Zen 3: AMD weist auf neue Schwachstelle hin, ähnelt Spectre
- Ersteller PCGH-Redaktion
- Erstellt am
owned139
BIOS-Overclocker(in)
Auch wenn du das anders meintest, werfe ich hier einfach mal Bulldozer in den Raum
Naja, zu Recht, immerhin hat AMD mittlerweile ganze 17 solche teilweise schwerwiegende Sicherheitsfehler. Dass Intel dagegen über 150 hat, wird dann ganz schnell ausgeblendet... ^^
Mahoy
Volt-Modder(in)
Intel ist ja auch Markführer, und dafür muss man schließlich die Konkurrenz in jeder Hinsicht überbieten!
Spaß beiseite, könnten wir bitte den Sandkasten wieder verlassen? Das anfänglich harmlose gegenseitige Gefrotzel steuert schon wieder auf eine unschöne Eskalation zu ...
Intel ist ja auch Markführer, und dafür muss man schließlich die Konkurrenz in jeder Hinsicht überbieten!
Da kann der Userbenchmark wieder einen weiteren Punkt ausgraben.
Cuddleman
BIOS-Overclocker(in)
Ironisch ist dabei zusätzlich, das hier vorwiegend die Server-Prozessoren ein Interessantes Schnüffelgebiet bieten, zumal hier die interessantesten Objekte z.B. zur Industriespionage durch laufen.Ja krass!
Bloß gut, dass all unsere email-Adressen, shop-logins, user-namen und die dazugehörigen Passwörter deutlich sicherer sind
Kaum auszudenken, was jemand mit einer erfolgreichen Attacke auf das
ausrichten könnte.
Da bin ich echt beruhigt, dass meine Mama für all ihre accounts immerhin 3 verschiedene Passwörter verwendet.
Wenn jetzt noch so was dazu kommen würde wie Spectre V4, ei ei ei
Dann darf sicherlich nicht mal mehr der Fensterputzer ins Haus zukünftig
PS: Ironie @ LVL 1337, falls es jemand nicht verstanden hat
@ZAM [ironie]Tags bitte!!
Facebook konnte auch keine plausible Erklärung abgeben, wie denn die vielen Daten aus deren Servern entwendet werden konnten.
Das hat FC wohl gewinnbringend selbst verscherbelt.
Dumm nur, das die Server-Prozessoren weltweit in Verwendung sind, egal, ob Intel, AMD, ARM, oder die kaum noch in den Mund genommenen.
Zuletzt bearbeitet:
Richu006
BIOS-Overclocker(in)
Oh mein Gott!!!
Ich habe soeben alle unsere AMD Pc's im ganzen Betrieb, abgehängt, mit dem Hammer drüber geprügelt, mit nem magneten überall herum gefahren. Und dann alles aus dem Fenster geschmissen.
Der chef kam dann und fragte was ich für nen Wutanfall hätte.
Habe ihm dann gesagt, das diese Geräte eine potentielle Gefahr für unseren Betrieb darstellten und sofort vernichtet werden müssen.
Hoffentlich bekomme ich nun eine Beförderung, da ich schlieslich den Betrieb vom ruin gerettet habe!!
Ich habe soeben alle unsere AMD Pc's im ganzen Betrieb, abgehängt, mit dem Hammer drüber geprügelt, mit nem magneten überall herum gefahren. Und dann alles aus dem Fenster geschmissen.
Der chef kam dann und fragte was ich für nen Wutanfall hätte.
Habe ihm dann gesagt, das diese Geräte eine potentielle Gefahr für unseren Betrieb darstellten und sofort vernichtet werden müssen.
Hoffentlich bekomme ich nun eine Beförderung, da ich schlieslich den Betrieb vom ruin gerettet habe!!
TheGermanEngineer
BIOS-Overclocker(in)
Ich nehme mir nicht heraus die Schwere dieser konkreten Sicherheitsfehler zu bewerten, weder bei Intel noch bei AMD. Die Anzahl spielt aber nur eine untergeordnete Rolle, sofern es mindestens einen gibt, der von potentiellen Angreifern effektiv ausgenutzt werden kann. Die Wahrscheinlichkeit für Fehler dieser Art ist bei "nur" 17 (bekannten) Fehlern geringer, trotzdem sind es 17 Fehler zu viel.
Trotzdem schön zu sehen dass dies offen kommuniziert wird.
Hätte AMD alles richtig gemacht, dann würde diese Diskussion gar nicht erst existieren.
Offene Kommunikation bei Sicherheitslücken und Schwachstellen ist extrem wichtig. Find es daher echt gut, wie AMD damit umgeht. Wie es nicht geht, hat der Microsoft Exchange Hack gezeigt und auch Ripple20 ist noch immer nicht vom Tisch. Neu dazu gekommen ist in letzter Zeit die Sache mit den LG Smart-TVs. Hier merkt man erstmal wie mangelhaft so etwas nach außen kommuniziert wird.
Dazu kommt die Tatsache, das der 08/15-User sich mit solchen Dingen gar nicht auseinander setzt, wenn es nicht in der Tagesschau oder im Radio bekannt gegeben wird. Trotz Kommunikationswillen der Hersteller kommen die News oftmals einfach nicht an. Von dem fehlenden Know-How wie man sein System aktuell hält will ich erst gar nicht anfangen. Seh das hier ja jeden Tag bei unseren "Experten" im Büro.
Keiner wird wohl diese Methode nutzen, um solche Ziele anzugreifen. Man benötigt dazu irres Spezialwissen (das haben nur sehr wenige), der Angriff ist unglaublich komplex und schwierig, die Möglichkeiten des Angriffs sind sehr begrenzt. Es ist wesentlich einfacher, billiger schneller und viel Effektiver die klassischen Methoden zu nutzen.
Wenn man nicht zufällig am iranischen Atomprogramm o.ä. arbeitet, dann kann man diese Lücken getrost ignorieren. Ein Problem ist es nur für Cloudanbieter, die dann nur noch sagen können "ihre Daten sind sicher, bis auf diese kleine theoretische Lücke...", statt "ihre Daten sind sicher".
Cuddleman
BIOS-Overclocker(in)
Deswegen ja auch, z.B. und der Gedanke zu Facebook!
Ich vermute mal, das es tatsächlich diverse Menschen gibt, die solch ein Spezialwissen besitzen, nur die Frage bleibt, zu wessen nutzen?
Wesentlich interessanter erscheint mir, wie kommt man überhaupt erstmal an die Schwachstelle heran, um diese tatsächlich sinnvoll ausnutzen zu können und würde das jemanden tatsächlich auch auffallen, wenn diese ausgebeutet wird?
Mhm, schwierig abzuschätzen das Ganze. Das Thema hat zwei Seiten finde ich. Zum einen, nur weil noch keine Fälle bekannt sind die auf diese Methode setzen, bedeutet das noch lange nicht das es auch so bleibt. Auch wenn die Kommunikation von AMD vorbildlich in diesem Fall war, kommen Leute sehr schnell auf dumme Ideen. Ich denke mal viele werden PFS aktiviert lassen. Das widerum macht es für die bösen Jungs attraktiver. Aus PR-Sicht hat AMD auf jeden Fall alles richtig gemacht. Damit vermeiden sie negative Presse zum großen Teil. Intel hatte damals einen deutlich schwereren Stand. Egal ob in der Fachpresse oder bei Usern.
In der Cloud wird´s geklaut. (1€ in die Wortspielkasse
)Cloudanbieter und VMs sind natürlich extrem davon betroffen. Letztere wegen ihrem Sandboxing. Hier stellt sich für mich allerdings die Frage: Was ist mit den Webbrowsern? Die benutzen in der Regel ja auch Sandboxing um spezielle Dinge auszuführen. Oder hab ich hier gerade einen Denkfehler?
Du darfst auch niemals unterschätzen, wie lukrativ Industriespionage ist. Da wird jeder Angriffsvektor mit Kusshand angenommen. Egal ob für Intel oder AMD-CPUs. Geld und die Gier daranch war schon immer ein guter Ansporn.
Sicher hast du Recht aber der hier wichtigste Punkt ist wohl, fast keiner dieser 17 Punkte kommt beim Konkurrenten nicht genauso vor. Es gibt "nur" (und ja, auch die sind eigentlich schon zu viel) 2 (okay, jetzt sind es wohl 3) "AMD-spezifische" Sicherheitslücken, für die man unmittelbaen Zugriff auf das komplette System haben muss...
Team Blau ist hier mit deutlich weniger Personal am start. (Vermutlich aus historischen Gründen – ein erheblicher Teil der Community kam nun einmal zu den Hochzeiten von Athlon, XP, 64 und X2 zur PCGH.)
In-House-Arbeiten haben prinzipiell einen Zeitvorteil, den man natürlich auch umsetzen muss ("Abschalten" erachte ich noch nicht wirklich als Lösung), umgekehrt wobilisiert Intels Bounty-Programm sehr viele externe Leute. Die arbeiten dann letztlich auch auf Rechnung von Intel, selbst wenn sie unabhängig veröffentlichen. Am Ende ist es aber egal, wie ein Hersteller Hacking-Möglichkeiten aufdeckt, was zählt ist: Wie lange dauert es, bis die Lücke geschlossen wird?
Statsitiken sollte man bekanntermaßen misstrauen oder selber fälschen. Die Errata-Listen sind weder in Vollständigkeit, noch Schwere noch Inhalt vergleichbar. So betreffen neue Spectre-ähnliche Vulnerabilitäten bei Intel beispielsweise seit Jahren mehrheitlich SGX – also ein zusätzliches Sicherheitsniveau, dass bei Intel doch nicht sicher ist, bei AMD aber überhaupt erst mit Genoa ein Gegenstück erhalten wird. Klar, dass an einer bislang nur bei einem Hersteller vorhandenen Funktion auch nur bei einem Hersteller Mängel gefunden werden. Da macht den anderen aber nicht besser – Windows 98 ist im Gegensatz zu Windows 10 auch Meltdown-"sicher", indem es den freien Zugriff zur Norm erklärt.
Am Ende würde aber selbst bei Vergleichbarkeit der Listen gelten: 17 statt 150 Hackingmöglichkeiten ist nicht "nur ein bisschen unsicher". Weil es das genauso wenig gibt, wie "ein bisschen schwanger". Schaden entsteht immer durch genau eine Sicherheitslücke und wichtig ist, wie lange Angreifer für deren Ausnutzung und wie lange Hersteller für deren Schließung brauchen. Dass die Lücke bekannt wird, ist dabei in der Regel schon der positivere Teil der Geschichte.
Für Cloud-Anbieter ist das mehr als nur Theorie. Man braucht bei den meisten dieser Attacken zwar ungeheur viel Spezialwissen, um sie zu finden, aber weitaus weniger um sie nachzuvollziehen. Und da diese Hacks nicht nur mühsam einzeln abzugreifende User-Daten betreffen (was beispielsweise bei einer Banking-Cloud schlimm genug wäre), sondern auch den administrativen Zugang (mit resultierndem Vollzugriff), ist unzureichender Schutz dagegen in vielen Fällen ein K.O.-Kriterium für eine Entscheidung pro oder contra Cloud.
Nein, es fällt nicht auf. Um da heranzukommen braucht man die besten Spezialisten, die es gibt. Sie müssen schneller sein, als diejenigen, die diese Lücken sonst aufspüren und melden. Momentan ist man sich sicher, dass die NSA diese Kapazitäten hat und vermutlich der CIA und Mossad. Weitere Kandidaten wären die Geheimdienste von China, Nordkorea und Rußland. Wenn man diese Leute erstmal hat, braucht man noch ein System, das unter der Kontrolle des Angreifers steht, also ein virtueller Webserver, der auf einem realen Server läuft, wie das System, das man angreifen möchte und obendrein die selbe CPU nutzt.
Hier stellt sich für mich allerdings die Frage: Was ist mit den Webbrowsern? Die benutzen in der Regel ja auch Sandboxing um spezielle Dinge auszuführen. Oder hab ich hier gerade einen Denkfehler?
Man braucht dafür die exakten Zeiten, um es zu rekonstruieren können. Das erste, das alle Browserentwickler gemacht haben, ist diese Zeitstempel absichtlich ungenau zu machen. Bei normalen Anwendungen ist es kein Problem, wenn eine Abweichung im µsec Bereich besteht, die Spectre und Meltdownlücken werden jedoch zuverlässig zugemauert. Das war dann auch schon die einzige Bereich, indem diese Lücke einem Normalo theoretisch hätte gefährlich werden können.
Du darfst auch niemals unterschätzen, wie lukrativ Industriespionage ist. Da wird jeder Angriffsvektor mit Kusshand angenommen. Egal ob für Intel oder AMD-CPUs. Geld und die Gier daranch war schon immer ein guter Ansporn.
Der Punkt ist, dass jede andere Methode unglaublich viel schneller, einfacher sowie billiger ist und auch noch deutlich bessere Ergebnisse liefert. Egal ob es andere Sicherheitslücken, ein physischer Einbruch oder ein Maulwurf ist.
Der Entscheidende Punkt ist, dass in dem Fall ein Maulwurf einfach die bessere Wahl ist, da er oder sie wesentlich schneller einsatzbereit ist, weniger Ressourcen (Geld und Know How) braucht und die besseren Ergebnisse liefert. Wenn man den Maulwurf an der entsprechenden Stelle platziert, dann hat man Zugriff auf alles. Also wird ein Angreifer sein Ziel, bei der nächsten Stellenausschreibung, mit seinen Supermännern und Superfrauen bombardieren, von denen mindestens eine(r) den Job bekommt.
Interessant werden diese Lücken erst, wenn es nichtmehr anders geht. Beim iranischen Atomproramm werden die Leute vermutlich extrem gründlich kontrolliert, Spezialisten aus den Ausland (besonders dem westlichen) werden nicht angeworben, das sind eher Eigengewächse und der iranische Gemeindienst wird sich wohl im klaren sein, was der Mossad und die CIA wollen (also ist es schwer die Leute zu korrumpieren). Schlechte Voraussetzungen. Wenn man da irgendwo einen virtuellen Server unter Kontrolle bekommen hätte, dann wäre dies die ideale Gelegenheit für Spectre und Meltdown.
Das iranische Atomprogramm war, wie vermutlich alle Anlagen dieser Sicherheitsstufe, komplett pyhsisch vom Netz getrennt. Deswegen damals die Infektion über manipulierte USB-Sticks, die über social engeneering eingeschleust werden mussten. So etwas ist aber, ab einer gewissen Sicherheits-/Nicht-Naivitäts-Stufe nur noch in kleinem Maßstab praktikabel und lohnt sich dann nur für große/staatliche Akteuere mit konkreten Zielen.
Kriminelle Banden wollen mit geringem Einzelaufwand eine breite Palette potenzieller Ziele angreifen, um große Mengen Daten abzugreifen, von denen dann hoffentlich ein Teil verkaufbar ist. Bei mittelständischen Unternehmen oder internationalen Konzernen kommt man da mit simplen Phishing-Mails oft nicht mehr weit und wir haben in den letzten Jahren genug Attacken mit ausgereiften Trojanern gesehen um zu wissen, dass Kriminelle mittlerweile gezielt Technik entwickeln. Spectre-Attacken in immer populärer werdenden Cloud-Umgebungen wäre der nächste logische Schritt. Zwar sind sie in der Entwicklung aufwendiger als bisherige Methoden, aber sie sind bei weitem nicht so komplex wie eine persönliche Infiltration von hunderten Zielen. Und: Sie sind nicht detektierbar, also theoretisch über sehr lange Zeiträume einsetzbar.
Das gilt aber nur solange, wie sich niemand um die Bekämfung von Spectre-like Exploits bemüht. Ein zeitiges Stopfen ist nicht wichtig, weil Kriminielle mit in ein paar mehr Wochen zwischen Entdeckung und Patch großen Schaden anrichten könnten, sondern zur Abschreckung: Solange nicht die Aussicht besteht, ein einmal entwickeltes Tool über Jahre einzusetzen, versucht sich auch niemand daran. Und das ist dann auch für Privatanwender wichtig, denn einmal entwickelte Exploits würden irgendwann auch gegen Tante Erna in Stellung gebracht werden, obwohl die keine Admin-Zugangsdaten hat und ihre Kontoinformationen bereitweillig jedem Phisher gibt.
Übrigens sind die Sandkisten diverser Browser nur bedingt Spectre-sicher. Sie bieten zwar keinen ausreichend präzisen Timer mehr an, aber alle Routinen die nötig sind, um einen zu bauen. Entsprechende PoC für Timer wurde auch schon erstellt und ein funktionierender Exploit würde mutmaßlich nur ein paar Wochen bis Monate Entwicklungsarbeit erfordern. Aber das ist immer noch viel für einen Angriff, der für das Deployment dutzende gehackter Webseiten (oder rückverfolgbare Werbebuchungen) erfordern würde und binnen weniger Stunden wegen der erzeugten Hardware-Last auffiele.
Kriminelle Banden wollen mit geringem Einzelaufwand eine breite Palette potenzieller Ziele angreifen, um große Mengen Daten abzugreifen, von denen dann hoffentlich ein Teil verkaufbar ist. Bei mittelständischen Unternehmen oder internationalen Konzernen kommt man da mit simplen Phishing-Mails oft nicht mehr weit und wir haben in den letzten Jahren genug Attacken mit ausgereiften Trojanern gesehen um zu wissen, dass Kriminelle mittlerweile gezielt Technik entwickeln. Spectre-Attacken in immer populärer werdenden Cloud-Umgebungen wäre der nächste logische Schritt. Zwar sind sie in der Entwicklung aufwendiger als bisherige Methoden, aber sie sind bei weitem nicht so komplex wie eine persönliche Infiltration von hunderten Zielen. Und: Sie sind nicht detektierbar, also theoretisch über sehr lange Zeiträume einsetzbar.
Das gilt aber nur solange, wie sich niemand um die Bekämfung von Spectre-like Exploits bemüht. Ein zeitiges Stopfen ist nicht wichtig, weil Kriminielle mit in ein paar mehr Wochen zwischen Entdeckung und Patch großen Schaden anrichten könnten, sondern zur Abschreckung: Solange nicht die Aussicht besteht, ein einmal entwickeltes Tool über Jahre einzusetzen, versucht sich auch niemand daran. Und das ist dann auch für Privatanwender wichtig, denn einmal entwickelte Exploits würden irgendwann auch gegen Tante Erna in Stellung gebracht werden, obwohl die keine Admin-Zugangsdaten hat und ihre Kontoinformationen bereitweillig jedem Phisher gibt.
Übrigens sind die Sandkisten diverser Browser nur bedingt Spectre-sicher. Sie bieten zwar keinen ausreichend präzisen Timer mehr an, aber alle Routinen die nötig sind, um einen zu bauen. Entsprechende PoC für Timer wurde auch schon erstellt und ein funktionierender Exploit würde mutmaßlich nur ein paar Wochen bis Monate Entwicklungsarbeit erfordern. Aber das ist immer noch viel für einen Angriff, der für das Deployment dutzende gehackter Webseiten (oder rückverfolgbare Werbebuchungen) erfordern würde und binnen weniger Stunden wegen der erzeugten Hardware-Last auffiele.
Cuddleman
BIOS-Overclocker(in)
Also am besten beides, so wie es die NSA Jahrzehnte lang in der ganzen Welt getrieben hat!
Da liegt es ja nahe, das solche Sicherheitslücken eher gewollt, als aus Versehen geschaffen wurden/werden.
Die europäische CPU wirds dann wohl in Europa richten müßen.
Zuletzt bearbeitet:
Ähnliche Themen
