Jump to content

Nuwien

DRUCKWELLE
  • Gesamte Inhalte

    5.698
  • Benutzer seit

  • Letzter Besuch

2 Benutzer folgen diesem Benutzer

Über Nuwien

  • Geburtstag 01.08.1981

Profilfelder

  • Wohnort
    Zürich
  • Land
    anderes
  1. Neues bei PlanetSide

    Jo, morgen bzw heute Nacht wissen wir wahrscheinlich mehr.
  2. Ich will hier kurz einhaken: es lohnt sich ggf sein BIOS demnächst zu aktualisieren da Intel neuen Microcode für alle Intel Prozessoren ab "Haswell" bereitstellen will. Diese dürften vor allem dazu dienen den zu Performance-Impact reduzieren welchen die OS-Updates zur Folge haben. D.h. langsamer wirds insgesamt dennoch, die Frage ist wie viel :-) ---- "Kleines" Update für die Laien und die wo kein Englisch können: 1) Alle Prozessoren welche "speculative execution" nutzen sind für "Spectre" anfällig. D.h. alle CPUs von Intel, AMD, Qualcom, ARM. D.h. dein PC, dein Laptop, dein Telefon (egal ob Apple oder Android), dein Tablet, dein Smart-TV. CPUs dieser drei Hersteller stecken heute so ziemlich überall drin (speziell ARM und Qualcom). Damit sind mal grob 80% aller in Umlauf befindlichen Prozessoren prinzipell verwundbar. 2) Nur Intel Prozessoren sind zusätzlich zu Spectre noch für "Meltdown" anfällig. 3) Spectre führt dazu das in einem Prozess eingeschleuster Code, den gesamten Speicherbereich des gleichen Prozesses lesen kann. Das ganze ist mal als konkretes Beispiel zu verdeutlichen: du nutzt den Passwort-Safe deines Firefox-Browsers und willst dich irgendwo einloggen (z.b. Mailprovider). Du gehst auf die Seite und dein Browser füllt nun brav automatisch Usernamen und Password in die entsprechenden Felder ein. Irgend jemand Böses hat nun wiedermal (ist schon mehrfach vorgekommen) einen Werbetreiber infiziert und du bekommst zufällig bei dem Mailprovider (z.b. gmx) eine Werbung dieses Infizierten Werbetreibers eingeblendet. Dies geschieht in den meissten Fällen über "Javascript". D.h. beim Ansurfen der Seite läd dein Firefox den Javascript-Code runter und führt diesen danach lokal aus. Dieser Code nutzt nun die Spectre-Schwachstelle um das Passwort samt Benutzernamen auszulesen und dann automatisch weiterzuversenden. Schwupps is dein Account kompromitiert ohne das du dich irgendwie selbst dumm verhalten hättest. Wichtig: das ist kein unrealistisches Szenario. Die Forscher welche die Schwachstelle entdeckt haben, haben ebenfalls einen Proof-Of-Concept mitgeliefert welcher auf Java-Script basiert. So quasi jede Website nutzt heute Java-Script und die meissten Nutzer haben kein AdBlock/JavaScript-Blocker laufen. Hier das (englische) Zitat aus der Original arbeit der Forscher (wurde schonmal gelinkt, aber nochmal zur Sicherheit: https://spectreattack.com/spectre.pdf, Seite 2, Sektion 1.1) Attacks using JavaScript. "In addition to violating process isolation boundaries using native code, Spectre attacks can also be used to violate browser sandboxing, by mounting them via portable JavaScript code. We wrote a JavaScript program that successfully reads data from the address space of the browser process running it." Quasi jede Seite bindet irgendwelchen Java-Script-Code von anderen Seiten ein. Selbst das Druckwelle-Forum. (cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.0.3/cookieconsent.min.js, sowie www.google-analytics.com/analytics.js). Das ist eine reale Gefahr und man muss davon ausgehen das aktuell Personen versuchen diesen Angriffs-Vektor aktiv auszunutzen solange das ganze noch heiss ist. 4) Meltdown ist quasi wie Spectre, aber mit dem kleinen aber sehr gravierenden unterschied das nicht nur der Speicher des aktuellen Prozesses offenliegt (z.b. des Browsers), sondern der komplette Hauptspeicher! Also auch der von anderen Prozessen wie dem Kernel. Dies ist besonders bei Systemen katastrophal welche von mehreren Personen/Parteien gleichzeitig genutzt werden können. Dies Betrifft vor allem auch Clound-Computing-Anbieter wie GoogleCloud, AmazonWebServices und MicrosoftAzure weil diese schwachstelle auch die Grenzen von "Virtualisierung" sprengt, d.h. mehrere Betriebsysteme laufen parallel und komplett unabhängig auf dem gleichen physikalischen Server. Normalerweise fein säuberlich durch den Hypervisor voneinander getrennt... Durch "Meltdown" lässt sich diese Trennung aushebeln und ein Gast-System kann die Daten eines anderen Gastsystems auslesen. Bei heise.de stand in einem Bericht das Forscher mittels Meltdown mit 500kb/Sekunde entsprechende Daten auslesen konnten. Hört sich nicht viel an, aber die Lücke besteht schon seit Jahren. 5) Auswirkungen: Mit den neuen Patches ist Meltdown zu fixxen, aber niemand weiss welche Daten über Meltdown bereits abgezweigt wurden. In der Vergangenheit sind öftermal z.b. Bilder aus der Apple-Cloud einiger Promis veröffentlicht worden. Immer hiess es "hätten die mal besser auf ihre Passwörter aufgepasst". Apple-iCloud lief (und läuft) zum grossen Teilen bei Amazon Web Services, wer weiss ob da nicht einer mit Meltdown rumgeschnüffelt hat? "speculative execution" kommt seit ca 1995 zum Einsatz, d.h. die Lücke bestand prinzipell schon seit über 20 Jahren. 6) Die grossen Verlierer sind: An erster Stelle wir Endanwender. Uns bleibt nichts anderes übrig als alle notwendigen Patches einzuspielen sobald sie kommen. Meltdown ist damit dann Geschichte aber Spectre wird uns aber noch lange erhalten bleiben weil es hier eben keinen "einfachen" fix gibt. D.h. z.b. im Bereich Passwörter und Authentifizierung kann ich nur jedem Raten bei Möglichkeit Zwei-Faktor-Authentifizierung zu nutzen wo es geht. An zweiter Stelle verlieren die grossen Cloud-Anbieter und die Firmen welche die Cloud zur Bereitstellung ihrer Services nutzen. Das ganze ist erstmal ein riesen Image-Schaden. Alle grossen Cloud-Anbieter tun sehr viel dafür um bei den "grossen Firmen" endlich als gute und vor allem sichere Lösung akzeptiert zu werden. Viele Firmen haben sich in den Vergangenen 2-3 Jahren dazu durchgerungen dem Kostendruck nachzugeben und "Cloud-Produkte" in ihrer IT-Infrastruktur zuzulassen und haben in Folge ihren Rechenzentrumsbetrieb reduziert. Deren Security-Teams werden nun wieder mit dem Finger wedeln und sagen "jaja wir haben doch immer gesagt das die Cloud doof ist". 7) die kleinen Gewinner sind AMD, weil sie nicht so doof waren wie Intel. Man muss hier klar sagen: Intel war hier einfach schlampig oder hat absichtlich Sicherheit für geringere Kosten/bessere Performance (ergo für mehr Profit) geopfert. Ist nicht ganz so dreist wie VW aber naja. Firmen welche nicht alles in die Cloud verlagert haben sondern ein eigenes Rechenzentrum betreiben sind relativ wenig betroffen und können sich zumindest Teilweise entspannen. Wer seinen Systemen vertraut sicher sein kann das auf seinen Servern nichts läuft was nicht soll kann (da wo es wegen der Performance) besonder wehtut auf die ganzen Fixes verzichten (siehe https://access.redhat.com/articles/3311301). Mein Arbeitsalltag war die letzte Woche mehr als stressfrei, die Laptops unserer Aussendienst-MA werden mit Updates versorgt (nicht mein Problem, macht anderes Team) und unsere Server stehen sicher im eigenen RZ. Die externen Systeme wurden gepatched, bei den rein internen Systeme (z.b. Datenbanken) wird erstmal ausgiebig getestet (siehe wie stark denn die Performance runtergeht). Danach wird entschieden wie wir weiter machen. Zum Abschluss noch den dazugehörigen XKCD: https://xkcd.com/1938/
  3. Danke Y5s. S24-Witze kann es nie genug geben. Genau wie Witze über BER
  4. Microtransactions

    https://m.heise.de/newsticker/meldung/Machen-Loot-boxes-Computerspiele-zu-Gluecksspielen-3907343.html Scheint nun also auch in *.de angekommen zu sein
  5. Hmmmm. Darf man jetzt eigentlich hier noch nach Titten rufen?
  6. Microtransactions

    Microtransactions sind ja nicht das Problem, skinner-Boxen und gambling sind das Problem. Zumindest für die gambling-Problematik braucht es auch gar keine neuen Regeln/Gesetze ist muss nur einmal eine Präzedenz-Entscheidung her das das was da teilweise gemacht ist halt ganz klar Glücksspiel ist. Schwuppdiwupp ändert sich die Sache wenn klar wäre das bestimme spiele in der Art und weise dann (je nach Land) ab 18/21 oder gar illegal wären. Aber das Internet ist ja 'neuland' daher fliegen die noch größtenteils unterm Radar. Bis jetzt muss man da sagen, weil battlefront hat da echt Staub aufgewirbelt und das Thema an Menschen rangetragen welche durch und durch konservativ sind. Glücksspiel ist schon seit Jahren höchst reguliert, eben weil es so gefährlich ist. Jetzt können die ganzen verkappten Jugendschützer mal zeigen ob sie es ernst meinen.
  7. im bump thread ist das "problem" das du schilderst kein problem.
  8. "Seht meine Werke, Mächt'ge, und erbebt!'

    Bei mir genau das Gegenteil. Die 3 Wochen destiny habens bei mir versaut...die Waffen in D2 haben zu wenig recoil.
  9. Mein Stromverbrauch heute vom mobile: 77% tapatalk. Wer hat mehr?

Copyright © 2003 - 2017 DRUCKWELLE e.V. - Impressum

Alle Rechte vorbehalten. Obwohl die Administratoren und Moderatoren von DRUCKWELLE e.V. versuchen, alle unerwünschten Beiträge von diesem Forum fernzuhalten, ist es für uns unmöglich, alle Beiträge zu überprüfen. Alle Beiträge drücken die Ansichten des Autors aus und DRUCKWELLE e.V. sowie Invision Power Inc (Entwickler von IPS Community Suite) können nicht für den Inhalt jedes Beitrags verantwortlich gemacht werden. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.
×