News OpenBSD: Deaktiviertes Hyper-Threading zum Schutz gegen Spectre

[nudelaug]

natürlich nicht!
die computerbase-forengötter und deren propheten haben schon verlautbart, dass es keine sicherheitslücken gibt. intel ist toll, windows ist toll...fast alles ist toll, außer diese trottel von "spezialisten" die was anderes behaupten. ahja, es gibt da noch zehn *kracks!*...acht gebote, an die sich nun jeder zu halten hat!

 

[Hill Ridge]

Vielleicht eine Empfehlung HT in allen OS abzuschalten, auch Windows?

Mit etwas glück ist nur die komische SMT-Implementierung von Intel wirklich stark davon betroffen.

 

[mambokurt]

Ähm jaein. Zumindest OpenBSD sieht schon explizit auch ein Desktop-Einsatz vor. So ist zum Beispiel standardmäßig ein X-Server mit dabei (bei FreeBSD und NetBSD nicht).

Ergänzung (21. Juni 2018)

Exakt. Weil OpenBSD mit Linux auch so gar nix am Hut hat.

Jap. Und wer nutzt das? Aluhuthacker. Das ist schon die richtige Einstellung für die Zielgruppe (ich bin übrigens jahrelang FreeBsd gefahren, wenn sich da die letzten 10 Jahre nix geändert hat klickst du da bei der Install auch nur deine DE dazu. Da war OpenBsd damals Faktor 10 komplizierter, aber kann sich jetzt auch umgekehrt haben...)

 

[nebulus]

Die Entwickler von OpenBSD wissen eindeutig, wie man Bugs/Sicherheitslücken angeht

Nur solange man die aus dem Linux Kernel kopieren kann, was bei diesem speziellen Bugfix nicht möglich ist. Die OS unterscheiden sich zu stark und ein copy&paste ist in diesem Bereich nicht möglich...

 

[chithanh]

Die Entwickler des Betriebssystems OpenBSD gehen davon aus, dass die Nutzung von Simultaneous Multithreading (SMT) die Ausnutzung der mittlerweile bekannten oder noch unbekannten Spectre-Lücken wahrscheinlicher macht. Als Vorsichtsmaßnahme ist Intels Umsetzung Hyper-Threading ab sofort standardmäßig deaktiviert.

Ein Uni-Kollege meinte, dass das möglicherweise mit dieser Ankündigung zu tun hat:
https://www.blackhat.com/us-18/brie...rotecting-your-cpu-caches-is-not-enough-10149

Bevor nicht alle bekannten(!) Lücken geschlossen sind, kommt mir kein neuer Prozessor ins Haus.

Würdest du die Lücke aus dem geplanten Blackhat-Vortrag als bekannt einstufen? Sicherlich kennt Intel sie inzwischen, und hat sie an wichtige Geschäftspartner weitergeleitet.

hmmm wie schnell war der Angriff gleich nochmal .... glaube 1 Byte / Stunde konnte gesichert ausgespäht werden ... WOW .... nun werden gleich ganze Datenbanken ausgespäht dadurch.

Laut der Vortragsankündigung geht es hierbei um das Ausspähen eines 256-bit kryptographischen Schlüssels in 17 Sekunden mit 98% Erfolgswahrscheinlichkeit. Das sind rund 6776 Byte / Stunde.

Moment mal, soll das jetzt heißen, dass da was auf uns zurollt? Vielleicht eine Empfehlung HT in allen OS abzuschalten, auch Windows?

Die Begründung von OpenBSD ist, dass Gegenmaßnahmen erhebliche Änderungen am Scheduler erforderlich machen, die vom Entwickler-Team nicht sofort durchgeführt werden können. Daher wird HT erstmal abgeschaltet.

Bei anderen Betriebssystemen könnte es sein, dass die Entwickler schnell genug sind, dass bis zur Blackhat-Konferenz ein Patch zur Verfügung steht.

 

[andy_m4]

Jap. Und wer nutzt das? Aluhuthacker. Das ist schon die richtige Einstellung für die Zielgruppe

Weiß gar nicht, was Du für ein Problem damit hast, wenn Leute versuchen sichere Systeme zu bauen.
Das meiste was heute läuft ist relativ unsicherer Crap. Das mag für den Privatnutzer vielleicht ja sogar noch reichen. Wird damit ein Atomkraftwerk gesteuert oder auch irgendwelches militärischeres Zeug, ists schon besser wenn man es auch durch gezielte Angriffe nicht so ohne Weiteres zu überwinden ist.
Aber auch außerhalb dessen ist die Abhängigkeit von IT schon massiv und das wird in Zukunft eher mehr als weniger.
Sichere Systeme sind mehr und mehr keine nutzlose Spielerei, sondern schlichte Notwendigkeit.
Und da sind übliche Systeme inkl. OpenBSD eigentlich noch viel zu schlecht aufgestellt.
Von der Hardware (was ja insbesondere durch Meltdown/Spectre wieder sichtbar wurde) brauchen wir da erst gar nicht reden.

(ich bin übrigens jahrelang FreeBsd gefahren, wenn sich da die letzten 10 Jahre nix geändert hat klickst du da bei der Install auch nur deine DE dazu.

Ähm nein. Selbstverständlich kannst Du über die Ports oder auch via pkg Xorg und ne Desktop-Umgebung installieren. Aber beim System selbst ist es nicht bei und es gibt auch keine Option dazu bei der Installation.
Kannst Du auch gerne in dem (übrigens recht guten) Handbuch nachlesen:
https://www.freebsd.org/doc/de/books/handbook/

Vor 10 Jahren war das tatsächlich noch anders. Da wurde als Installer noch sysinstall verwendet und Du konntest X11 schon beim Installationsvorgang auswählen. Aber auch da war X11 kein Bestandteil des Systems, sondern kam aus den Ports.

 

[chithanh]

Nun ist die Bestätigung da, es ist tatsächlich TLBleed, was OpenBSD zu diesem Schritt bewogen hat:
https://www.itwire.com/security/833...t-says-no-easy-fix-for-new-intel-cpu-bug.html

 

[Hotstepper]

Mit etwas glück ist nur die komische SMT-Implementierung von Intel wirklich stark davon betroffen.

So ist es:

A spokesperson for AMD has been in touch to say none of its chips are susceptible to TLBleed:

Based on our analysis to date we have not identified any AMD products that are vulnerable to the TLBleed side channel attack identified by the researcher. Security remains a top priority and we will continue to work to identify any potential risks for our customers and, if needed, potential mitigations.