Meltdown / Spectre Diskussion
- Ersteller Puppetmaster
- Erstellt am
- Status
Besser, da alles auf einer Seite: https://www.heise.de/newsticker/mel...-ein-Security-Supergau-3935124.html?seite=all
Oder ganz kurz: https://heise.de/-3935124 (allerdings nicht alles auf einer Seite)
Oder ganz kurz: https://heise.de/-3935124 (allerdings nicht alles auf einer Seite)
- Mitglied seit
- 17. Dez 2014
- Beiträge
- 6.057
- Punkte für Reaktionen
- 1.855
- Punkte
- 254
Mal wieder super verständlich vom (Gast)Redakteur Andreas Stiller erklärt. Hut ab. Meine Empfehlung.
Was mich dabei aufregt ist, das die Geschichte bereits seit 1995 bekannt ist und wir Nutzer und Verbraucher im unklaren gelassen sind.
Der jetzt zu erwartende schaden, von Datenklau bis zu 30 % Geschwindigkeitsverlust ist nicht das einzige was zu erwarten ist. Wer weiß, dass schon wie viel von uns bereits ausspioniert wurde?
Ich denke darüber nach, alles abzustellen! Verliere die Lust an der Sache.
Der jetzt zu erwartende schaden, von Datenklau bis zu 30 % Geschwindigkeitsverlust ist nicht das einzige was zu erwarten ist. Wer weiß, dass schon wie viel von uns bereits ausspioniert wurde?
Ich denke darüber nach, alles abzustellen! Verliere die Lust an der Sache.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 622
- Punkte
- 174
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Naja, bekannt ist es jetzt wohl nicht seit 1995. Aber die Wirkung reicht halt womöglich soweit zurück.
So ist sie halt, die schöne neue Welt. Und wer nun denkt, wir sind bereits am Ende der Fahnenstange angelangt ... nun ja ...
So ist sie halt, die schöne neue Welt. Und wer nun denkt, wir sind bereits am Ende der Fahnenstange angelangt ... nun ja ...
Nein, die Sache ist nicht seit 1995 bekannt. Sowas schreibt höchstens eine Bild-Zeitung, welche die Bedeutung zwischen "alle Intel-CPUs seit 1995 sind betroffen" und "die Lücke ist seit XYZ bekannt" (bewusst) nicht unterscheidet. Betroffen != bekannt. Macht sich aber sicherlich gut für clickbaits wie in "OMG! Wir werden alle sterben! Passwörter werden seit 1995 systematisch geklaut! (Es könnte ja sein, dass...").
Öffentlich bekannt ist, dass Intel und Co. bereits im Juni 2017 darüber informiert wurden. Bekannt sind auch die Möglichkeiten solcher "side channel" Attacken, also um "memory Werte zu rekonstruieren, welche man eigentlich nicht lesen dürfte".
Wie weit aber diese konkreten Lücken - Meltdown bzw. Spectre - wie lange und wem effektiv bekannt gewesen sind, werden wir - die Öffentlichkeit - wohl nie erfahren.
Ja, meine DS413 mit PowerPC CPU gemäss https://www.synology.com/de-de/support/security/Synology_SA_18_01 auch nicht
Allerdings würde ich mich auf diese Liste nicht allzusehr verlassen: zum einen unterscheidet hier auch leider Synology nicht systematisch zwischen "Meltdown" (aktueller Wissensstand: bloss Intel betroffen) und "Spectre" (praktisch alle CPUs betroffen, welche "speculative execution" unterstützen).
Zum anderen trägt hier Synology wohl auch bloss "öffentliches Wissen" bzw. die Herstelleraussagen zusammen (was sollten sie auch anderes tun können?).
Und bei der CPU in meiner DS 413
http://www.synology-wiki.de/index.php/Welchen_Prozessortyp_besitzt_mein_System?
ist das eben ein Freescale PowerPC (e500v*), bei dem man es wohl schlicht noch nicht weiss, ob der von "Spectre" betroffen ist oder nicht. Davon gehe ich zumindest aus, weil gemäss der CPU Spezifikation, welches wohl diese hier ist
https://www.nxp.com/docs/en/white-paper/POWRPCARCPRMRM.pdf
Seite 21 ff:
"Branch and Flow Control Instructions
The specific methods of branch prediction vary from implementation to implementation, but most high-performance PowerPC implementations from Freescale provide some form of branch prediction. The branch predictor is used to predict the direction and target of a branch, and then to redirect the fetch unit so that it provides instructions from the predicted target of the branch. When the branch is able to execute (any pending CR bits, CTR values, or LR values are available), the branch execution unit compares the actual direction and target with the predicted direction and target. In the case of a correct prediction, no further action is taken. If the prediction is incorrect, the fetched instructions are purged, and instruction fetching continues along the correct path."
Das nennt man auch "speculative execution" - eine Vorraussetzung für "Spectre".
Ob dies bei diesen PowerPC CPUs nun ausreichend ist, um "Spectre" auszuführen, wissen wir einfach noch nicht. Im besten Falle bedeutet das "Nicht-Auflisten" tatsächlich, dass hier die DS413 (z.B.) nicht betroffen ist. Ohne offizielles Statement des CPU Herstellers ist das aber bis dahin bloss eine - speculative assumption
Wie es "till213" schon richtig schreibt,
"Wie weit aber diese konkreten Lücken - Meltdown bzw. Spectre - wie lange und wem effektiv bekannt gewesen sind, werden wir - die Öffentlichkeit - wohl nie erfahren."
Zitat FAZ. Wenn aber ein Vorstandsvorsitzender 80 Prozent seiner Aktien verkauft und kurze Zeit später schlechte Nachrichten kommen, liegt es schon nahe zu vermuten, dass es da einen Zusammenhang gibt. []
Quelle: http://www.faz.net/aktuell/finanzen/finanzmarkt/intel-chef-verkaufte-aktien-vor-sicherheitsluecken-aufdeckung-15373338.html
Ein Schelm, wer Böses dabei denkt.
Naheliegendes Beispiel VW. Da passte auch alles, bis das es durch Zufall öffentlich wurde!
"Wie weit aber diese konkreten Lücken - Meltdown bzw. Spectre - wie lange und wem effektiv bekannt gewesen sind, werden wir - die Öffentlichkeit - wohl nie erfahren."
Zitat FAZ. Wenn aber ein Vorstandsvorsitzender 80 Prozent seiner Aktien verkauft und kurze Zeit später schlechte Nachrichten kommen, liegt es schon nahe zu vermuten, dass es da einen Zusammenhang gibt. []
Quelle: http://www.faz.net/aktuell/finanzen/finanzmarkt/intel-chef-verkaufte-aktien-vor-sicherheitsluecken-aufdeckung-15373338.html
Ein Schelm, wer Böses dabei denkt.
Naheliegendes Beispiel VW. Da passte auch alles, bis das es durch Zufall öffentlich wurde!
Naja - wenn wir tatsächlich Performanceeinbussen in Bereichen jenseits der 50% bekommen, dann sollten wir unsere Int€l Aktien auch noch ganz schnell verkaufen!
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
"...Beide Hersteller (Qnap und Synology) wollen ihre Sicherheitswarnungen aktualisieren, wenn neue Informationen vorliegen."
(Quelle)
Na, angesichts der diversen zurückgezogenen Bugfixes der "Großen" darf man für Synology seine Erwartungen wohl ziemlich weit, wenn nicht gar auf Null herunterschrauben.
(Quelle)
Na, angesichts der diversen zurückgezogenen Bugfixes der "Großen" darf man für Synology seine Erwartungen wohl ziemlich weit, wenn nicht gar auf Null herunterschrauben.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 622
- Punkte
- 174
Für Privat-Nasen ist das Thema nicht so brisant.
Es ist zwar nachzulesen, dass es Performanceeinbussen um bis zu 30% geben kann, aber dazu müsste man einen Prozess am laufen haben, der 24/7 die CPU bei 50% oder mehr auslastet.
Von daher ist das hier in unserem privaten Dunstkreis eher uninteressant, was die Performance angeht.
Bei Systemen, die eher an eine Bastelstube erinnern, als an einen professionellen Betrieb, wäre es angebracht, sich genau zu überlegen, aus welcher Quelle Software eingesetzt wird.
Ich persönlich mache mir hier also keinen Stress und warte in aller Ruhe ab, was die Zeit bringt. Schliesslich ist dieses Fehlverhalten des MicroCodes nun schon rund zwanzig Jahre alt
Es ist zwar nachzulesen, dass es Performanceeinbussen um bis zu 30% geben kann, aber dazu müsste man einen Prozess am laufen haben, der 24/7 die CPU bei 50% oder mehr auslastet.
Von daher ist das hier in unserem privaten Dunstkreis eher uninteressant, was die Performance angeht.
Bei Systemen, die eher an eine Bastelstube erinnern, als an einen professionellen Betrieb, wäre es angebracht, sich genau zu überlegen, aus welcher Quelle Software eingesetzt wird.
Ich persönlich mache mir hier also keinen Stress und warte in aller Ruhe ab, was die Zeit bringt. Schliesslich ist dieses Fehlverhalten des MicroCodes nun schon rund zwanzig Jahre alt
Für Meltdown sind die NAS Hersteller ja auf die CPU Hersteller angewiesen. Für den C2538 (DS415+ usw.) soll es ja wohl gar keine Patch von Intel geben, zu alt!
Für die übrigen Prozessoren ist der Patch zurückgezogen worden! Sporadische Neustarts - dürften für das "private" NAS wohl schlimmer sein als die Wahrscheinlichkeit das die Lücke ausgenutzt werden kann.
Software die ich über das Paketzentrum einspiele (root) braucht sich wohl kaum die Mühe machen die Lücke auszunutzen.
Außerhalb von virtuellen Maschinen halte ich die Gefahr in NAS Sektor auch für eher "moderat" ;-)
Für die übrigen Prozessoren ist der Patch zurückgezogen worden! Sporadische Neustarts - dürften für das "private" NAS wohl schlimmer sein als die Wahrscheinlichkeit das die Lücke ausgenutzt werden kann.
Software die ich über das Paketzentrum einspiele (root) braucht sich wohl kaum die Mühe machen die Lücke auszunutzen.
Außerhalb von virtuellen Maschinen halte ich die Gefahr in NAS Sektor auch für eher "moderat" ;-)
Also ich war letzte Woche in Düsseldorf und habe einen Freund besucht, der – gelinde gesagt – Synology etwas näher steht. Angeblich sind die Verkaufszahlen der größeren Intel basierten Diskstations fast völlig zum Erliegen gekommen. Jeder halbwegs informierte Kunde, der bislang geplant hatte eines dieser Geräte zu kaufen (bspw. DS1517+ oder DS1817+) wird natürlich jetzt warten bis neue Geräte mit neuen CPUs auf dem Markt sind, die die Fehler nicht mehr haben.
Jetzt kommt die Masterfrage: Was glaubt Ihr, wie lange es dauern wird bis diese neuen Geräte am Markt verfügbar sein werden?
Jetzt kommt die Masterfrage: Was glaubt Ihr, wie lange es dauern wird bis diese neuen Geräte am Markt verfügbar sein werden?
Seppy2000, das fragst du uns und nicht deinen wohlinformierten Freund? ;-)
Aber das eine leichte bis mittelschwere Katerstimmung bei den CPU Einkäufern dieser Welt besteht, ist sicher unbestreitbar.
Aber das eine leichte bis mittelschwere Katerstimmung bei den CPU Einkäufern dieser Welt besteht, ist sicher unbestreitbar.
Naja - gerade hat Synology das Thema Virtualisierung auch halbwegs brauchbar umgesetzt - und nun sowas! Und es ist zum zweiten Mal innert kurzer Zeit der gleiche Hersteller, der es verbockt hat und reichlich wenig Lösungsbereitschaft zeigt. Die Beschränkung auf die aktuelle Prozessorgeneration ist ein absolutes Unding!
Am Ende wird es doch wieder darauf hinauslaufen, dass die Kunden munter wandeln werden, da alle bisher erkennbaren software-basierten Lösungsansätze nicht wirklich funktionieren; und vermutlich wird auch hier Synology wieder auf den Kosten sitzen bleiben, da der Zulieferer einfach zu mächtig ist.
Ich denke, dass jeder sich aktuell sehr genau überlegt, welche CPU in seiner Hardware steckt, vor allem dann, wenn man über Virtualisierung nachdenkt. Dass der Stressfaktor von Privat ohne Virtualsierung über Privat mit Virtualisierung bis zu Geschäftlich mit Virtualisierung sicherlich zunimmt, mag wohl stimmen.
Am Ende wird es doch wieder darauf hinauslaufen, dass die Kunden munter wandeln werden, da alle bisher erkennbaren software-basierten Lösungsansätze nicht wirklich funktionieren; und vermutlich wird auch hier Synology wieder auf den Kosten sitzen bleiben, da der Zulieferer einfach zu mächtig ist.
Ich denke, dass jeder sich aktuell sehr genau überlegt, welche CPU in seiner Hardware steckt, vor allem dann, wenn man über Virtualisierung nachdenkt. Dass der Stressfaktor von Privat ohne Virtualsierung über Privat mit Virtualisierung bis zu Geschäftlich mit Virtualisierung sicherlich zunimmt, mag wohl stimmen.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
