Meltdown en Spectre

Testen. Kijk wat het doet met JOU omgeving(ze zijn allemaal anders). Maak een risicoanalyse, besluit of snelheid belangrijker voor je is al veiligheid...

Het probleem is dat ze er halverwege 2017 achter kwamen. Het is toen vertelt tegen de chip fabrikanten zodat ze tijd hadden om dit op te lossen, nu is het bekend gemaakt aan het grote publiek, dus ook aan de ‘hackers’. En aangezien er nog geen oplossing voor is of geen goede oplossing blijven de CPU’s van vooral Intel een probleem qua veiligheid.

Enchantress schreef op vrijdag 5 januari 2018 @ 09:46:
Het probleem is dat ze er halverwege 2017 achter kwamen. Het is toen vertelt tegen de chip fabrikanten zodat ze tijd hadden om dit op te lossen, nu is het bekend gemaakt aan het grote publiek, dus ook aan de ‘hackers’. En aangezien er nog geen oplossing voor is of geen goede oplossing blijven de CPU’s van vooral Intel een probleem qua veiligheid.

En dat is wat ik niet helemaal niet begrijp. Waarom is in die tussenliggende periode geen oplossing gekomen? Is het probleem te moeilijk, werd het niet serieus genoeg genomen, hebben degenen die een oplossing hadden moeten bieden liggen slapen?

ruftman schreef op vrijdag 5 januari 2018 @ 10:59:
[...]

En dat is wat ik niet helemaal niet begrijp. Waarom is in die tussenliggende periode geen oplossing gekomen? Is het probleem te moeilijk, werd het niet serieus genoeg genomen, hebben degenen die een oplossing hadden moeten bieden liggen slapen?

Om het kort te houden, dan hadden ze met een hardwarematige oplossing moeten komen, maar aangezien je niet binnen ~6 maanden een nieuwe CPU/CPU achitectuur hebt is het ook niet zomaar opgelost.
Wanneer het volledig opgelost is weet ik niet.
Tot die tijd komen ze eigenlijk met een ‘slechte’ tussen oplossing in de vorm van een update.

Het blijft een raar en ingewikkelde gebeuren, ik ben ook benieuwd of bv Intel hier al van wist gezien het al eigenlijk sinds 1995 zo is...

Ik ben daarom ook benieuwd of ze het lek gedicht hebben in cannon lake (misschien nog te snel) maar in iedergeval ice lake.
Dat ze het al lang weten lijkt me niet. Je kan er op wachten dat zoiets dan toch (al veel eerder) uitlekt en welk voordeel zouden ze er aan gehad hebben?

Aangezien dit minder over de techniek van de bug en meer over de bedrijfsmatige securityaspecten gaat lijkt dit me meer iets voor Bevelilging & Virussen dan voor Processors, Moederborden & Geheugen.

Move PMG -> BV

Enchantress schreef op vrijdag 5 januari 2018 @ 11:21:
[...]
Tot die tijd komen ze eigenlijk met een ‘slechte’ tussen oplossing in de vorm van een update.

Het is geen oplossing, het is een pleister (mitigation),

Meltdown bypasses the hardware-enforced isolation of
security domains. There is no software vulnerability involved
in Meltdown. Hence any software patch (e.g.,
KAISER [8]) will leave small amounts of memory exposed
(cf. Section 7.2).

bron: Meltdown 7.1

As a result, any software or microcode countermeasure
attempts should be viewed as stop-gap measures
pending further research.

bron: Spectre 7

Excal schreef op vrijdag 5 januari 2018 @ 12:45:
Ik ben daarom ook benieuwd of ze het lek gedicht hebben in cannon lake (misschien nog te snel) maar in iedergeval ice lake.

Ga daar maar niet van uit, dit zal waarschijnlijk een grote aanpassing van de ISA's inhouden en dat doe je niet zo maar even.
Mocht het wel zo zijn dat Ice Lake deze problemen niet heeft is dat meteen een indicatie dat Intel inderdaad al langer van de problemen wist, in ieder geval langer dan Juni 2017.

Dan nog de vraag of je hier als consument iets mee kan.
Stel je hebt een laptop gekocht en je hebt nog garantie...
Zou je dan bijvoorbeeld kunnen zeggen dat je, je geld terug wilt omdat het product fouten bevat die niet op te lossen zijn? Er zit namelijk een lek in de chip die uiteindelijk een groot risico kan worden. Hackers worden ook steeds slimmer en misschien is het dan straks helemaal niet zo moeilijk om gegevens te stelen.

Of maak ik het probleem nu groter dan het is?

rthartog schreef op zondag 7 januari 2018 @ 16:58:
Dan nog de vraag of je hier als consument iets mee kan.
Stel je hebt een laptop gekocht en je hebt nog garantie...
Zou je dan bijvoorbeeld kunnen zeggen dat je, je geld terug wilt omdat het product fouten bevat die niet op te lossen zijn? Er zit namelijk een lek in de chip die uiteindelijk een groot risico kan worden. Hackers worden ook steeds slimmer en misschien is het dan straks helemaal niet zo moeilijk om gegevens te stelen.

Of maak ik het probleem nu groter dan het is?

Ik ben juridisch niet onderlegd dus ik durf het niet te zeggen.

Als je kijkt naar de eisen voor internet bankieren bijvoorbeeld waarom destijds veel te doen was, hoe kan je nu nog garanderen dat niemand mee kijkt op de achtergrond, en in hoeverre ben je dan verantwoordelijk hiervoor?

Volgens mij is de complete fallout hiervan nog lang niet duidelijk en ik denk dat we het er nog een behoorlijke tijd over gaan hebben.

The-Priest-NL schreef op zondag 7 januari 2018 @ 17:45:
[...]Als je kijkt naar de eisen voor internet bankieren bijvoorbeeld waarom destijds veel te doen was, hoe kan je nu nog garanderen dat niemand mee kijkt op de achtergrond, en in hoeverre ben je dan verantwoordelijk hiervoor?

Voorlopig dan maar met een Raspberry Pi bankieren?
Volgens Eben Upton is dat dingetje niet kwetsbaar.
In zijn artikel staat trouwens ook een redelijk begrijpelijke uitleg over deze kwetsbaarheden.

Ik wil voor mijn zus een nieuwe PC bouwen.

Ik twijfel nog tussen intel en AMD. Wat is nu op dit moment wijs ivm meltdown en spectre?

Eric-B schreef op maandag 8 januari 2018 @ 09:05:
Ik wil voor mijn zus een nieuwe PC bouwen.

Ik twijfel nog tussen intel en AMD. Wat is nu op dit moment wijs ivm meltdown en spectre?

Vooralsnog lijkt meltdown alleen Intel te treffen, maar Spectre treft ook AMD

Beide zullen gepatched worden, en individuele systemen zijn ook een minder interessant doelwit voor deze aanvallen dan servers/cloud platformen, maar zolang deze lekken niet gepatched zijn in je OS heb je met beide processoren een risico.

Eric-B schreef op maandag 8 januari 2018 @ 09:05:
Ik wil voor mijn zus een nieuwe PC bouwen.

Ik twijfel nog tussen intel en AMD. Wat is nu op dit moment wijs ivm meltdown en spectre?

Als het kan zou ik de kat nog "even" uit de boom kijken.

Moet er nu echt wat nieuws komen dan zou ik geneigd zijn AMD te zeggen, Meltdown treft alleen Intel CPU's voor zover nu bekend, en ze hebben ook geen last van alle varianten van Spectre.

ewichers schreef op vrijdag 5 januari 2018 @ 09:14:
Ik lees inmiddels wel al meerdere dingen over Meltdown en Spectre over verschillende topics maar die gaan al snel weer van het onderwerp af.
Daarom heb ik hiervoor maar even een nieuw topic gemaakt.

Voor de consument denk ik dat het allemaal meevalt en dat de impact hiervan te overzien is door patches en dergelijke.

Echter vraag ik mij al hoe een zakelijke opstelling hiermee het beste om kan gaan.
Wij draaien bijvoorbeeld een VMware cluster.
Ik ben nu redelijk huiverig om al onze windows VM's af te patchen en vervolgens tegen performance aan te lopen, geruchten variëren van 5%-50%.
Daarnaast draaien wij ESXi 6.5 en deze moet ook nog bij gewerkt worden.
En de BIOS? dit zal toch zeker ook meegenomen moeten worden met de updates.
Dit is voor mij altijd een punt geweest als het goed draait niet te veel aan veranderen in tegenstelling tot windows updates.

Ik ben niet bang om alles af te patchen, maar ben wel voorzichtig dat alles ineens zo langzaam wordt als dikke...
Misschien maak ik mijzelf hierover wel te druk nu, ik wil graag voorbereid zijn op een eventuele discussie en eventueel gevolg.

Draai je 3rd party workloads of software die je niet vertrouwd? Dan zou ik als de wiedeweerga gaan patchen.
Als je alleen ESX met Windows 2012 en wat zakelijke software draait, loopt het allemaal nogal los.
Dan zou ik vooral even een paar maanden de boel aankijken voordat je in je productie omgeving gaat lopen rommelen.

rthartog schreef op zondag 7 januari 2018 @ 16:58:
Dan nog de vraag of je hier als consument iets mee kan.
Stel je hebt een laptop gekocht en je hebt nog garantie...
Zou je dan bijvoorbeeld kunnen zeggen dat je, je geld terug wilt omdat het product fouten bevat die niet op te lossen zijn? Er zit namelijk een lek in de chip die uiteindelijk een groot risico kan worden. Hackers worden ook steeds slimmer en misschien is het dan straks helemaal niet zo moeilijk om gegevens te stelen.

Of maak ik het probleem nu groter dan het is?

Wat ga je doen? Geen laptop meer nemen? Praktisch alles waar je op kan internetten is momenteel vulnerable. Daarnaast denk ik dat je het probleem groter maakt dan het is. Binnen een paar weken zijn er patches voor de CPU ucode en zijn de grootste aanvalsvectors opgelost.

The-Priest-NL schreef op zondag 7 januari 2018 @ 17:45:
Als je kijkt naar de eisen voor internet bankieren bijvoorbeeld waarom destijds veel te doen was, hoe kan je nu nog garanderen dat niemand mee kijkt op de achtergrond, en in hoeverre ben je dan verantwoordelijk hiervoor?

Je bank verwacht dat je je laptop als een normale consument netjes uptodate houdt. Er is geen verwachting 'beyond reasonable measures'. Daarnaast komen de ucode updates zometeen ook met Windows mee voor de meeste platformen. Gewoon netjes Windows blijven updaten en een virusscanner hebben en je zit als consument wel snor.

vectormatic schreef op maandag 8 januari 2018 @ 10:40:
[...]


Vooralsnog lijkt meltdown alleen Intel te treffen, maar Spectre treft ook AMD

Het Meltdown issue is een 'subset' van Spectre. Vooralsnog is het bounds probleem van Spectre het meest kritische issue, aangezien die je hele memory leeg kan lepelen. Op basis van
het feit dat Intel 2 problemen heeft en AMD maar 1, zou ik dus geen keuze maken.

JackBol schreef op maandag 8 januari 2018 @ 12:31:
[...]

Het Meltdown issue is een 'subset' van Spectre. Vooralsnog is het bounds probleem van Spectre het meest kritische issue, aangezien die je hele memory leeg kan lepelen. Op basis van
het feit dat Intel 2 problemen heeft en AMD maar 1, zou ik dus geen keuze maken.

Eens, en Meltdown wordt momenteel ook gepatched, verschil is dat dat op Intel CPUs wel performance impact heeft, op AMD niet, maar beide zijn nog zo lek als een mandje wat Spectre als geheel betreft.

JackBol schreef op maandag 8 januari 2018 @ 12:31:
Wat ga je doen? Geen laptop meer nemen? Praktisch alles waar je op kan internetten is momenteel vulnerable. Daarnaast denk ik dat je het probleem groter maakt dan het is. Binnen een paar weken zijn er patches voor de CPU ucode en zijn de grootste aanvalsvectors opgelost.

Je bank verwacht dat je je laptop als een normale consument netjes uptodate houdt. Er is geen verwachting 'beyond reasonable measures'. Daarnaast komen de ucode updates zometeen ook met Windows mee voor de meeste platformen. Gewoon netjes Windows blijven updaten en een virusscanner hebben en je zit als consument wel snor.

Het Meltdown issue is een 'subset' van Spectre. Vooralsnog is het bounds probleem van Spectre het meest kritische issue, aangezien die je hele memory leeg kan lepelen. Op basis van
het feit dat Intel 2 problemen heeft en AMD maar 1, zou ik dus geen keuze maken.

Probleem is alleen met ucode (microcode?) niet te fixen qua Meltdown, Spectre misschien wel of in ieder geval gedeeltelijk.

The-Priest-NL schreef op maandag 8 januari 2018 @ 13:53:
[...]


Probleem is alleen met ucode (microcode?) niet te fixen qua Meltdown

Klopt. Voor Meltdown heb je zowel een ucode als een operating system patch nodig.
Maar de OS patch vind ik niet zo relevant in deze context. Zowel consumenten als professionals zijn gewend om hun OS te updaten, dus dat loopt wel los.

Kijk, alle 13-in-dozijn Lenovos, Acers, HP laptops etc. gaan hun ucode patch wel krijgen.
Ook powerusers en tweakers die zelf een systeem samengesteld hebben zijn bekend met Meltdown en Spectre en zullen hun BIOS updaten.
Alle professionele IT organisaties gaan al hun rackservers en blades ook wel patchen.

Het patchen van de ucode patch op niet-standaard hardware (samengestelde systemen die nu gebruikt worden door 'eenvoudige' users) gaat een uitdaging worden (al is deze groep mensen niet zo groot).

vectormatic schreef op maandag 8 januari 2018 @ 12:59:
[...]


Eens, en Meltdown wordt momenteel ook gepatched, verschil is dat dat op Intel CPUs wel performance impact heeft, op AMD niet, maar beide zijn nog zo lek als een mandje wat Spectre als geheel betreft.

Het enige issue met Intel is dat hun Tomasulo Algorithme niet side-channel safe is. Dit kan gedaan worden door wat nops toe tevoegen tijdens race conditions. Daar heb je nieuwe ucode in je Intel CPU en een OS patch voor nodig (en een updated compiler). Ja, dit gaat performance impact hebben, maar een gewone consument gaat dit echt niet merken.

Na het nodige zoekwerk kwam ik er achter dat de betreffende Windows Update

January 4, 2018—KB4056894 (Monthly Rollup)

Mijn disk toegang in Windows 7 x64 behoorlijk sloom maakt. Het gaat hier bijvoorbeeld om het openen van contextmenu's en van het weergeven van bestanden met de Windows verkenner. De vertragingen zijn dusdanig dat het storend is en ik voel me daarom genoodzaakt om deze patch weer te verwijderen.

Dell Precision T5810, Xeon E5-1650 v4 3.6 GHz, Intel C612 chipset, 32GB DDR4 ECC RAM

Tyrian schreef op dinsdag 9 januari 2018 @ 01:33:
Na het nodige zoekwerk kwam ik er achter dat de betreffende Windows Update

January 4, 2018—KB4056894 (Monthly Rollup)

Mijn disk toegang in Windows 7 x64 behoorlijk sloom maakt. Het gaat hier bijvoorbeeld om het openen van contextmenu's en van het weergeven van bestanden met de Windows verkenner. De vertragingen zijn dusdanig dat het storend is en ik voel me daarom genoodzaakt om deze patch weer te verwijderen.

Dell Precision T5810, Xeon E5-1650 v4 3.6 GHz, Intel C612 chipset, 32GB DDR4 ECC RAM

Tweakers heeft eerder een aantal links geplaatst naar benchmarks die zijn uitgevoerd op een systeem welke gepatcht is: reviews: Meltdown en Spectre: vraag-en-antwoord. Daaruit blijkt dat op I/O vlak weinig prestatieverminding is op te merken. De benchmark is uitgevoerd op Windows 10, niet op Windows 7: YouTube: Benchmarking Windows 10 Meltdown Flaw Emergency Patch, What Can Desk...

Wellicht is het sowieso informatief om jouw benchmark resultaten te delen.

[ Voor 5% gewijzigd door Hammetje op 09-01-2018 09:09 . Reden: Linkje artikel toevoegen ]

De laatste driver van nvidia bevat blijkbaar ook iets van een fix/mitigation for spectre of meltdown?

http://nvidia.custhelp.co...y-updates-for-speculative

nieuws: Intel wil alle Meltdown- en Spectre-patches voor eind januari uitbrengen

Dit betekend dus dat mijn i5-2500k dus niet gepatched wordt?......

Mijn hemel, Microsoft overtreft zichzelf weer eens volledig qua complexiteit. Het enige wat ik wil weten, is of mijn systeem kwetsbaar is en of de fixes/workarounds etc aanwezig zijn. Er is wel een website met een beschrijving hoe je hierachter kunt komen met Powershell, maar ik draai Windows 8.1 en mijn Powershell ondersteunt die commando's niet.

Dus dan maar zoeken welke KB-nummers het zijn. Dat blijkt onmogelijk, want het zijn er meerdere. Kom op Microsoft, ik weet wel dat het niet jullie bug is, maar maak een KB-nummer met de duidelijke omschrijving "Deze update verhelpt de Meltdown-kwetsbaarheid". Dat is alles wat ik wil weten.

Hammetje schreef op dinsdag 9 januari 2018 @ 09:09:
[...]


Tweakers heeft eerder een aantal links geplaatst naar benchmarks die zijn uitgevoerd op een systeem welke gepatcht is: reviews: Meltdown en Spectre: vraag-en-antwoord. Daaruit blijkt dat op I/O vlak weinig prestatieverminding is op te merken. De benchmark is uitgevoerd op Windows 10, niet op Windows 7: YouTube: Benchmarking Windows 10 Meltdown Flaw Emergency Patch, What Can Desk...

Wellicht is het sowieso informatief om jouw benchmark resultaten te delen.

Ik heb benchmarks gemaakt maar deze laten mijn probleem helaas niet zien.

SSD partitie, voor de Meltdown patch


SSD partitie, na de Meltdown patch


HDD partitie, voor de Meltdown patch


HDD partitie, na de Meltdown patch


Het probleem blijft dat Windows zeer traag blijft in de bestandstoegang in o.a. Windows Verkenner. De algehele GUI ervaring is traag wanneer er disk IO is. Ik weet niet hoe ik dit kan benchmarken.

Het aparte is, dat dit alleen bij mijn T5810 workstation voorkomt. Mijn andere 3 systemen hebben de patch ook gekregen (2 laptops en een thuisserver) en vertonen geen merkbare vertraging.
Ik vermoed dan ook een bug of incompatibiliteit met dit systeem.

Ik zit ook met een dilemma. Ik heb een oude laptop (Dell Inspiron 6400) en doet het nog perfect op Windows 10. Echter loopt de support tot 2020 zover ik begrepen heb. Betekend dit dat de laptop hierna waardeloos wordt ivm ontbreken updates? Win10 zal niet lukken op deze laptop imv niet toereikende specs.

Hier ook zelfde dilemma.
Daarom toch even deze (domme?) vraag:

Als men via internet of via een programma misbruik wil maken van spectre/meltdown bugs is dat niet op te vangen met goede antivirus software?

Ben zelf wat minder thuis in dit soort exploits.
Zie daar eigenlijk niks over of ik heb er over heen gelezen.

Tyrian schreef op woensdag 10 januari 2018 @ 02:05:
[...]


Ik heb benchmarks gemaakt maar deze laten mijn probleem helaas niet zien.

SSD partitie, voor de Meltdown patch
[afbeelding]

SSD partitie, na de Meltdown patch
[afbeelding]

HDD partitie, voor de Meltdown patch
[afbeelding]

HDD partitie, na de Meltdown patch
[afbeelding]

Het probleem blijft dat Windows zeer traag blijft in de bestandstoegang in o.a. Windows Verkenner. De algehele GUI ervaring is traag wanneer er disk IO is. Ik weet niet hoe ik dit kan benchmarken.

Het aparte is, dat dit alleen bij mijn T5810 workstation voorkomt. Mijn andere 3 systemen hebben de patch ook gekregen (2 laptops en een thuisserver) en vertonen geen merkbare vertraging.
Ik vermoed dan ook een bug of incompatibiliteit met dit systeem.

Update: Ik ben inmiddels wat verder:
De aanzienlijke vertragingen komen enkel en alleen voor wanneer ik systemen zowel de BIOS / microcode update geef als de Windows meltdown patch (KB4056897 / KB4056894).

Wanneer ik enkel de Windows update heb óf enkel de BIOS update, heb ik geen merkbare performanceproblemen. Het is dus puur de combinatie. Ik heb daarom mijn BIOS gedowngraded en doe het enkel met de Windows updates om een prettig werkbaar systeem te houden en ook de komende jaren gewoon de Windows Updates kan blijven ontvangen.

Ik zou dus willen zeggen: Bezint u goed voordat U zowel de BIOS- als de Windows update doet.

[ Voor 4% gewijzigd door Tyrian op 12-01-2018 15:56 ]

Tyrian schreef op vrijdag 12 januari 2018 @ 15:45:
[...]


Update: Ik ben inmiddels wat verder:
De aanzienlijke vertragingen komen enkel en alleen voor wanneer ik systemen zowel de BIOS / microcode update geef als de Windows meltdown patch (KB4056897 / KB4056894).

Wanneer ik enkel de Windows update heb óf enkel de BIOS update, heb ik geen merkbare performanceproblemen. Het is dus puur de combinatie. Ik heb daarom mijn BIOS gedowngraded en doe het enkel met de Windows updates om een prettig werkbaar systeem te houden en ook de komende jaren gewoon de Windows Updates kan blijven ontvangen.

Ik zou dus willen zeggen: Bezint u goed voordat U zowel de BIOS- als de Windows update doet.

rolt die bios downgrade ook de microcode update terug dan?

jan99999 schreef op vrijdag 12 januari 2018 @ 12:35:
[...]


Microsoft stopt mainstream-support Windows 8.1

Microsoft is gestopt met de mainstream-ondersteuning van Windows 8.1. Dat gebeurde volgens planning op dinsdag. Wel is er nog verlengde ondersteuning voor het besturingssysteem tot 2023, zo laat Microsoft weten.

nieuws: Microsoft stopt mainstream-support Windows 8.1

Dus? Wat heeft dit met Meltdown of Spectre te maken?

JackBol schreef op vrijdag 12 januari 2018 @ 18:14:
[...]


rolt die bios downgrade ook de microcode update terug dan?

Blijkbaar.

Dell Precision T5810:
Dit is de nieuwe BIOS
http://www.dell.com/suppo...ersdetails?driverId=FW43G

Dit de vorige versie naar waar ik terug ben gegaan:
http://www.dell.com/suppo...ersdetails?driverId=5G48H

Dell Precision M4800:
Nieuwe BIOS
http://www.dell.com/suppo...ersdetails?driverId=FPCF7

Vorige versie waarnaar ik terug ben gegaan:
http://www.dell.com/suppo...ersDetails?driverId=M2JH9

ruftman schreef op vrijdag 5 januari 2018 @ 10:59:
[...]

En dat is wat ik niet helemaal niet begrijp. Waarom is in die tussenliggende periode geen oplossing gekomen? Is het probleem te moeilijk, werd het niet serieus genoeg genomen, hebben degenen die een oplossing hadden moeten bieden liggen slapen?

Coffee Lake is ook gewoon uitgebracht terwijl ze al wisten dat er een lek in zat, toch wel een risico lijkt me.

jan99999 schreef op vrijdag 12 januari 2018 @ 12:35:
[...]


Microsoft stopt mainstream-support Windows 8.1

Microsoft is gestopt met de mainstream-ondersteuning van Windows 8.1. Dat gebeurde volgens planning op dinsdag. Wel is er nog verlengde ondersteuning voor het besturingssysteem tot 2023, zo laat Microsoft weten.

nieuws: Microsoft stopt mainstream-support Windows 8.1

Ik weet niet wat je hiermee wilt zeggen, maar je vergeet te quoten dat Microsoft nog wel 5 jaar lang security updates voor Win 8.1 blijft aanbieden:

in de extended support-fase, die vijf jaar loopt, zal Microsoft uitsluitend nog beveiligingsupdates voor Windows 8.1 uitbrengen.

Nu Intel heeft beloofd deze maand fixes uit te brengen voor alle cpu's met een max leeftijd van 5 jaar, ben ik heel benieuwd of de moederbord fabrikanten dit ook gaan doen. Ik heb een 3,5 jaar oude Gigabyte mobo, en Gigabyte heeft slechts voor de laatste 3 generaties gepatched. Terwijl ik een Haswell heb

segil schreef op zondag 14 januari 2018 @ 14:34:
Ik heb een 3,5 jaar oude Gigabyte mobo, en Gigabyte heeft slechts voor de laatste 3 generaties gepatched. Terwijl ik een Haswell heb

Vanaf nu is patch policy van de hardware fabrikant een overweging die je in ogenschouw moet nemen bij een aankoop.

Om performanceredenen heb ik gekozen om de meltdown- en spectre bescherming uit te schakelen op mijn Windows 7 machines. Ik hoop dat MS nog met high-performance kernel updates komt voor Windows 7, want de huidige updates hebben alleen een quick-and-dirty fix tenzei je op de fall creators update van Windows 10 zit. (MS lijkt de processorbugs helaas te misbruiken om mensen over te halen om naar hun nieuwste OS te migreren)

Ik draai al jaren onder het Windows 7 Administrator account. Ik ben me ervan bewust dat het veiliger is om onder een non-admin user te draaien maar voor mij weegt gebruiksgemak hier zwaarder dan beveiliging.

Nu vraag ik me af in hoeverre een systeem dat kwetsbaar is voor Meltdown en Spectre nog een extra risico geeft boven het werken als administrator. In beide gevallen heeft zover ik weet Malware de mogelijkheid om in andere processen te gluren, code te injecteren of rootkits te installeren.

Ik ben voorzichtig met het binnenhalen van onbekende programma's, heb javascript standaard geblacklist (NoScript), heb Malwarebytes Pro en een ZoneAlarm firewall die handmatige toestemming vereist voordat nieuwe processen (als malware) het internet op mogen.

JackBol schreef op zondag 14 januari 2018 @ 18:41:
[...]


Vanaf nu is patch policy van de hardware fabrikant een overweging die je in ogenschouw moet nemen bij een aankoop.

Dat is toch altijd al zo geweest?

Hier nog een handig tooltje om te kijken hoe je systeem ervoor staat.

Download: inSpectre Meltdown and Spectre Check tool for Windows

chim0 schreef op maandag 22 januari 2018 @ 05:45:
Hier nog een handig tooltje om te kijken hoe je systeem ervoor staat.

Download: inSpectre Meltdown and Spectre Check tool for Windows

Je kunt hem beter even downloaden van GRC.com (De site van Steve Gibson zelf). Dan heb je de nieuwste versie.
https://www.grc.com/inspectre.htm

Dit jaar nog nieuwe CPU's met hardware fix

Is dit nu niet de bevestiging dat Intel al veel langer wist van dit probleem?

Naar mijn mening maak je namelijk niet in 9 maanden een nieuwe processor waarin dit soort fixes zitten gezien ontwikkeltijd en wanneer CPU's daadwerkelijk van de band rollen.

Helaas is mijn technische kennis omtrent CPU's en het maken daarvan niet genoeg dus ben wel benieuwd naar jullie mening hierover

segil schreef op zondag 14 januari 2018 @ 14:34:
[...]
Nu Intel heeft beloofd deze maand fixes uit te brengen voor alle cpu's met een max leeftijd van 5 jaar, ben ik heel benieuwd of de moederbord fabrikanten dit ook gaan doen. Ik heb een 3,5 jaar oude Gigabyte mobo, en Gigabyte heeft slechts voor de laatste 3 generaties gepatched. Terwijl ik een Haswell heb

Misschien was ik iets te voorbarig. Gigabyte liet mij weten dat ze nog bezig zijn om updates uit te brengen, en van de week is ook ondersteuning voor de X99 mobo's erbij gekomen. Hopelijk voor mij komen ook updates voor de Z97 mobo's. Pagina met status updates van Gigabyte.

rthartog schreef op zondag 7 januari 2018 @ 16:58:
Dan nog de vraag of je hier als consument iets mee kan.
Stel je hebt een laptop gekocht en je hebt nog garantie...
Zou je dan bijvoorbeeld kunnen zeggen dat je, je geld terug wilt omdat het product fouten bevat die niet op te lossen zijn? Er zit namelijk een lek in de chip die uiteindelijk een groot risico kan worden. Hackers worden ook steeds slimmer en misschien is het dan straks helemaal niet zo moeilijk om gegevens te stelen.

Of maak ik het probleem nu groter dan het is?

Als je de garantiebepalingen doorleest (vaak erg kleine letters) dan kan je er van uit gaan dat deze aanvallen niet omschreven gaan worden als een productiefout. Mede omdat als zou kunnen wat jij nu zegt, dat meer juridisch gevolgen zou kunnen hebben voor intel. Omdat het gaat om strafbare feiten, gepleegd door mensen die de term Computervredebreuk nog niet helemaal hadden begrepen.

Dus dan kom je juridisch in een raar verhaal terecht, omdat een garantie niet na komen als jij in de bepalingen leest dat doordat er een manier is gevonden via hardware bij je in te breken, garantie valt onder civiel recht, en het hacken, dat wordt niet uitgevoerd door de chipfabrikant, maar door lieden die inbreken via die chip, en dat is het strafrecht. Dus als je de fabrikant hiervoor via een garantiebepaling daar op zou willen aanspreken, waar is dan die partij die onder het strafrecht valt?

Het is tenslotte niet intel die inbreekt via deze ook weer zulke methodes, waar je als mens zo MOE VAN WORDT. In principe is dat net als alle oorlogen een wedloop.
Garantie kan je je op beroepen als het apparaat niet goed werkt.

Als je een auto koopt met de nieuwste anti inbraak snufjes, maar autodieven hebben dat bestudeerd en nemen toch je auto mee, kan je ook niet de autodealer via garantie daar op aan spreken.
Zo zit het rechtssysteem in elkaar, waar je dus eerst die garantiebewijzen door moet gaan lezen.

Weet je wat veel mensen niet eens in de gaten hebben, dat je je af moet gaan vragen of niet iedereen keihard aan het werk is, en flinke duiten moeten neerleggen, dankzij criminelen.

Scenario:
Misschien zou het kunnen dat verzekeraars er in de toekomst een polis voor kunnen ontwikkelen, en dan betaal je de criminelen via de verzekeraar.

[ Voor 7% gewijzigd door Verwijderd op 26-01-2018 22:34 ]

Is het raadzaam om te wachten met het aanschaffen van een nieuwe pc tot er een nieuwe generatie chips uit uitgebracht?

Ik ben inmiddels ook onder mijn steen vandaan. Sinds gisteren op de hoogte van dit beveilingsrisico. Windows geupdatet, maar het is kennelijk nog wachten op een goede spectre-fix.

Wat nu in de tussentijd. En wat te denken van oudere windows/ios apparaten die je niet kunt fixen? Natuurlijk: updaten/beveiligingssoftware/voorzichtig zijn. Maar betekent dit lek dat ik beter niet meer kan internetbankieren? Geen wachtwoorden meer invullen? Wordt er meegekeken? Oftewel: hoe kwetsbaar zijn we?

Is daar iets zinnigs over te zeggen? Ik ben in ieder geval behoorlijk geschrokken.

edit
Aangenomen dat we alleen gevaar lopen bij een zekere infectie; wordt deze dan waargenomen door beveiligingssoftware?

[ Voor 11% gewijzigd door Tommy The Cat op 03-02-2018 20:22 ]

Een malware die Specter/Meltdown kwetsbaarheid wil misbruiken moet eerst op je systeem terechtkomen via een dropper.

Als je onbekende bestanden in een sandbox draait dan worden de dropper en de payload in de sandbox geneutraliseerd.

Je kan voor veel dingen ook altijd nog gebruik maken van voor die bugs ongevoelige apparatuur (zoals een ARM Cortex-A53 -gebaseerd computertje)

Tommy The Cat schreef op zaterdag 3 februari 2018 @ 20:11:
Wat nu in de tussentijd. En wat te denken van oudere windows/ios apparaten die je niet kunt fixen? Natuurlijk: updaten/beveiligingssoftware/voorzichtig zijn. Maar betekent dit lek dat ik beter niet meer kan internetbankieren? Geen wachtwoorden meer invullen? Wordt er meegekeken? Oftewel: hoe kwetsbaar zijn we?

Er zijn al exploits in de omloop: https://thehackernews.com...ctre-malware-hacking.html

Niet volledig gepatched zijn blijft altijd een groot risico, maar 0-days zoals voornamelijk in Adobe Flash blijven in mijn oogpunt nog steeds gevaarlijker.

Ik werd deze week ook opgeschrikt, er waren namelijk 6 phishing mails verstuurd vanaf mijn bedrijfsemailadres, al een geluk dat deze berichten meteen geblokkeerd werden door O365 en ik hierbij uitkwam omdat ik de melding 'Onbestelbaar' binnenkreeg.
Tot nu toe heb ik nog niet kunnen achterhalen hoe men mijn inloggegevens heeft bemachtigd, en ik zou er dus niet van verschieten als de spectre exploit hiervoor misbruikt is op mijn laptop.. (is speculatie natuurlijk)

Het grootste nadeel momenteel is dat patches worden teruggedraaid, niet alle BIOS updates beschikbaar zijn,.. het is een soep om te implementeren bij klanten. Gedeelte kan enkel on-site uitgevoerd worden, wat het voor een klein bedrijf als waar ik werk zeer lastig maakt om direct uit te voeren.

Hopelijk komt er snel duidelijkheid, kunnen alle apparaten gepatched worden, en is het weer wachten op de volgende crisis

bython schreef op zondag 4 februari 2018 @ 11:09:
[...]


Er zijn al exploits in de omloop: https://thehackernews.com...ctre-malware-hacking.html

Niet volledig gepatched zijn blijft altijd een groot risico, maar 0-days zoals voornamelijk in Adobe Flash blijven in mijn oogpunt nog steeds gevaarlijker.

Ik werd deze week ook opgeschrikt, er waren namelijk 6 phishing mails verstuurd vanaf mijn bedrijfsemailadres, al een geluk dat deze berichten meteen geblokkeerd werden door O365 en ik hierbij uitkwam omdat ik de melding 'Onbestelbaar' binnenkreeg.
Tot nu toe heb ik nog niet kunnen achterhalen hoe men mijn inloggegevens heeft bemachtigd, en ik zou er dus niet van verschieten als de spectre exploit hiervoor misbruikt is op mijn laptop.. (is speculatie natuurlijk)

Het grootste nadeel momenteel is dat patches worden teruggedraaid, niet alle BIOS updates beschikbaar zijn,.. het is een soep om te implementeren bij klanten. Gedeelte kan enkel on-site uitgevoerd worden, wat het voor een klein bedrijf als waar ik werk zeer lastig maakt om direct uit te voeren.

Hopelijk komt er snel duidelijkheid, kunnen alle apparaten gepatched worden, en is het weer wachten we op de volgende crisis

Het is natuurlijk ook heel goed mogelijk dat ze de emails gespoofed hebben. Dus dat het lijkt alsof het namens jou verstuurd is, maar dat niet zo is. Daarvoor hoeft er niks aan de hand te zijn met jou laptop of computer of zelfs account.
Maar het kan natuurlijk nooit kwaad om na dit soort incidenten je passworden weer eens te veranderen.

ShellGhost schreef op woensdag 7 februari 2018 @ 13:34:
[...]


Het is natuurlijk ook heel goed mogelijk dat ze de emails gespoofed hebben. Dus dat het lijkt alsof het namens jou verstuurd is, maar dat niet zo is. Daarvoor hoeft er niks aan de hand te zijn met jou laptop of computer of zelfs account.
Maar het kan natuurlijk nooit kwaad om na dit soort incidenten je passworden weer eens te veranderen.

Ik heb meteen contact opgenomen met Microsoft, en zelf het bericht getraceerd en dit kwam van mijn emailadres. Anders zou ik ook niet het Onbestelbaar bericht aankrijgen als het gespoofed was

Wachtwoord meteen aangepast en 2FA opgezet. Paar dagen later ook nog op andere accounts melding gekregen dat er iemand proberen in te loggen had vanuit Brazilië, ook maar meteen de veiligheid aangescherpt.

bython schreef op zondag 4 februari 2018 @ 11:09:
[...]

Het grootste nadeel momenteel is dat patches worden teruggedraaid, niet alle BIOS updates beschikbaar zijn,.. het is een soep om te implementeren bij klanten. Gedeelte kan enkel on-site uitgevoerd worden, wat het voor een klein bedrijf als waar ik werk zeer lastig maakt om direct uit te voeren.

Hopelijk komt er snel duidelijkheid, kunnen alle apparaten gepatched worden, en is het weer wachten op de volgende crisis

Het is inderdaad te zot voor woorden dat er voor bedrijven nog steeds niets fatsoenlijks is.
Nu al een 1,5 maand verder sinds dat het publiekelijk werd en je kunt je HP Proliants/Blades enz nog niet bijwerken (zie link - allemaal to be delivered). Nu zijn reboots helemaal killing voor je bedrijf, maar als er op een gegeven moment wel een hack is en Intel is nog steeds niet zover, dan hang je. (althans Intel ook lijkt me).

https://support.hpe.com/h...=emr_na-hpesbhf03805en_us

Tadream schreef op woensdag 14 februari 2018 @ 16:49:
... Het is inderdaad te zot voor woorden dat er voor bedrijven nog steeds niets fatsoenlijks is....

Ik dacht dat er al het een en ander is uitgebracht aan patches toch? In iedergeval heeft IBM al OS- en firmwarepatches voor POWER7, POWER7+, POWER8 and POWER9 uitgerold. Of dat allemaal fatsoenlijk is weet ik trouwens niet.

Voor HP/VMware was het er even totdat de meldingen van reboots kwamen, toen hebben ze het teruggetrokken. En wordt er ook geadviseerd om een system rom eerder te nemen (mocht je het net in die tijd geupdate hebben).
Voor andere merken weet ik het eigenlijk niet, die heb ik niet gecheckt, maar verwacht eigenlijk hetzelfde.

Voor de geïnteresseerden, Intel heeft een microcode revision guidance on-line staan, met de verwachte planning voor de microocode updates voor alle platforms:

Link

Lijstje loopt helemaal terug naar de Core2 duo. Ben benieuwd of ze al deze platform uiteindelijk kunnen updaten.

segil schreef op woensdag 21 februari 2018 @ 13:49:
Voor de geïnteresseerden, Intel heeft een microcode revision guidance on-line staan, met de verwachte planning voor de microocode updates voor alle platforms:

Link

Lijstje loopt helemaal terug naar de Core2 duo. Ben benieuwd of ze al deze platform uiteindelijk kunnen updaten.

betekend dit dat de cpu dan niet meer kwetsbaar is voor spectre/meltdown dmv een biosupdate oid?

Ik wou dit linkje ook nog even delen, wellicht is deze al eerder gepost: Github pagina met allemaal informatie omtrend Spectre/Meltdown patches

Waterkoker schreef op donderdag 1 maart 2018 @ 13:23:
[...]


betekend dit dat de cpu dan niet meer kwetsbaar is voor spectre/meltdown dmv een biosupdate oid?

Volgens mij betekent dit dat de cpu niet meer kwetsbaar is voor de bekende toepassingen van deze vulnerability. Maar wellicht dat men weer een vulnerability ontdekt die hierop is gebaseerd.

Is het de moeite om mijn BIOS te updaten als de laatste beschikbare versie maar van 2013 is?

ikbenben schreef op zaterdag 3 maart 2018 @ 16:53:
Is het de moeite om mijn BIOS te updaten als de laatste beschikbare versie maar van 2013 is?

Denk je dat daar de fix in zit die Intel twee weken geleden heeft gereleased?

Dus niet de moeite