Wie reagiert ihr auf Meltdown / Spectre?

Hier kann über allgemeine Themen diskutiert werden, die sonst in kein Forum passen.
Insbesondere über Szene, Games, Kultur, Weltgeschehen, Persönliches, Recht, Hard- und Software.
Antworten
Benutzeravatar
starcow
Establishment
Beiträge: 523
Registriert: 23.04.2003, 17:42
Echter Name: Mischa Schaub
Kontaktdaten:

Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von starcow »

Hallo Zusammen

Ich wollte mal bei euch nachfragen, wie ihr mit dem Sicherheitsrisiko Spectre und Meltdown umgeht.
Ich bin ehrlich gesagt ziemlich betrübt und beunruhigt deswegen.
Mein System ist ein Sandy Bridge aus dem Jahr 2011 (2600K) mit Windwos 7. Da mir mein System noch hervorragende Dienste leistet, würde ich es eigentlich nicht ersetzen wollen. Zudem ist eine teure 3D-Software (Softimage) auf den Netzwerk-Adapter gedongelt. Eine Umstellung auf ein neues System wäre schon ein erheblicher Aufwand. Zudem fehlt mir auch einfach das Geld dafür.

Die Patches die ja bereits für Win7 verteilt werden, sollen ja teil deutliche Leistungseinbussen zur Folge haben. Im Heise-Forum lese ich zudem über Stabilitäts-Probleme. Wenn ich das jetzt richtig verstanden habe, wird durch den Patch die Sicherheitslücke aber auch nicht wirklich geschlossen. Und wenn Intel da nicht doch noch ein BIOS-Update veröffentlicht, wird sich daran ja auch nichts mehr ändern (heul).

Ich habe mir jetzt überlegt, die Patches gar nicht zu installieren. Wenn am Ende das Risiko doch nicht ausgemerzt werden kann, aber mein System dadurch spürbar langsamer wird, sehe ich den Sinn dahinter nicht wirklich.

Wie beurteilt ihr den die Situation?
Ich meine, Code soll ja damit nicht eingeschleust, sondern "lediglich" der Speicher teils ausgelesen werden können (was ja schlimm genug ist).
Wenn man sich aber kein bösartiges Programm auf den Rechner aktiv installiert hat, bleibt doch eigentlich nur noch JavaScript als Angriffsfeld.
Kann man es nicht so halten, dass man fürs freie Surfen einfach ein Browser nutzt, bei dem man die JavaScript-Engine irgendwie abschalten kann?
Also einfach nur bekannte und vertrauenswürdige Seite mit aktivem JavaScrip-Interpreter ansurfen.

Hat jemand eine ähnliche Situation wie ich? Prozessor-Generation und Win7?

Gruss starcow
Freelancer 3D- und 2D-Grafik
mischaschaub.com
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Krishty »

starcow hat geschrieben:Wenn man sich aber kein bösartiges Programm auf den Rechner aktiv installiert hat, bleibt doch eigentlich nur noch JavaScript als Angriffsfeld.
Kann man es nicht so halten, dass man fürs freie Surfen einfach ein Browser nutzt, bei dem man die JavaScript-Engine irgendwie abschalten kann?
Also einfach nur bekannte und vertrauenswürdige Seite mit aktivem JavaScrip-Interpreter ansurfen.
99 % der Malware (auch lange vor Spectre) fängt man sich via JavaScript ein. Du solltest also sowieso einen Script-Blocker nutzen (zumindest einen Werbeblocker). Ich nutze ScriptSafe, aber das ist derart pedantisch, dass du da jeden Tag fünf Minuten verschwendest, einzelne Scripts freizuschalten.
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Benutzeravatar
Chromanoid
Moderator
Beiträge: 4254
Registriert: 16.10.2002, 19:39
Echter Name: Christian Kulenkampff
Wohnort: Lüneburg

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Chromanoid »

Für den Browser: http://xlab.tencent.com/special/spectre ... check.html

Ob der Browser dann wirklich sicher ist, weiß ich nicht genau... Ich gehe erst mal davon aus, dass zumindest die bereits bekannten Sachen dabei geprüft werden.

Keine Ahnung wie das mit eingebetteten Browsern in den verschiedensten Anwendungen ist. In denen am besten keine zwielichtigen Seiten besuchen. Bei Second Life gibt's zum Beispiel ein eingebautes Webkit, das Webseiten beim Besuchen von Parzellen in Texturen rendern kann. Das ist dann bestimmt noch nicht gepatcht. Bei solchen Spielereien also besonders aufpassen :)

Man müsste auch mal prüfen, ob man Spectre-Attacken über XSLT machen kann. Da hab ich ja mal was im IE gefunden. Ich schaue gleich mal nach dem Posten, ob man in XSLT einen guten Timer hat.

Außerdem bin ich mir nicht sicher, ob das ungenau machen von Timern im Browser wirklich ausreicht, oder ob man mittels Hochzählen von Zahlen oder so was einen eigenen Timer bauen kann, der zumindest probabilistische Aussagen ermöglicht.
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Krishty »

Selbst wenn der Browser unsicher ist, rieseln die Daten ja in der Größenordnung von 200 KiB/s. Bis man da ein Passwort findet, ist der Nutzer hoffentlich schon skeptisch, warum die Webseite die ganze Zeit 100 % CPU-Leistung zieht …
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Benutzeravatar
Chromanoid
Moderator
Beiträge: 4254
Registriert: 16.10.2002, 19:39
Echter Name: Christian Kulenkampff
Wohnort: Lüneburg

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Chromanoid »

Das stimmt wohl :) BTW XSLT hat nur millisekundengenaues Timing.
Benutzeravatar
Tiles
Establishment
Beiträge: 1990
Registriert: 11.01.2003, 13:21
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Tiles »

Ich dachte der letzte Microsoft Patch wäre schon der Flicken auf dem Loch gewesen. Ihr meint da kommt noch mehr?

Was ich gehört habe ist dass da kein BIOS Update nötig ist, sondern das über das OS gefixt werden soll. Aber hörensagen und so, und mit OS Sachen beschäftige ich mich ehrlich gesagt nicht sonderlich intensiv ...
Free Gamegraphics, Freeware Games https://www.reinerstilesets.de
Die deutsche 3D Community: https://www.3d-ring.de
antisteo
Establishment
Beiträge: 854
Registriert: 15.10.2010, 09:26
Wohnort: Dresdem

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von antisteo »

Ich muss sagen, ich war überrascht, dass man in Zeiten von virtuellem Speicher, VMs und JavaScript-Sandboxen noch eine solch gravierende Lücke so tief im System findet.

Generell ist der Ansatz sehr interessant, mit Timing-Attacken Side-Channels zu öffnen. So wurden ja auch die ersten SmartCards geknackt: Man konnte den privaten Schlüssel auslesen, indem man die Verschlüsselungszeit von RSA misst; denn je nachdem, ob eine 1 oder 0 im Key steht wird quadriert und multipliziert oder nur quadriert.

Ich bin gespannt, welche Side-Channels noch so in vorhandener Software existieren, ohne dass wir es geahnt haben.

Der Super-GAU wäre ja ein Remote Exploit in Netzwerkhardware (vielleicht durch NSA-Backdoors oder Wartungs-Zugänge; ein geleakter Update-Key reicht ja aus). Mal sehen, ob man so etwas noch erleben wird. Nach Meltdown steht fest: Möglich wäre es.
http://fedoraproject.org/ <-- freies Betriebssystem
http://launix.de <-- kompetente Firma
In allen Posts ist das imo und das afaik inbegriffen.
Benutzeravatar
Tiles
Establishment
Beiträge: 1990
Registriert: 11.01.2003, 13:21
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Tiles »

Passend zum Thema: https://www.heise.de/newsticker/meldung ... 38140.html

Wir wissen dass wir nichts wissen ...
Free Gamegraphics, Freeware Games https://www.reinerstilesets.de
Die deutsche 3D Community: https://www.3d-ring.de
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Krishty »

Tiles hat geschrieben:Ich dachte der letzte Microsoft Patch wäre schon der Flicken auf dem Loch gewesen. Ihr meint da kommt noch mehr?
Unix wurde jedenfalls gepatcht – dort liegen die Kernel Page Tables nun nicht mehr während des User Modes im Adressraum. (Gab’s hier auf ZFX eine Woche vor dem Presse-Aufschrei zu lesen, fuck yea.)

Mit dem Kenntnisstand von letzter Woche hätte ich angenommen, dass das Problem damit erledigt ist. Aber die Interna des Microsoft-Patches habe ich mir noch nicht angesehen und ich habe auch nicht groß die weitere Entwicklung verfolgt; darum möchte ich hier nicht Entwarnung geben.

P.S.: Microsoft verteilt die Patches nur an Systeme, auf denen kein inkompatibler Virenscanner installiert ist. Also deinstalliert jede AV-Software, bevor ihr auf Updates prüft. Auf AMD-Systemen sollte man die Patches auch noch nicht installieren.
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

Re: Wie reagiert ihr auf Meltdown / Spectre?

Beitrag von Krishty »

Zu Windows gibt es schon seit dem 9. Januar gute Informationen, ich hatte sie nur bisher nicht gefunden …

Hier wird erklärt, was Microsoft gegen Meltdown/Spectre unternommen hat und wie es sich auf die Leistung auswirkt: https://cloudblogs.microsoft.com/micros ... s-systems/

Da wir Software-Entwickler sind: Für Angriffsvektor 1 ist auch ein Compiler-Update nötig. Unter Visual Studio steht das schon länger über den internen Schalter /d2guardspecload zur Verfügung; nun ist er als /Qspectre öffentlich und es gibt eine sehr gute Erklärung, wie er funktioniert: https://blogs.msdn.microsoft.com/vcblog ... s-in-msvc/
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Antworten