Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Rollora schrieb:
Stimme zu, deshalb vor ungefähr 20 Seiten mal mein Hinweis auf ein Betriebssystem, das kaum mehr kann als ein 20 Jahre altes OS (da wurden sie gerade komplex), nämlich Win 98, aber inzwischen brauchts statt 100mb Speicher auf der Platte 20 GB. Da sind viele neue (eher unnütze) Features drin, die Türen öffnen... und zigtausende Sicherheitspatches
Zum Vergrößern anklicken....

Es gibt aber schon noch Möglichkeiten ein schlankes OS zu installieren, das ohne Firlefanz daherkommt, den ohnehin keiner braucht und von den meisten halt hingenommen wird.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Zappaesk schrieb:
Es gibt aber schon noch Möglichkeiten ein schlankes OS zu installieren, das ohne Firlefanz daherkommt, den ohnehin keiner braucht und von den meisten halt hingenommen wird.
Zum Vergrößern anklicken....

Schon allein Windows Kernel, HAL, Treiber und Direct-X zusammen sind extrem komplex und das ist noch nichtmal ausreichend um zu starten.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

yummycandy schrieb:
Schon allein Windows Kernel, HAL, Treiber und Direct-X zusammen sind extrem komplex und das ist noch nichtmal ausreichend um zu starten.
Zum Vergrößern anklicken....

Ich glaube er spielt auf ein Unixoides Betriebssystem als Alternative an.

Edit: Als Beispiel. Ubuntu 16.04 LTS kommt mit weniger als einem GB aus.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sterreich schrieb:
Ich glaube er spielt auf ein Unixoides Betriebssystem als Alternative an.

Edit: Als Beispiel. Ubuntu 16.04 LTS kommt mit weniger als einem GB aus.
Zum Vergrößern anklicken....

Es ging allgemein um Komplexität und die Gefahren daraus, entstehende Lücken etc. Linux hat allgemein den Vorteil, daß die einzelnen Komponenten kleiner sind, dafür braucht man eine höhere Anzahl. -> 1 Tool for 1 task

Selbst alle Lücken in 1GB Software zu finden, damit es fehlerfrei ist, naja.....
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

yummycandy schrieb:
Selbst alle Lücken in 1GB Software zu finden, damit es fehlerfrei ist, naja.....
Zum Vergrößern anklicken....

Da geb ich dir recht, bloß ist es einfacher als in 20GB.

Dazu kommt, dass hier mit offenen Karten gespielt wird. Es kann jeder mit draufschauen und nach Fehlern und Verbesserungsmöglichkeiten schauen. Das macht es schon sicherer.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Zappaesk schrieb:
Da geb ich dir recht, bloß ist es einfacher als in 20GB.

Dazu kommt, dass hier mit offenen Karten gespielt wird. Es kann jeder mit draufschauen und nach Fehlern und Verbesserungsmöglichkeiten schauen. Das macht es schon sicherer.
Zum Vergrößern anklicken....

Solange kompetente Leute auditieren, ja ;)
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

yummycandy schrieb:
Solange kompetente Leute auditieren, ja ;)
Zum Vergrößern anklicken....
Es gibt im "normalen" Testingkeinen Schritt der kontrolliert ob das Design Lücken hat. Die Frage die in der Regel gestellt wird ist ob das gegebene Design wie beschrieben umgesetzt wurde und das tut wofür es gedacht war.
Hier geht es aber um Designfehler welche zusätzliche, ungewünschte, Funktionalität liefern. Das ist eine ganz andere Hausnummer.

Zappaesk schrieb:
Da geb ich dir recht, bloß ist es einfacher als in 20GB.
Zum Vergrößern anklicken....
Bitte OS-Size und Kernelsize nicht verwechseln. Und erst Recht nicht binary-size mit Codezeilen. Ich kenne die aktuellen Kennzahlen nicht, würde mich aber nicht wundern wenn ein Linux Kernel(inkl. der gängigen Kernelmodule welche z.B. Ubuntu immer dabei hat) als SourceCode kaum kleiner ist als der aktuelle NT Kernel.
 
Zuletzt bearbeitet:
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Olstyle schrieb:
Es gibt im "normalen" Testingkeinen Schritt der kontrolliert ob das Design Lücken hat. Die Frage die in der Regel gestellt wird ist ob das gegebene Design wie beschrieben umgesetzt wurde und das tut wofür es gedacht war.
Hier geht es aber um Designfehler welche zusätzliche, ungewünschte, Funktionalität liefern. Das ist eine ganz andere Hausnummer.
Zum Vergrößern anklicken....

Hier wird dann der Vergleich zur Automobilindustrie (und vermutlich vielen anderen Branchen) deutlich. Dort wird nämlich genau nach diesen Seiteneffekten gezielt gesucht. Werkzeuge wie FMEA, FuSi usw. machen nix anderes als nach Fehlern bzw. Fehlermöglichkeiten zu suchen und diese auszumerzen. Das heißt nicht, dass es da keine Fehler gibt (beileibe nicht), aber die herangehensweise ist eben ein wenig anders.

Deswegen funktionieren die Ganzen Autobeispiele (kaputte Bremsen, losgehender Airbag usw) eben nicht wirklich.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

lutari schrieb:
Die interessanten Links postest du nur bei CB? Nur durch Zufall entdeckt.
Re: "Out-of-order" und "speculative" sind zw… | Forum - heise online
Zum Vergrößern anklicken....

Naja, war als Antwort gedacht. Aber es erklärt wo der Unterschied zwischen AMD und Intel im Design besteht.

Olstyle schrieb:
Ich kenne die aktuellen Kennzahlen nicht, würde mich aber nicht wundern wenn ein Linux Kernel(inkl. der gängigen Kernelmodule welche z.B. Ubuntu immer dabei hat) als SourceCode kaum kleiner ist als der aktuelle NT Kernel.
Zum Vergrößern anklicken....

Der NT-Kernel müsste ja ein Mikrokernel sein, also ist der von Linux naturbedingt umfangreicher. Es sei denn, du läßt die Hardwaretreiber komplett weg.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Zappaesk schrieb:
Hier wird dann der Vergleich zur Automobilindustrie (und vermutlich vielen anderen Branchen) deutlich. Dort wird nämlich genau nach diesen Seiteneffekten gezielt gesucht. Werkzeuge wie FMEA, FuSi usw. machen nix anderes als nach Fehlern bzw. Fehlermöglichkeiten zu suchen und diese auszumerzen.
Zum Vergrößern anklicken....
Naja, ich bin mir ziemlich sicher dass eine Side-Channel Attacke wie die hier beschriebenen auch in keiner FMEA aufgedeckt bzw. als kritisch eingeschätzt würde.
Dazu muss zu viel kombiniert werden um einen Angriff zu ermöglichen.

Das sah bei der Überprüfung wohl etwa so aus:
Frage: Welche Maßnahme haben wir um den Zugriff auf Supervisor Daten bei der spekulativen Ausführung zu verhindern? (So den Fall überhaupt einer der Beteiligten als Risiko gesehen hat)
Antwort: Bevor das Ergebnis zurückgegeben wird muss das Sicherheitsbit als korrekt verifiziert werden.
Ergebnis: Unsere Architektur ist sicher.

yummycandy schrieb:
Der NT-Kernel müsste ja ein Mikrokernel sein, also ist der von Linux naturbedingt umfangreicher. Es sei denn, du läßt die Hardwaretreiber komplett weg.
Zum Vergrößern anklicken....
Der NT-Kernel ist ein Hybridkernel. Wenn man den + Grafiktreiber mit einem "schlank" konfigurierten Linux-Monolithen vergleicht dürfte das Ergebnis in der Funktionalität garnicht soo unterschiedlich sein (und eben auch nicht in der Größe).
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Olstyle schrieb:
Naja, ich bin mir ziemlich sicher dass eine Side-Channel Attacke wie die hier beschriebenen auch in keiner FMEA aufgedeckt bzw. als kritisch eingeschätzt würde.
Dazu muss zu viel kombiniert werden um einen Angriff zu ermöglichen.
Zum Vergrößern anklicken....

Oh, ich bin davon überzeugt - falsch, ich weiß, dass man mit FMEA nicht alles findet. FMEA ist nur in Verbindung mit einem vernünftigen LL Prozess sinnvoll. Dadurch lernt FMEA dazu und wird besser (analoges deep learning?! ;))

Bloß, wenn man es gar nicht macht wirds auch nicht besser.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Nur kam die Unterrichtsstunde halt erst gerade.
Ergo wird man es in zukünftigen Designs sicher berücksichtigen.
Zappaesk schrieb:
Bloß, wenn man es gar nicht macht wirds auch nicht besser.
Zum Vergrößern anklicken....
Ich kenne die Arbeitsweise von Intel nicht, aber frei heraus zu behaupten dass es solche Verfahren dort nicht gibt halte ich für sehr Blauäugig.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Olstyle schrieb:
Ich kenne die Arbeitsweise von Intel nicht, aber frei heraus zu behaupten dass es solche Verfahren dort nicht gibt halte ich für sehr Blauäugig.
Zum Vergrößern anklicken....

Das habe ich auch gar nicht ausdrücken wollen. Es bezieht sich nur auf deine Aussage, dass sowas im normalen Testingprozess nicht gemacht wird. Ich gehe schon davon aus, dass eine, wie auch immer geartete Sicherheitsüberprüfung gemacht wird - alles andere wäre fahrlässig, gerade auch bei den Summen um die es hier in der Entwicklung geht - da sind wir ja schon halbwegs in den monetären Bereichen, die in der Automobilindustrie eingesetzt werden müssen
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Ich hab zwar mit Chipdesign nichts am Hut, kann mir aber vorstellen, daß bei jeder neuen Generation nur wenige Teile optimiert werden. Mehr oder weniger werden die doch Bausteine haben, die immer wieder verwendet werden + die neuen Module eben. Sollte eine neue Architektur anstehen (Zen) sieht das anders aus, aber selbst da wurden bestimmt Teile wiederverwendet.

Und ich kann mir wirklcih nicht vorstellen, daß sämtliche wiederverwendeten Module immer wieder die gleichen Tests durchlaufen. Oder sehe ich das verkehrt?

Edit:

Schon allein die Kausalitätsketten müssen krank sein. Wenn ich Modul A verändere,. muss ich Cache B und C verändern ....

Edit2:

Ist da was dran?
Spectre work arounds arent even out. If you listen to gamernexus's new video, The fixes are under NDA till the 9th. Only the datacentres have all the fixes.
Zum Vergrößern anklicken....
YouTube

Lacht nicht, aber das könnte dazu passen: Controlling the Performance Impact of Microcode and Security Patches for CVE-2017-5754 CVE-2017-5715 and CVE-2017-5753 using Red Hat Enterprise Linux Tunables - Red Hat Customer Portal
Da ist dann auch die Rede von Patches für AMD <= Zen
:D
 
Zuletzt bearbeitet:
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Eine Windows 2016 Nano Installation ist ca. 600 MB groß. Nur mal als Vergleich. Die Größe einer Windows-Installation liegt nicht am Kernel sondern an dem ganzen Drumherum. Je mehr grafische UI desto mehr Speicherplatz.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Grestorn schrieb:
Eine Windows 2016 Nano Installation ist ca. 600 MB groß. Nur mal als Vergleich. Die Größe einer Windows-Installation liegt nicht am Kernel sondern an dem ganzen Drumherum. Je mehr grafische UI desto mehr Speicherplatz.
Zum Vergrößern anklicken....

Der Windows NT Kernel ist nicht größer als vergleichbare Linux Kernel, um die 5-10MB für normale x86 PCs. Ein minimal Windows boot, natürlich ohne GUI, gibts schon für 25MB, genauso wie Linux. Wie sieht sonst das Windows Setup aus? Da wird auch n Kernel geladen samt minimal Treiber.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH-Redaktion
News Patch für Sicherheitslücke bei Intel Core-Prozessoren kostet deutlich Leistung
2
Antworten
20
Aufrufe
2K
Registrierzwang
Registrierzwang
PCGH_Sven
News AMD Ryzen: Sicherheitslücken bedrohen alle CPU-Generationen
Antworten
9
Aufrufe
1K
ΔΣΛ
ΔΣΛ
PCGH_Sven
News Dirty Frag: CachyOS schließt Sicherheitslücken im Linux-Kernel
2
Antworten
26
Aufrufe
1K
_Oskar_
_Oskar_
PCGH-Redaktion
News Speicherkrise weitet sich aus: HDD-Preise schießen in die Höhe
2
Antworten
21
Aufrufe
2K
WommU
W
PCGH_Sven
News Nvidia: Drei Sicherheitslücken treffen Speicher-Schwachstelle
Antworten
5
Aufrufe
439
Waylinkin
Waylinkin
Oben Unten
Zurück