Sicherheit - Spectre: Next Generation

Next Generation klingt ja eigentlich immer vielversprechend, aber im Zusammenhang mit der CPU-Sicherheitslücke Spectre?:/ Scheinbar wurden weitere Sicherheitslücken im CPU-Design von Intel, aber auch AMD gefunden, die zum Teil noch schlimmere Auswirkungen haben sollen als die bisherigen Sicherheitslücken. Aber lest selbst:


https://www.heise.de/security/…en-betroffen-4039302.html

https://www.heise.de/ct/artike…en-im-Anflug-4039134.html


Wie sieht es eigentlich mit der Fehlerbehebung der ersten Spectre- und Meltdown-Lücken in den QNAP aus? Wurde hier was gemacht?

Kommentare 6

  • Bisher ist nur Intel mit Massig weiteren kritischen Bugs betroffen und kein anderer Hersteller.


    ARM wird vermutet, bei AMD weiß man noch gar nichts. Steht auch so im von dir verlinkten Artikel:

    Zitat

    Es gibt jedoch erste Hinweise, dass zumindest einzelne ARM-CPUs ebenfalls anfällig sind. Weitergehende Recherchen dazu, ob und in welchem Maß etwa die eng verwandte AMD-Prozessorarchitektur für die einzelnen Spectre-NG-Lücken anfällig ist, laufen bereits.


    Wir können froh sein, dass QNAP hier nicht wild drauf los patcht, denn wie man sieht, hat es noch lange kein Ende und führt sogar nur zu weiteren Fehlern.

    Ebenso muss man sich selber überlegen wir kritisch die Bugs für QNAP und deren Nutzer sind? In meinen Augen absolut unkritisch, oder hostet jemand auf seiner NAS fremde VM?

    • Da die CPU von beiden Hersteller ähnlich aufgebaut ist und AMD auch schon für die ersten Spectre-Lücken anfällig war, ist anzunehmen, dass sich die Hinweise schnell durch Fakten verhärten werden.


      Da von allen Lücken nur sehr wenig bekannt ist, ist schwierig abzuschätzen welchen Einfluss dies auf das Arbeiten mit einem QNAP-NAS haben wird. Aber Du hast sicher recht, dass Panik und kopfloses Patchen nicht förderlich ist. Nur ignorieren und hoffen, dass nichts passieren wird allerdings auch nicht. Wenn man um die Problematik Bescheid weiß, kann man zumindest selbst darauf eingehen.

    • Nur weil beide auf der x86 Architektur aufbauen heißt es noch lange nicht, dass sie gleichermaßen betroffen sind. Schließlich ist auch ARM möglicherweise betroffen, obwohl das ja eigentlich eine ganz andere Architektur ist. Der Bug steckt aber wo ganz anders.

      In der Realität sind AMD und Intel auch nicht gleichermaßen von Spectre betroffen, zumal es für Spectre 2 bei AMD meines Wissens nicht einmal ein Proof of Concept gibt. Daher ist es weit hergeholt zu sagen, dass auch AMD von allen 8 Intel Bugs betroffen ist. Intel ist hier, und ich finde das ist schon wichtig hervorzuheben, offen wie ein Scheunentor im Vergleich zur Konkurrenz.

      Dennoch ist Spectre im privaten Umfeld nahezu belanglos, wirklich kritisch sieht es aber eben bei Cloud Anbietern an. Hier sollte nun jeder, der einen virtuellen Server hat, Angst um seine Daten haben müssen, denn so sieht es auch Intel:

      Zitat

      Bei einer zweiten Lücke rechnet Intel selbst damit, dass Informationen jederzeit an die Öffentlichkeit kommen könnten. Für diese beiden Lücken sollten Patches also eher früher als später erscheinen.

    • Niemand hat behauptet, dass genau diese 8 Lücken von Intel auch bei AMD sein werden. Es heißt nur, dass es auch bei AMD Hinweise auf weitere Lücken gibt, was mir plausibel erscheint. Wo, welche und wie viele wird sich zeigen.

      Ich weiß nicht, ob man jetzt sagen kann, AMD ist so viel besser dran als Intel. Bei den ersten Lücken hat AMD noch lange behauptet, sie hätten keine Lücke und mussten dies dann doch eingestehen. Leugnen will mir nicht gerade die besten Sicherheitsstrategie sein. Aber auch alle anderen CPU-Hersteller haben hier ihre Probleme. Ich denke auch bei denen wir sich noch die eine oder andere Lücke finden.

      Die Relevanz im privaten Umfeld sowie für QNAP wird sich noch zeigen. Ohne genau Informationen ist alles reine Spekulation.

      Die Problematik bei der Cloud darfst Du nicht unterschätzen. Hier trifft es nicht nur die Cloud-Anbieter, sondern eigentlich alle Dienste in der Cloud. Den worauf laufen diese Dienste? Virtuelle Server. Von der E-Mail, bis zum Streaming-Dienst eigentlich so alles was von Außen zugreifbar ist. Und somit sind eigentlich sämtlich Daten in der Cloud betroffen, vom Urlaubsfoto bis zu den Einstellungen des Handys. Oder habe ich was falsch verstanden?

      Ich weiß, unangenehmes Thema, und die Informationen dazu sind spärlich. Für Panik besteht kein Grund - bringt auch nichts - aber ich sehe mich in meiner Sicherheitsstrategie wieder einmal bestätigt.

    • Zu AMD: https://www.amd.com/en/corpora…-updates#paragraph-337801

      Zitat von AMD 03.01.2018

      Differences in AMD architecture mean there is a near zero risk of exploitation of this variant

      Zitat von AMD 11.01.2018

      While we believe that AMD’s processor architectures make it difficult to exploit Variant 2, we continue to work closely with the industry on this threat.

      Ob 8 Tage nun lange ist muss jeder für sich entscheiden. Ob sie gelogen haben mit "near zero" und der Korrektur zu "difficult" muss auch jeder für sich entscheiden, vor allem da es eben keinen erfolgreichen Angriff auf AMD Systeme auch gab, im Gegensatz zu den Intel Systemen.



      Zu QNAP und anderen:

      Ich denke da muss nicht viel spekuliert werden. Spectre nutzt die Speculative execution aus, dazu muss Software auf dem System laufen. D.h. wenn auf meiner NAS eine Schadsoftware läuft, dann braucht die kein Spectre mehr. D.h. interessant wird es wenn Software in einer VM läuft. Auch hier habe ich volle Kontrolle über meine VM, somit läuft da nichts was da nicht hingehört.

      Das selbe bei Online-Service-Anbietern die auf virtualisierten Servern auf ihren eigenen Servern nur ihre Software laufen lassen. Was soll da passieren?

      Anders sieht es aus, wenn da noch VM laufen, die jemand anderem gehören, auf diesen VM kann laufen was immer man will. Hier hat der Cloud Anbieter keinen Einfluss. Hier besteht das Risiko.

      Wenn natürlich Firmen schlau waren um Kosten zu sparen und ihre Infrastruktur in solche Cloudanbieter ausgelagert haben, ja, die betrifft es. Haben sie aber zu Hause ihren Server und darauf ihre eigenen VM laufen, kann es ihnen egal sein, wenn sie dafür sorgen, dass die VM auch sauber sind.

    • Ich hoffe, dass Du recht hast und sich das Ganze als harmlos erweist oder sich zumindest beheben lässt.