News OpenBSD: Deaktiviertes Hyper-Threading zum Schutz gegen Spectre

Jan

Chefredakteur
Teammitglied
Dabei seit
Apr. 2001
Beiträge
10.469
#1

Drahminedum

Lt. Junior Grade
Dabei seit
Sep. 2016
Beiträge
328
#2
Wie immer eine vorbildliche Lösung: die Maßnahme ist vom Anwender steuerbar, man muss also nicht essen was einem vorgesetzt wird (im Gegensatz zu vielem bei Windows).
 

corvus

Lt. Junior Grade
Dabei seit
Jan. 2018
Beiträge
367
#3
Stimmt, im BIOS lässt sich das ja nicht OS-unabhängig abschalten...
Lediglich die Aktivierung im laufenen Betrieb geht halt nicht. Aber was genau das nun mit Windows zu tun hat?
 
Dabei seit
März 2017
Beiträge
2.211
#4
Spectre NG mit Gefahrenlevel " Hoch " würd ich mal als Hintergrund vermuten , aber nix genaues weiß man nicht
Bei Win 10 übrigens kann man auch patches aktivieren / deaktivieren in der Registry
Der Open BSD Entwickler ist übrigens nicht erbaut von Intels Informationspolitik ...
 
Zuletzt bearbeitet:

Numrollen

Lt. Commander
Dabei seit
März 2008
Beiträge
1.518
#5
Und wieviel Millionen Angriffe haben dieses kritische Sicherheitsloch nun bereits ausgenutzt? Ich lese eigentlich nur von Malware die Schaden anrichtet. Oder ist die Lücke so heftig das keiner mitbekommt das seine Daten weg/kopiert/verändert wurden?
 

Häschen

Rear Admiral
Dabei seit
Dez. 2012
Beiträge
6.064
#6
Gibt noch keine Angriffe die funktioniert haben aber es ist theoretisch möglich.
Man muss es aber auf den jeweiligen "PC" im Netz abgesehen haben bzw. ihn ausfindig machen daher sind die Sicherheitslücken gerade für Firmen Kritisch.
Normale Nutzer sind für solche Angriffe nicht rentable.
 
Dabei seit
März 2017
Beiträge
2.211
#7
@Numrollen
Nehmen wir mal Spectre und Meltdown , informiert wurde Intel mitte 2017 , bis Anfang 2018 war nichts passiert seitens Intel , dann gabs ein " Leak " und plötzlich trat hektischer Aktivismus seitens Intel zutage ....

Die Lücken sind für Privat Nutzer recht uninteressant , welche Firmen / Staatsgeheimnisse liegen auf deiner HDD / SSD ? , jedoch dazu geeignet Firmengeheimnisse , Patente , was auch immer auszuspähen , bekannt geben wird das keiner .
 
Dabei seit
Dez. 2014
Beiträge
2.323
#9
@Numrollen

Wollte ich auch gerade schreiben.
Seit 6 Monaten wird ein Wind um das Thema gemacht... Aber,

Gab es jemals einen Angriff der die Lücken ausgenutzt hat ?
Gibt es irgendeine bekannte Maleware, Virus oder was auch immer was diese Lücken genutzt hat ?

Komisch das man darüber nie etwas gehört hat von den "sogenannten" Sicherheitsspezialisten. :rolleyes:

@Häschen

Gibt noch keine Angriffe die funktioniert haben aber es ist theoretisch möglich.
Ja, man kann auch ein hundert-stelliges Passwort "theoretisch" irgendwann erraten aber...
 
Dabei seit
Juli 2013
Beiträge
3.411
#11
Dabei seit
Sep. 2005
Beiträge
227
#13
Dabei seit
Mai 2015
Beiträge
2.012
#14
Eigene Inkompetenz durch abschalten von Hardware zu vertuschen ist schon ein Ding. Linux hat es auch Softwareseitig geschafft, ohne Abschaltung von HT. Naja, typisch hobbyBSD.
 

cc0dykid

Lt. Junior Grade
Dabei seit
Nov. 2013
Beiträge
475
#15
Und wieviel Millionen Angriffe haben dieses kritische Sicherheitsloch nun bereits ausgenutzt?
Achso! Weil die Angreifer dann CB kontaktieren und genaustens schildern, wie und wen sie angegriffen haben und welche Daten sie geklaut haben?
Ich breche in dein Haus ein, weil dein Schloss kaputt ist und lasse dir eine Notiz, wo du mich finden kannst.
Diese Naivität ist jehnseits von Gut und Böse. :freak:

Es wurde eine Lücke gefunden. Es wurde demonstriert, dass man damit Daten abgreifen kann. Hersteller und Betreiber tun alles Mögliche, damit User sicher sind. Stellen freiwillige Optionen zur Verfügung - und die Leute meckern trotzdem! Das ist Wahnsinn! :freak:
 

Numrollen

Lt. Commander
Dabei seit
März 2008
Beiträge
1.518
#16
@Numrollen
Nehmen wir mal Spectre und Meltdown , informiert wurde Intel mitte 2017 , bis Anfang 2018 war nichts passiert seitens Intel , dann gabs ein " Leak " und plötzlich trat hektischer Aktivismus seitens Intel zutage ....

Die Lücken sind für Privat Nutzer recht uninteressant , welche Firmen / Staatsgeheimnisse liegen auf deiner HDD / SSD ? , jedoch dazu geeignet Firmengeheimnisse , Patente , was auch immer auszuspähen , bekannt geben wird das keiner .
Achso! Weil die Angreifer dann CB kontaktieren und genaustens schildern, wie und wen sie angegriffen haben und welche Daten sie geklaut haben?
Ich breche in dein Haus ein, weil dein Schloss kaputt ist und lasse dir eine Notiz, wo du mich finden kannst.
Diese Naivität ist jehnseits von Gut und Böse. :freak:
Es wurde eine Lücke gefunden. Es wurde demonstriert, dass man damit Daten abgreifen kann. Hersteller und Betreiber tun alles Mögliche, damit User sicher sind. Stellen freiwillige Optionen zur Verfügung - und die Leute meckern trotzdem! Das ist Wahnsinn! :freak:

In DE sind bestimmte z.B. Krankenhäuser ab einer bestimmten Größe verpflichtet solche Vorfälle zu melden an das BSI und im Ergebnis muss auch feststehen wie das ganze passiert ist und durch was. Und spätestens im Quartalsbericht oder vorher in der Presse tauchen solche Fälle auf.

Und ich mecker wegen den schlechten Lösungen die durch Intel präsentiert werden. Leistungsverlust, Aufwand und Hektik. Ihr 2 scheint ja nicht in einem Bereich zu arbeiten den sowas betrifft und philosophiert bissl über die Thematik, habt aber keine Ahnung was das beinhaltet dieses Thema für Firmen.

Da sind schon viel schlimmere Sachen passiert bei denen das ganze lockerer von statten ging. Man ließt ja über diese dollen Lücken jeden Tag was neues.

Mir fällt aktuell aber für niemanden ein Vorteil ein bei dieser Geschichte und besonders Vorteilhaft ist es durch Intel auch nicht. 10% Leistungsverlust bei z.B. VM Hosts ergibt natürlich mehr Umsatz aus dem Bereich aber die negative Presse lässt ja einen zu AMD schielen. Bei Antivirenhersteller bin ich mir sicher das die selbst für so manche Angriffe verantwortlich sind.
 
Zuletzt bearbeitet:
Dabei seit
Sep. 2008
Beiträge
154
#17
Es wurde eine Lücke gefunden. Es wurde demonstriert, dass man damit Daten abgreifen kann. Hersteller und Betreiber tun alles Mögliche, damit User sicher sind. Stellen freiwillige Optionen zur Verfügung - und die Leute meckern trotzdem! Das ist Wahnsinn! :freak:
Die Leute haben Prozessoren gekauft, die eine bestimmte Leistung hatten. Jetzt muss man auf Leistung oder Sicherheit verzichten und die Leute regen sich auf. Muss ja Wahnsinn sein....

Bevor nicht alle bekannten(!) Lücken geschlossen sind, kommt mir kein neuer Prozessor ins Haus.
 

mambokurt

Lt. Commander
Dabei seit
Aug. 2011
Beiträge
1.810
#19
Und wieviel Millionen Angriffe haben dieses kritische Sicherheitsloch nun bereits ausgenutzt? Ich lese eigentlich nur von Malware die Schaden anrichtet. Oder ist die Lücke so heftig das keiner mitbekommt das seine Daten weg/kopiert/verändert wurden?

Wie viele braucht es denn? Lass das doch mal bei so einem shared Hoster auf ein paar Maschinen erfolgreich sein, wie viele Websites und Shops reißt es da wohl über den Jordan?

Wenn du was mit mehreren virtuellen Maschinen betreust hast du jetzt zumindest die Wahl zwischen Gerichtsverfahren und weniger Performance, so schnell könntest du gar nicht gucken wie ich das anschalte.
 
Dabei seit
Mai 2018
Beiträge
1.296
#20
Was für eine halbgare Sache - wie wärs mit nem echten Fix?
Stattdessen die Nachteile von beiden Seiten: Schwachstelle immer noch ausnutzbar und zusätzlich Performanzkosten :daumen:

Die Entwickler von OpenBSD wissen eindeutig, wie man Bugs/Sicherheitslücken angeht :smokin:
 
Top