News „Spectre Next Generation“: Acht neue CPU-Lücken sollen gefunden worden sein

[Euphoria]

Wenn Google sich tatsächlich Zeit lässt, wäre es ganz schön scheinheilig...
Bei Lücken von denen die unter Umständen selbst betroffen sind (Cloud Anbieter) wird gewartet, aber bei Lücken von welchen Milliarden User (Windows Lücken) sind die so strikt, dass die teilweise 1-2 Tage nicht warten können bis ein Patchday ist.

 

[MK one]

@MK one

All das genannte geht vermutlich 100x einfacher ohne sich nen Spectre Aufwand zu geben. Die Chance dass dir deine Kreditkarte abhanden kommt und missbraucht wird dürfte Faktoren größer sein und noch dazu sind diese idr sehr gut abgesichert, heißt im Schadensfall bekommst die Asche (bekam ich sogar bei meiner kopierten Ec in Mex 6 Monate danach anstandslos).

Bevor man bei dir genau diese Kreditkarten Daten über nen Side Channel zieht wird wohl viel Zeit ins Land gehen, da phisht man doch oder andere Opfer leichter ab oder findet ein übliches Daten / Passwort Leck bei einem der vielen Online Shops.

Potenziell ist das sicher möglich, genau wie man Nachts zu Hause ausgeraubt werden kann. Die Frage is weshalb jemand extrem viel Implementierungs Aufwand mit maßgeschneiderter Attacke bei mir oder dir durchführen soll? Wickelst du Assads Ölgeschäfte ab?

Wie gesagt es ging nicht darum wie anfällig nun Amazons Cloud oder die Server meiner Bank dadurch werden, es ging um die persönliche Hardware.

https://www.morgenpost.de/berlin/article207027649/Daten-gestohlen-100-000-Kreditkarten-werden-eingezogen.html
https://www.pcwelt.de/a/oneplus-gekauft-checken-sie-ihre-kreditkarten-abrechnung,3449414
https://blog.botfrei.de/2013/04/abrechnungssystem-namhafter-reiseportale-gehackt-kreditkarten-daten-gestohlen/
https://www.welt.de/wirtschaft/webwelt/article111085440/Das-Millionen-Geschaeft-der-Kreditkarten-Mafia.html
http://www.spiegel.de/wirtschaft/sicherheitsluecke-40-millionen-kreditkarten-daten-gestohlen-a-360984.html
http://www.sueddeutsche.de/wirtschaft/finanzmaerkte-groesster-datenklau-bei-kreditkarten-seit-jahren-1.2827670

ohne Kommentar , oder doch einer : es gab immer Fälle von Datenklau und es wird sie immer geben , es ist kein theroetisches Risko , wenn den cyberkriminellen ne Möglichkeit geboten wird , werden sie sie früher oder später ausnutzen .
Mir ging es nur darum aufzuzeigen , das die Gefahr für den privaten Rechner klein sein mag , jedoch es kurzsichtig ist zu glauben man könnte nicht davon betroffen werden . Die Wahrscheinlichkeit mag gering sein , aber sie ist zweifellos da , wenn Intel keine passenden Flicken findet .
Wie ich schon schrieb , Panik ist nicht angebracht aber bedenklich sind diese Sicherheitslücken allemal .

 

[scryed]

diese cyberkriminellen werden sich dann aber überlegen ob sie den aufwand betreiben mittels spectr und co dich anzugreifen und dazu brauch es dann noch glück das entsprechende daten abgegriffen werden oder ob sie nicht doch andere mittel wählen (alles bei privatanwender )

der einfach user dumpfer ich wird ehr mit fake mails bombardiert will damit nur sagen massentauglich is der angriff nicht auch wird es nie hardware geben die 100% fehlerfrei ist ist der cpu durch dann ist es vieleicht wieder der router oder die onboard netzwerk karte

 

[CPU-Bastler]

Wenn ich die Firmendaten in der Cloud speichere, kann ich Sie genauso gut direkt an meine Mitbewerber schicken.

Das Herz einer Firma (Buchhaltung, Know How usw.) gehört nicht ins Internet.

Sicherheit besteht nur auf dem Papier.

Haftung - Welche Haftung? Die Cloud-Anbieter versprechen viel und halten fast nichts.

Spectre Next Generation - Das ist ein Problem von Intel und nicht des Cloud-Anieters.
Windows-Sicherheitslücken - Das ist ein Problem von Microsoft und nicht des Cloud-Anbieters.

Für jeden Datenschutzverstoß muss die ganze IT-Kette (CPU-Hersteller, Chipsatz-Hersteller, Software-Hersteller, Software-Dienstleister) komplett in die Haftung einbezogen werden. Das wird schnell sehr Teuer und führt zu einen neuen Denken in Bezug aus Sicherheit und Datenschutz.

 

[MK one]

wir leben jedoch in einem Zeitalter des " Outsourcing " = ist nen externer Anbieter billiger als eigenes Personal , wird fremdvergeben .... - es sei denn es betrifft die " Kernkompetenzen " einer Firma .

Personaleinsparung ist das A und O bei der " Gewinnoptimierung " an der sich die Boni der Führungsebene messen lassen .
Eigene IT zu teuer = Cloud , es würde Cloud Anbieter nicht geben wenn sie keiner nutzen würden

im übrigen habe ich schon öfters geschrieben das Privatpersonen kaum das Opfer bzw Ziel sein werden .

 

[Krautmaster]

@MK one

wie gesagt ich halte sie auch für bedenklich, aber privat weniger. Würde meinen privaten PC Kauf da jetzt auch wenig abh von machen. Persönlich würde mich einen Performance Impact um 5 und mehr % deutlich härter Treffen als die potenzielle Sicherheitslücke "Spectre".

Jeder der ne Kreditkarte hat und diese nutzt hat wie gesagt 1000 andere Schwachstellen, sei es bei ner Bezahlung in einem nicht ganz seriösen Shop oder die Möglichkeit dass diese einem täglich anderweitig abhanden kommt. In so gut wie jedem Fall wird irgend ein Shop / System gehackt das die Daten unzureichend abgesichert hat und dann werden auf einen Schlag bis zu Mio Datensätze erbeutet. Es dürfte schwer bis unmöglich sein eine universelle Maleware zu schreiben die pauschal sowas wie Kreditkarten Daten bei deinem Privatrechner bei Eingabe aus dem Ram abfischt. Das macht man wie der Name sagt eher über ne Phishing Seite.

Sowas wie Spectre is eher dann interessant wenns darum geht dass China bei den Amis versucht die Nuklear-Codes zu erbeuten. Oder eben darum bei einem großen Anbieter irgendwelche Master Passwörter abzureifen um mit diesen dann besagte Mio Datenstätze zu entwenden.