Hello, Guest the thread was called1.1k times and contains 31 replays

last post from c64user at the

Sicherheitslücken in CPUs (OT aus: Linux macht sich das Leben schwer)

  • Wenn überhaupt ein erfolgreicher Angriff erkannt wird geben die Geschädigten es meist nicht bekannt.

    Es ist - vor allen Dingen in diesem Kontext und der Medialität in diesem Fall - extrem unwahrscheinlich das keine Angriffe gemeldet würden.


    Aber ich schrieb ja oben "soweit bekannt", das schreibe ich ja nicht ohne Grund so hin...

  • Jupp! Aber dazu kann ich aus erster Hand Details liefern:Um die Daten auf das Aggregat zu übertragen ist direkter Körperkontakt notwendig. Ein Airgap und schon kann keine Verbindung aufgebaut werden!
    Da es (wie alles im Leben) ein Spiel mit Wahrscheinlichkeiten ist:
    Für wie wahrscheinlich hältst du es, dass jemand

    • mich töten will und
    • weiß, dass ich ein Medtronic Gerät habe und
    • weiß, welches Modell ich habe und
    • ein ein gehacktes Programmiergerät hat und
    • nah genug an mich herankommt und
    • dabei auf den 1/2cm genau die Stelle triff, an der das Aggegat sitzt

    im Gesatz zu

    • einfach ein Messer zieht und mich absticht

    Dass mit dem direkten Körperkontakt wusste ich nicht - das macht so einen Angriff natürlich extrem unwahrscheinlich. Bei deinen 6 Punkten würde ich aber nur den ersten mit einer Wahrscheinlichkeit von 0% beziffern. Dass du so ein Gerät hast mitsamt Modellbezeichnung und Lage ist irgendwo garantiert digital gespeichert und viele Menschen haben Zugriff auf die Daten.


    Was hätte jemand davon dich mit einem Messer abzustechen? Die paar Kröten in deiner Geldbörse plus die hohe Chance im Knast zu landen? Da ist die Manipulation einer Insulinpumpe mit gleichzeitig gehebeltem Short auf Medtronic doch um einiges lukrativer und die Chance erwischt zu werden ist nahe 0. Auch die Konkurrenz reibt sich bei so einem Vorfall die Hände. Menschen mit viel Zeit und krimineller Energie gibt es leider zu Genüge da draußen. :(

  • Es ist - vor allen Dingen in diesem Kontext und der Medialität in diesem Fall - extrem unwahrscheinlich das keine Angriffe gemeldet würden.
    Aber ich schrieb ja oben "soweit bekannt", das schreibe ich ja nicht ohne Grund so hin...

    Du kannst einen Angriff doch gar nicht erkennen. Da läuft auf einem Server einfach eine Software, die den gesamten Speichers (und damit die Daten anderer VMs) ausliest. Was willst du dagegen tun? Mittlerweile gibt es auch so viele Varianten von Spectre und Meltdown - da kommt niemand mit dem Patchen hinterher. Irgendwann gibt's dann die Daten im Darknet zu kaufen - und keiner weiß wie sie kopiert worden sind.

  • Du kannst einen Angriff doch gar nicht erkennen. Da läuft auf einem Server einfach eine Software, die den gesamten Speichers (und damit die Daten anderer VMs) ausliest. Was willst du dagegen tun? Mittlerweile gibt es auch so viele Varianten von Spectre und Meltdown - da kommt niemand mit dem Patchen hinterher. Irgendwann gibt's dann die Daten im Darknet zu kaufen - und keiner weiß wie sie kopiert worden sind.

    Mal langsam: Von Meltdown gibt es eine Variante. Bei Spectre gibt es mehrere bekannte Varianten, die alle gepatcht sind, in der Regel durch Microcode-Updates und Patches.


    Das ist jetzt nicht gerade eine Unmöglichkeit, die Patches und BIOS-Updates zu fahren. Man muss es halt machen, es gibt Dienste wie WSUS/SCCM/AMT ja nicht ohne Grund.


    Ich weiß jetzt ehrlich gesagt nicht, was an den Lücken anders ist, als an den tausend anderen Lücken die es so gab.


    Gerade Patchen ist ein regelmäßiger Prozess, das macht man ja nicht erst wenn die Hütte brennt.


    Dazu gibt es ja noch Exploit Mitigation, also z.B. EMET, oder die in Windows 10 eingebaute Variante, oder Endpoint Protection wie Fireeye HX oder Checkpoint Sandblast.


    100% Sicherheit gibt es natürlich nicht, aber man kann die Latte für Eindringlinge schon verdammt hochlegen...

  • Solange im Dateisystem keine neuen Dateien auftauchen oder bestehende verändert werden bekommen die meisten gesicherten Systeme nicht mit das sie kompromittiert wurden.
    Es sei den es ist bereits ein massenhaft auftretender Code im RAM durch die Signaturen die dem Virenscanner zur Verfügung stehen gefunden worden.

  • Es gibt auch Mechanismen abseits von signaturbasierten Virenscannern.


    Verhaltensbasierte Sicherheitslösungen sind da eine gute Ergänzung, und funktionieren auch sehr ordentlich.


    Ein Allheilmittel ist das natürlich auch nicht, klar. In Kombination mit allen anderen Mitteln (Berechtigungskonzepten, Patch/Softwaremanagement, Mailfiltern, Monitoring, Schwachstellenscannern wie Nessus, OpenVas oder Rapid7 etc.) ist das aber schon sehr wirkungsvoll.


    IT-Security ist kein Selbstläufer, man muss schon was dafür tun. Und man kann es nicht so nebenbei tun.


    Ich - und viele meiner Kollegen in anderen Firmen - sind aber auch keine Schwarzseher. Wir reden ja nicht von irgendeiner Magie, welche Hacker oder Kriminelle einsetzen, sondern vom Ausnutzen von Lücken. Und genauso wie man Lücken ausnutzen kann, kann man sie auch schließen.


    Wenn Firmen heute allerdings noch mit XP und SMB1 und hastenichtgesehen unterwegs sind, muss man sich nicht wundern wenn es kracht.

  • War es nicht so, dass es die Patches nur für neuere Intel-Prozessoren gib? Aber wer nutzt schon noch so einen total veralteten Core i7 Quadcore mit 3.2 Ghz? Kann man ja heute nix mehr mit anfangen... ;)


    Es gibt 100%-ige Sicherheit, nur geht die ab einer gewissen Komplexität verloren. Und die Komplexität von Soft- und Hardware steigt immer weiter - und damit auch die Zahl der Lücken. Der Aufwand und die Kosten für IT-Security steigen entsprechend mit. Wenn du dich beruflich um IT-Security kümmerst, hast du natürlich eine goldene Zukunft vor dir.

  • Das ist jetzt nicht gerade eine Unmöglichkeit, die Patches und BIOS-Updates zu fahren. Man muss es halt machen, es gibt Dienste wie WSUS/SCCM/AMT ja nicht ohne Grund.

    So es Patches und BIOS-Updates für deine Hardware gibt. AMT ist noch ein ganz anderes, großes Problem im Bezug auf Sicherheit:


    https://thehackernews.com/2018…el-amt-vulnerability.html


    https://www.intel.com/content/…ability-announcement.html




    Auch gibt es sehr wahrscheinlich bisher noch keine bekannten Angriffe eben WEIL die Bugs so hoch aufgehängt werden und deshalb jeder patcht. Damit sind die meisten Systeme 'geimpft' und die Chance für einen Angreifer ein verwundbares zu finden eher klein.



    Verhaltensbasierte Sicherheitslösungen sind da eine gute Ergänzung, und funktionieren auch sehr ordentlich.

    Hilft allerdings nicht von einer VM in die andere, denn wenn ich eine VM miete ist das meine, da kann ich drauf machen was ich will und laufen lassen was ich will.



    Und genauso wie man Lücken ausnutzen kann, kann man sie auch schließen.

    Wenn man sie kennt und fixen kann. Bisher ging das mit mehr oder weniger Aufwand und Verlust and Leistung immer noch. Aber falls jemand bei aktuellen CPUs sowas hier findet ist es vorbei:


    https://www.tomshardware.com/n…idden-god-mode,37582.html


    In dem Falle kannst du die Hardware nur noch entsorgen.


  • Es gibt 100%-ige Sicherheit, nur geht die ab einer gewissen Komplexität verloren. Und die Komplexität von Soft- und Hardware steigt immer weiter - und damit auch die Zahl der Lücken. Der Aufwand und die Kosten für IT-Security steigen entsprechend mit. Wenn du dich beruflich um IT-Security kümmerst, hast du natürlich eine goldene Zukunft vor dir.

    100%ige Sicherheit ist Quatsch, und das weißt Du auch. Die gab es nie und wird es nie geben. Auch vor 30 oder 40 Jahren wurde in Computersysteme eingebrochen, das "Kuckucksei" sollte ja z.B. bekannt sein.


    Und das Hauptproblem ist damals wie heute EXAKT das selbe: Mangelndes Bewusstsein für IT-Sicherheit. Das Problem ist nicht die Technik, sondern das lange Zeit kein Fokus auf diesem Thema lag und es viele Firmen irgendwann eiskalt erwischt hat. Wäre es anders, hätten Läden wie Maersk nicht riesigen Schaden durch NotPetya erlitten. Das ist hausgemacht, auch weil viele aus WannaCry keine Konsequenzen gezogen haben. Ein einfacher Patch hätte schon das Schlimmste verhindert.

  • 100%ige Sicherheit ist Quatsch, und das weißt Du auch. Die gab es nie und wird es nie geben. Auch vor 30 oder 40 Jahren wurde in Computersysteme eingebrochen, das "Kuckucksei" sollte ja z.B. bekannt sein.
    Und das Hauptproblem ist damals wie heute EXAKT das selbe: Mangelndes Bewusstsein für IT-Sicherheit. Das Problem ist nicht die Technik, sondern das lange Zeit kein Fokus auf diesem Thema lag und es viele Firmen irgendwann eiskalt erwischt hat. Wäre es anders, hätten Läden wie Maersk nicht riesigen Schaden durch NotPetya erlitten. Das ist hausgemacht, auch weil viele aus WannaCry keine Konsequenzen gezogen haben. Ein einfacher Patch hätte schon das Schlimmste verhindert.

    Fragt sich, was 100%-ige Sicherheit bedeutet. Ein Server, der bei korrekten Zugangsdaten irgendwelche hinterlegten Datensätze rausrückt, keine anderen Daten preisgeben kann und verschlüsselte Kommunikation sicherstellt? Ich halte das für möglich. Wenn wir da allerdings von Protokollen und Schnittstellen reden, deren Spezifikation schon 1000 Seiten hat, dann sind Hopfen und Malz verloren.


    Mangeldes Bewusstsein für IT-Sicherheit entsteht meiner Meinung nach durch die Lügen der Softwareindustrie. "Das sicherste Windows aller Zeiten" ist nämlich nicht das sicherste Windows aller Zeiten, sondern - gemessen an der Anzahl kritischer Lücken - das unsicherste Windows aller Zeiten! Gleiches gilt für Virenscanner und andere dubiose Software, die den Benutzer glauben lassen will, dass seine Daten jetzt sicher sind. Wie wäre es mit einem Warnhinweis a lá "Das Produkt XY enthält vermutlich XYZ Sicherheitslücken, die es einem Angreifer ermöglichen, Ihre Daten abzugreifen." und XYZ wird dann auf Basis der kritischen Sicherheitslücken in der Vergangenheit im Verhältnis zur Größe der Codebasis ausgerechnet? Dann würde sich jeder 3x überlegen, ob er so ein System einsetzt oder eine Adressverwaltung vielleicht doch wieder unter Freedos laufen lässt. Aber drucken wir lieber Warnhinweise auf Kaffeebecher, damit sicher keiner mehr die Fresse verbrennt. :)


    Die verschiedenen Betriebssysteme schenken sich da meiner Meinung nach nichts. Größere Codebasis bedeutet auch immer mehr Sicherheitslücken. Zugegeben - in den Anfängen des Internets gab es einen kurzen Zeitraum, in dem es sehr einfach war einen Windows-Rechner aus der Ferne zu kapern, aber von diesem Zeitraum abgesehen sind IT-Systeme so unsicher wie noch nie.

  • Ist zwar jetzt nicht CPU-bezogen aber ich habe jetzt sogar auf meinem beruflichen Debian/GNU-Linux Rechner den Sophos AV-Scanner installiert, weil ich so bessere (Schein)argumente bei Klagen wegen DSGVO, bzw. Datenpannen habe; obwohl ich genau weiß, dass es außer einer höheren IO-Last gar nix bringt. Zumindest nicht bezogen auf Sicherheit. Verrückt!