Weitere Sicherheitslücken: Auf Spectre und Meltdown könnten Skyfall und Solace folgen

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.949
ibmqubitcpu100b.jpg
Noch sind nicht einmal alle OS-Patches und Firmware-Updates gegen Meltdown und Spectre fertig entwickelt und Intel kämpft auch noch mit Problemen der ersten Implementationen, da deuten sich die nächsten dunklen Wolken am Horizont an. Die Namen: Skyfall und Solace.Bisher sind keine konkreten Angriffsmethoden für die beiden Spectre-Varianten und Meltdown (CVE-2017-5175,...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Morgen in Berlin an der Currywurstbude:

"Einmal Pommes weiß rot mit Sicherheitslücke."



Fühlt sich irgendwie gerade wie nen Ausverkauf an, schade, dass es keine vernünftigen Ryzen Notebooks gibt (außer den ASUS Dreck), so bin ich auf Intel gezwungen.
 
Die Informationslage scheint noch extrem dünn außer bei HWL gibt es noch keinerlei Berichte im Netz, die Herkunft und Ursprung der Quelle ist sehr schleierhaft, Skyfall and Solace

Ob da wirklich was dran ist :confused:
 
T-Systems Austria hat dazu getwittert, es gibt einige Verweise darauf, es wird schon was dran sein ;)
 
Haben sich die verantwortlichen Beschäftigten bei diesen Unternehmen und die Staatsdiener ziemlich Mühe gegeben. Unzählige weitere mit Absicht konstruierten "design flaws" werden natürlich nicht aufgedeckt bzw. heute. Abseits von den neuen "design flaws" die bereits in neueren Prozessoren implementiert werden.
Was sagte Linus Torvald gleich? "Intel never intends to fix anything OR—these workarounds should have a way to disable them. Which of the two is it?”"

Die "Architekturschwächen" sind auch schon seit 1995 bekannt, unter der "Schirmherrschaft" der Staatsdiener der nsa; "This analysis is being performed under the auspices of the National Security Agency's Trusted Product Evaluation Program (TPEP)."
https://pdfs.semanticscholar.org/2209/42809262c17b6631c0f6536c91aaf7756857.pdf

Wenn man huntertausenden von Menschen, über jahrzehnte lang, Gehirnwäschen verpassen kann, mit Moral aus Normen und Werten (sprich Religionen), damit sie das tun was man von ihnen möchte, entstehen solch eine Gruppendynamik aus intersubjektiven Entitäten. Dann braucht man sich auch gar nicht in diktatorischer Weise zu bemühen, Menschen zu etwas zu zwingen. Man verkauft ihnen Religionen und sie tun es auch von selbst (Es gibt keine einheitliche Definition von "Religion". Als größter Faktor haben alle Religionen gemein, jenenen Menschen "Moral" vorschzureiben, nicht "transzendente Wesen").
Und da heißt es doch das größte Argument gegen die These "Die Mondlandung der Beteligten aus den usa sei ein "fake", da dies sonst bedeuten würde der ganze "Kalte Krieg" war auch nur ein vorgetäuschtes Spiel und huntertausende von Menschen über jahrzehntelang hätten dies gewusst und mitgemacht, und obendrein wäre es statistisch gesehen unmöglich dass irgendwer sich nicht verplaudert hätte :d

Und dann kommt Snowden und erzählt "der Welt" was hundertausende von Menschen über jahrzehnte lang getrieben haben, und keiner hat sich verplappert. Abgesehen von den Millionen von Menschen die sich anderswo auch mit ähnlichem beschäftigt haben.
Ach, Menschen.
 
Zuletzt bearbeitet:
Morgen in Berlin an der Currywurstbude:

"Einmal Pommes weiß rot mit Sicherheitslücke."
Sicherheitslücken gehören einfach zur IT Welt.
Sie ist daran in den letzten 20 Jahren nicht zerbrochen und nur wenige hundert tausend Privatpersonen wurden jemals signifikant Opfer (also mit nennenswerten Konsequenzen) von irgendwelchen Lücken.
Also nicht immer die Suppe so heiss kochen...

@SalatKraut
Echt jetzt? :rolleyes:

ja, die USA war/ist da lange restriktiv. Bis 1999 durften Privatpersonen keine Software/Geräte mit Sicherheitsschlüsseln über 56bit Länge nutzen. Das war z.B. auch der Grund wieso die ersten beiden DRM Systeme für DVDs so schnell geknackt wurden.
Trotzdem hat das nichts mit Gehirnwäsche oder irgend so nen Schwachsinn zutun.
Sondern schlicht und ergreifend mit etwas anderer - inzwischen durchaus veralteter - Denkweise sowieo mit Patriotismus.
Aber von solchen Feinheiten abgesehen arbeiten auch für die NSA Leute wie du und ich ;)

Dass dies was mit Meltdown/Spektre zutun hat ist zudem extrem spekulativ.
 
Zuletzt bearbeitet:
Sicherheitslücken ehören einfach zur IT Welt.
Sie ist daran in den letzten 10 Jahren nicht zerbrochen und nur wenige hundert tausend Privatpersonen wurden jemals Opfer.
Also nicht die Suppe so heiss kochen...

Ich weiß selber, dass es wahrscheinlich immer Lücken geben wird.
Mir geht es aber nur um die Menge in den letzten Tagen/Wochen, mehr auch nicht. :)



Blablabla, hier steht Müll

/votekick SalatKraut

:stupid:
 
Zuletzt bearbeitet:
Fühlt sich irgendwie gerade wie nen Ausverkauf an, schade, dass es keine vernünftigen Ryzen Notebooks gibt (außer den ASUS Dreck), so bin ich auf Intel gezwungen.
Hab ich jetzt was überlesen? Es ist hier doch von keinerlei Ausschluss der Betroffenheit von AMD was geschrieben. Das heißt die neuen Lücken können genau so gut AMD betreffen. Von daher ist mir unklar was das genau bringen würde.

Grüße
Thomas
 
Hab ich jetzt was überlesen? Es ist hier doch von keinerlei Ausschluss der Betroffenheit von AMD was geschrieben. Das heißt die neuen Lücken können genau so gut AMD betreffen. Von daher ist mir unklar was das genau bringen würde.

Grüße
Thomas

Jup, jedoch wäre mir trotzdem lieber auch mal nen brauchbares AMD Teil kaufen zu können.
(Skyfall könnte alles sein, hört sich aber leicht nach nem Fehler in der Skylakearchitektur (Skylake,Kabylake,CoffeeLake,IceLake) an.
 
Hier in Berlin war das bisher ein laues Windchen (Standort: in der Nähe vom S Bahnhof Landsberger Allee)

Selbst die absolut anfällige S Bahn, die bei einem kleinen Ast schon zusammenbricht, hatte bisher 0 Einschränkungen.

(Genug OT :d )
(Der Wind wurde aber in den letzten Minuten wirklich etwas stärker)
 
Zuletzt bearbeitet:
(Skyfall könnte alles sein, hört sich aber leicht nach nem Fehler in der Skylakearchitektur (Skylake,Kabylake,CoffeeLake,IceLake) an.
Bin ich der einzige, der in den Bezeichnungen eine Referenz zu den James Bond Filmen mit Daniel Craig sieht, aber nicht zu einer Prozessoren-Architektur? Spectre, Skyfall, (Quantum of) Solace? Nein?

Grüße
Thomas
 
Was soll denn überhaupt Spectre bewirken?.
Bis heute hab ich keine Probleme.
Jeder kreicht so laut rum deswegen :asthanos:
 
Bald haben wir einen 8700k auf dem Leistungsniveau eines 2600k.

Glückwunsch Intel, Ihr macht endlich mal Platz für AMD
 
Bei der Fülle an Sicherheitslücken, die momentan so "entdeckt" werden, gehen denen ja bald die James Bond Filmtitel aus. :rolleyes:
 
Was soll denn überhaupt Spectre bewirken? Bis heute hab ich keine Probleme.
Es ist möglich Daten aus dem Systemspeicher abzugreifen (darunter können auch Zugangspaßwörter oder ähnliches fallen). Da eine CPU die Berechnungen und Speicherergebnisse aus Sprungvorhersagen nicht permanent speichert oder protokolliert, sondern sie einfacher gesagt nach Nichtgebrauch verwirft, ist es schwierig Angriffe auf deren Basis nachzuweisen. Die Berechnungen dazu erfolgen verdeckt, da Fehlinterpretationen der Sprungvorhersage stets möglich sind. Der Angreifer kann diesen Umstand nutzen um Informationen aus dem dafür genutzten Adressraum abzurufen. Da sich die Einträge in den Adressraum wegen der Sprungvorhersage ständig ändern, bleiben Angriffe die über Einschleusung eines spekulativen Codes ausgeführt werden unentdeckt.

Du merkst davon also nichts, dass ist ja das Problem.
 
Zuletzt bearbeitet:
Es ist möglich Daten aus dem Systemspeicher abzugreifen (darunter können auch Zugangspaßwörter oder ähnliches fallen). Da eine CPU die Berechnungen und Speicherergebnisse aus Sprungvorhersagen nicht permanent speichert oder protokolliert, sondern sie einfacher gesagt nach Nichtgebrauch verwirft, ist es schwierig Angriffe auf deren Basis nachzuweisen. Die Berechnungen dazu erfolgen verdeckt, da Fehlinterpretationen der Sprungvorhersage stets möglich sind. Der Angreifer kann diesen Umstand nutzen um Informationen aus dem dafür genutzten Adressraum abzurufen. Da sich die Einträge in den Adressraum wegen der Sprungvorhersage ständig ändern, bleiben Angriffe die über Einschleusung eines spekulativen Codes ausgeführt werden unentdeckt.

Du merkst davon also nichts, dass ist ja das Problem.

Spectre kann primär Daten abgreifen die aktuell im Prozessor bearbeitet werden. Am problematischsten dürfte das in der Praxis bei Passwörtern o.Ä. sein.

Über Meltdown könnte man eventuell auch Daten aus dem Arbeitsspeicher klauen.

Schützen kann man sich prinzipiell dadurch das man gefährdete Programme nur verwendet wenn gleichzeitig kein fragwürdiges Programm (etwa ein Browsertab mit einer fragwürdigen Webseite die fragwürdige Scripts ausführt) geöffnet ist. Bei Spectre kann es im Prinzip ausreichen gefährdeten Programmen einen CPU(-Kern) exklusiv zur Verfügung zu stellen.

Das sind natürlich unschöne und umständliche Workarounds.

Bessere Lösungen lassen sich natürlich durch Anpassung von Hardware und Software erreichen und da gibt es ja schon einige Möglichkeiten...
 
Man muss sich bei der CPU Architektur halt entscheiden ob man maximale Leistung oder maximale Sicherheit will. Ich würde maximale Leistung vorziehen.
 
@satuan und @Superwip

Danke für die Infos
 
https://www.myce.com/wp-content/images_posts/2018/01/2018-01-22_17-28-35.png

Boom Baby - einen ausgestreckten Mittelfinger gepaart mit einem verrückten Lachen an all die Hypochonder die auf den Zug aufgesprungen sind und wieder krampfhaft bevor irgendwas bekannt war rumspekuliert haben, inwiefern die Namen was mit der Architektur oder sonst was zu tun haben könnten. Es zeigt, ein toller Name und schon heißt es: "All aboard the hype train!" Glückwunsch.

Grüße
Thomas
 
War eh klar, dass es ein Fake war, danke für die Bestätigung. :)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh