Meget alvorlige hardware sårbarheder i mikroprossorere: Spectre og Meltdown

[lath]

Det er for nogle dage siden kommet frem at der er 2 særdeles alvorlige mikroprocessor sårbarheder. De hedder Spectre og Meltdown.

• Meltdown og Spectre: Enorme sikkerhedshuller fundet i CPU'er
  https://www.version2.dk/artikel/meltdown-spectre-enorme-sikkerhedshuller-fundet-cpuer-1083932

ARM, Intel, og AMD mikroprocessorer er ramt.

Hardwarefejl har sædvanligvis langtrækkende konsekvenser. Det er værst for mikroprocessorer, og når det så er de 3 mest udbredte typer af mikroprocessorer: Intel, AMD og ARM processorer, så bliver det rigtig slemt.

Upatchede kerner og/eller firmware gør det muligt at læse kodeord og meget mere. Man kan for eksempel kompromittere sit system ved at gå ind på en "forkert" website med en browser.

Vulnerabilities in modern computers leak passwords and sensitive data.

Meltdown and Spectre exploit critical vulnerabilities in modern processors. These hardware vulnerabilities allow programs to steal data which is currently processed on the computer. While programs are typically not permitted to read data from other programs, a malicious program can exploit Meltdown and Spectre to get hold of secrets stored in the memory of other running programs. This might include your passwords stored in a password manager or browser, your personal photos, emails, instant messages and even business-critical documents.

Meltdown and Spectre work on personal computers, mobile devices, and in the cloud. Depending on the cloud provider's infrastructure, it might be possible to steal data from other customer

• https://meltdownattack.com/
• Samme webside som ovenover:
  https://spectreattack.com/

På spørgsmålet om hvad du kan gøre er det at opdatere din kerne ASAP, og acceptere et op til 30% langsommere system, og derudover kan du intet som helst gøre. En kerne opdatering lapper på Meltdown.

Hvad du kan gøre hvis du er en paranoid sikkerhedsfreak

Hvis man er en paranoid sikkerhedsfreak (hej efterretningstjenester) med hensyn til helt at eliminere Spectre og Meltdown er løsningen for en stationær PC at man skal installere en ny mikroprocessor som producenten erklærer ikke har Spectre og Meltdown.

Alt andet hardware, laptops, mobiler, tablets, routere, hvor mikroprocessoren ikke er på et print (PCB) / eller på en anden måde kan udskiftes: Det er elektronik skrot.

Med andre ord er løsningen på fejl i hardware at bruge ny hardware uden fejlene.

.. og så er der hvad alle vi andre kan gøre

Konsekvenser som følge af læk af følsomme data er for efterretningstjenester er i en liga helt for sig selv, og du og jeg er derfor (sandsynligvis?) nok tilsvarende langt mindre sikkerhedsfreak.

Her er hvad vi selv kan gøre.

Det er muligvis nødvendigt at PC firmwaren skal opdateres.

For firmware i for alle former for tablets og mobiler, så skal firmwaren opdateres, da den indeholder en ny kerne, der patcher for Meltdown der skulle være meget nem at udnytte

Det drejer sig om iPhone, iPad,, Android, og andre meget mindre produkter anvendte produkter i samme kategori, feks. Windows tablets.
Du skal ikke forvente at kunne opdatere firmwaren i din(e) printer(e).

Du skal også opdatere firmwaren for routere og den slags. Raspberry Pi har nok fået en ny opdatering via en ny version af Raspbian, så du skal også opgradere styresystemet på en RasPi. Raspberry Pi 1 modeller er dog ikke ramt af Meltdown, da dens ARM mikroprocessor ikke er en multi skalar mikroprocessor.

---

Det er en rigtig god ide at du ASAP starte en firewall på samtlige netværk interfaces: WiFI, Ethernet (kablet netværk) og så videre, såfremt du ikke allerede har aktiveret den:

• Først en opdatering af informationer om tilgængelige pakker, samt at hente og installere alle nye tilgængelige pakker:
  

  Kode: Vælg alt

  sudo apt-get updade;sudo apt-get --assume-yes upgrade
• Hvis du får en ny kerne, så gem data, luk alle programmer, og genstart
• Under en eventuelt genstart, så husk at krydse fingre for at Meltdown patchen ikke gør din PC midlertidigt ubrugelig, fordi patchen og PCens firmware bliver samspilsramt.
• Installere en firewall manager. Bemærk at der kun er en firewall i Linux distro'er, og den bor i kernen og ingen andre steder.
  

  Kode: Vælg alt

  sudo apt install ufw gufw
• Hvis du får en fejl meddelelse om at ufw og/eller gufw allerede er installeret, så ignorer fejlen.
• Start firewall
  

  Kode: Vælg alt

  sudo ufw enable
• Hvis du har servere kørende så skal du åbne de porte som serverne lytter på:
  Kig på manual siden for ufw for mere information

--

Mere om Spectre og Meltdown - ikke sorteret (borset fra de første par stykker:

Meltdown bryder den fundamentale isolation mellem brugerprogrammer og operativsystemet. Meltdown-sårbarheden betyder således, at programmer kan tilgå hukommelse og fortrolige oplysninger, som tilhører andre programmer eller styresystemet. Der er frigivet patches til forskellige styresystemer, som lukker ned for Meltdown-sårbarheden.

Meltdown skulle være let at udnytte, men til gengæld også let at lukke ned for. Det forholder sig efter sigende omvendt med Spectre, der skulle være svær for en angriber at udnytte, men til gengæld svær at beskytte sig generelt imod på sårbar hardware.

• Spekulativ udførelse: Sådan virker Meltdown-sårbarheden <-- Rigtig god forklaring
  https://www.version2.dk/artikel/spekulativ-udfoerelse-saadan-virker-meltdown-saarbarheden-1083991
• Meltdown-patch giver nogle Ubuntu'er boot-problemer
  https://www.version2.dk/artikel/meltdown-patch-giver-nogle-ubuntuer-boot-problemer-1084011
• Firmware-fadæse: Ubuntu 17.10 genudgives i denne uge - uden Meltdown-fix
  
  • "denne uge" er uge 2 i 2018: mandag den 8. Januar 2018 til søndag den 14 januar 2018.
  • https://www.version2.dk/artikel/firmware-fadaese-ubuntu-1710-genudgives-denne-uge-uden-meltdown-fix-1083978
• 5, 17 eller 30 procent? Stor usikkerhed om performance-tab efter Meltdown-patch
  https://www.version2.dk/artikel/5-17-eller-30-procent-stor-usikkerhed-performance-tab-efter-meltdown-patch-1083939
• Microsoft: Spectre-patch giver performance-tab
  https://www.version2.dk/artikel/microsoft-spectre-patch-giver-performance-tab-1083996
• Intel: Patches volder ældre CPU'er problemer
  https://www.version2.dk/artikel/intel-patches-volder-aeldre-cpuer-problemer-1084016
• Spectre: Nvidia patcher og afviser sårbare GPU'er
  https://www.version2.dk/artikel/spectre-nvidia-patcher-afviser-saarbare-gpuer-1084025
• Meltdown og Spectre varsler ilde for 2018
  https://www.version2.dk/artikel/meltdown-spectre-varsler-ilde-2018-1084008
• Spilfirma: Meltdown-rettelser lagde logon-server i knæ
  https://www.version2.dk/artikel/spilfirma-meltdown-rettelser-lagde-logon-server-knae-1083976
• Meltdown-patch kan give blue screen of death på Windows med antivirus
  https://www.version2.dk/artikel/spilfirma-meltdown-rettelser-lagde-logon-server-knae-1083976

/Lars

[NickyThomassen]

Det er for nogle dage siden kommet frem at der er 2 særdeles alvorlige mikroprocessor sårbarheder ...

https://www.version2.dk/artikel/spekula ... en-1083991 --> "Teknikken benytter et 'side channel-angreb', hvor der ikke er tale om deciderede fejl i hardwaren"

Så sådan set ikke en fejl

CPU'erne fungerer efter hensigten, men i den evige jagt på lidt hurtigere afvikling af software, har teknikkerne åbnet op for at program A kan gætte sig frem til hvad program B arbejder med.

Så vidt jeg har kunne forstå, så er det ikke engang nyt. Jeg syntes bestemt at jeg læste om en teoretisk udnyttelse af denne her optimering for flere år siden (sikkert da man begyndte at bruge den), men dengang blev det afvist som værende upraktisk / ikke muligt. Det nye er at nogen har lavet et program som faktisk kan udnytte optimeringen.

Og ellers er jeg helt enig i, at løsningen er almindelig fornuft omkring sikkerhed. Og så kun at afvikle software man stoler på... På hardware man stoler på... ... ...

[NickyThomassen]

For de teknisk interesseret, er her en gennemgang af den optimering som bliver udnyttet

https://www.youtube.com/watch?v=_qvOlL8nhN4