Kwetsbaarheid gevonden in Intel processoren

[asphyxia]

Op een geheel andere site werd gewezen op een gevonden kwetsbaarheid in Intel processoren, waar de 'tech giants' en de media in totale stilte op blijven.
Het komt erop neer, dat bij een soort DDOS aanval (data overload, deze aanval heeft dan ook de naam 'ZombieLoad' gekregen) de processoren kwetsbaar worden. En dat is hardware, dus dat fix je niet zomaar met een patch. En die kwetsbaarheid gaat terug tot types uit 2011.

http://fortune.com/2019/05/15/zombieload-flaw-lets-hackers-crack-almost-every-intel-chip-back-to-2011-why-is-it-being-downplayed/?iid=recirc_f500profile-zone1

Deze keer hoop ik werkelijk dat ik het verhaal niet goed begrepen heb, want dit lijkt me vrij serieus. Jullie mening? 

[Pjotr]

Zeer ernstig. Gelukkig lijken de veiligheidsreparaties van gisteren (nieuwe systeemkern, nieuw firmware-pakket) daar wat aan te doen. Maar of dat afdoende is, moet nog blijken....

Het is een hardgecodeerde (niet-wijzigbare) kwetsbaarheid in de Intel-CPU's zelf, waar nu een noodverband om heen wordt gelegd. Noodverbanden zijn meestal niet de degelijkste oplossingen.

Als je een nieuwe computer nodig hebt: voorlopig toch maar even AMD kiezen (al heb je voor de nieuwste Ryzen-CPU's minimaal systeemkern 5.0.x nodig).

Ik zeg dat niet graag, want ik koop doorgaans het liefste Intel. Maar ja, nu dus even niet.

[partyrabbit]

Zal de laatste niet zijn. De ontwikkeling van OS'en en software is doorspekt van bugs-ontdekkingen. Wat vandaag geen bug is kan er morgen zomaar ineens een zijn, wat dan weer gepatched wordt. Zonder bugs waren we niet waar we nu zijn, en komen we nooit waar we in de toekomst zullen zijn.
Ooit begonnen met internetten zonder firewall rechtstreeks op het net. Nu drie firewalls achter elkaar omdat één firewall weer lek kan zijn (en ook vaak is).

Het komt erop neer, dat bij een soort DDOS aanval (data overload, deze aanval heeft dan ook de naam 'ZombieLoad' gekregen) de processoren kwetsbaar worden. En dat is hardware, dus dat fix je niet zomaar met een patch. En die kwetsbaarheid gaat terug tot types uit 2011.

Vraag ik me af in hoeverre dit werkelijk bedreigend is voor ons. Want voor een DDOS moet toch echt eerst je pc besmet worden middels trojan/exploit. Daar zijn wij linuxgebruikers toch gewoon behoorlijk (zoniet volledig) van gevrijwaard?
Niks aan de hand dan toch denk ik dan? Of mis ik iets?

https://www.zdnet.com/article/linux-vs-zombieload/

[asphyxia]

Goed verhaal op zdnet.

Ik ben niet optimaal thuis in dit soort IT hardware spelonken, maar als ik het goed begrijp worden via kernel-updates 'hyperthreading' uitgeschakeld?
Dat lijkt me best wel rucq als je een dure gaming laptop hebt, met een i7 processor. De gedachte, dat 'Linux wel weer gevrijwaard zal zijn want we zijn o zo speciaal', hmm, is dat  zo geruststellend? Alertheid lijkt me altijd op zijn plaats.

Ik krijg wat associaties met een woonwijk, waar ze verkeersdrempels optuigen om het verkeer te temperen -een hoogst te begrijpen gedachte, als ook je eigen kinderen op straat spelen.
En toen moest de ambulance komen omdat iemand gestrekt ligt. 

[partyrabbit]

De gedachte, dat 'Linux wel weer gevrijwaard zal zijn want we zijn o zo speciaal', hmm, is dat  zo geruststellend? Alertheid lijkt me altijd op zijn plaats.

Ik denk helemaal niet dat "we met linux o zo speciaal" zijn. Beetje vreemde reactie, onduidelijk waar dat vandaan komt. Of was dat niet aan mij gericht? (ik lees het ook niet bij zdnet)

Ik zeg in elk geval iets heel anders. Ik probeer gewoon een risicoanalyse te maken en benoem daarvoor gewoon wat feiten, en stel daar wat vragen bij. Ik neem niet eens een keihard standpunt in. Hier, lees nog maar eens goed. Staat daar ergens "speciaal", "halleluja" of enige andere worshipping?  

Vraag ik me af in hoeverre dit werkelijk bedreigend is voor ons. Want voor een DDOS moet toch echt eerst je pc besmet worden middels trojan/exploit. Daar zijn wij linuxgebruikers toch gewoon behoorlijk (zoniet volledig) van gevrijwaard?
Niks aan de hand dan toch denk ik dan? Of mis ik iets?

En ook nergens zeg ik dat dit niet besproken zou mogen worden of zo. Ik bespreek het juist mee, met een voorlopige conclusie dat het weinig gevaar met zich mee brengt.
Volgens mij lopen wij linuxgebruikers weinig tot geen risico. De bugs moeten benaderd kunnen worden voor ge(mis)bruik ervan (feit), wat middels trojan vrijwel onmogelijk is (objectief feit, bestaan nog steeds niet voor linux. Toch? Best speciaal ). En rechtstreeks vanaf internet ook niet omdat wij zo'n beetje allemaal achter firewalls hangen (objectief feit, wie dat nog niet heeft heeft ook zonder bug al een groot veiligheidsprobleem).
Kan anders liggen bij dual boot, maar dan is nog steeds linux de faciliterende OS niet.

Als mijn gecommuniceerde voorlopige standpunt gebaseerd enige onjuistheid bevatten verneem ik het graag voorzien van een deugdelijke onderbouwing.
Ik leer graag bij om voldoende alert te kunnen blijven. Al denk ik dat ik juist voldoende alert ben met mijn risicoanalyse.

[koos4401]

De gedachte, dat 'Linux wel weer gevrijwaard zal zijn want we zijn o zo speciaal', hmm, is dat  zo geruststellend? Alertheid lijkt me altijd op zijn plaats.

Ziehier de verwarring tussen een OS (in dit geval het/een veilige Linux) en de hardware zelf, waarop het OS draait. Sof voor Intel, goede waarschuwing voor ons.

[partyrabbit]

Om er niet nog een topic wat er nog wel over gaat mee te "vervuilen" hier in dit topic nog even een aanvulling op dit al lopende punt van onderwerp.

Ter info, er is weer lekkage in Intelland : https://nos.nl/artikel/2284630-nederlanders-vinden-beveiligingslekken-in-intel-chips.html

In die link staat.

De meeste beveiligingslekken bevinden zich in de programma's die op een computer draaien.

En ook.

Doordat het lek zich in de chip bevindt, werken bepaalde beveiligingsmechanismen niet meer. Als je op een phishing-linkje klikt, hoef je er normaliter niet bang voor te zijn dat die site directe toegang tot je processor heeft. Maar dankzij het nieuwe lek is dat wel mogelijk.

Bevestigd toch eigenlijk wel mijn inschatting dacht ik?

Vraag ik me af in hoeverre dit werkelijk bedreigend is voor ons. Want voor een DDOS moet toch echt eerst je pc besmet worden middels trojan/exploit. Daar zijn wij linuxgebruikers toch gewoon behoorlijk (zoniet volledig) van gevrijwaard?

Volgens mij lopen wij linuxgebruikers weinig tot geen risico. De bugs moeten benaderd kunnen worden voor ge(mis)bruik ervan (feit), wat middels trojan vrijwel onmogelijk is (objectief feit, bestaan nog steeds niet voor linux. Toch? ). En rechtstreeks vanaf internet ook niet omdat wij zo'n beetje allemaal achter firewalls hangen (objectief feit, wie dat nog niet heeft heeft ook zonder bug al een groot veiligheidsprobleem).
Kan anders liggen bij dual boot, maar dan is nog steeds linux de faciliterende OS niet.

In dit geval is Linux juist wéér de beschermende bariere tussen virus en hardware en hebben wij nergens last van.
Zolang je de linux-veiligheidsaspecten maar volgt dan, al is in het geval van onveilig gebruik van linux deze bug nu ook alweer gepatched.

En nog steeds typ ik ook: Of mis ik iets?

[Bloom]

Nee, je mist niks. Die kwetsbaarheden in Intel cpu's zijn alleen gevaarlijk voor Windows, niet voor Linux.

[partyrabbit]

Bedankt Bloom. Ik begon bijna aan mezelf te twijfelen. En als ik een verkeerde inschatting maak wil ik dat uiteraard graag weten.