Intel

[mazunte]

Die Beschreibung dazu erspare ich mir, dennoch verdient sich Intel einen eigenen Thread.

http://www.spiegel.de/netzwelt/web/intel-ceo-brian-krzanich-verkaufte-aktien-vor-aufdeckung-von-sicherheitsluecken-a-1186163.html

[orßit]

mazunte schrieb vor 3 Stunden:

Die Beschreibung dazu erspare ich mir, dennoch verdient sich Intel einen eigenen Thread.

http://www.spiegel.de/netzwelt/web/intel-ceo-brian-krzanich-verkaufte-aktien-vor-aufdeckung-von-sicherheitsluecken-a-1186163.html

Fucking intel! 

Nächste cpu von amd, obwohl die sind ja ebenfalls betroffen

[mazunte]

ton1z schrieb vor 3 Stunden:

Fucking intel! 

Nächste cpu von amd, obwohl die sind ja ebenfalls betroffen

Vielleicht macht sich ja mal Sparc wieder breiter;
Liefen auf Sun Maschinen und nun bei Oracle die Sun übernahm.

bearbeitet 5. Januar 2018 von mazunte

[lonelycowboy]

Also der Umgang mit dem Problem und die PR von Intel ist suboptimal. Quatschen irgendwas daher von "es sind eh alle anderen auch betroffen und es ist eh nicht so schlimm". In Wahrheit ist das Sicherheitsproblem seit Anfang Juni 2017 bekannt. Die Finanz-Spekulationen des Intel-CEOs sind da wohl nur die Spitze des Eisbergs.

Bin schon gespannt ob es rechtliche Konsequenzen gibt. Ich meine Intel hat seine CPUs mit einem bestimmten Sicherheits- und Leistungsversprechen verkauft, obwohl sie seit über einem halben Jahr wussten, dass diese nicht eingehalten werden können.

Und da gehts weniger direkt um Heimbenutzer, sondern um Technologie-Firmen, Cloud-Computing-Anbieter, Serverfarmen etc., also dort wo die Prozessoren tatsächlich ausgelastet werden und die auf deren Rechenleistung angewiesen sind. Wenn die alle plötzlich 20 bis 30 % weniger Leistung zur Verfügung haben, dann müssen die ihre Hardware aufrüsten, um nicht selbst Kunden bzw. Wettbewerbsfähigkeit zu verlieren, was nicht billig ist.

Zur Beruhigung: Die meisten 08/15-Benutzer werden jedenfalls vermutlich wenig davon merken, moderne Prozessoren werden ohnehin selten bis nie voll ausgelastet.

Linus Torvalds ("Erfinder" von Linux) ist jedenfalls merklich erzürnt:

Linus Torvalds: "Will Intel für immer Scheiße verkaufen?"

Linux-Koryphäe Linus Torvalds hat sich in einer öffentlich einsehbaren E-Mail über Intels Reaktion auf aktuelle Sicherheitslücken ausgelassen. Er habe genug von dem "PR-Gebrabbel". "Will Intel im Grunde sagen: 'Wir bekennen uns dazu, euch für immer Scheiße zu verkaufen und nie etwas zu reparieren?'", so Torvalds. Intel hatte in einer ersten Reaktion auf das Bekanntwerden der Lücken "Spectre" und "Meltdown" etwaige Probleme heruntergespielt. Außerdem erhob Intel den Finger auf die Konkurrenz und nannte etwa AMD und ARM. Doch in den vergangenen Tagen zeigte sich, dass die Sicherheitsprobleme weitaus größer sind, als Intel insinuierte. Dem Chiphersteller waren die Lücken außerdem seit mindestens einem halben Jahr bekannt. Fokus auf Konkurrenz legen Torvalds fordert Intel dazu auf, zuzugeben, dass es Probleme gibt, und dafür rasch eine Lösung zu entwickeln. Ansonsten sollten Entwickler den Fokus auf andere Hersteller legen und Intel links liegen lassen.

https://derstandard.at/2000071552736/Linus-Torvalds-Will-Intel-fuer-immer-Scheisse-verkaufen

Linus Torvalds: Scheiß verkaufen + PR-Geschwafel = Intel

Als einer der angesehensten Vertreter der Open Source-Szene hat Linus Torvalds jetzt eine ordentliche Schimpftirade in Richtung des Chipherstellers Intel geschickt. Auslöser hierfür waren natürlich die jüngst bekannt gewordenen Sicherheits-Schwächen in der Architektur zahlreicher Prozessoren. Von den neuesten Schwachstellen ist Intel keineswegs nur allein betroffen. Dass der Konzern aber das Ziel der Attacken Torvalds' wird, hat durchaus nachvollziehbare Gründe. So ist Intel durchaus am stärksten von den allerneuesten Problemen betroffen - und hatte auch schon zuvor mit nicht gerade trivialen Problemen zu kämpfen. Hinzu kommt, dass das Unternehmen schlicht nicht angemessen auf die derzeitige Lage reagiert.

"Ich denke, irgendwer bei Intel solle sich wirklich mal hinsetzen und ihre CPUs gründlich anschauen und dann auch eingestehen, dass die ein Problem haben - statt weiter PR-Geschwafel zu produzieren, laut dem alles so funktioniert wie es soll", schrieb der Linux-Gründer an eine Mailingliste der Linux-Kernelentwickler. "Oder will Intel uns wirklich sagen 'wir halten für immer daran fest, euch Scheiße zu verkaufen und verbessern einfach nichts'?"

http://winfuture.de/news,101385.html

Hier sein öffentliches Original-Mail: https://lkml.org/lkml/2018/1/3/797
 

Zitat

From    Linus Torvalds <>
Date    Wed, 3 Jan 2018 15:51:35 -0800
Subject    Re: Avoid speculative indirect calls in kernel

On Wed, Jan 3, 2018 at 3:09 PM, Andi Kleen <[email protected]> wrote:
> This is a fix for Variant 2 in
> https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
>
> Any speculative indirect calls in the kernel can be tricked
> to execute any kernel code, which may allow side channel
> attacks that can leak arbitrary kernel data.

Why is this all done without any configuration options?

A *competent* CPU engineer would fix this by making sure speculation
doesn't happen across protection domains. Maybe even a L1 I$ that is
keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look
at their CPU's, and actually admit that they have issues instead of
writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be
written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit
forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the
ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

 - Intel never intends to fix anything

OR

 - these workarounds should have a way to disable them.

Which of the two is it?

      Linus

Linus Torvalds ist bekannt dafür, auf Sicherheit sehr großen Wert zu legen.

Einige Bonmots:

Some 'security people are f*cking morons' says Linus Torvalds
https://www.theregister.co.uk/2017/11/20/security_people_are_morons_says_linus_torvalds/

Linus Torvalds: 'I don't trust security people to do sane things'
http://www.zdnet.com/article/linus-torvalds-i-dont-trust-security-people-to-do-sane-things/

Linux-Kernel-Maintainer rastet in Diskussion mit Google-Entwickler aus

Nun ist Torvalds einmal mehr der Kragen geplatzt, und wie schon öfters in der Vergangenheit sind dabei Sicherheitsforscher das Ziel seiner Tirade, berichtet heise.de. "Verfickte Trottel" seien all die Leute, die seiner Ansicht, dass Sicherheitslücken auch nur ganz normale Bugs sind, widersprechen. Aktueller Anlassfall ist ein von Google-Entwickler Kees Cook eingereichter Patch, der den Kernel stärker gegen die Ausnutzung von Sicherheitslücken wappnen soll. Dieser wurde ursprünglich für Android beziehungsweise Googles Pixel-Smartphones entwickelt, und soll nun in den Hauptzweig des Kernels zurückfließen. Was Torvalds daran so stört, ist, dass im Problemfall die Ausführung abgebrochen wird oder auch der Kernel crasht – was er aus prinzipiellen Gründen ablehnt. Dem stimmen übrigens durchaus auch andere Sicherheitsexperten zu, da so ein Absturz erst recht wieder ein zusätzlicher Angriffspunkt sei – hat aber natürlich mit seiner Wortwahl nur begrenzt etwas zu tun.

https://derstandard.at/2000068218831/Linus-Torvalds-Sicherheitsforscher-sind-verfickte-Trottel

 

bearbeitet 5. Januar 2018 von lonelycowboy

[mazunte]

Er scheißt sich da eben nichts und das mit Recht. Nicht nur er ist sauer und so ein "Domino Effekt", (no na) hat in der IT verheerende Auswirkungen.
Einen fetten Dank für diesen/deinen Beitrag!
 

bearbeitet 6. Januar 2018 von mazunte

[DerFremde]

mazunte schrieb vor 17 Stunden:

Die Beschreibung dazu erspare ich mir, dennoch verdient sich Intel einen eigenen Thread.

http://www.spiegel.de/netzwelt/web/intel-ceo-brian-krzanich-verkaufte-aktien-vor-aufdeckung-von-sicherheitsluecken-a-1186163.html

Gehört das nicht in den "Kapitalismus"-Thread im Beisl? 

[mazunte]

DerFremde schrieb vor 2 Stunden:

Gehört das nicht in den "Kapitalismus"-Thread im Beisl? 

Nein.

[lonelycowboy]

lonelycowboy schrieb vor 23 Stunden:

Bin schon gespannt ob es rechtliche Konsequenzen gibt. Ich meine Intel hat seine CPUs mit einem bestimmten Sicherheits- und Leistungsversprechen verkauft, obwohl sie seit über einem halben Jahr wussten, dass diese nicht eingehalten werden können.

Geht schon los:

Schwachstelle schon länger bekannt

Nach Bekanntwerden der schwerwiegenden Sicherheitslücken in Computerchips gibt es in den USA erste Klagen gegen Intel. Patches, die etwa gegen „Meltdown“ helfen sollen, würden die Computer um bis zu 30 Prozent langsamer machen, argumentieren die Kläger. Sie fordern eine Wiedergutmachung.

Für Intel könnte die ganze Sache sehr teuer werden: Die Klagen streben den Status von Sammelklagen an, denen sich weitere Verbraucher anschließen können. Laut Forschern sind praktisch alle Rechner von den Sicherheitslücken betroffen. Bis Samstag wurden zunächst drei Klagen in den Bundesstaaten Kalifornien, Indiana und Oregon eingereicht.

Die von Forschern „Meltdown“ und „Spectre“ getauften Schwachstellen gefährden sowohl Privatpersonen als auch Unternehmen. Fast 90 Prozent aller weltweit verkauften Server arbeiten etwa mit Intel-CPUs. Die Schwachstelle „Meltdown“ basiert auf einem Fehler im Design der Intel-Prozessoren, der in dieser Form seit 1995 existiert. Intel habe zumindest zehn Jahre lang Chips mit dieser Sicherheitslücke auf den Markt gebracht, heißt es in einer der Klage.

Unter dem Namen „Spectre“ wurde gleichzeitig mit „Meltdown“ noch eine zweite Schwachstelle publik gemacht. Diese ist zusätzlich auf Chips anderer Hersteller lauffähig, etwa jenen des Intel-Konkurrenten Advanced Micro Devices (AMD) sowie aktuellen Smartphones mit Prozessoren des britischen Produzenten Arm.

Durch die Sicherheitslücken können heikle Daten wie etwa Passwörter ausgelesen werden. Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Kryptoschlüsseln und Informationen aus Programmen zu verschaffen. „Meltdown“ ist dabei laut einem der beteiligten Forscher relativ simpel anwendbar, „Spectre“ ist schon etwas komplizierter, dafür ist „Spectre“ auch im Webbrowser lauffähig.

Die Kläger verweisen darauf, dass Intel bereits seit Monaten über die Schwachstelle Bescheid wusste, und argumentieren, dass sie sich keinen Computer mit Intel-Chip gekauft oder weniger dafür bezahlt hätten, wenn diese Informationen öffentlich gewesen wären. Die Forscher und die Unternehmen hatten die Offenlegung bis Jänner zurückgehalten, um in dieser Zeit Gegenmaßnahmen zu entwickeln.

Derzeit laufen Bemühungen, die Sicherheitslücken mit Patches so gut wie möglich zu schließen. Komplett kann man das Problem nach Ansicht von Experten aber nur durch einen Austausch der Prozessoren beheben - damit argumentieren auch die Kläger. Intel, Microsoft und Apple erklärten bisher, dass nach ihren Erkenntnissen die Schwachstelle noch nicht für Angriffe ausgenutzt worden sei.

http://orf.at/stories/2421402/2421403/

[mazunte]

lonelycowboy schrieb vor 15 Stunden:

Intel, Microsoft und Apple erklärten bisher, dass nach ihren Erkenntnissen die Schwachstelle noch nicht für Angriffe ausgenutzt worden sei.

[orßit]

https://mobil.derstandard.at/2000071647332/Prozessorluecken-Updates-legen-teilweise-Windows-10-Rechner-lahm

[Doena]

Ich musste heute schon die letzten beiden Windows Updates deinstallieren damit mein ryzen system stabil läuft, ansonsten alle 5 Minuten der PC abgeschmiert 

[Taffspeed]

immer mehr ist für mich linus torvald lächerlicher doddl.
Wie sehen den die patches im linux bereich aus? hmm aja sind unkommentierte zeilen, damit keiner so genau weiß warum das alles eingebaut wurde (ja ich weiß eh, dass wurde gemacht, damit niemand die lücke einfach ausnützen kann, trotzdem geht so ein scheiß nicht)

[lonelycowboy]

Taffspeed schrieb vor 2 Minuten:

immer mehr ist für mich linus torvald lächerlicher doddl.
Wie sehen den die patches im linux bereich aus? hmm aja sind unkommentierte zeilen, damit keiner so genau weiß warum das alles eingebaut wurde (ja ich weiß eh, dass wurde gemacht, damit niemand die lücke einfach ausnützen kann, trotzdem geht so ein scheiß nicht)

Hat nichts mit Torvalds zu tun.

Abgesehen davon: Welcher "Scheiß" soll denn "gehen"? Dein leeres Bankkonto eventuell? Wäre das der "Scheiß", der dir genehm wäre, aber Hauptsache alle "Zeilen" sind "kommentiert"?

 

Doena schrieb vor 9 Stunden:

Ich musste heute schon die letzten beiden Windows Updates deinstallieren damit mein ryzen system stabil läuft, ansonsten alle 5 Minuten der PC abgeschmiert 

Microsoft eben.

Aber gut zu wissen, das bestätigt meine Vorgehensweise, Updates manuell durchzuführen (der Update-Dienst ist grundsätzlich deaktiviert).

 

[Doena]

lonelycowboy schrieb vor 21 Minuten:

 

Microsoft eben.

Aber gut zu wissen, das bestätigt meine Vorgehensweise, Updates manuell durchzuführen (der Update-Dienst ist grundsätzlich deaktiviert).

 

Bei mir die nächsten 3 Wochen auf jeden Fall auch  

[BuchiRapid]

ton1z schrieb vor 12 Stunden:

https://mobil.derstandard.at/2000071647332/Prozessorluecken-Updates-legen-teilweise-Windows-10-Rechner-lahm

hat mich vermutlich auf meinem desktop erwischt