Hallo Besucher, der Thread wurde 4,7k mal aufgerufen und enthält 31 Antworten

letzter Beitrag von c64user am

Sicherheitslücken in CPUs (OT aus: Linux macht sich das Leben schwer)

    Thema Security Lücken zu CPUs, OS und Software aus Linux macht sich das Leben schwer hierher ausgelagert.


    <EDIT>Titel angepasst

    Zitat von Retrofan

    Als die ersten NetBooks kamen (eeePC, erinnert sich noch jemand? ...)

    Wieso erinnern... Ich habe noch einen eeePC901 der auch noch oft in Benutzung ist. Mit einem Linux ist der nämlich noch immer brauchbar mit seinen max. 2GB RAM und 16GB (lahmer) SSD.


    Ist natürlich kein Rennpferd mit dem Atom N270... Dafür keine Probleme mit Spectre und Meltdown. Websurfen ist zwar lahm, aber geht wenn man etwas Geduld hat und der Akku ist auch noch nicht ganz platt.

    Zitat von Gerrit

    Ist natürlich kein Rennpferd mit dem Atom N270... Dafür keine Probleme mit Spectre und Meltdown.

    Im echten Leben gibt es auch keine Probleme mit Spectre und Meltdown...Nur weil es die Lücken gibt, heißt das noch lange nicht das man sie ausnutzen kann.


    "In the wild" wurden die Lücken nämlich noch nicht ausgenutzt...


    Es ist heutzutage unglaublich kompliziert, ein OS ohne Zutun des Anwenders zu kompromitieren. Nicht umsonst ist (Spear-)Fishing per Mail immer noch das Mittel der Wahl um Schadcode auf den Rechner zu bekommen.

    Zitat von Deep4

    Im echten Leben gibt es auch keine Probleme mit Spectre und Meltdown...Nur weil es die Lücken gibt, heißt das noch lange nicht das man sie ausnutzen kann.

    Proof of Concept Code ist vorhanden und vor allem auf VM-Hosts hast du keine Wahl, du musst dich gegen eine böswillige VM absichern.



    Zitat von Deep4

    "In the wild" wurden die Lücken nämlich noch nicht ausgenutzt...

    Zumindest ist bisher nichts bekannt. Muss leider nichts heissen, es wird immer wieder Malware gefunden die einen bis dato unbekannten Bug ausnutzt.



    Zitat von Deep4

    Es ist heutzutage unglaublich kompliziert, ein OS ohne Zutun des Anwenders zu kompromitieren.

    Das Problem ist, derjenige, der einen Weg findet das als Drive-By-Attack via Javascript (also Besuch einer Webseite) zu implementieren wird das vielleicht nicht an die große Glocke hängen sondern passende Malware schreiben. Nichts zu tun wäre also ein Fehler.

    Zitat von Gerrit

    Das Problem ist, derjenige, der einen Weg findet das als Drive-By-Attack via Javascript (also Besuch einer Webseite) zu implementieren wird das vielleicht nicht an die große Glocke hängen sondern passende Malware schreiben. Nichts zu tun wäre also ein Fehler.

    Wer sagt denn, das "nichts tun" ok wäre? Wir patchen unsere Systeme so weit es geht, halten unsere Software aktuell, nutzen diverse Möglichkeiten der Exploit Mitigation etc. Alles andere wäre natürlich fahrlässig.


    Trotzdem ist - auch wenn die Lücken in den CPUs gravierend sind - Hysterie, wie sie durch die Medien ging, unangebracht und unnötig. Es ist sehr wahrscheinlich, das so ziemlich jede CPU Lücken hat (siehe ja auch Via CPUs), die nur nicht entdeckt wurden. Aber Spectre und Meltdown (und so ziemlich alle nachfolgenden Entdeckungen in diesem Umfeld) sind erstmal klassische Beispiele von Labor-Exploits. Da müssen x Faktoren zusammenkommen damit sowas auf einem Rechner ausnutzbar ist. Zumal gerade die Browserhersteller schnell reagiert haben und damit die Haupteinfallstore deutlich entschärft haben.


    Der Impact der Patches bzw. BIOS-Updates auf die Leistung ist je nach CPU natürlich schon recht grob.


    Jetzt ist halt ein guter Zeitpunkt um Chipdesigner anzuhalten, sich noch mal genauer mit ihren zukünftigen Schöpfungen in dieser Richtung zu beschäftigen...

    Zitat von Deep4

    Es ist heutzutage unglaublich kompliziert, ein OS ohne Zutun des Anwenders zu kompromitieren. Nicht umsonst ist (Spear-)Fishing per Mail immer noch das Mittel der Wahl um Schadcode auf den Rechner zu bekommen.

    Ich liebe deinen ersten Satz! :) Er ist natürlich völlig richtig, aber zeigt auf wunderbare Weise, wie die viel zu kompliziert gewordenen Betriebssysteme ein völlig falsches Sicherheitsgefühl vermitteln. Frei nach dem Motto "Da steigt ja eh keiner mehr durch...". Tatsächlich war es nie einfacher als heute ein OS ohne Zutun des Anwenders zu kompromitieren. Noch nie hatten Betriebssysteme so viele Fehler wie heute, noch nie hatten CPUs so viele Fehler wie heute gepaart mit Dutzenden von undokumentieren Funktionen. Fehlerhafte Firmware bei Netzwerkkarten und Festplatten, UEFI, schrottige Treiber, Router mit Backdoors, Bloatware wohin man schaut. Dazu über Bluetooth und WLAN ständig mit der Außenwelt verbunden. Sicherheitstechnisch ist alles, was man heute kaufen kann, eine absolute Katastrophe. Natürlich bekommen wir außer ein paar Sicherheitslücken, die hier und da entdeckt werden, nichts mit. Fishing per Mail machen nur Amateure. Die echten Hacker können ohne Weiteres einen PC kapern - zeigen es aber sicher nicht für lausige 50.000$ Bug Bounty. Da klaut man lieber leise ein paar Bitcoins.


    Irgendwann kommt der große Knall. Ein Cyberkrieg, bei dem unsere gesamte Infrastruktur innerhalb von Minuten lahmgelegt wird. Oder ein Wurm, der Millionen von Handys lahmlegt oder sogar zerstört. Vor 10 Jahren habe ich so etwas auch für Blödsinn gehalten - aber bei dem Hardware- und Softwaremüll, der heute zusammengefrickelt wird, ist das nur noch eine Frage der Zeit. Und wenn erstmal Daten bei Behörden geklaut werden und jemand dann mit einer Klage durchkommt, dass dort in der Folge seine "Daten" nicht mehr digital gespeichert werden dürfen, weil deren Sicherheit nicht gewährleistet ist... dann geht der Spaß erst richtig los. Die Zukunft wird diesbezüglich noch sehr spannend.


    BTW: Meldung heute bei Heise: Multifunktionsdrucker können über manipuliertes Fax gekapert werden. Die Dinger sind nichts anderes als ein Computer mit LAN-Anbindung an das Firmennetzwerk...

    Zitat von Snear

    BTW: Meldung heute bei Heise: Multifunktionsdrucker können über manipuliertes Fax gekapert werden. Die Dinger sind nichts anderes als ein Computer mit LAN-Anbindung an das Firmennetzwerk...

    Das finde ich am "erschreckensten" daran - "es passiert" über die Fax-Leitung - DAS war mir neu.


    Siehe hier:
    https://www.youtube.com/watch?v=1VDZTjngNqs


    Ich habe meinen Drucker hier auf Arbeit auch sofort die neue Firmware verpasst. Da wäre zwar nicht wirklich was passiert, weil der nur per USB lokal an meinen TED angeschlossen ist - dennoch weiß man nie... wenn es ein Hacker schon so weit schafft.... aber alles ist möglich und nichts unmöglich.

    Zitat von Snear

    Ich liebe deinen ersten Satz! :) Er ist natürlich völlig richtig, aber zeigt auf wunderbare Weise, wie die viel zu kompliziert gewordenen Betriebssysteme ein völlig falsches Sicherheitsgefühl vermitteln. Frei nach dem Motto "Da steigt ja eh keiner mehr durch...". Tatsächlich war es nie einfacher als heute ein OS ohne Zutun des Anwenders zu kompromitieren. Noch nie hatten Betriebssysteme so viele Fehler wie heute, noch nie hatten CPUs so viele Fehler wie heute gepaart mit Dutzenden von undokumentieren Funktionen. Fehlerhafte Firmware bei Netzwerkkarten und Festplatten, UEFI, schrottige Treiber, Router mit Backdoors, Bloatware wohin man schaut. Dazu über Bluetooth und WLAN ständig mit der Außenwelt verbunden. Sicherheitstechnisch ist alles, was man heute kaufen kann, eine absolute Katastrophe. Natürlich bekommen wir außer ein paar Sicherheitslücken, die hier und da entdeckt werden, nichts mit. Fishing per Mail machen nur Amateure. Die echten Hacker können ohne Weiteres einen PC kapern - zeigen es aber sicher nicht für lausige 50.000$ Bug Bounty. Da klaut man lieber leise ein paar Bitcoins.

    Das ist falsch, dazu muss man sich nur die Angriffe der letzten Jahre ansehen. Ziel waren immer veraltete Infrastrukturen oder halt die Anwender.


    "Echte Hacker" haben Meltdown und Spectre gefunden, sogar den Weg aufgezeichnet, und trotzdem hat es bisher niemand geschafft dies auszunutzen.


    Und Bitcoins konnten auch nur geklaut werden, weil die betroffenen Börsen sehr lax in Sachen Sicherheit unterwegs waren...Man muss als Hacker nur stoisch genug sein, dann findet man auch eine Schwachstelle; die ist aber meistens "hausgemacht", weil irgendjemand gepennt hat.


    War immer so, wird immer so sein.

    Zitat von Deep4

    Jetzt ist halt ein guter Zeitpunkt um Chipdesigner anzuhalten, sich noch mal genauer mit ihren zukünftigen Schöpfungen in dieser Richtung zu beschäftigen...

    Zumindest wissen wir jetzt warum Intel immer schneller war als AMD... Mit installierten Meltdown-Patches schrumpft der Vorsprung deutlich. Da wurde etwas zuviel auf Speed optimiert...

    Zitat von Deep4

    Das ist falsch, dazu muss man sich nur die Angriffe der letzten Jahre ansehen. Ziel waren immer veraltete Infrastrukturen oder halt die Anwender.
    "Echte Hacker" haben Meltdown und Spectre gefunden, sogar den Weg aufgezeichnet, und trotzdem hat es bisher niemand geschafft dies auszunutzen.


    Und Bitcoins konnten auch nur geklaut werden, weil die betroffenen Börsen sehr lax in Sachen Sicherheit unterwegs waren...Man muss als Hacker nur stoisch genug sein, dann findet man auch eine Schwachstelle; die ist aber meistens "hausgemacht", weil irgendjemand gepennt hat.


    War immer so, wird immer so sein.

    Viele Server sind virtualisiert - da teilen sich manchmal ein halbes Dutzend Leute einen PC. Mit Meltdown und Spectre kannst du den Speicher des kompletten Servers auslesen und damit an die Daten der anderen Personen gelangen. Meltdown und Spectre auszunutzen ist nun wirklich ein Kinderspiel. Und es geht vermutlich noch viel einfacher. Man kann aber davon ausgehen, dass CPUs generell einen "Godmode" haben. Eine undokumentierte Funktion erlaubt das auslesen geschützter Speicherbereiche. Bei VIA-CPUs erst vor ein paar Tagen entdeckt:
    https://www.heise.de/security/…-Prozessoren-4133425.html
    Wäre ein Wunder, wenn AMD und Intel dieses "Feature" nicht hätten. CPUs sind über die Jahre zu Blackboxen geworden. Der kritische Punkt, an dem Soft- und Hardware aufgrund ihrer Komplexität unbeherrschbar geworden ist, ist meiner Meinung nach längst überschritten.

    Zitat von Snear

    Meltdown und Spectre auszunutzen ist nun wirklich ein Kinderspiel. Und es geht vermutlich noch viel einfacher.

    Wenn das so wäre würde es ja jemand tun - ist aber bisher nicht geschehen.


    Es gibt - soweit bekannt - keinen erfolgreichen Angriff außerhalb von Laborbedingungen. Der einzig sinvolle Angriffsvektor wären Browser, diese wurden aber schon vor langem entsprechend gefixt.


    L1 Terminal Fault ist jetzt aktuell sicher noch mal ein anderes Thema, gerade für Rechenzentren. Aber auch gegen L1TF gibt es bereits Microcode-Updates (https://software.intel.com/sec…uidance/l1-terminal-fault), und die Hersteller der OSe werden wohl auch zügig reagieren...


    Nachtrag: Microsoft hat schon gepatcht...

    Zitat von Deep4

    Man muss als Hacker nur stoisch genug sein, dann findet man auch eine Schwachstelle; die ist aber meistens "hausgemacht", weil irgendjemand gepennt hat.

    Nicht unbedingt weil jemand gepennt hat: Wenn wir einmal davon ausgehen, dass alles was wir nutzen von Menschen ersonnen ist und wir uns darüber einig sind, dass Menschen fehlbar sind, so ist die logische Konsequenz, dass wenn eine beliebige Zahl von Menschen nur lange genug etwas tut, zwangsläufig Fehler passieren werden.


    Nichts anderes sagt Murpys Gesetz: Ein fehler wird immer irgendwann passieren, entweder weil man weiß, dass er schonmal passiert ist oder weiß, dass er möglich ist. Die Unbekannte ist hierbei nur die Dauer bis zum erstmaligen Auftreten des Fehlers.


    Leider läst sich die Abwesenheit von Fehlern nicht beweisen.

    Zitat von ogd

    Oh Gott, wir müssen alle sterben.


    Nein, im Ernst, welche Konsequenz ziehst du daraus?

    Hehe, nein, wir müssen nicht alle sterben... aber einige wird es treffen. Hat vielleicht jemand einen Herzschrittmacher oder eine Insulinpumpe von Medtronic?
    https://www.heise.de/security/…steller-kalt-4133625.html
    Es wird Todesopfer aufgrund von Sicherheitslücken geben.


    Ich selbst vermeide neuere Technik, wo ich kann und versuche alles, was personalisierte Daten produziert, zu vermeiden. Ich zahle nur mit Bargeld, bestelle selten im Internet, sondern kaufe meist im Laden. Ein Smartphone habe ich selbstverständlich auch nicht. Ich könnte hier eine endlose Liste aufführen... aber wen interessierts? :)

    Zitat von Snear

    Hehe, nein, wir müssen nicht alle sterben...

    Eigentlich doch! Zumindest nach dem derzeitigen medizinischen Stand.

    Zitat von Snear

    Hat vielleicht jemand einen Herzschrittmacher oder eine Insulinpumpe von Medtronic?

    Jupp! Aber dazu kann ich aus erster Hand Details liefern:
    Um die Daten auf das Aggregat zu übertragen ist direkter Körperkontakt notwendig. Ein Airgap und schon kann keine Verbindung aufgebaut werden!
    Da es (wie alles im Leben) ein Spiel mit Wahrscheinlichkeiten ist:
    Für wie wahrscheinlich hältst du es, dass jemand

    • mich töten will und
    • weiß, dass ich ein Medtronic Gerät habe und
    • weiß, welches Modell ich habe und
    • ein ein gehacktes Programmiergerät hat und
    • nah genug an mich herankommt und
    • dabei auf den 1/2cm genau die Stelle triff, an der das Aggegat sitzt

    im Gesatz zu

    • einfach ein Messer zieht und mich absticht

    Ein Messer ist zu offensichtlich und zu auffällig bei Kontrollen.
    Und für deine restlichen Fragen, da gibt es Google und Facebook. Ich wäre nicht überrascht, wenn da einige so was im Netz ausplaudern.


    Wie schon erwähnt, es ist nicht die Frage ob das passiert, sondern eher wann. Und das der Hersteller nur mit einem Achselzucken reagiert, machts die Situation für die Betroffenen nicht besser. Ehrlich gesagt, erwarte ich von einer Firma, die weiß, dass sie ein Sicherheitsloch in ihrer Hardware hat, dass sie sich darum kümmert. Aber anscheinend erwarte ich von der Menschheit mal wieder zu viel.

    Zitat von echo

    Ein Messer ist zu offensichtlich und zu auffällig bei Kontrollen.

    Nö. Sonst würde es keine Messerattacken in Deutschland geben. Überlegt mal, wie vielen Menschen ihr tagtäglich begegnet. Von denen muss nur einer von der Leiter gefallen sein und seine Persönlichkeit sich dadurch verändert haben -> schon könnte er theoretisch euch einfach abstechen. Trotzdem lauft ihr nicht in einer Ritterrrüstung herum.

    Zitat von echo

    Und für deine restlichen Fragen, da gibt es Google und Facebook. Ich wäre nicht überrascht, wenn da einige so was im Netz ausplaudern.

    Hab kein Facebook, und damit die restlichen Rahmenbedingungen alle zutreffen braucht es im Gegensatz zur Messerattacke ein Motiv und Vorsatz, weil extreme Planung erforderlich ist.

    Zitat von echo

    Wie schon erwähnt, es ist nicht die Frage ob das passiert, sondern eher wann.

    Wenn das unendlich lange beim ist-Zustand bleibt, wird es nach Murphy definitiv passieren. Das ist klar.

    Zitat von echo

    Und das der Hersteller nur mit einem Achselzucken reagiert, machts die Situation für die Betroffenen nicht besser. Ehrlich gesagt, erwarte ich von einer Firma, die weiß, dass sie ein Sicherheitsloch in ihrer Hardware hat, dass sie sich darum kümmert.

    Das ist richtig. Ich sehe das genauso. Aber was soll ich deiner Meinung nach tun? Die Tatsache, dass ich nicht gestorben bin ist mir wichtiger als die Risiken aus der Lücke.


    Zumal ihr eins nicht vergessen dürft:
    Wenn ich beim Artzt das Aggregat programmieren lasse, regt der sich immer darüber auf, dass das technisch einen Stand von 1998 hat.
    Dabei vergisst er aber, dass das ein Medizinprodukt ist das unter allen Umständen laufen muss.
    Man könnte es auch mit Android programmieren. Problem ist nur:
    Wenn Android abstürzt starte ich mein Gerät neu. Sowas darf natürlich bei einem Medizinprodukt nicht passieren.
    Da kann man nicht mal adhoch grundlegende Technik durch andere ersetzten. Schon rein Bürokratisch nicht.

    Zitat von c64user

    Nö. Sonst würde es keine Messerattacken in Deutschland geben. Überlegt mal, wie vielen Menschen ihr tagtäglich begegnet. Von denen muss nur einer von der Leiter gefallen sein und seine Persönlichkeit sich dadurch verändert haben -> schon könnte er theoretisch euch einfach abstechen. Trotzdem lauft ihr nicht in einer Ritterrrüstung herum.

    Versuch mal ein Messer ins Flugzeug zu schmuggeln oder in einer Massenveranstalltung. In der Regel ist da ein Problem mit den Metalldetektor vorprogrammiert. Hier dürfte das Schmuggeln eines Programmiergeräts doch einfacher sein.
    Je mehr Angriffsvektoren etwas hat, desto einfacher wir dein Angriffsszenario. In manchen dieser Szenario dürfte ein Messer einfacher sein, aber nicht in jedem Falle, wie bei den genannten.


    Zitat von c64user

    Hab kein Facebook, und damit die restlichen Rahmenbedingungen alle zutreffen braucht es im Gegensatz zur Messerattacke ein Motiv und Vorsatz, weil extreme Planung erforderlich ist.

    Ich sprach ja nicht von dir, sondern von der Allgemeinheit. Und da wird es bestimmt jemanden geben.
    Und ich würde aus deinem Schreiben hier durchaus interpretieren, dass (sollte ich so was vorhaben) ich bei dir in diese Richtung schnüffeln könnte. Immerhin hast du dich als betroffener geoutet.


    Zitat von c64user

    Das ist richtig. Ich sehe das genauso. Aber was soll ich deiner Meinung nach tun? Die Tatsache, dass ich nicht gestorben bin ist mir wichtiger als die Risiken aus der Lücke.

    Schreib dem Hersteller des Geräts eine freundliche Mail, dass du besorgt bist und auf Reaktion des Herstellers wartest.
    Mehr als deinen Kummer beim Hersteller kund zu tun, wirst du nicht verursachen können. Ggf. ist auch ein Kummerbrief an deinen betreuenden Arzt hilfreich. Je mehr druck in Form von Sorgen beim Hersteller eintrifft, desto eher wird er reagieren.
    Nichts tun sollte man hier nicht.


    Ich finde es auch unschön, dass man solche Situationen in der Haustechnik einfach in Kauf nimmt. Irgendwann wird deine Feuerstelle per Internet erreichbar sein. Am besten mit Zugang für den freundlichen Schornsteinfeger. Und dann ist das Chaos vorprogrammiert... Aber das ist hier ja nicht das Thema.


    Zulassungen sind in der Medizin nicht ohne Grund schwierig und das ist auch gut so.
    Wenn der Arzt sich aufregt, frag ihn mal wie alt sein Auto ist, wie oft es in den ersten Jahren mit Kinderkrankheiten zu kämpfen hatte. Wünscht er sich diese Situation bei nem Herzschrittmachern? Wohl eher nicht.

    Zitat von Deep4


    Es gibt - soweit bekannt - keinen erfolgreichen Angriff außerhalb von Laborbedingungen. Der einzig sinvolle Angriffsvektor wären Browser, diese wurden aber schon vor langem entsprechend gefixt.

    Wenn überhaupt ein erfolgreicher Angriff erkannt wird geben die Geschädigten es meist nicht bekannt.

    2x VC20, 3x Plus/4, unbekannte Anzahl von C64 Brotkästen (326298/KU-14194HB/250407/250425/250466), 2x C64G, 2x C64C transparent Dallas (326298/KU Replika, Reloaded MK2), 1x C128DCR, 2x A500 Rev.3, 1x A500 Rev.5, 2x A500 Rev.6, 4x A500+ Rev.8, 3x A600, 3x A1200 transparent, 2x A1200 Escom, 2x A2000 Rev.6.2, 1x A2000 Rev.4.1, 1x A4000D, 1x MISTICA FPGA16 Acryl, 1x Lotharek Mist Midi, 1x MISTer FPGA, 2x CPC464, 2x CPC6128, 2x KC85/2, 1x KC85/3, 1x KC85/4