Meltdown und Spectre

[PuK]

Das  ist ja mal ein Kracher von einer Sicherheitslücke. Wie lange die NSA wohl schon davon weiß?

Das sind immer die Sachen, wo ich nicht mehr folgen kann, wenn es um Prozessor-Architektur geht. Out-of-order-Architektur, spekulatives Laden. Das kommt mir immer eher wie Voodoo vor, aber ich bin ja auch kein Prozessorentwickler bei Intel. Offenbar ist es aber auch Voodoo, das die dort selbst nicht beherrschen.

Irgendwie ist das schon ein blödes Gefühl, mit einem komplett offenen Rechner unterwegs zu sein. Für Linuxe der Ubuntu-Linie (also auch z.B. Mint) sollte dieses angekündigte Update  einen Kernel-Fix bringen. Ich warte nämlich schon die ganze Zeit drauf, jetzt hab ich mal nachgeguckt. 9. Januar...

Ubuntu users of the 64-bit x86 architecture (aka, amd64) can expect updated kernels by the original January 9, 2018 coordinated release date, and sooner if possible. 

Updates will be available for:

Ubuntu 17.10 (Artful) — Linux 4.13 HWE
Ubuntu 16.04 LTS (Xenial) — Linux 4.4 (and 4.4 HWE)
Ubuntu 14.04 LTS (Trusty) — Linux 3.13
Ubuntu 12.04 ESM** (Precise) — Linux 3.2
Note that an Ubuntu Advantage license is required for the 12.04 ESM kernel update, as Ubuntu 12.04 LTS is past its end-of-life

Ob damit die Probleme aber dann beseitigt sind, wird man erst noch sehen. Denn das repariert ja nicht den fehldesignten Prozessor.

(._.)

[Martin]

Das  ist ja mal ein Kracher von einer Sicherheitslücke. Wie lange die NSA wohl schon davon weiß?

Das sind immer die Sachen, wo ich nicht mehr folgen kann, wenn es um Prozessor-Architektur geht. Out-of-order-Architektur, spekulatives Laden. Das kommt mir immer eher wie Voodoo vor, aber ich bin ja auch kein Prozessorentwickler bei Intel. Offenbar ist es aber auch Voodoo, das die dort selbst nicht beherrschen.

Diese Lücke ist auch mit Assembler-Kenntnissen nicht einfach zu verstehen, das geht tiefer, so richtig in die Architektur. Soweit ich es verstanden habe, wird durch eine indirekte Adressierung auf eine illegale Adresse eine Exception erzeugt und die Zeit bis zum Auslösen derselbigen genutzt, den Cache zu manipulieren. Für Windows (10) gibt es bereits auch einen Patch, KB4056892.

Martin

[TomPaul]

Diese Lücke ist auch mit Assembler-Kenntnissen nicht einfach zu verstehen, das geht tiefer, so richtig in die Architektur. Soweit ich es verstanden habe, wird durch eine indirekte Adressierung auf eine illegale Adresse eine Exception erzeugt und die Zeit bis zum Auslösen derselbigen genutzt, den Cache zu manipulieren. Für Windows (10) gibt es bereits auch einen Patch, KB4056892.

Martin

Das Patch KB4056892 wird aber bisher nicht allen Windows10 Benutzern angeboten.
Einige Antiviren-Programme müssen noch angespasst werden, bevor das Patch installiert werden kann.
Borncity rät von eine manuellen Installation ab. Man sollte warten bis Microsoft das Patch bereitstellt. So sollte es mit dem Antivirusprogramm keine Probleme geben. Sicherheitshalber sollte man vorher eine Sicherung durchführen.
Hier ist eine Liste dazu. 
[/url]
 
 [url=https://www.borncity.com/blog/2018/01/05/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1/]Artikel von Borncity 

[Martin]

Das Patch KB4056892 wird aber bisher nicht allen Windows10 Benutzern angeboten.
Einige Antiviren-Programme müssen noch angespasst werden, bevor das Patch installiert werden kann.
Borncity rät von eine manuellen Installation ab. Man sollte warten bis Microsoft das Patch bereitstellt. So sollte es mit dem Antivirusprogramm keine Probleme geben. Sicherheitshalber sollte man vorher eine Sicherung durchführen.
Hier ist eine Liste dazu. 
[/url]
 
 [url=https://www.borncity.com/blog/2018/01/05/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1/]Artikel von Borncity 

Wer den völlig ausreichenden Virenschutz „Windows Defender“ nutzt, der bei Windows kostenlos an Bord ist, kann den Patch sofort installieren. 

Martin

[TomPaul]

Wer den völlig ausreichenden Virenschutz „Windows Defender“ nutzt, der bei Windows kostenlos an Bord ist, kann den Patch sofort installieren. 

Martin

Danke für den Hinweis. Meine Strategie ist aber eine andere:

Ob Windows Defender völlig ausreichend ist, kann ich auf Grund mangelndes Insiderwissen nicht beurteilen. Wichtiger als das Antivirenprogramm ist wohl auf Verhalten im Internet. Auch muss man sich kümmern, dass immer alle Programm aktuell sind und eine externe Sicherung regelmäßg gemacht werden.
Bei meinen neuen PC (Dell XPS 8920) war McAfee ohne Zusatzkosten schon auf dem Rechner. Ich möchte auf keinen Fall an der Installation von McAfee herumschrauben. Auch hat Dell AMD Prozessoren. Die sollen ja auch betroffen sein. Auch für diese Prozessoren wird es zeitnah eine Lösung geben. Erst einmal muss McAfee die Kompatibilität zum Patch herstellen.
Auch werde ich als PC-Benutzer mit durchschnittlichen PC-Kenntnissen keine Updates manuell einspielen.

[forest]

Danke für den Hinweis. Meine Strategie ist aber eine andere:

Ob Windows Defender völlig ausreichend ist, kann ich auf Grund mangelndes Insiderwissen nicht beurteilen. Wichtiger als das Antivirenprogramm ist wohl auf Verhalten im Internet. Auch muss man sich kümmern, dass immer alle Programm aktuell sind und eine externe Sicherung regelmäßg gemacht werden.
Bei meinen neuen PC (Dell XPS 8920) war McAfee ohne Zusatzkosten schon auf dem Rechner. Ich möchte auf keinen Fall an der Installation von McAfee herumschrauben. Auch hat Dell AMD Prozessoren. Die sollen ja auch betroffen sein. Auch für diese Prozessoren wird es zeitnah eine Lösung geben. Erst einmal muss McAfee die Kompatibilität zum Patch herstellen.
Auch werde ich als PC-Benutzer mit durchschnittlichen PC-Kenntnissen keine Updates manuell einspielen.

Den McAfee hab ich rausgeschmissen (geht ganz einfach und ohne Nebenwirkungen), weil der PC damit immer langsamer wurde. Seit Kaspersky läuft der Laden. Wenn Putin mitliest, soll er.

---

Halt! Halt! Es war nicht der McAfee, sondern die Avira. Macht aber nix; einen McAfee gibts hier aber auch nicht.
Beim Kaspersky im www gucken; kostet ein Jahr Grundausstattung erinnerlich knapp 40 €, die Verlängerung jährlich unter 10 €.

[PuK]

Beim Kaspersky im www gucken; kostet ein Jahr Grundausstattung erinnerlich knapp 40 €, die Verlängerung jährlich unter 10 €.

Gibt's von Kaspersky nicht was Kostenloses ? Es ist nämlich ein verbreiteter Irrtum, man hätte mit den Kaufversionen einen besseren Schutz. Meist sind sogar die Signaturen der kostenlosen Versionen aktueller. (Grund: Man will vermeiden, dass "produktive" Installationen in Firmen von Signaturupdates zerschossen werden. Deshalb werden frische Signaturen oft erst bei den Free-Usern getestet, bevor sie in die Bezahlversion kommen. Nur leider finden halt die meisten Infektionen gerade in dem Zeitraum statt, wenn es noch keine Signaturen gibt oder sie noch nicht jeder hat.)

Das andere Zeugs, was sie einem bei den Kaufversionen aufnötigen braucht man eh nicht. Eine Softwarefirewall, die auf dem zu schützenden System läuft, ist konzeptionell eh ein Schuss ins Knie und man braucht auch keine, wenn man hinter einen Router hängt. Oder Avast z.B. installiert ein Root-Zertifikat, um dann in sämtlichen HTTPS-Verbindungen Man-in-the-Middle zu spielen; das reißt so viele Sicherheitslöcher auf, dass es schon völlig wurscht ist, welche sie auf diese Weise schließen wollten. 

Grundsätzlich wäre ich da eher bei Martin und habe auf meinen Windosen auch nur den Defender. Das Problem bei Antivirensoftware ist halt auch, dass sie zwangsläufig sehr systemnah läuft. Und in den Innereien von Windows, von denen vieles nicht dokumentiert ist, kennt sich eben nur Microsoft so richtig gut aus. Das Problem beim Defender war nur immer, dass er bei der Erkennung regelmäßig mittelmäßig getestet wurde. Das ist wohl besser geworden , aber immer noch nicht so, wie es sein sollte.

[forest]

Gibt's von Kaspersky nicht was Kostenloses ?

Hättste auch gleich sagen können. Andere verlangen 30 € und mehr (idealo). Ich sehe nur, daß der PC damit gut läuft und sich nichts einfängt. Toi, toi, toi.
Zum Rest: Bahnhof, Bahnhof, Bahnhof

[PuK]

Zum Rest: Bahnhof, Bahnhof, Bahnhof

So schwierig ist das nicht. 

So etwas  möchte man natürlich vermeiden als Anti-Viren-Hersteller. Und wenn es vorkommt, dann möchte man es auf den Spielkisten von irgendwelchen Jugendlichen haben, und nicht auf gewerblichen Rechnern. (Ist ja auch eine Haftungsfrage. Die gewerblichen Nutzer haben bezahlt für ihr Programm, und sie haben möglicherweise Verdienstausfälle. Da drohen also Regressansprüche, wenn die Software den Rechner zerlegt. Von den Free-Usern ist da wenig bis nichts zu befürchten.) Wer also seinen Rechner geschäftlich betreibt, wird meistens die Bezahlversion haben, die Spiel-Kiddies haben das kostenlose. Also bekommen die Bezahlversionen die neuen Signaturen mit Verzögerung; erst wenn sich auf den Kiddie-Rechnern herausgestelt hat, dass das Signaturupdate da draußen nicht die Betriebssysteme killt. Und das ist halt eine Zeitverzögerung, die entscheidend über Infektion oder Nichtinfektion sein kann. 

Und man muss eben noch zusätzlich bedenken, dass die Infektionsrate maximal ist, wenn ein "Virus" (Wurm, Rootkit...) ganz neu ist. Irgendwann, mit neuen Betriebssystemversionen, und wenn sämtliche Antivirenprogramme eine Signatur haben, strebt die Rate gegen Null. Aber ganz am Anfang sind sie am gefährlichsten, wenn sie noch 0-Days heißen.

Das alles im Zusammenhang bedeutet, dass es möglicherweise sicherer ist, mit einer kostenlosen Version zu arbeiten.  

Man sollte aber Antivirenprogramme grundsätzlich nicht überschätzen. Es kann ein Bestandteil eines Sicherheitskonzepts sein, aber man erhält nicht durch die Installation solcher Software einen sicheren Rechner.

Bei diesen Zusatzfeatures in den Bezahlversionen, von denen ich schrieb, gibt es je nach Hersteller verschiedene Optionen. Meistens eben eine Firewall, wahrscheinlich weil das Wort so schön dramatisch klingt. Das ist aber rausgeschmissenes Geld, weil eine Firewall nicht auf dem Rechner, den sie schützen soll, laufen darf. Wenn das Hand und Fuß haben soll, brauche ich einen zweiten Rechner, der sich die Pakete ansieht, die der zu schützende Rechner anfragt und bekommt. Ich muss also meinen Datenverkehr über einen zweiten Rechner leiten. 

Und die allermeisten Leute haben mittlerweile einen Router. Das ist so ein separater Rechner mit einer Firewall, dieses Fritz!OS auf den Fritz!Boxen z.B. ist ein Linux, und wenn man nicht mutwillig Ports aufreißt, dann sind die auch zu. Es funktioniert also prinzipbedingt nicht richtig als Zugabe zum Antivirenprogramm, und man braucht es eh nicht, weil heute praktisch niemand mehr ein Modem direkt an einen Splitter hängt ohne einen Router.

Und dann noch so Schnickschnack wie dass sich das Antivirenprogramm in den Browser einklinken kann und dort direkt überwachen, was der Browser lädt. Mittlerweile ist es aber so, dass sehr viele Webseiten HTTPS verwenden, auch dieses Forum hier. Das grüne Schloss in der Adressleiste. Da handelt also der Browser mit dem Server im Internet eine Verschlüsselung aus, und dann ist die Verbindung sicher. Und dann kommt Avast daher, installiert mir ein Root-Zertifikat in den Browser, mit dem es den ganzen Verkehr entschlüsselt und sich ansieht. Avast gibt sich mit diesem Zertifikat gegenüber dem Server als mein Browser aus und gegenüber meinem Browser als Server. Deshalb "Man-in-the-Middle". Damit ist HTTPS zwar noch nicht unmittelbar ausgehebelt (sofern ich Avast als vertrauenswürdig einstufe), denn was Avast an Browser und Server weitergibt, ist wieder verschlüsselt. Auch mit diesem Root-Zertikat. Aber prinzipiell ist HTTPS jetzt unsicher und eigentlich nicht mehr vertrauenswürdig, weil jetzt plötzlich Daten "unterwegs" unverschlüsselt vorliegen, wo sie eigentlich verschlüsselt sein müssten. Das betrifft übrigens nicht nur Avast, sondern auch Eset NOD 32 (besonders schlimm), AVG, G Data, Kaspersky, Bitdefender und BullGuard .

[forest]

So schwierig ist das nicht.

Du meinst das?

   
Macht das der firefox oder der Russe? Der zeigt mir bei einer gesicherten Verbindung wie z.B. bei einer Bank mit Höflichkeitsknicks in einem zusätzlichen Fenster eine gesicherte Verbindung an. Kann man glauben oder nicht, aber er bemüht sich sehr und ist  flott dabei.

Dreikönig* ist und schönes Wetter.
* Alles Gute zum Namenstag des Forums  und Gutes Neues nachträglich @ all!