Author

Topic: Sicherheitslücken Spectre & Meltdown (Read 341 times)

legendary
Activity: 2702
Merit: 1261
January 16, 2018, 04:32:57 AM
#25
Also ladet den Kernel 4.15 und gut ist Shocked

Der aktuelle 4.14.13 enthält die Patches ebenfalls. 4.15 ist noch RC.

Der Kernel löst allerdings nur einen Teil der Probleme. Leider gibt es für die meisten CPUs keinen Microcode der auch seinen Teil beitragen könnte. Das reicht allerdings auch nicht. Der Rest muss über die Applikationen gelöst werden. Jede Applikation, die Kontext aus unterschiedlichen Sicherheitsdomänen hält, müsste einen Workaround erhalten.

Alles in allem eine Illusion. Weder wird es für alle CPUs der letzten 5-10 Jahre Microcode geben, noch wird es für die meisten Systeme ein angepasstes BIOS/EFI geben, noch werden alle Applikationen gehärtet. Der einzige positive Aspekt daran ist, dass nun eine ganze Reihe von Digital Restrictions Management (DRM) Systemen leichter für die Besitzer/Eigentümer geöffnet werden können. Auch die IME dürfte nun auf den meisten Systemen leichter zu hacken und zu entfernen sein, auch wenn der Kunde nicht NSA heisst. Auf Mobilgeräten gibt es nun bessere Möglichkeiten, die Kundengängelung über die Secure World zu umgehen.
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 16, 2018, 03:24:07 AM
#24

Also ladet den Kernel 4.15 und gut ist Shocked

Ist der schon released? Da soll doch noch ein RC8 kommen...
sr. member
Activity: 854
Merit: 284
January 15, 2018, 03:54:59 AM
#23
...und SOooo reagierte Linux-Erfinder "Torvalds" über Intel Sch... Grin

Also ladet den Kernel 4.15 und gut ist Shocked


legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
legendary
Activity: 1100
Merit: 1058
January 12, 2018, 03:49:26 AM
#21
@bierchen
das würd emich wundern, ist ein ARM, die haben das doch auch alle....
Hast du eine Quelle?

@mezzo
ich benutz auch 10 Jahre alte Compis, teilweise noch mit XP weil geht nicht anders.
Ich meinte den allgemeinen Kampf ums dicker/geiler/härter/schneller, anders gäbe es keinen Grund neue Hardware zu verkaufen.
Proze werden schneller, weil Win 8 das braucht, zapp kommt Win10 und die Kiste macht noch mehr im Hintergrund selbstständig, damit dein neuer Core i20-10000 wieder auf Pentium-Niveau runterfällt.
full member
Activity: 684
Merit: 173
January 11, 2018, 01:44:39 PM
#20
Ich habe mir jetzt einen raspberry pi bestellt und werde alle Wallets darauf halten. Der soll nämlich nicht betroffen sein. Private Keys bzw. Seeds werden offline gesichert.
legendary
Activity: 2702
Merit: 1261
January 11, 2018, 11:19:34 AM
#19
Andersrum will auch keiner "alte" Proze benutzen, 6 Monate ist ja meist schon Schrott. Läuft noch perfekt, ist aber eben als Anschaffung unerwünscht.

Ui, und mein Hauptrechner hat einen 560M, das sind eher 6 Jahre als 6 Monate und ich würde den (abgesehen von Spectre/Meltdown) noch lange nicht als Schrott betrachten.  Wink
legendary
Activity: 1100
Merit: 1058
January 11, 2018, 10:17:29 AM
#18
Meine Aussage war natürlich immer im Kontext von Spectre und Meltdown gesehen, und die sind technisch nicht möglich bei den alten Atomen, da die keine Prediction haben. Wink
Natürlich werden jetzt alle hellhörig und andere Tricks finden...

Andersrum will auch keiner "alte" Proze benutzen, 6 Monate ist ja meist schon Schrott. Läuft noch perfekt, ist aber eben als Anschaffung unerwünscht.
legendary
Activity: 2702
Merit: 1261
January 11, 2018, 05:52:58 AM
#17
Einzig billigste Intel Atoms vor ca. 2013 haben das nicht und sind vielleicht sicher.

Es ist nicht klar, ob da nicht noch mehr nachkommt. Alles in allem ziemlich ekelhaft - ein Seitenkanalangriff  auf die CPU. Im Prinzip müsste das ganze Exception Verhalten mit allen Optimierungen auf den Prüfstand gestellt werden. Und SMM, Secure World und ihre Abkömmlinge ebenfalls.
legendary
Activity: 1100
Merit: 1058
January 11, 2018, 05:41:16 AM
#16
Ja.

Alle Geräte mit Cache im Prozessor sowie der Funktion der Sprungvorhersage mit Baujahr vor ca. 2019 müssen in den Müll oder isoliert werden.
Das betrifft Intel und AMD seit Mitte der 90er, ARM weiß ich nicht, wird aber ähnlich sein.

Einzig billigste Intel Atoms vor ca. 2013 haben das nicht und sind sicher.
legendary
Activity: 2940
Merit: 1131
January 10, 2018, 02:25:44 PM
#15
Updates können ja helfen, also ist es sicherlich nicht verkehrt diese auch zu installieren.
[...]
Heißt das nun, dass alle alten Tablets in die Tonne müssen, weil Hersteller/Betriebssysteme sich weigern ein Sicherheitsupdate zu geben?
legendary
Activity: 1100
Merit: 1058
January 10, 2018, 04:46:38 AM
#14
VMs werden durchsichtig mit Meltdown. Wink

Man wäre in der VM zwar gegen evtl. unerwünschte Installationen halbwegs sicher (zumindest auf dem Hauptsystem), aber beide Hacks greifen das physikalische RAM ab.
Wo ein Hack läuft und wo die Daten benutzt werden ist also egal, solange das innerhalb einer Kiste passiert.
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 10, 2018, 03:51:06 AM
#13
(Ja, ich weiß, zu Aufwändig, aber dafür gibt es VMs).

Sowie ich das verstanden habe, könnten die Angriffe auch aus einer VM aufs Hauptsystem laufen. Fängt man sich also etwas auf der VM ein, so kann es auf dem Hauptsystem installiert werden und man bekommt es nicht unbedingt mit.


Sonst zu JavaScript aus: NoScript wäre auch noch eine Möglichkeit
legendary
Activity: 2483
Merit: 1482
-> morgen, ist heute, schon gestern <-
January 09, 2018, 02:58:12 PM
#12
Quote
Und wie soll man dann z.B. bei bittrex traden? Die wollen nämlich Javascript haben.

Anschalten, sonst wird das nichts, aber in einem eigenen Browserfenster oder auf einem eigens dafür genutzen Rechner (Ja, ich weiß, zu Aufwändig, aber dafür gibt es VMs).

Quote
Womit fährt man sicherer?
genau so: Ein eigenes Fenster öffnen, kein Tab.

Das ist natürlich kein Allheilmittel, verhindert aber schon mal den Abgriff der Login Daten durch "Evil" scripte.

Quote
Welcher Online? Meltdown oder Spectre
Spectre

drittes Video von Sempervideo demonstreirt mal den Angriff:
https://www.youtube.com/watch?v=pUJ0hGJJbeE

Quote
Das weiß ja sogar ich, dass das fahrlässig ist, auf dem gleichen System 2FA und Wallet drauf zu haben.
Dann ist es ja gut, aber vieleicht Lesen das hier auch noch "Anfänger" denen das nicht so Bewußt ist.


legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 08, 2018, 05:28:51 PM
#11
Ja, Javascript aus (Ich verstehe nicht wieso man das überhaupt anschaltet*).

Und wie soll man dann z.B. bei bittrex traden? Die wollen nämlich Javascript haben.

Damit fährt man etwas sicherer, bei Seiten mit Passworteingabe immer (da gibt es keine Ausnahme) eine
eigenes Fenster öffnen.

Womit fährt man sicherer?

Nur einer der Bugs kann "wirklich" Online erfolgen, für den zweiten benötigt man (noch) zugriff auf die Maschine selbst.

Welcher Online? Meltdown oder Spectre

Sorgen würde ich mir aber um die vielen Android Handys machen, diese werden ja nicht alle mit einem Update versehen.
Wer da ein Wallet drauf hat .... 2FA und so.

Das weiß ja sogar ich, dass das fahrlässig ist, auf dem gleichen System 2FA und Wallet drauf zu haben.




legendary
Activity: 2483
Merit: 1482
-> morgen, ist heute, schon gestern <-
January 08, 2018, 01:14:57 PM
#10
Erklärungen für den Fehler gibt es ja genug. Aber was nun machen? Java Script ausschalten und erstmal nirgends mehr anmelden, keine Wallets mehr öffnen....?

Ja, Javascript aus (Ich verstehe nicht wieso man das überhaupt anschaltet*).
FF mit NoScript oder Crome mit xxx

Damit fährt man etwas sicherer, bei Seiten mit Passworteingabe immer (da gibt es keine Ausnahme) eine
eigenes Fenster öffnen.

Nur einer der Bugs kann "wirklich" Online erfolgen, für den zweiten benötigt man (noch) zugriff auf die Maschine selbst.

Sorgen würde ich mir aber um die vielen Android Handys machen, diese werden ja nicht alle mit einem Update versehen.
Wer da ein Wallet drauf hat .... 2FA und so.

Und ja, mich betrifft das nicht auf dem Handy, das hat Internet Abgeschaltet.
Und ja, es betrifft mich doch auf dem Tablett, Gigaset hat kein Update für das eigentlich gute Tab Sad

Sempervideo hat eine schöne Erklärung über diese Bugs:
1. https://www.youtube.com/watch?v=ZkLjMm7Nu7s
2. https://www.youtube.com/watch?v=HWf529MJzkM

Blockchain erklärt:
https://www.youtube.com/watch?v=4Eoela-Ai-o

* und den Scheiß möchte ich eigentlich auch nicht:
google.com
gstatic.com
newbie
Activity: 58
Merit: 0
January 08, 2018, 10:46:27 AM
#9
Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren. Smiley
Und wie willst du dann traden oder etwas verschicken?

Du musst halt abwägen was Du machen möchtest oder nicht, wenn Du eine Verbindung zum Traden —oder was auch immer— brauchst gehst Du halt Risiko ein. Z.B. zum reinen Minen brauchst Du keine Wallets online zu lassen, die können dann schön auf einer offline Maschine (oder auf einem Zettel Papier wenn mögl.) verbleiben.
legendary
Activity: 2702
Merit: 1261
January 08, 2018, 05:43:20 AM
#8
In diesem Fall sind Hardware Wallets (nur mit Display und Tastatur) eine sinnvolle Sache. Die sind bei einigermassen sinnvoller Implementierung darüber nicht angreifbar. Der Private Key darf die Hardware Wallet nur über das Display (Save Words etc.) verlassen. Jeder andere Weg muss ausgeschlossen sein. Die Schnittstelle zur Wallet darf kein DMA auf die Wallet erlauben.
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 08, 2018, 04:00:39 AM
#7
Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren. Smiley
Und wie willst du dann traden oder etwas verschicken?
newbie
Activity: 58
Merit: 0
January 07, 2018, 12:30:03 PM
#6
Wichtige Sachen auf einem separaten Rechner ohne Netzverbindung... bzw. in einem Offline-Backup aufbewahren. Smiley

Javascript abschalten hilft auf alle Fälle einen Teil des Problems abzufangen (mit JavaScript ist es wohl sehr einfach einfach über irgendeine Webseite private Daten des Besuchers auszulesen). Diverse Browser-Updates sollen das für die Angreifer etwas schwieriger machen (aber das ist auch nur ein halber Schutz).  Shocked
legendary
Activity: 1100
Merit: 1058
January 05, 2018, 09:54:55 AM
#5
Das reicht nicht.
Irgendein Programm, z.B. auch Werbung auf einer Webseite, und du hast theoretisch die Möglichkeit das da ein Meltdown/Spectre drinsteckt.
Und wer weiß, ob nicht schon seit Jahren in irgendwelchen DLLs oder Treibern ein Meltdown untergebracht ist.

Prinzipiell ist das Ding das Dieselgate der IT-Industrie.
Jeder Kasten mit etwas Schläue und Internetanschluss muss umgehend in den Müll. Jeder.
Handy, Tablet, Laptop, PC, Konsole, Router, WLAN.
Milliarden von Servern bei Facebook, Google, Amazon, 1&1 und so weiter.
Ach so moderne VoIP-Telefone, meist auf Android/ARM-Basis.
Industrie 4.0? Oh. Alle Maschinen mit PC-Steuerung und Internet/Cloud-Funktion.
Yay.

Im Prinzip müssen wir alle zu Zettel und Stift zurück. Sogenannte IT geht nur noch wenn man nie niemals nicht vorhat die in die Nähe eines Internetanschlusses zu bringen.
Alle Patcherei frickelt ein Pflaster drauf, behebt aber das Problem nicht, und kann es auch nicht, weil der Prozessor getauscht werden muss. Punkt.
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 05, 2018, 06:46:38 AM
#4
Erklärungen für den Fehler gibt es ja genug. Aber was nun machen? Java Script ausschalten und erstmal nirgends mehr anmelden, keine Wallets mehr öffnen....?
sr. member
Activity: 532
Merit: 297
January 04, 2018, 10:19:01 PM
#3
Die wohl beste Empfehlung für den Fehler in der CPU liefert CERT.
https://www.kb.cert.org/vuls/id/584653

und Snoden zeigt was passieren kann  Wink
https://twitter.com/Snowden/status/949047283357806593


Diese signifikante Schnittstelle ist weit über ein Jahrzehnt alt und keinem ist etwas aufgefallen? Das ist kein Prozessor-Bereich wo sich ab und zu mal  zwischen 1 und 2 Uhr verirrt.
Nein, das ist die Schnittstelle überhaupt.

Das es in der Vergangenheit bei Hardware Hintertüren gegeben hat ist unbestritten.
full member
Activity: 329
Merit: 101
January 04, 2018, 08:40:37 AM
#2
Sicherlich habt ihr das mit den Sicherheitslücken Spectre & Meltdown schon mitbekommen.
Ich versuche mich gerade einzulesen und frage mich, was bedeutet das für unsere Wallets und Börsen? Erstmal die Finger von lassen?

Ohne mich nun groß mit dem Thema beschäftigt zu haben, finde ich folgende Reddit Diskussion ganz interessant: https://www.reddit.com/r/Bitcoin/comments/7o25px/cto_of_satoshilabs_trezor_is_not_vulnerable_to/
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
January 04, 2018, 05:06:50 AM
#1
Sicherlich habt ihr das mit den Sicherheitslücken Spectre & Meltdown schon mitbekommen.
Ich versuche mich gerade einzulesen und frage mich, was bedeutet das für unsere Wallets und Börsen? Erstmal die Finger von lassen?
Jump to: