Intel Skylake beveilingsstatus

Nee je moet een nieuwe computer kopen, Russische staats hackers en ook de Chinezen kijken nu constant mee. Ik zou de computer uitzetten, harde schijven vernietigen en de computer uit het raam gooien.

Wat wil je nu precies weten? Je vraagstelling is wat wazig, waardoor mij nu het gevoel bekruipt dat je met een klok en klepel zit van een storm in een glas water.

Als je doelt op lekken als Spectre en Meltdown, daar zijn gewoon microcode updates voor uitgebracht. Daar is niet per se een bios update voor nodig.

EDIT:
Wellicht is reviews: Meltdown en Spectre: vraag-en-antwoord interessant leesvoer voor je.

Statischgeladen schreef op woensdag 19 februari 2020 @ 20:33:
De helft staat op een onbekende locatie en de andere helft staat op een onbekende locatie.

Neem aan dat je verschillende locaties bedoelt? Al is dat natuurlijk ook wel gevoelig als de ene helft plots kwijt raakt en lichtelijk overdreven, maar goed.

[ Voor 50% gewijzigd door CH4OS op 19-02-2020 20:44 ]

Ik denk zomaar dat @prutser001 z'n post sarcastisch was bedoeld Als in: wees niet te paranoïde.

Spectre (daar heb je het over?) is een gat. Vraag is hoe significant de risico's zijn voor jou. Mijn persoonlijke mening: er zijn heel veel grotere risico's voor mijn privé PC. Maak je hier niet te druk over en zie @CH4OS.

De rest ga ik niet blootleggen voor random bezoekers die geen account hebben,

Behalve ik ziet niemand hier je IP-adres dus dat zal wel meevallen. En OS, patchniveau, details over de beveiligingsstrategie en -inrichting zijn IMHO heel veel relevanter dan of je gevoelig bent voor Spectre.

Statischgeladen schreef op woensdag 19 februari 2020 @ 20:26:
vraag het aan de experts aangezien ik nog geen afgeronde IT opleiding heb gedaan.

Statischgeladen schreef op woensdag 19 februari 2020 @ 20:55:
Klopt, maar hoeveel moeite wil je doen om zo iemand te hacken? Oprecht, het is gewoon kloten. Ik heb ergens wel een methode staan waarmee ik dit gewoon terugvind of herstel. Ik heb geen 100.000 op mijn rekening staan of iets wat echt heel veel waard is. Ik heb een ransomware scanner, dat is al bijna genoeg eigenlijk.

Zo'n scanner is leuk, maar het houdt het niet tegen, tegen de tijd dat het er is, kan het zelfs die scanner al een stap voor zijn voordat die ook maar iets ziet, ik geloof dus totaal niet in zulke programma's. ;)Gewoon boeren verstand gebruiken en zorgen dat men jou niet weet te vinden + zorgen dat men überhaupt niet binnen kan komen lijkt mij meer dan voldoende.

Maar wat ik al zei, ik ben niet gek genoeg om te wachten totdat ze zijn op de locatie waar mijn wachtwoord voor de helft geschreven is en voor de andere helft niet.

Nogmaals, op deze wijze is jouw wachtwoord ook niet veilig. Die "locaties" kan ook iets overkomen en zit je alsnog met de gebakken peren. ;)[a]Je kan gewoon morscodes of trucjes gebruiken en dan kun je bijna niet eens inloggen op je eigen account zonder dat het extra werk kost. Dat is hoe je dit soort dingen heel makkelijk kunt voorkomen. Random straat hacker die mij hackt via straatnetwerk? Nee, dat dacht ik dus niet.[/q]Zoals @F_J_K al zei, wees niet te paranoïde. Anders kun je net zo goed de PC gewoon uit zetten en voortaan maar uit laten als je er zo bang voor bent. En zeg het internet dan ook maar op, dan kan de PC nooit via het grote boze web besmet worden.

Goede voorbereiding op de toekomst is gewoon veel weten over biologie, gevechten en ICT. Het is tijd om een survivor te zijn. Ik trap niet in trucjes om iemand op te lichten. Licht jezelf maar op zou ik zeggen.

Ik weet niet wat je gegeten of gedronken hebt, maar dit is echt next level.

Natuurlijk ben ik niet achterdochtig als diegene juist baat heeft bij mijn succes, zo gek ben ik ook niet. Of als hij geld verdient aan onschadelijke geneesmiddelen, nah.

Oplichtingpraktijken kan iedereen in trappen, ook jij, ook al zeg je zelf van niet. Genoeg medetweakers die dat kunnen beamen. Maar echt, kalmeer maar, zo interessant dan men op jou gaat jagen zul je vast niet zijn of worden.

Als je 'per ongeluk' via Google al malware "vindt", dan ben je echt wel niet goed bezig als je vervolgens alsnog op die link klikt, denk je ook niet?

@Statischgeladen dan zou je je meer in moeten lezen over welke specifieke beveiligingslekken er gelden voor de processor die jij gebruikt. Google is je vriend

Kort door de bocht kunnen de lekken op 2 manieren gemitigeerd worden:
- BIOS update
- OS update

De vraag is alleen wat is relevant voor jou, je bent niet bepaald een aantrekkelijk doelwit voor een inlichtingen dienst, bovendien vereisen een aantal lekken fysieke toegang tot de machine om ze te misbruiken.

Dus nee, zolang je alles up to date (windows 10/linux, geen xp/w7 iig )houd is er waarschijnlijk niets aan de hand. (Tenzij intel nog meer geblunderd heeft? )

Overigens google ik zelf ook veel (ITer he ) maar ik kan me de laatste keer dat ik malware tegenkwam niet herinneren. Dat gezegd, ik klik niet elke link aan die ik zie en een adblocker doet ook wonderen.

Zijn de beveiligingslekken te patchen zonder firmware update? Heeft de nieuwe Windows update een patch erop staan? Zo niet, dan kan ik denk ik net zo goed mijn moederbord weggooien als de firmware flash faalt, of denk ik nu iets wat niet kan?

Je geeft helaas niet aan over welke beveiligingsproblemen je het hebt, er zijn meerderen, dus ik kan niet meer dan een algemeen antwoord geven.

De problemen die gevonden zijn in de processoren zijn dusver allemaal op te lossen met een firmware-update, specifiek een microcode update. Dat kan wat/veel performance kosten maar ok, pleisters zijn nooit leuk. Het goede nieuws is dat je zo'n microcode update gewoon kan doen terwijl je computer draait. Het is niet nodig omdat vanuit de bios te doen of zo iets, het kan gewoon vanuit je OS. Onder Linux is het inmiddels vrij normaal dat het systeem daar voor zorgt. Ik weet niet hoe het met Windows zit, maar het is in theorie in ieder geval mogelijk.

Het nadeel is wel dat je dit iedere keer dat je de computer opnieuw opstart opnieuw moet doen. Wederom weet ik dat Linux dat doet, en ik gok Windows ook. De betere oplossing is dan inderdaad om je moederbord te flashen. Flashen kan inderdaad verkeerd gaan en dan kun je je moederbord weggooien (tenzij lang verhaal), maar eerlijk gezegd zou ik me daar geen zorgen over maken.

Controleer voor je begint of het downloaden van de nieuwe firmware goed is gegaan en of de stekker van je computer stevig in het stopcontact zit (en dus niet van accu draait) en dan komt het wel goed.

Hoewel de meeste van die hardware problemen voor de meeste mensen op dit moment nogal theoretisch van aard zijn omdat ze te moeilijk zijn voor "gewone" boefjes, weet je nooit wat de toekomst brengt. In praktijk bestaan aanvallen vaak uit een combinatie van problemen die op zich zelf niet zo groot zijn. Als (aankomend?) IT-professional kan het geen kwaad om extra moeite te doen om het goed te regelen.

Statischgeladen schreef op woensdag 19 februari 2020 @ 20:26:
Mijn vraag

[knip]

Ik mis wat context, dus ga er even wat breder op in. Wat betreft de kwetsbaarheden in processoren, die zijn op te lossen door wat maatregelen, maar met een vrij grote impact op de performance:

• Zorg dat je de laatste BIOS hebt geinstalleerd. Deze dien je te verkrijgen via de fabrikant van je systeem of moederbord. Er zit (helaas) wel een flink verschil tussen "consumer grade" en "business grade" hardware, vooral laptops. Als de laatste BIOS revisie uit Q3 2019 (of later) stamt is de kans dat het redelijk wat patcht veel groter dan bijvoorbeeld een update uit 2017 of 2018.
• Zorg dat je daarnaast de microcode updates van je OS geinstalleerd hebt. Voor Windows: de microcode moet je handmatig installeren, dat gaat niet via Windows update. Voor Linux/BSD/macOS gaat dit (meestal) automatisch. Maar check het zelf na!
• Gebruik je Linux of een BSD derative? Draai dan de Spectre/Meltdown checker.
• Als je net zo paranoia bent als ik ben: zet SMT/hyperthreading uit. Er gaan nog meer lekken gevonden worden daarin, naast degene die er al zijn. En het advies voor de tot nu toe gevonden lekken is ook om SMT uit te schakelen, als dit binnen jouw use-case kan (de impact op de performance kan vrij groot zijn).

Bij eventueel misbruik, het is vrij onmogelijk om aan te tonen dat het gebeurd is. En wat er precies misbruikt is/buit gemaakt is, is volledig onmogelijk. Een anti-malware oplossing kan je ook niet beschermen als jij doelbewust een applicatie uitvoert die misbruik maakt van de lekken.

Dat gezegd hebbende, de vraag is of dit het juiste aspect is om aan te vliegen. De impact is op "single user" machines een stuk kleiner, het is (met name de latere vulnerabilities) vooral multi-user systemen waar de echte schade gedaan kan worden. Denk bijvoorbeeld aan hosting, terminal services, servers, virtualisatie, etc.

Voor de meeste thuisgebruikers zijn er op andere vlakken veel meer winst te behalen. Bijvoorbeeld door je dagelijkse gebruik onder een beperkt account te doen (in plaats van root/administrator), netjes je OS updates te installeren/bij te houden, veilige omgang met internet en "next level" zaken als browser sandboxing.

CAPSLOCK2000 schreef op donderdag 20 februari 2020 @ 14:14:
[...]

Het goede nieuws is dat je zo'n microcode update gewoon kan doen terwijl je computer draait. Het is niet nodig omdat vanuit de bios te doen of zo iets, het kan gewoon vanuit je OS.

Dat is niet correct; voor een volledige mitigatie zijn OS-level microcode updates niet voldoende.

[ Voor 0% gewijzigd door jurroen op 21-02-2020 11:36 . Reden: Fixed typo ]

jurroen schreef op vrijdag 21 februari 2020 @ 11:34:

Dat is niet correct; voor een volledige mitigatie zijn OS-level microcode updates niet voldoende.

tnx, voor de correctie. Weet je of dat is omdat OS te laat is met het toepassen van die fixes (nadat je computer al deels geboot is) of omdat er wezenlijk iets anders gebeurt als je de BIOS-route kiest?

CAPSLOCK2000 schreef op vrijdag 21 februari 2020 @ 15:17:
[...]


tnx, voor de correctie. Weet je of dat is omdat OS te laat is met het toepassen van die fixes (nadat je computer al deels geboot is) of omdat er wezenlijk iets anders gebeurt als je de BIOS-route kiest?

Dat laatste. Als je het goed wilt patchen is het geen kwestie van of, maar van en. Dus zowel OS microcode updates als BIOS updates uitvoeren. De beschikbaarheid van de laatste is sterk afhankelijk van de fabrikant van je mobo / laptop. Er zijn redelijk nieuwe laptops (in 2017/2018 uitgebracht) die helemaal geen of maar 1 BIOS update hebben gehad.

Volgens mij maken fabrikanten sterk onderscheid tussen consumer-grade en business-grade hardware; ThinkPads en Elitebooks bijvoorbeeld krijgen nog redelijk lang en vrij snel BIOS updates. Maar dit is meer een constatering van persoonlijke ervaring en daar zijn ongetwijfeld uitzonderingen op

Goh, dat maakt me wel benieuwd wat er dan anders is aan die bios patches. Aan de werking van de CPU zouden die toch niks (meer) moeten veranderen dan die microcode updates, of heb ik dat ook verkeerd?

Ik kan me wel voorstellen dat je BIOS een rol speelt in bescherming tegen RowHammer of andere hardware bugs die niet in de processor zelf zitten, maar ik ben geen expert.

Het helpt ook niet dat we nog steeds in algemene termen praten in plaats van over een concreet probleem, maar goed.

CAPSLOCK2000 schreef op vrijdag 21 februari 2020 @ 16:01:
Goh, dat maakt me wel benieuwd wat er dan anders is aan die bios patches. Aan de werking van de CPU zouden die toch niks (meer) moeten veranderen dan die microcode updates, of heb ik dat ook verkeerd?

Ik kan me wel voorstellen dat je BIOS een rol speelt in bescherming tegen RowHammer of andere hardware bugs die niet in de processor zelf zitten, maar ik ben geen expert.

Het helpt ook niet dat we nog steeds in algemene termen praten in plaats van over een concreet probleem, maar goed.

Het kan wat verwarrend zijn; de fixes in de BIOS updates en hetgeen wat je in het OS plempt zijn beiden microcode updates, maar de inhoud verschilt. De BIOS updates verzorgen low level functionaliteit (die vanuit het OS niet kan), die voegen bijvoorbeeld mitigatie mechanismen toe.

De OS updates verhelpen de kwetsbaarheden op een wat hoger niveau en maken gebruik van de mechanismen die de BIOS updates toevoegen, indien beschikbaar (geinstalleerd). Het is echter wel zo dat alleen de OS updates al wel wat bescherming bieden, echter niet de volledige mitigaties. Best case scenario heb je dus zowel de OS als BIOS updates.

In theorie zou het wel kunnen dat er een bepaalde overlap in zit, maar zo erg ben ik er niet in thuis.

jurroen schreef op vrijdag 21 februari 2020 @ 16:40:
[...]


Het kan wat verwarrend zijn; de fixes in de BIOS updates en hetgeen wat je in het OS plempt zijn beiden microcode updates, maar de inhoud verschilt. De BIOS updates verzorgen low level functionaliteit (die vanuit het OS niet kan), die voegen bijvoorbeeld mitigatie mechanismen toe.

De OS updates verhelpen de kwetsbaarheden op een wat hoger niveau en maken gebruik van de mechanismen die de BIOS updates toevoegen, indien beschikbaar (geinstalleerd). Het is echter wel zo dat alleen de OS updates al wel wat bescherming bieden, echter niet de volledige mitigaties. Best case scenario heb je dus zowel de OS als BIOS updates.

In theorie zou het wel kunnen dat er een bepaalde overlap in zit, maar zo erg ben ik er niet in thuis.

Heb je hier een bron voor, normaliter maakt het namelijk geen enkel verschil of een microcode via bios / firmware of OS geladen wordt. De functionaliteit is hetzelfde, alleen het moment van inladen anders, dit is ook simpel te testen, Systemen met bios + OS updates vergeleken met Systemen die alleen OS updates (uiteraard ook de optionele OS updates die de microcode updates hebben) hebben exact dezelfde bescherming.

Er is echter een uitzondering, een systeem dat de microcode updates op bios / firmware niveau heeft zal ook beschermd zijn wanneer je een OS boot vanaf bijvoorbeeld USB. Wanneer je afhankelijk bent van het OS voor de correcte microcode zal dat in zulke gevallen niet altijd zo zijn.

Rootkit scanners kijken naar rootkits, dat is een ander soort lek dan Meltdown en Spectre, dus dat beschermt je niet tegen dergelijke infecties. Als je je echt zo'n zorgen maakt, kun je het beste internet stopzeggen en eventueel de computer de deur uit doen.

Statischgeladen schreef op zaterdag 22 februari 2020 @ 15:39:
Ik ga mijn BIOS firmware updaten, maar ik snap niet helemaal wat de microcode is. Ik heb er wel kort iets over gelezen, maar het is mij niet duidelijk of dit je processor kan beschadigen. Waarschijnlijk moet je gewoon je computer aan het stopcontact verbinden en dan ervoor zorgen dat alle fans correct blijven werken zodat hij niet uitvalt tijdens de update en daarnaast ook zorgen dat de temperatuur de juiste hoogte behoudt. Maar is het überhaupt mogelijk dat je processor kapot gaat als je de microcode updated? Mijn vraag is dus eigenlijk wat het ergste is dat kan gebeuren met je processor als je de microcode updated.

Je microcode "updaten" vanuit het OS is niet zo spannend. Ik weet niet hoe Windows het doet, maar bij Linux is het gebruikelijk dat dit elke boot helemaal in het begin gedaan wordt. Het is dus niet persistent op die manier, en het is dus beter te omschrijven als het laden van de laatste microcode dan het permanent updaten ervan.

Je kunt de microcode-updates wel permanent maken via BIOS-updates. Daarbij wil je inderdaad niet hebben dat je PC midden tijdens de update uitvalt, maar dat risico is echt niet zo groot en de meeste fatsoenlijke moederborden hebben tegenwoordig wel een backup-BIOS of een ander mechanisme om dit risico in te perken.

Dennism schreef op zaterdag 22 februari 2020 @ 11:35:
[...]


Heb je hier een bron voor, normaliter maakt het namelijk geen enkel verschil of een microcode via bios / firmware of OS geladen wordt. De functionaliteit is hetzelfde, alleen het moment van inladen anders, dit is ook simpel te testen, Systemen met bios + OS updates vergeleken met Systemen die alleen OS updates (uiteraard ook de optionele OS updates die de microcode updates hebben) hebben exact dezelfde bescherming.

Er is echter een uitzondering, een systeem dat de microcode updates op bios / firmware niveau heeft zal ook beschermd zijn wanneer je een OS boot vanaf bijvoorbeeld USB. Wanneer je afhankelijk bent van het OS voor de correcte microcode zal dat in zulke gevallen niet altijd zo zijn.

Niet lullig bedoelt, maar als je even zelf had gezocht, dit is letterlijk 10 minuten zoekwerk geweest: bron 1, bron 2 (zie FAQ 9), bron 3 en bron 4.

jurroen schreef op zaterdag 22 februari 2020 @ 17:39:
[...]


Niet lullig bedoelt, maar als je even zelf had gezocht, dit is letterlijk 10 minuten zoekwerk geweest: bron 1, bron 2 (zie FAQ 9), bron 3 en bron 4

Dat is leuk maar geen enkele van die bronnen geeft dat aan.

Bron 1 is een zwaar achterhaalde forumpost, op het moment van schijven destijds was het echter correct. Veel OS vendoren hadden op dat moment de microcode nog niet opgenomen in het OS. Inmiddels echter allang achterhaald. Ik zou voor dit soort zaken echt niet meer kijken naar bronnen uit 2018, het liefst zelds eind 2019 of 2020. Veel informatie is enorm achterhaald namelijk.

Bron 2: FAQ 9: geeft aan dat je microcode updates nodig hebt, wat ook klopt. Echter niet dat deze via een firmware moeten komen. Je kan ook gewoon een update als https://support.microsoft...5-intel-microcode-updates installeren, wel even de goede voor je OS versie opzoeken, ze komen niet allemaal via Windows Update binnen, sommige microcode updates waren (of zijn nog steeds) alleen handmatig via de Microsoft Update Catalog te krijgen.

Hou er echter wel rekening mee dat Microsoft niet de snelste is met deze updates. Een bios / firmware update is dus vaak sneller bij nieuwe exploits, maar voor systemen waar de fabrikant laks is met updates zijn deze patches van MS wel een uitkomst.

Bron 3: Staat gewoon in de tekst dat bios / firmware updates optioneel zijn. Ik maak de belangrijke delen uit de tekst even bold:

It virtualizes the new speculative-execution control mechanism for guest VMs so that a Guest OS can mitigate leakage between processes within the VM. This mitigation requires that specific microcode updates that provide the mechanism are already applied to a system’s processor(s) either by ESXi or by a firmware/BIOS update from the system vendor. The ESXi patches for this mitigation will include all available microcode updates at the time of release and the appropriate one will be applied automatically if the system firmware has not already done so.

Bron 4: Is eigenlijk gelijk aan bron 3, Red Hat levert de microcode ook gewoon mee, echter raden ze aan ook eventuele bios updates te installeren. Die zijn echter niet noodzakelijk.

Begrijp me trouwens niet verkeerd, waar mogelijk zou ik ook bios / firmware updates toepassen, echter noodzakelijk zijn deze niet. En dat is zeer gelukkig voor alle systemen waarvan de fabrikanten geen support meer leveren.

Dit alles kun je ook zeer makkelijk testen met een script als: https://support.microsoft...ontrolsettings-powershell

Daar dit maar eens op een systeem met firmware / bios update en OS updates en op hetzelfde systeem met een oudere, niet geupdate bios, OS patches en een Microsoft Microcode update. De resultaten zullen exact hetzelfde zijn.

Maar ook bijvoorbeeld op Linux kun je dit makkelijk testen, bijna iedere vendor heeft er wel scripts voor. Daarnaast kun je binnen Linux zelfs zelf de Intel microcode installeren na deze te downloaden van de Intel Github.

[ Voor 15% gewijzigd door Dennism op 22-02-2020 19:36 ]