Meget alvorlige hardware sårbarheder i mikroprossorere: Spectre og Meltdown

Spørgsmål, som ikke kan besvares i andre hardware-fora, bør stilles her.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Meget alvorlige hardware sårbarheder i mikroprossorere: Spectre og Meltdown

Indlæg af lath »

Det er for nogle dage siden kommet frem at der er 2 særdeles alvorlige mikroprocessor sårbarheder. De hedder Spectre og Meltdown.

ARM, Intel, og AMD mikroprocessorer er ramt.

Hardwarefejl har sædvanligvis langtrækkende konsekvenser. Det er værst for mikroprocessorer, og når det så er de 3 mest udbredte typer af mikroprocessorer: Intel, AMD og ARM processorer, så bliver det rigtig slemt.

Upatchede kerner og/eller firmware gør det muligt at læse kodeord og meget mere. Man kan for eksempel kompromittere sit system ved at gå ind på en "forkert" website med en browser.

Vulnerabilities in modern computers leak passwords and sensitive data.

Meltdown and Spectre exploit critical vulnerabilities in modern processors. These hardware vulnerabilities allow programs to steal data which is currently processed on the computer. While programs are typically not permitted to read data from other programs, a malicious program can exploit Meltdown and Spectre to get hold of secrets stored in the memory of other running programs. This might include your passwords stored in a password manager or browser, your personal photos, emails, instant messages and even business-critical documents.

Meltdown and Spectre work on personal computers, mobile devices, and in the cloud. Depending on the cloud provider's infrastructure, it might be possible to steal data from other customer


På spørgsmålet om hvad du kan gøre er det at opdatere din kerne ASAP, og acceptere et op til 30% langsommere system, og derudover kan du intet som helst gøre. En kerne opdatering lapper på Meltdown.

Hvad du kan gøre hvis du er en paranoid sikkerhedsfreak

Hvis man er en paranoid sikkerhedsfreak (hej efterretningstjenester) med hensyn til helt at eliminere Spectre og Meltdown er løsningen for en stationær PC at man skal installere en ny mikroprocessor som producenten erklærer ikke har Spectre og Meltdown.

Alt andet hardware, laptops, mobiler, tablets, routere, hvor mikroprocessoren ikke er på et print (PCB) / eller på en anden måde kan udskiftes: Det er elektronik skrot.

Med andre ord er løsningen på fejl i hardware at bruge ny hardware uden fejlene.

.. og så er der hvad alle vi andre kan gøre

Konsekvenser som følge af læk af følsomme data er for efterretningstjenester er i en liga helt for sig selv, og du og jeg er derfor (sandsynligvis?) nok tilsvarende langt mindre sikkerhedsfreak.

Her er hvad vi selv kan gøre.

Det er muligvis nødvendigt at PC firmwaren skal opdateres.

For firmware i for alle former for tablets og mobiler, så skal firmwaren opdateres, da den indeholder en ny kerne, der patcher for Meltdown der skulle være meget nem at udnytte

Det drejer sig om iPhone, iPad,, Android, og andre meget mindre produkter anvendte produkter i samme kategori, feks. Windows tablets.
Du skal ikke forvente at kunne opdatere firmwaren i din(e) printer(e).

Du skal også opdatere firmwaren for routere og den slags. Raspberry Pi har nok fået en ny opdatering via en ny version af Raspbian, så du skal også opgradere styresystemet på en RasPi. Raspberry Pi 1 modeller er dog ikke ramt af Meltdown, da dens ARM mikroprocessor ikke er en multi skalar mikroprocessor.

---

Det er en rigtig god ide at du ASAP starte en firewall på samtlige netværk interfaces: WiFI, Ethernet (kablet netværk) og så videre, såfremt du ikke allerede har aktiveret den:
  • Først en opdatering af informationer om tilgængelige pakker, samt at hente og installere alle nye tilgængelige pakker:

    Kode: Vælg alt

    sudo apt-get updade;sudo apt-get --assume-yes upgrade
  • Hvis du får en ny kerne, så gem data, luk alle programmer, og genstart
  • Under en eventuelt genstart, så husk at krydse fingre for at Meltdown patchen ikke gør din PC midlertidigt ubrugelig, fordi patchen og PCens firmware bliver samspilsramt.
  • Installere en firewall manager. Bemærk at der kun er en firewall i Linux distro'er, og den bor i kernen og ingen andre steder.

    Kode: Vælg alt

    sudo apt install ufw gufw
  • Hvis du får en fejl meddelelse om at ufw og/eller gufw allerede er installeret, så ignorer fejlen.
  • Start firewall

    Kode: Vælg alt

    sudo ufw enable
  • Hvis du har servere kørende så skal du åbne de porte som serverne lytter på:
    Kig på manual siden for ufw for mere information

--

Mere om Spectre og Meltdown - ikke sorteret (borset fra de første par stykker:
Meltdown bryder den fundamentale isolation mellem brugerprogrammer og operativsystemet. Meltdown-sårbarheden betyder således, at programmer kan tilgå hukommelse og fortrolige oplysninger, som tilhører andre programmer eller styresystemet. Der er frigivet patches til forskellige styresystemer, som lukker ned for Meltdown-sårbarheden.

Meltdown skulle være let at udnytte, men til gengæld også let at lukke ned for. Det forholder sig efter sigende omvendt med Spectre, der skulle være svær for en angriber at udnytte, men til gengæld svær at beskytte sig generelt imod på sårbar hardware.


/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Meget alvorlige hardware sårbarheder i mikroprossorere: Spectre og Meltdown

Indlæg af NickyThomassen »

lath skrev:Det er for nogle dage siden kommet frem at der er 2 særdeles alvorlige mikroprocessor sårbarheder ...

https://www.version2.dk/artikel/spekula ... en-1083991 --> "Teknikken benytter et 'side channel-angreb', hvor der ikke er tale om deciderede fejl i hardwaren"

Så sådan set ikke en fejl :)

CPU'erne fungerer efter hensigten, men i den evige jagt på lidt hurtigere afvikling af software, har teknikkerne åbnet op for at program A kan gætte sig frem til hvad program B arbejder med.

Så vidt jeg har kunne forstå, så er det ikke engang nyt. Jeg syntes bestemt at jeg læste om en teoretisk udnyttelse af denne her optimering for flere år siden (sikkert da man begyndte at bruge den), men dengang blev det afvist som værende upraktisk / ikke muligt. Det nye er at nogen har lavet et program som faktisk kan udnytte optimeringen.

Og ellers er jeg helt enig i, at løsningen er almindelig fornuft omkring sikkerhed. Og så kun at afvikle software man stoler på... På hardware man stoler på... ... ...
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Meget alvorlige hardware sårbarheder i mikroprossorere: Spectre og Meltdown

Indlæg af NickyThomassen »

For de teknisk interesseret, er her en gennemgang af den optimering som bliver udnyttet

https://www.youtube.com/watch?v=_qvOlL8nhN4