News „Spectre Next Generation“: Acht neue CPU-Lücken sollen gefunden worden sein

[7hyrael]

Nein natürlich nicht!
Aber wer sagt, dass sie es nicht wirklich können? Da ist halt absolutes Vertrauen gefragt. Wenn Intel sagt, dass es kostentechnisch kein Sinn ergibt doppelt so viele Ingenieure damit zu beauftragen und dadurch lieber einen Monat länger braucht und damit die Frist nicht einhält, ist das nicht in Ordnung.

Schonmal das Sprichwort gehört:
"Zwei Entwickler schaffen in zwei Monaten, was ein Entwickler in einem Monat schaffen kann!" Natürlich ist das übertrieben aber es zeigt das Problem.
Das ist keine Fließbandarbeit wo man nochmal 10 weitere Kartoffelschäler hinstellt und damit die Leistungsfähigkeit verdoppelt, nicht bei jedem Problem hilft es Geld drauf zu schmeißen.

Ich will Intel hier nicht verteidigen, ich halte von dem Laden in der Art wie sie Agieren echt nicht viel, aber nicht jede Verzögerung ist immer gleich kostenmotiviert. Was bringt es wenn sie ruckzuck eine Lösung hinstellen, zeitgleich aber 5 neue Probleme einbauen? Ich hoffe nach wie vor dass das alles AMD ordentlich in die Karten spielt, insbesondere für Epyc, aber das wichtigste ist immer noch dass die User geschützt sind. und deshalb sollte Google sich sehr gut überlegen, ob sie das zeug veröffentlichen.

Vermutlich sollte Google auch Leute mit genug Know-How haben um jemanden zu schicken, der sich das Problem zeigen lässt an der Lösung und entsprechen bewerten kann, ob wirklich alles mögliche getan wird, eine Lösung zu finden und eine Entscheidung zu treffen. Wenn das absolut nicht der Fall ist kann man noch immer sagen, man setzt ne Deadline in einer Woche und dann geht das Zeug öffentlich.

Lieber das als dass sonstwer ebenfalls dahinter kommt und schon fleißig die Angriffe am vorbereiten/durchführen ist ohne dass es wer merkt.

 

[Nitschi66]

Schonmal das Sprichwort gehört:
"Zwei Entwickler schaffen in zwei Monaten, was ein Entwickler in einem Monat schaffen kann!" Natürlich ist das übertrieben aber es zeigt das Problem.

Natürlich, du hast auch absolut Recht! Ich glaube aber auch, dass es auf dieses Problem keine richtige Antwort gibt. Mit der Veropplung von Ingenieuren sollte man dann wahrscheinlich zwei getrennte Teams an einem Projekt arbeiten lassen. Und sehen, wer (mit verschiedenen Ansätzen) schneller ans richtige Ergebnis kommt. Und das ist absolut unwirtschaftlich (wird sich Intel wahrscheinlich auch denken) und erst wenn wirklich ein Risiko eines Aktienwertverlust wahrscheinlich ist lohnt es sich.

Bei Spectre hats einfach viel zu lange alles gedauert, egal wie schwer es ist. Und es wurde Ihnen schon zeit gegeben.

 

[MK one]

@7hyrael
Richtig , zumal es sich um kein Software Problem handelt , sondern eins das in die tiefen der CPU Entwicklung reinreicht , solche Fachleute schüttelt man nicht von den Bäumen ... , da kommen im Grunde nur eigene Leute in Frage die Zugriff auf alle Details haben .

Die 2 te Frage die sich stellt : Hat Intel , um die Performance Krone zu tragen , Sicherheitsbedenken außen vor gelassen ?
Wird sich nie beweisen lassen , aber unmöglich halte ich es nicht . Der " Bonus " der Führungskräfte richtet sich nach dem Erfolg , die Personalien wechseln vergeichsweise häufig .... , von daher ... - so ist es in der heutigen , schnelllebigen Zeit leider.

 

[7hyrael]

@Nitschi66:
Das schließt aber noch immer nicht das Problem ein, dass du selbst wenn du jetzt nochmal 100 Ingenieure (wo auch immer die herkommen sollten, Leute mit Expertise in dem Bereich und dem nötigen Know How um da effektiv überhaupt mitarbeiten zu können kannst du vermutlich an wenigen Händen abzählen) drauf setzt, diese auch erstmal das nötige Kontextwissen benötigen, vermutlich selbst dann wenn sie intern aus anderen Teams rekrutiert würden.
Ich bezweifle dass man in so einem komplexen Thema mal eben einsteigt und nach einer Woche wirklich mitreden kann bei der Lösungsfindung.

Das ist doch das größte Problem beim Ansatz der agilen Entwicklung die sich zum Ziel setzt, möglichst skalierungsfähig zu sein: Desto höher die Komplexität, desto länger das onboarding. Bis die neuen Teams einsatzfähig sind in so hochkomplexen systemen, kann das Problem schon wieder gelöst sein oder man hat ganz andere.

 

[Krautmaster]

ziemlich kurzsichtige Sichtweise , du hättest recht wenn Intel nur dir allein ne CPU verkauft hätte , aber ist dem tatsächlich so ?
Auf wen glaubst du , werden die Kosten von Umrüstungen in sicherheitssensitiven Bereichen bei Unternehmen umgelegt ( sollten die Lücken sich tatsächlich als generelles Intel Hardware Problem erweisen und Patches diese nur unzureichend bzw vorübergehend stopfen ) .

sicher aber was hat das mit meiner privaten Maschine zu tun? Nur weil mich selbst die Lücke genau wie Meltdown und insbesondere Spectre wenig interessiert (da ich nicht wüsste welche Daten hier nem Angreifer von Interesse sein könnte und wirklichen Schaden verursachen) heißt das nicht dass sie generell zu verharmlosen ist.

Natürlich gibt es ganz andere Zweige bei denen das weit kritischer ist, Banken, Unternehmen, Regierungen... aber nun privat bei der Workstation nun den Teufel an die Wand zu malen halte ich in vielen Fällen für übertrieben. Da gibt es sicher ganz andere weit einfacher ausnutzbare Einfallstore. Und sei es das verkaufte / verlorene Handy / USB Stick von dem sich wieder Daten recovern lassen oder irgendwelche andere Malewares die man sich mit Game Cracks reinpfeift.

Daran werden auch die anderen 8 Lücken nicht ändern, wenn nicht gerade wie damals bei der Jahrtausendwende der PC alle paar Minuten ausgeschaltet wird ^^. Sasser oder was das war. Das wäre ein Impact.

Ich mein klar, nennt mich blauäugig - mir wurde schon in Mexiko die Girokarte geclont und 6 Monate später Geld abgehoben, mir wurde auf Malle schon der Mietwagen geknackt und Geld entwedet, in Kleinanzeigen hat einer die Ware nicht versandt was mich 300 Steine gelöhnt hat.. (die weit realere Gefahr für viele hier wie ich finde), aber wenn man meinen PC nicht gerade mit Spectre zum Abrauchen bringt gibts da wenig zu holen. Deswegen bin ich was das angeht vielleicht recht blauäugig ja.

Heißt ja nicht dass es nicht Individuen und Firmen gibt für die so eine Lücke einen massiven Impact bedeutet.

Edit: Klar wäre es schön es gäb so Lücken nicht. Bezweifle aber dass das eigene Kaufverhalten darauf viel Einfluss hätte , wenn überhaupt. Intel zieht diese Fehler jetzt wohl schon seit vielen Generationen unbemerkt mit, das spielt AMD nun in die Hände was ich nur begrüßen kann. Das könnte gerade im Epyc Umfeld doch auch mitunter kaufentscheidend sein.

 

[MK one]

haha true. Auf jeden Fall mehr Angst als irgendwelche potentiellen Lücken in der CPU meines Privatrechners.

leider sind die Lücken halt nicht nur in der Cpu deines Rechners .... , bei den meisten Privatrechnern ist betrifft es , wenn überhaupt , private Details , uninteressant - da geb ich dir recht .
Hast du ne Kreditkarte ? würde es dich freuen wenn ne Online Bestellung mit deinen , völlig korrekten Passwörtern etc , gemacht werden würde ? nur weil der Server der Kreditkartenfirma gehackt / bzw der Speicher des Servers von einem eingeschleusten Watchdog Programm ausgelesen wurde als du mal was bezahlt hast ?
Auch wenn du keine hast , du erkennst das Prinzip , ja ? Du hättest auf jeden Fall jede Menge Laufereien und Ärger am Hals um nachzuweisen das du es nicht warst .
Es betrifft nicht deinen Rechner womöglich , aber betrifft es dich wirklich nicht ? und sei es nur das du mal entschließt Cloud Services zu nutzen , deren Preis sich um 10 % erhöht hat, weil sie die Hardware komplett austauschen mußten ....
Panik ist für den privaten Nutzer nicht angesagt , soweit es bekannt ist , gibt es noch keine Tools zum ausnutzen der Lücke(n) , jedoch ist es nur eine Frage der Zeit bis der erste Angriff erfolgt , und zwar dort wo er sich lohnt .... - das betrifft in der Regel keine Privatperson ...

 

[engine]

... das betrifft in der Regel keine Privatperson ...

Wen sonst soll es betreffen?
Natürlich betrifft es Privatpersonen, auch wenn indirekt über Internetdienste, wo der Privatmann seine Daten hat.

 

[MK one]

Du hast recht , indirekt womöglich , aber meine Äußerung bezog sich auf einen Angriff und du wirst sehr wahrscheinlich nicht direkt attackiert werden - der Rest ergibt sich jedoch aus dem zusammenhang meines Posts .
Ich liebe aus den Zusammenhang gerissene Zitate

 

[engine]

Ich habe nur geschrieben, dass es mich doch direkt betrifft, egal wer angegriffen wird, deine Formulierung lädt dazu ein.
Alles andere ist Spekulation, da es massenweise keine Angriffe seit M&S gegeben hat wie ich weiß.

In einem anderen Thread habe ich schon geschrieben, dass alle meine sensiblen Daten aus der Cloud weg sind, auch die Wiederherstellung und Versionierung.
Hat mich ca. eine Stunde gekostet und ob ich wirklich alles weg habe ist nicht sicher, ich überprüfe immer mal wieder. ...

Nachtrag:
ich selber hasse Zitate, die aus dem Kontext gerissen sind.

 

[Krautmaster]

@MK one

All das genannte geht vermutlich 100x einfacher ohne sich nen Spectre Aufwand zu geben. Die Chance dass dir deine Kreditkarte abhanden kommt und missbraucht wird dürfte Faktoren größer sein und noch dazu sind diese idr sehr gut abgesichert, heißt im Schadensfall bekommst die Asche (bekam ich sogar bei meiner kopierten Ec in Mex 6 Monate danach anstandslos).

Bevor man bei dir genau diese Kreditkarten Daten über nen Side Channel zieht wird wohl viel Zeit ins Land gehen, da phisht man doch oder andere Opfer leichter ab oder findet ein übliches Daten / Passwort Leck bei einem der vielen Online Shops.

Potenziell ist das sicher möglich, genau wie man Nachts zu Hause ausgeraubt werden kann. Die Frage is weshalb jemand extrem viel Implementierungs Aufwand mit maßgeschneiderter Attacke bei mir oder dir durchführen soll? Wickelst du Assads Ölgeschäfte ab?

Wie gesagt es ging nicht darum wie anfällig nun Amazons Cloud oder die Server meiner Bank dadurch werden, es ging um die persönliche Hardware.

 

[Flyto]

Intel CPUs sind fehlerfrei!
der Fehler liegt darin, von ''Sicherheitslücken'' und unbeabsichtigten ''Fehlern'' zu sprechen, wenn es sich tatsächlich um bewusst getroffene Design-Features handelt, um dem ''Sicherheitsanspruch'' von ''Regierungen'' und ''Geheimdiensten'' zu entsprechen.
Dieser ''Sicherheitsanspruch'' sieht vor, das ''Regierungen'' und ''Geheimdienste'' jederzeit Vollzugriff au jedes System haben können, wenn sie es denn wollen. Es ist daher irreführend und sachlich falsch von ''Sicherheitslücken'' und unbeabsichtigten ''Fehlern'' zu sprechen.

 

[Arcturus128]

Intel CPUs sind fehlerfrei!

Und ich bin Micky Maus!

 

[yummycandy]

Intel CPUs sind fehlerfrei!

Ähmn, nööö

Hier mal die Fehlerliste von Coffee Lake: https://www.intel.com/content/dam/w...n-updates/7th-gen-core-family-spec-update.pdf

Errata
are design defects or errors. Errata may cause the processor’s behavior to deviate from published specifications. Hardware and software designed to be used with any given stepping must assume that all errata documented for that stepping are present on all devices.

 

[darkcrawler]

Flyto 4 Intel marketing OMG

 

[smalM]

Flyto 4 Intel marketing OMG

Nö, er ist nur ein Aluhutträger...

 

[violentviper]

Google wäre ja selbst davon betroffen wenn sie die Lücke bekanntgeben. Ich denke dass sie deswegen eine Fristverlängerung gewähren, hauptsächlich aus eigenem Interesse.

 

[genocide7]

Gibt es schon bekannte viren/schad software, welche ieine dieser spectre lücken ausnutzt im home bereich?

 

[yummycandy]

Gibt es schon bekannte viren/schad software, welche ieine dieser spectre lücken ausnutzt im home bereich?

Das Problem daran ist, daß das nicht bemerkt wird. Da wird auch kein Virenscanner helfen.

 

[Crazy_Bon]

Ich hätte da einen passenden Namen für die kommende CPU-Generation, was auch alle bisherigen CPUs berücksichtigt, Swiss Cheese.

 

[BestinCase]

Kommende CPU-Generation soll doch aber gefixt werden