News Sicherheitslücken: Kernel-Entwickler empfiehlt Intel SMT zu deaktivieren

[mykoma]

Bis zu 50% Leistungseinbußen durch Softwarelösung ist echt bitter, dafür dass SMT im Schnitt (ist natürlich von Anwendung zu Anwendung unterschiedlich) 20% mehr bringt.

Insbesondere drastisch bei den Xeons im professionellen Sektor und bei den ganz kleinen CPUs.

Auf der Arbeit laufen Clients mit i3 6100, stehen die nur noch mit zwei Threads da, taugen die auch kaum noch was, dafür dass immer mehrere Programme parallel genutzt werden.

 

[yummycandy]

Evtl. ist eine Schadenersatz-Klage gegen Intel möglich? @Snowi und @Minutourus

Nein, weil Intel nie 100% sichere CPUs versprochen hat. Das können sie auch gar nicht, weil die Komplexität nunmal Sicherheitslücken zuläßt.

 

[Snowi]

Evtl. ist eine Schadenersatz-Klage gegen Intel möglich? @Snowi und @Minutourus

Müsste jemand entscheiden ob das gewollt ist, ich bin aber auf einer ganz anderen Baustelle tätig und auch kein Entscheidungsträger
/E: Und natürlich noch das was Yummycandy schreibt. Rechtlich ist halt die Frage, ob man was machen kann. Ich würde aber nicht pauschal nein sagen, das müsste halt ein Richter in DE entscheiden. Nur weil der Hersteller etwas dazu schreibt, heißt das nicht, dass das so gültig ist.

 

[Andreas10000]

Mich würde Mal interessieren:
Wie angreifbar bin ich als Privatperson durch diese Sicherheitslücken?
Sind andere Lücken wie bspw. im Betriebssystem leichter auszunutzen?

Ich bin kein IT Sicherheitsexperte für mich hört es sich bisher so an, als würde für mich als Privatanwender, bei dem es nicht viel auf dem PC zu holen gibt, nicht wirklich eine Bedrohung durch Spectre etc. geben.

Jetzt ist die Frage ob ich richtig vermute.

 

[yummycandy]

Mich würde Mal interessieren:
Wie angreifbar bin ich als Privatperson durch diese Sicherheitslücken?
Sind andere Lücken wie bspw. im Betriebssystem leichter auszunutzen?

Du bist angreifbar, aber man sollte sich um unbekannte Sicherheitslücken mehr Gedanken machen. Vorsichtig sollte man also immer sein.

 

[Das_Oni]

Passend zu dem Thema sind ja dann solche Tests.
"Das bringt hardwareseitiges Multithreading: AMD Ryzen 9 3900X und Intel Core i9-9900K im Vergleich"

Wenn das wirklich stimmt, könnte man selbst wenn man seinen Rechner hauptsächlich für Gaming benutzt, dass SMT / HT deaktivieren ohne merklich extrem einen Unterschied zu bemerken.

Das fällt dann wirklich erst ins Gewicht wenn die Kiste am Limit ist.

 

[Nozomu]

Jetzt ist die Frage ob ich richtig

Wir hier können alle nur vermuten.

Glaub kaum das hier IT'ler Fachleute unterwegs sind.

Mir ist das Thema egal, mehr wie Spiele, Musik, Videos hab ich nicht aufn PC.

 

[flappes]

... Aber freiwillig und proaktiv SMT abdrehen wird am Ende vermutlich doch kaum jemand.

Ein Hoch auf die Doppelmoral.

Wozu sollte man es auf seinem Privatrechner abdrehen? Um die Lücke zu nutzen, muss die Schadsoftware eh auf deinem Rechner sein.

Auf Serverfarmen und/oder Virtuellen Machinen sieht die Sache natürlich anders aus.

Ich hoffe dass die Serverbetreiber langsam mal umdenken und nicht mehr nur intel kaufen. Eine gesunde Mischung reduziert das Risiko eines solchen Schadens und vor allem würde es für alle die Preise senken.

Airlines kaufen ja auch nicht nur Flugzeuge eines Herstellers, die wissen schon warum. Nur bei den ach so logisch denkenden ITlern scheint das noch nicht angekommen zu sein.

 

[anexX]

Na die Verkaufszahlen von Intel Serverprozessoren sehen doch weiterhin stabil aus - also entweder stört die Serverbetreiber die SMT Sicherheitsproblematik nicht wirklich sonderlich oder sie sind softwareseitig auf Intel Prozessoren angewiesen und müssen die Lage quasi "fressen".

 

[DarkerThanBlack]

Was mich ein wenig wundert ist, dass man sehr viel über die diversen Sicherheitslücken liest, die in den letzten Monaten und Jahren entdeckt wurden und zumindest alle aktuellen Intel-CPUs betreffen, also sicher 80% aller Rechner, inklusive sicherheitskritischer Server usw.. Aber von erfolgreichen Angriffen und konkretem Schaden (abseits der Leistungsverluste durch diverse Patches oder Deaktivieren von Funktionen) liest man wenig bzw. nichts.

Also ich lese immer wieder, wie Firmen gehackt und prekäre Daten gestohlen werden. Ich vermute mal, dies sind alles Server von Intel, welche einfach nicht up-to-date waren?
Mein Paypal-Konto wurde auch gehackt und ich musste deswegen meine Kontodaten sowie Imail-Adresse und Telefonnummer ändern...
Bei PayPal bin ich natürlich nicht mehr. Bin mal gespannt, bis der nächste Server gehackt wurde, worin ebenfalls meine Daten liegen.

 

[Herdware]

Also ich lese immer wieder, wie Firmen gehackt und prekäre Daten gestohlen werden. Ich vermute mal, dies sind alles Server von Intel, welche einfach nicht up-to-date waren?

Erfolgreiche Angriffe gabs auch früher regelmäßig, durch alle möglichen Software-Sicherheitslücken. Ich erinnere mich jedenfalls an keine Meldung, wo ausdrücklich Meltdown, Spectre und Co. als ausgenutzte Sicherheitslücke genannt wurden.

Z.B. beim NordVPN-Hack, der gerade Schlagzeilen gemacht hat, war wohl vom Betreiber des betroffenen Servers ein unsicheres Managment-Tool zurückgelassen worden, von dem NordVPN nichts wusste.

 

[icedpingu]

Hat denn jemand real in Unternehmen oder Behörden erlebt, dass SMT aus Sicherheitsgründen deaktiviert wird?

Spectre und Meltdown waren damals bei uns kurz mal Thema, dann hieß es, dass Patches kommen und es hat niemanden mehr interessiert.

Mich würden insbesondere Risikoumgebungen interessieren, also z.B. Virtualisierung für verschiedenste Kunden auf der selben Hardware.

Ich bin in einem Rechenzentrum in Wien tätig und arbeite im Virtualisierungsteam. Wir betreuen ca. 300 ESX Hosts und haben HT ausnahmslos auf allen Hosts deaktiviert, bisher hat sich kein Kunde über Performanceeinbrüche beschwert oder etwas davon gemerkt.

 

[Benji18]

Das klingt aber nicht sehr gut. Ich hatte angenommen, die Sicherheitslücke ist bereits geschlossen worden?

was willst du an Architektur Fehlern genau schließen?

Die Fehler sind auch nach dem Patchen ausnutzbar man versucht es halt nur mit anderen Mitteln.

 

[Ralf74]

Ich schalte Hyper-Threading ab vier echten Kernen sowieso immer aus, denn wirklich gut optimierte Anwendungen profitieren sowieso kaum von Hyper-Threading - manche werden sogar langsamer.
Dort optimiert man ja die inneren Schleifen an den zeitkritischen Stellen bereits schon soweit, dass das Rechenwerk eines echten Kernes bestmöglichst ausgenutzt wird. HT profitiert ja nur von nicht ausgenutzten CPU-Ressourcen.
So gesehen könnte man auch sagen, dass HT sowieso nur Programmen zu Gute kommt bei denen sich die Programmierer besonders wenig Mühe gegeben haben. ;-)

Somit fange ich mir dann auch nicht die anderen HT-Probleme ein...

 

[GERmaximus]

Moment, ich soll einen 507€ teuren i9 9900k mal eben zum über 30% günstigeren i7 9700k (387€) degradieren um Werksmäßige Sicherheitslücken zu schließen?

Also DAS Kernfeature des i9 soll deaktiviert werden?
Wäre HT "kostenlos" dabei so wie bei der Konkurrenz, wäre es ja noch erträglich.
Aber man zahlt für diese Eigenschaft mal eben 30% extra und die soll deaktiviert werden?

Irgend etwas läuft doch gehörig schief

 

[hroessler]

Ich denke, Intel wird diese Probleme frühstens mit einer Nachfolgearchitektur von Core i ernsthaft angehen...

greetz
hroessler

 

[Mac_Leod]

Hmm heißt das jetzt, in der betrieblichen Virtualisierungsumgebung soll ich jetzt die hälfte alle vcpus abschalten, ja ne ist klar. Das kann nicht die Lösung sein.

 

[Kalsarikännit]

Alle haben sich über Intel echauffiert als die Lücken aufkamen. Völlig zurecht wie ich finde.

Also ich hab mich echauffiert und hab jetzt nen R5...allerdings nicht in erster Linie wegen den Lücken, sondern vor allem wegen mehr Threads.

 

[Xes]

Also ich lese immer wieder, wie Firmen gehackt und prekäre Daten gestohlen werden. Ich vermute mal, dies sind alles Server von Intel, welche einfach nicht up-to-date waren?
Mein Paypal-Konto wurde auch gehackt und ich musste deswegen meine Kontodaten sowie Imail-Adresse und Telefonnummer ändern...

Ich kann hier keine 100% Garantie geben aber so wie ich es verstanden und mehrfach gelesen habe ist die Lücke nur äußerst kompliziert auszunutzen und erfordert zudem schon Schadsoftware auf dem System. Dieser Aufwand lohnt sich also nur gegen millionenschwere Ziele oder sehr wichtige Spionageziele.

Die Chance, dass diese Lücke genutzt wurden um dein Paypal Konto zu knacken geht gegen 0.
Generell ist es unwahrscheinlich, dass das Sicherheitsproblem hier auf Seiten Paypals lag denn wenn du nicht gerade Milliadär bist gibt es bei diesem Dienst mit Sicherheit finanziell wesentlich interessantere Ziele.

Viel wahrscheinlicher sind die typischen Dinge: Passwort und Mailadresse entweder nicht komplex genug oder bei mehreren Diensten das gleiche verwendet, irgendwer hat dir beim eintippen über die Schulter geschaut oder du hast dir irgendwo einen „normalen“ Trojaner/Keylogger eingefangen.

Erfolgreiche Angriffe gabs auch früher regelmäßig, durch alle möglichen Software-Sicherheitslücken. Ich erinnere mich jedenfalls an keine Meldung, wo ausdrücklich Meltdown, Spectre und Co. als ausgenutzte Sicherheitslücke genannt wurden.

Z.B. beim NordVPN-Hack, der gerade Schlagzeilen gemacht hat, war wohl vom Betreiber des betroffenen Servers ein unsicheres Managment-Tool zurückgelassen worden, von dem NordVPN nichts wusste.

Ich möchte Intel hier nicht verteidigen aber ich habe tatsächlich noch nie davon gelesen, dass die Lücken abseits von Labor Tests in der Praxis genutzt wurden. Was der Nord VPN mit den Sicherheitslücken zu tun soll hat musst du mir auch erklären.

Mmn. wird gerade für Privatnutzer viel zu viel Wind um die Sache gemacht. Es riecht in vielen Fällen verdächtig nach viel AMD-Fanboy geblubber.
Aber wenn jemand Gegenbeispiele hat gerne her damit. 😉

 

[gaelic]

Sorry, aber solange diese Lücke ein rein theoretisches Problem darstellt; warum sollte ich es dann auf meinem Rechner deaktivieren?
Das Problem besteht ja (auch hier fehlen mir noch die konkreten Fälle) vor allem im Bereich der Virtualisierung, z.b. bei Hostern die vhosts an die Kunden vermieten.