News CPU-Sicherheitslücken: Intel kämpft zum dritten Mal mit ZombieLoad

[Kacha]

AMD und Intel arbeiten intern komplett anders, selbst wenn es im Kern die gleiche, uralte x86 Architektur ist.
Und auch AMD nutzt Hyper-Threading - nennt das nur anders - und nutzt umfangreiche Out-of-Order Funktionalitäten, wie eine spekulative Sprungvorhersage uvm.
Am Ende machen beide das gleiche, nur komplett anders umgesetzt.
So kommen auch die teilweise großen Leistungsunterschiede zu Stande, je nach Anforderung an die CPU, selbst bei gleicher Taktrate.

Das ist doch genau das was ich meinte? Ausser, dass Intel Entscheidungen getroffen hat fuer die jeder Student in der Pruefung knallhart durchfallen wuerde. Das ironische ist ja, dass AMD mittlerweile vorne liegt wenn es taktbereinigt ist.

Nun, ich sehe halt das der Leistungsverlust - selbst wenn er sich in Grenzen hält - immer da ist, das Risiko das die Sicherheitslücken aktiv ausgenutzt werden gibt es aber für manche Nutzer nur theoretisch.

Natuerlich sieht der Nutzer erstmal Leistungsverlust. Aber davon auszugehen, dass es ja nicht ausgenutzt wird ist naiv. Im Endeffekt ist es auch kein Leistungsverlust wenn ganz genau ist, es ist nur die korrekte Leistung wenn Sicherheit nicht komplett ignoriert wird. Ich finde es nur problematisch wenn Leute es versuchen zu rechtfertigen und die Luecken lieber offen lassen anstatt Konsequenzen zu ziehen und darueber nachzudenken ob Intel in Zukunft die beste Kaufentscheidung ist.

Da stimmt, man muss schon eine Menge Daten abgreifen und analysieren. Je mehr Daten man so gewinnt, desto höher ist die Wahrscheinlichkeit das was relevantes dabei ist.

Gerade mit Spectre wuerde das, wenn Browser nicht gepatcht sind "relativ" einfach gehen ueber ausfuehrbaren Code in Websites. Das Problem bei allen Spectre Luecken ist halt, dass es nicht wirklich perfekt patchbar auf CPU Seite ist durch Microcodeupdates. Meltdown ist da etwas "einfacher" und ist komplett patchbar, mit ordentlichen Leistungseinbruechen.

Ich relativiere das gar nicht. Ich finde Intel hat da einen ganz schlechten Job gemacht, auf der Suche nach immer mehr Leistung die Sicherheit außer Acht gelassen.
AMD ist da wohl von Anfang an etwas konservativer ran gegangen. Deshalb gibt es die große Vielzahl an Lücken bei AMD eben nicht.

Nichts ist jemals 100%ig sicher. Intel ist nicht dumm, sie werden gewusst haben was sie da fabrizieren. Ich schätze ihre Risikoabschätzung war aber zu schön gerechnet.
Beim Bestreben die Leistungskrone aufzubehalten, war es ihnen dieses Risiko wohl wert.

Jetzt haben wir den Salat. Es betrifft schließlich beinahe alle Intel CPUs der letzten 25 Jahre.
Und Patches sind schön und gut. Aber solange es keine diesbezüglichen Designänderungen an der Architektur gibt, ist man immer auf eine entsprechende Software-Lösung angewiesen.
Und ob die immer für jeden bereitstehen wird, kann niemand garantieren.

Die Lücken zielen auch mehr auf Datacenter, Cloud-Dienste usw. Und die kaufen Rechnerfarmen im Millionenwert und die spüren den Leistungsverlust durch die notwendigen Patches durchaus.
Immerhin kaufen die nur nach Bedarf.

Ich glaube dir, wenn du sagst, dass du versuchst nicht zu relativieren. Das Problem ist nur, sobald irgendjemand davon schreibt, dass es theoretisch ist und dergleichen, selbst mit den besten Absichten, gibt es genug die es sofort als Wort nehmen, dass es alles gar nicht schlimm sei. Die Einstellung ist grauenvoll, aber allgemein beim Thema Sicherheit weit verbreitet. Ich denke fuer die meisten ist es einfach zu abstrakt und der genaue vorgang zu komplex um nachzuvollziehen wie schief das ganze gehen kann wenn man einfach nur rumsitzt. Ironischerweise wird dann ordentlich beschwert sobald mal wirklich was passiert. Gut zu beobachten bei jedem Datenleak oder Hack. Dann wird auch die Sicherheit kritisiert, aber immer erst wenn wirklich was passiert ist. So wird sich natuerlich nichts aendern und auch Intel wird froehlich weitermachen. Warum was anderes tun wenn sich die Produkte super verkaufen?

Ich wollte bei dem ganzen nur darauf hinaus das manche wohl meinen das man durch diese Lücken nun irgendwelche Passwörter oder anderes unmittelbar auslesen kann.
Und das ist nicht so! Ja, man kann an solche Informationen kommen, aber nicht "bewusst gesteuert", so nach dem Motto: Jetzt lese ich mal deine Passwörter mit.
Es ist grundsätzlich möglich sensible Daten abzufischen. Aber letztlich bekommt man nur einen Datenhaufen, wo alles mögliche drin sein könnte. Natürlich auch sensible Dinge.

Ist mir durchaus klar. Man kann Intel Prozessoren zu einem gewissen Teil beeinflussen und steuern, aber muss immer noch rekonstruieren. Allerdings heisst fuer die meisten Menschen "Datenhaufen", dass man da niemals was rausfinden kann. Das stimmt halt einfach nicht. Allgemein kann man durch rekonstruieren und indirekte Methoden recht viel rausfinden. Das ist aber dem Ottonormalbuerger, auch hier im Forum, nicht zu vermitteln. Deswegen ist es mir ehrlich gesagt lieber wenn man sagt, dass man da Passwoerter rausbekommen kann, das ist greifbarer fuer Menschen, als wenn man sagt, ja theoretisch, blabla. Da wird sofort auf "ist nicht gefaehrlich" umgeschaltet.

@Kacha:
Es ist für dich frustrierend, wenn man Nachweise für eine Aussage haben möchte wie viel von der Theorie denn nun wirklich aktuell Praxisrelevant für den Privatanwender ist?

Nach Theorie und "Chancen" hab ich nicht gefragt. Hast du denn Nachweise dazu? Ja? Dann liefer sie doch einfach. Wo ist das Problem? Theoretisieren könnt ihr doch dennoch. Daran bin ich nicht mal interessiert. Weil die Theorie ja überall bei den Themen breitgetreten wird.
Seh halt bisher wie @KnolleJupp es sagt, viel Theorie. Aber irgendwie nix belegtes, dass Privatanwender da jetzt großartig was abbekommen würden.

Also entweder hast du mich nicht verstanden, oder drehst absichtlich was anderes draus.

Eine Wertung des ganzen, egal ob positiv oder negativ (also ob relativieren oder Panikmache) hab ich nämlich (absichtlich) überhaupt nicht gemacht.
Juckt mich nämlich nicht die Bohne auf welcher Seite da wer stehen will.

Wie auch @KnolleJupp schon schreibt, so funktioniert das nicht. Ich habe irgendwie das Gefuehl du stellst dir das ein bisschen wie im Krimi vor. Mensch wurde ermordet, Spurensuche. Das Problem ist aber, das Equivalent zu "Mensch ermordet" ist nicht da, genausowenig wie die Spuren. Da wirklich etwas zu finden ist teilweise mehr mit Glueck verbunden als sonst was. Und die, die es wirklich ausnutzen werden sich garantiert nicht melden.

Du scheinst auf dem Dampfer zu sein, dass du Luecken und Sicherheit erst ernst nimmst wenn es schon gekracht hat. Vor allem wenn der Fix moeglicherweise Nachteile hat. Das ist in der Tat naiv. Beispiel: Es stellt sich raus, dass dein Haustuerschloss mies designed war und es extrem leicht knackbar ist mit einem Trick. Du wirst darauf hingewiesen. Tauscht du es aus oder hoffst du, dass das schon niemand ausnutzt? Nach deiner bisherigen Argumentation duerftest du es nicht austauschen, es ist ja nur theoretisch, da muss erst wer kommen und es wirklich ausnutzen. Erst nachdem eingebrochen wurde, wuerdest du es austauschen.

 

[Silverangel]

@Kacha: schade, wieder nicht gelesen oder nicht verstanden.
Lassen wirs gut sein.

 

[Kacha]

@Silverangel Ja, besser so. Du scheinst null Interesse an einer Diskussion zu haben und Dinge klarzustellen.

 

[Silverangel]

Hab ich bereits mehrfach.
Danke für die Bestätigung.

 

[aldaric]

@Silverangel 🤦‍♂️

 

[HerrRossi]

Ich frage mich, wieso einem solche Sicherheitslücken egal sind und man sich auch noch dazu berufen fühlt, das Verhalten Intels zu verteidigen. Aber gut, ich verstehe ja auch nicht, warum man sein ganzes Leben auf Facebook, Instagram und Twitter ausbreitet, manchen Leuten sind ihre Daten anscheinend völlig egal.

 

[KnolleJupp]

Das ist doch genau das was ich meinte?

Richtig. Ich wollte deine Aussage damit nur bestätigen bzw. bekräftigen.

gibt es genug die es sofort als Wort nehmen, dass es alles gar nicht schlimm sei

Nun, ich versuche die Probleme/Ursachen/Lösungsmöglichkeiten möglichst objektiv zu bewerten/beschreiben, ohne dabei auf bestimmte Befindlichkeiten einzelner Menschen einzugehen.
Bei @Silverangel verstehe ich seine Argumentation nicht. Aber vielleicht äußert er sich ja doch nochmal dazu und wenn nicht, dann nicht. Das ändert nichts an den zugrundeliegenden Umständen.

Allgemein kann man durch rekonstruieren und indirekte Methoden recht viel rausfinden.

Richtig, ich finde es ziemlich faszinierend wie man z.B. anhand der Laufzeit der Daten innerhalb der CPU auf den ursprünglichen Cache-Inhalt schließen kann. Ich würde den Algotithmus nicht mal ansatzweise verstehen...

dass du Luecken und Sicherheit erst ernst nimmst wenn es schon gekracht hat

Hier stimme ich dir absolut zu.

es ist nur die korrekte Leistung wenn Sicherheit nicht komplett ignoriert wird

Das ist grundsätzlich richtig. Aber: Intel verkauft die CPUs mit einem gewissen Leistungsversprechen. Und wenn die CPU dieses Versprechen danach nicht mehr erfüllt, kann das zu einem Problem werden.
Der Privatanwender zu Hause wird das kaum merken, aber große Rechenzentren kaufen nach Bedarf und dieser kann dann u.U. nicht mehr gedeckt werden oder nur durch weitere ungeplante Investitionen.

Nochmal langsam, ich verteidige Intel mit all dem was ich dazu geschrieben hatte auf der vorherigen Seite nicht.

Jede Sicherheitslücke ist potentiell gefährlich. Und natürlich gilt das auch für Privatanwender.
Es ist nicht schön wenn plötzlich eMail-Adressen zum Versandt von Spam-Mails missbraucht werden, private Fotos auf öffentlichen Seiten zugänglich werden, der Zugang zu Bankkonten abhanden kommt
oder einfach Dinge bekannt werden, die nicht bekannt werden sollen. Bei Promis z.B. Adressen und Telefonnummern usw.

Oder ein ganz banales und einleuchtendes Beispiel: So hätte ich sicher kein Interesse daran das meine sexuellen Vorlieben bekannt würden, nur weil jemand sich anschaut was für Pornos ich sammele.
Oder das mir unter die Nase gerieben würde das ich vielleicht ein paar urheberrechtlich geschützte Dinge auf dem Rechner habe und seien es nur ein paar alte mp3s.

 

[Kacha]

Richtig. Ich wollte deine Aussage damit nur bestätigen bzw. bekräftigen.

Ok, das war nicht ganz klar. Jetzt passt es.

Nun, ich versuche die Probleme/Ursachen/Lösungsmöglichkeiten möglichst objektiv zu bewerten/beschreiben, ohne dabei auf bestimmte Befindlichkeiten einzelner Menschen einzugehen.

Prinzipiell ist dagegen ja nichts einzuwenden. Es wird aber dazu missbraucht zu sagen man muss ja nichts tun, was wiederum zu Problemen fuehrt.

Bei @Silverangel verstehe ich seine Argumentation nicht. Aber vielleicht äußert er sich ja doch nochmal dazu und wenn nicht, dann nicht. Das ändert nichts an den zugrundeliegenden Umständen.

Bei @Silverangel macht einiges keinen Sinn. Er scheint aber genau so einer zu sein, der es als Ausrede nutzt nichts zu tun. Ansonsten sollte er sich mal etwas besser ausdruecken wenn niemand im Thread versteht was er meint.

Richtig, ich finde es ziemlich faszinierend wie man z.B. anhand der Laufzeit der Daten innerhalb der CPU auf den ursprünglichen Cache-Inhalt schließen kann. Ich würde den Algotithmus nicht mal ansatzweise verstehen...

Joah, da gibt es einige interessante Sachen. Probleme gibt es wenn der Ottonormalbuerger nicht verstehen mit nicht schlimm gleichsetzt. Passiert viel zu haeufig, auch bei "Experten" wie hier im Forum.

Hier stimme ich dir absolut zu.

Ist aber halt die Folge wenn man es falsch ausdrueckt. Egal in welchem Bereich. Deswegen finde ich Empoerungen bei Datenleaks auch etwas amuesant. Ist 1:1 die gleiche Einstellung in den Firmen.

Das ist grundsätzlich richtig. Aber: Intel verkauft die CPUs mit einem gewissen Leistungsversprechen. Und wenn die CPU dieses Versprechen danach nicht mehr erfüllt, kann das zu einem Problem werden.
Der Privatanwender zu Hause wird das kaum merken, aber große Rechenzentren kaufen nach Bedarf und dieser kann dann u.U. nicht mehr gedeckt werden oder nur durch weitere ungeplante Investitionen.

Das ist allein das Problem von Intel und wenn man betroffen ist sollte man auf Schadensersatz klagen. Vor allem auch als Firma, da die Verprechen eben nicht mehr eingehalten werden. Anscheinend passiert das aber nicht. Da hat jeder Eigenverantwortung.

Nochmal langsam, ich verteidige Intel mit all dem was ich dazu geschrieben hatte auf der vorherigen Seite nicht.

Jede Sicherheitslücke ist potentiell gefährlich. Und natürlich gilt das auch für Privatanwender.
Es ist nicht schön wenn plötzlich eMail-Adressen zum Versandt von Spam-Mails missbraucht werden, private Fotos auf öffentlichen Seiten zugänglich werden, der Zugang zu Bankkonten abhanden kommt
oder einfach Dinge bekannt werden, die nicht bekannt werden sollen. Bei Promis z.B. Adressen und Telefonnummern usw.

Oder ein ganz banales und einleuchtendes Beispiel: So hätte ich sicher kein Interesse daran das meine sexuellen Vorlieben bekannt würden, nur weil jemand sich anschaut was für Pornos ich sammele.
Oder das mir unter die Nase gerieben würde das ich vielleicht ein paar urheberrechtlich geschützte Dinge auf dem Rechner habe und seien es nur ein paar alte mp3s.

Ist mir schon klar. Deine weiteren Kommentare waren weitaus differenzierter. Das Problem ist halt, dass man Menschen klarmachen muss, dass sie auch betroffen sein koennen und, dass eine Sicherheitsluecke nie ignoriert werden darf oder nie "gar nicht so schlimm" ist. Sobald es aber um abstraktes geht haben viele einfache keine Vorstellungskraft mehr. Ich mein, wer wuerde sich in ein Auto setzen bei dem rauskommt, dass es jemand anderes ferngesteuert gegen einen Baum fahren lassen kann? Bei sowas ist es immer klar was die Konsequenz ist, aber bei Computern, Netzwerken, etc? Konsequenzen sind nicht direkt ersichtlich, also nicht vorhanden.

 

[Silverangel]

@Kacha Ich hab mich bereits zu geäußert. Wie viel einfacher soll ichs denn noch machen?
"Gibts nen Nachweis dazu?" "Ja/Nein" Thema erledigt. Hab ich auch @KnolleJupp schon gesagt.

Auch ist das keine Beurteilung oder Meinung darüber für wie gefährlich ich die Lücken generell halte und/oder was ich als geeignete Maßnahmen erachte. Auch da hab ich bereits darauf hingewiesen.
Aber du weißt ja ob ich die Lücken ernst nehme. Kleiner Tipp: Du weißt es offensichtlich nicht.
Hab ich auch nie zur Diskussion gestellt.

Ob ihr euch hier zu "Hochgefährlich" oder "wenig/er gefährlich" positionieren wollt, ist mir wurscht. Und diskutier ich auch gar nicht drüber. (Auch das hab ich bereits gesagt.)
Trotzdem interpretiert ihr die ganze Zeit irgendwelchen Käse rein. Ist echt faszinierend.

 

[KnolleJupp]

@Silverangel
Ich weiß nicht was du denkst, glaubst, getan hast oder vorhast zu tun.
Ich sehe nur was du geschieben hast und nur darauf kann man eingehen. So geht das in einem Forum und nennt sich Meinungsaustausch.
Auf diese Weise vergrößert sich das Kollektivwissen.

Du hast geschrieben das du diese Lücken solange ignorierst, bis du eine Bestätigung hast das sie aktiv ausgenutzt werden:

Die "Möglichkeit" und "Theorie" interessiert mich kein Stück

Darüber hinaus schreibst du das dir egal ist, ob eine Lücke als harmlos oder kritisch angesehen wird:

Ob ihr euch hier zu "Hochgefährlich" oder "wenig/er gefährlich" positionieren wollt, ist mir wurscht.

Daraufhin teilte ich dir meine Meinung mit, nämlich das ich diese Einstellung für naiv halte und habe dir auch versucht zu erklären warum ich so denke.
Damit wollte ich dich weder beleidigen noch sonstwie persönlich angreifen.

Aber solche Aussagen kann man einfach nicht kommentarlos stehen lassen. Vor allem nicht in einem Forum, wo man prinzipbedingt seine Aussagen auf den Prüfstand der Meinung anderer stellt.
Hier lesen schließlich nicht nur "Profis" mit, sondern auch Laien.

Wenn du dich missverstanden fühlst, musst du dich konkreter ausdrücken.

Ich muss auch mit Kritik umgehen, sofern welche kommt. Aber solange alles nachvollziehbar und gesittet abläuft, bin ich jederzeit bereit eine Meinung auch zu ändern.
Ich bin schließlich nicht allwissend.

Ich möchte dir deine Meinung auch nicht absprechen. Aber so was zu verallgemeinen, wäre fatal.
Immerhin betrifft das u.U. nicht nur deine(n) eigenen Rechner, sondern alle übrigen, mit denen du vernetzt bist im Internet, also alle...

 

[Silverangel]

Soll ich jetzt lachen?
Du verstehst ja scheinbar nicht mal einfachste Sätze die du zitierst (und aus dem Zusammenhang reißt, siehe vor allem erstes Zitat)

Ich hab weder gesagt, dass ich die Lücke ignoriere, noch dass mir egal ist ob die Lücke an sich harmlos oder kritisch ist. Das entspringt deiner Phantasie und versuch deiner Interpretation.
Hab ich irgendwo gesagt, dass du irgend was reininterpretieren sollst?
Ganz im Gegenteil: Ich hab sogar zusätzlich in einfachen Sätzen festgehalten, dass ich weder ne Wertung noch ne Positionierung zu der Lücke durchführe.
Und dennoch Phantasiert ihr euch einen zusammen was ihr so alles angeblich wisst, wie ich darüber denken würde und blabla.

Kanns auch anders für dich gestalten:

Ich gefragt Nachweis... Du mir sagen Theorie. Ich nix wissen wollen Theorie. Stehen überall. -> Du erzählst: Ignoriert Lücken. 🤦‍♂️

Viele in den Themen hauptsächlich Gruppe 1. Gefährlich und Gruppe 2 Harmlos.
Ich gesagt mir egal ob ihr 1 oder 2 oder grün oder Rot oder Links oder Rechts. -> Du erzählst: Ihm egal ob Lücke Harmlos oder gefährlich 🤦‍♂️

Ganz ehrlich: Hör auf irgend was zu interpretieren, sondern lies einfach was tatsächlich geschrieben wurde.

Kacha is da keinen Deut besser. Siehe auch kompletter letzter Absatz aus #221. Den hätt er sich komplett sparen können weil ebenfalls einzig darauf basiert was er sich zusammenreimt und interpretiert und ich nirgends gesagt habe. Auch son Träumer.

Deswegen: Lasst mich da einfach raus bei eurem Theoretisieren. Weil was ich darüber denke, wisst ihr nicht.
Und werd ich auch absichtlich keine Position dazu beziehen. Wozu auch? Weil ihr irgendwelche Kategorien braucht wie Nvidia<->AMD Fights?
Mir gings um exakt eine Sache. Gibts nix zu. Erledigt. Und seitdem phantasiert ihr euch einen zusammen was ihr meint rauszulesen, was ich angeblich drüber denken würde, sowie was nie geschrieben wurde.
Ergo, spielt einfach weiter mit den eigenen Schäufelchen.

 

[Kacha]

@Silverangel Du hast das kleine 1x1 in Kommunikation komplett nicht verstanden, oder? Du erzaehlst irgendwas, mehr als nur einer fassen es anders auf als du meinst es soll aufgefasst werden, also sind die anderen Schuld. Kann man so handhaben, aber das einzige das es zeigt ist, dass du als Sender es nicht schaffst das rueberzubringen was du meinst. Liegt komplett bei dir das besser zu machen. Wenn du keine Lust hast das zu verbessern solltest du dich wirklich nicht wundern.

Der Rest deiner "Argumentation" basiert auf genau dem Fehler. Weil du meinst der andere soll das anders aufnehmen attackierst du das anders verstandene anstatt es aufzuklaeren. Aber du scheinst eh nicht an einer Diskussion interessiert zu sein. Du stellst dich auf einen Punkt mit beschraenktem Horizont, willst ihn nicht erweitern, und attackierst dann einfach direkt die Person anstatt dich mit dem Inhalt auseinanderzusetzen. Der einzige der mit seinen eigenen Schaeufelchen weiterspielt bist du, da du dich selbst disqualifiziert hast.

 

[Pocketderp]

Das ist das Resultat davon wenn man über Dinge reden möchte die man nicht versteht, aber um jeden Deut sein "Standpunkt" verteidigen wollen. Selten hab ich so eine fade Argumentation gesehen. Wobei, ich kenne da schon ein paar Beispiele wo dies ähnlich praktiziert wird.