

[Xes]

PayPal hat mich darüber informiert, dass mein Konto gehackt wurde. Also ist der Hack bei ihnen passiert. Hat also nichts damit zu tun, dass ich selber daran schuld sei, so wie man es jetzt hier hinstellen möchte.

Ähm nein.
Paypal gibt dir zwar bescheid wenn dein Konto gehackt wurde aber das ist normalerweise (ohne den Kontext zu kennen) noch kein Schuldeingeständnis, dass das Problem auf ihrer Seite besteht.
Normalerweise stellen die nur fest, dass irgendwer aus z.B. Asien versucht hat etwas für viel Geld auf eine fremde Adresse zu bestellen und machen das Konto dann erstmal dich. Gehackt heist erstmal nur, dass irgendein Fremder Zugriff auf dein Konto hatte.

Eine tatsächliche Sicherheitslücke bei Paypal würde viel größere Wellen schlagen und wäre vermutlich auf allen Titelseiten stehen, da der Dienst riesig weit verbreitet ist. Eine funktionierende Sicherheitslücke bei Paypal dürfte auf dem Schwarzmarkt viele Millionen wert sein.
Sofern es also bei dir keine Millionen zu holen gab geht die Wahrscheinlichkeit, dass Paypal selbst gehackt wurde komplett gegen 0.

 

[Lübke]

Was mich ein wenig wundert ist, dass man sehr viel über die diversen Sicherheitslücken liest, die in den letzten Monaten und Jahren entdeckt wurden und zumindest alle aktuellen Intel-CPUs betreffen, also sicher 80% aller Rechner, inklusive sicherheitskritischer Server usw.. Aber von erfolgreichen Angriffen und konkretem Schaden (abseits der Leistungsverluste durch diverse Patches oder Deaktivieren von Funktionen) liest man wenig bzw. nichts.

Haben wirklich alle Betroffenen so schnell und gründlich reagiert, dass kein einziger Hacker die bekannten Sicherheitslücken bei einem bedeutenden Unternehmen ausnutzen konnte? Sowas hätte doch Schlagzeilen machen müssen.
Gab es keine Angriffsversuche?
Oder wird das einfach unter den Tisch gekehrt?

ich bezweifel, dass unternehmen solche erfolgreichen angriffe an die große glocke hängen und damit offen zugeben, dass bei ihnen die sicherheit unzureichend ist. und von den erfolgreichen angriffen auf großunternehmen, die in den medien waren, weist du wie diese durchgeführt wurden?
über dies: wie viele der angriffe sind überhaupt nachvollziehbar? möglicherweise laufen viele angriffe über diese lücken und werden noch gar nicht wahrgenommen.

es ist ja nicht mehr wie früher, wo die angreifer sich bemerkbar machen wollten und möglichst viel schaden anrichten. heute wollen die angreifer daten abgreifen und dabei unentdeckt bleiben.

 

[yummycandy]

SMT soll ja eine Lücke aufmachen?

z.B. https://github.com/bbbrumley/portsmash

 

[Ned Flanders]

Mein AG zählt zur Kritischen Infrastruktur in DE. Bei uns wurden die üblichen Patches von VMware & Co. eingespielt, das wars.

Ich find deinen Beitrag ehrlich gesagt absolut bemerkenswert. Das bei einer Einrichtung, die vom BMSI als kritisch eingestuft wird, Performance über Sicherheit gestellt wird geht doch auf keine Kuhaut. Warum dann überhaupt so eine Einteilung in kritisch und nicht kritisch? Das schreit doch total nach Mismanagement. Was machen die dann bei nicht kritischer Infrasturktur? Keine Patches einspielen?

Da fährt man doch offensichtlich nach dem Prinzip des kalkulierten Risikos. Boeing lässt grüßen!

Sorry, aber da geht mir echt das Messer in der Tasche auf!

 

[tippetytopkek]

Alle haben sich über Intel echauffiert als die Lücken aufkamen. Völlig zurecht wie ich finde.

... Aber freiwillig und proaktiv SMT abdrehen wird am Ende vermutlich doch kaum jemand.

Ein Hoch auf die Doppelmoral.

Datacenters mit Xeons wird das sehr wohl interessieren.

 

[Sc0ut3r]

Und die DAUs kaufen immer noch Intel.

danke fürs beleidigen....

einfach Fehler 80 vermeiden und gescheite Software zur Sicherheit verwenden