mysticfoxde
Goto Top

Downfall - Supergau nun auch bei Intel

Moin Zusammen,

nach Microsoft folgt nun auch Intel mit einem Supergau. 😱

Zitat von NTV.

"Google entdeckt eine Schwachstelle in Intel-Prozessoren, die es Angreifern ermöglicht, Passwörter und andere persönliche Daten zu erbeuten. Betroffen sind fast alle Intel-Chips seit 2014. Antivirus-Programme sind chancenlos, Nutzer müssen auf Updates der Computer-Hersteller warten."

Quelle:
https://www.n-tv.de/technik/Schwere-Sicherheitsluecke-Downfall-in-Intel- ...

Weitere Quellen:
https://www.golem.de/news/downfall-neue-schwachstelle-in-intel-cpus-ermo ...
https://www.pcworld.com/article/2025589/downfall-serious-security-vulner ...

Gruss Alex

Content-Key: 8103057738

Url: https://administrator.de/contentid/8103057738

Printed on: April 21, 2024 at 01:04 o'clock

Member: transocean
transocean Aug 10, 2023 at 17:38:08 (UTC)
Goto Top
Ich sag Euch..., so schlecht war das nicht mit SAP (Schreiben auf Papier)

Grüße

Uwe
Member: MysticFoxDE
MysticFoxDE Aug 10, 2023 at 18:07:58 (UTC)
Goto Top
Moin Uwe,

Ich sag Euch..., so schlecht war das nicht mit SAP (Schreiben auf Papier)

effizient aber auch nicht.

Gruss Alex
Member: dertowa
dertowa Aug 10, 2023 at 18:35:58 (UTC)
Goto Top
Dann musst du aber leider auch Inception erwähnen. face-sad
Ich bin zwar eher der AMD-Freund, aber soll ja fair bleiben, sind alle nicht unschuldig. face-big-smile

Hier ein Überblick über Downfall und Inception bei CB: https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schw ...

Grüße
ToWa
Member: transocean
transocean Aug 10, 2023 at 18:53:05 (UTC)
Goto Top
Moin Alex,

Zitat von @MysticFoxDE:

Moin Uwe,

effizient aber auch nicht.

Gruss Alex

Auch wieder wahr.
Mitglied: 7907292512
7907292512 Aug 10, 2023 at 19:01:40 (UTC)
Goto Top
Internet-Stecker ziehen, Problem gel .......
Member: MysticFoxDE
MysticFoxDE Aug 10, 2023 at 19:20:20 (UTC)
Goto Top
Moin ToWa,

Hier ein Überblick über Downfall und Inception bei CB: https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schw ...

"Ein wirksamer Schutz kostet Performance"

🤢🤮
Diese ganzen Mitigations fressen ja jetzt schon stellenweise mehr Ressourcen als die Anwendungen und nun soll es noch mehr davon geben. 😭

Wenn das mit den Mitigations so weiter geht, dann sind wir bald was Anwendungendperformance angeht, wahrscheinlich wieder unter dem 386 Level. 😔

Gruss Alex
Member: dertowa
dertowa Aug 10, 2023 at 21:09:47 (UTC)
Goto Top
Zitat von @7907292512:

Internet-Stecker ziehen, Problem gel .......

Hat man bei Google doch versuchty bzw. das Pilotprojekt läuft noch.
Geht glaube ich an vielen Stellen, leider aber nicht überall.

Ich habe heute zumindest mal einen Meilenstein erreicht, die Produktionsanlagen laufen in einem separaten vLAN face-big-smile
Ist schon spannend, wenn es Hersteller von Anlagen gar nicht mehr gibt und andere mit XP auf den Kosten auch noch Online-Fernwartung machen wollen...
Mitglied: 6376382705
6376382705 Aug 11, 2023 updated at 04:50:45 (UTC)
Goto Top
Hi.

Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.

Wäre Zeit, dass sich hier mal was tut und die Architektur sterben lässt..
Tote Pferde reiten und sich wundern..

Gruß
Member: Th0mKa
Th0mKa Aug 11, 2023 at 05:32:05 (UTC)
Goto Top
Quote from @6376382705:
Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.

Wenn du meinst das ARM (oder generell andere Architekturen) nicht von solchen Problemen betroffen sind muß ich dich leider enttäuschen, es gibt auch hier wie immer keine einfachen Lösungen für komplizierte Probleme.

/Thomas
Member: clSchak
clSchak Aug 11, 2023 at 10:48:19 (UTC)
Goto Top
haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Member: Th0mKa
Th0mKa Aug 11, 2023 at 11:06:14 (UTC)
Goto Top
Quote from @clSchak:

haftet Intel dafür?

Wofür soll Intel denn haften?
Mitglied: 7907292512
7907292512 Aug 11, 2023 updated at 11:13:43 (UTC)
Goto Top
Zitat von @clSchak:

haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Haftet dein Fensterbauer für die zerbrochene Scheibe wenn jemand bei dir einbricht?

Das haben in den USA schon ein paar große Kanzleien mit viel Kohle versucht, damals bei Meltdown/Spectre kläglich gescheitert. Die haben sich da bestimmt hinreichend in ihrem Kleingedruckten gegen abgesichert.
Member: Trommel
Trommel Aug 11, 2023 updated at 11:55:58 (UTC)
Goto Top
Zitat von @7907292512:

Zitat von @clSchak:

haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Haftet dein Fensterbauer für die zerbrochene Scheibe wenn jemand bei dir einbricht?

Interessant. Aber ob man das so vergleichen kann? Ich weiß ja nicht.
Der Hersteller des Fensters hat es fehlerhaft konzipiert, dass dadurch ein Eindringen von außen (ohne Schaden) möglich ist.

Trommel
Member: dertowa
dertowa Aug 11, 2023 at 17:48:37 (UTC)
Goto Top
Hat er das?
Wie läuft das denn mit der ERP Software oder jeglichen Betriebssystemen?

Da wird was bekannt, dann wird nachgebessert.
Geht das nur auf Kosten von Funktion/Leistung, dann klagst du das beim Hersteller ein?

Es gibt doch letztlich kein Produkt was fehlerfrei ist.

Grüße
ToWa
Member: clSchak
clSchak Aug 12, 2023 at 07:22:51 (UTC)
Goto Top
nein, Fehlerfrei Produkte gibt es nicht. Aber es gibt Fehler die dann der Anwender selbst beheben kann. Solche Fehler von Intel sehe ich eher als Vergleich, wenn eine Elektriker, unbeabsichtigt ein Kabel mit einer offenen Ader irgendwo vergessen hat und ich als Kunde dann einen "gewischt" bekomme (nein nicht dabei den Löffel abgeben).

Lt. der o.g. Aussage bin ich dann selbst daran schuld, auch wenn das Kabel direkt unter dem Lichtschalter vom Wohnzimmer ist und das dann berühre. Ich finde es immer wieder sehr faszinierend, dass Software und Hardwarehersteller 0 (keine, nichts) an Verantwortung haben und für nichts (nahezu nichts) Haftung übernehmen müssen und dafür auch noch sehr viel Geld bekommen, nur im Worstcase übernehmen die vielleicht mal Verantwortung (siehe auch MasterKey und Cross-Tenant Access bei M$, ein gutes Beispiel eines Monopolisten mit "to big to fail").

Würden andere Bereiche wie Handwerker, Pflegekräfte usw. auf dem Niveau arbeiten, dann hätten wir sicherlich mehr Verletzte und Tote und das Argument "da gibt es so viele Variationen und Möglichkeiten!!!11, zieht nicht und ist nur eine Ausrede, funktioniert bei elektrischen Geräten auch Problemlos. CE Kennzeichnung, VDE usw. sind alles Normen und Vorschriften die Sicherstellen das die Geräte alle ein bestimmtes Sicherheitsniveau einhalten müssen, das sollte man auch für Hard- und Software definieren.

Ist meine persönliche Meinung face-smile, muss nicht richtig sein und will damit niemanden auf den "Schlips" treten.
Member: Th0mKa
Th0mKa Aug 12, 2023 at 07:43:05 (UTC)
Goto Top
Quote from @clSchak:

nein, Fehlerfrei Produkte gibt es nicht. Aber es gibt Fehler die dann der Anwender selbst beheben kann.

Diesen Fehler kann (und muß) der Anwender doch selbst beheben? Intel stellt neue Firmware für die OEMs bereit und die verteilen sie dann, angepaßt an ihre Produkte, an den Endkunden der sie installieren muß.

/Thomas
Member: MysticFoxDE
MysticFoxDE Aug 12, 2023 at 09:35:47 (UTC)
Goto Top
Moin Thomas,

Diesen Fehler kann (und muß) der Anwender doch selbst beheben? Intel stellt neue Firmware für die OEMs bereit und die verteilen sie dann, angepaßt an ihre Produkte, an den Endkunden der sie installieren muß.

und genau hier liegt meiner Ansicht nach auch gleich das grösste Problem.
Wenn dieser Fehler von Intel gefixt wird, dann wahrscheinlich nur auf Plattformen, die laut dem Hersteller stand heute auch noch Supportet sind. Das würde jedoch den wenigsten etwas bringen, weil dieser "BUG", überwiegend nicht mehr supportete Komponenten betrifft. 😭

Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔

Sprich bis wann und wie flächendeckend der FIX überhaupt bereitgestellt wird, steht leider absolut in den Sternen.

Für die Beseitigung, vor allem derartiger Gefahren, ist meiner Ansicht nach der Hersteller verantwortlich und nicht der Endanwender. Siehe Verpflichtung zum Produktrückruf aufgrund der Produkthaftung.

https://link.springer.com/chapter/10.1007/978-3-658-30421-8_26#:~:text=D ....

"Hersteller von Produkten sind dazu verpflichtet, ihre Produkte, auch nachdem sie auf dem Markt in Umlauf gebracht wurden, weiterhin zu beobachten. Diese Verpflichtung ist die sogenannte Produktbeobachtungspflicht. Sollte sich nach dem Inverkehrbringen des Produkts eine Fehlerhaftigkeit zeigen, ergeben sich für den Hersteller verschiedene Reaktionspflichten, wie zum Beispiel zur Produktionsumstellung oder eine Warnpflicht. Wird die Gesundheit oder die Sicherheit des Verwenders des Produkts oder eines Dritten durch das Produkt gefährdet, besteht für den Hersteller eine Verpflichtung zum Rückruf der betroffenen Produkte"

Gruss Alex
Member: Th0mKa
Th0mKa Aug 12, 2023 at 09:49:32 (UTC)
Goto Top
Quote from @MysticFoxDE:
Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔

Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest. Du mußt dich also an deinen Verkäufer wenden, der wendet sich an seinen Distributor, der wendet sich an den OEM und der wendet sich an Intel. Für Produkte die bereits nicht mehr verkauft werden gab es AFAIK eine Frist wie lange diese bei kritischen Fehlern trotzdem noch supportet werden müssen, ich meine das waren mal 5 Jahre. Aber hier hilft verbindlich wohl nur der Anwalt des geringsten Misstrauens.

/Thomas
Member: dertowa
dertowa Aug 12, 2023 at 14:20:40 (UTC)
Goto Top
Zitat von @Th0mKa:

Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest.

Jap, kurz und knapp ist man als Endanwender immer der Dumme. face-big-smile
Aber Hand aufs Herz, wenn ihr Systeme verkauft, gebt ihr dann den Käufern immer einen Hinweis, wenn ein neues BIOS zur Verfügung steht?
Da kommen entsprechend auch immer Bugfixes oder Securityupdates mit rein, blöd nur wenn dabei dann die Defaults im BIOS geladen werden und der Endkunde gar nicht weiß wie er alles wieder ideal einstellt...

Daher läuft doch sowieso vieles unter "never touch a running system".

Grüße
ToWa
Member: MysticFoxDE
MysticFoxDE Aug 12, 2023 updated at 17:07:46 (UTC)
Goto Top
Moin Thomas,

Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest. Du mußt dich also an deinen Verkäufer wenden, der wendet sich an seinen Distributor, der wendet sich an den OEM und der wendet sich an Intel. Für Produkte die bereits nicht mehr verkauft werden gab es AFAIK eine Frist wie lange diese bei kritischen Fehlern trotzdem noch supportet werden müssen, ich meine das waren mal 5 Jahre. Aber hier hilft verbindlich wohl nur der Anwalt des geringsten Misstrauens.

Ich habe soeben die folgende Interessante Info gefunden ...

https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Vertragsrecht/p ...
ihk prudukthaftung ausschluss 00

... sprich, damit sind meiner Ansicht nach Intel, Distri und auch der OEM, in diesem Fall aus der Produkthaftung auch wieder raus. 😔

Habe ich übrigens bis vor ein paar Minuten so auch nicht gewusst. 😬

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Aug 12, 2023 at 16:26:37 (UTC)
Goto Top
Moin ToWa,

Aber Hand aufs Herz, wenn ihr Systeme verkauft, gebt ihr dann den Käufern immer einen Hinweis, wenn ein neues BIOS zur Verfügung steht?

bei den Servern ja und wir machen bei jedem Kunden im Abstand von 6-12 Monaten auch eine grössere Updaterunde,
bei der auf jeden Fall die Firmware der SAN's, Server und auch Coreswitche, auf den neusten Stand gebracht wird. 😁

Bei Clients sieht die Sache hingegen meistens anders aus. Hier wird das BIOS nur dann angefasst, wenn der Client irgend ein grösseres Problem hat. Finde ich zwar auch nicht prickelnd, jedoch fehlen den meisten unserer Kunden, definitiv die entsprechenden Kapazitäten, um zyklisch auch noch bei jedem Client das BIOS zu aktualisieren. 😔

Gruss Alex
Member: clSchak
clSchak Aug 12, 2023 at 20:52:08 (UTC)
Goto Top
@MysticFoxDE

der Fehler war bereits bei Auslieferung bekannt und hätte durch gescheite Produkttests gefunden werden müssen, wenn die eigenen Leute nicht wissen, was deren "Code" macht, hat die Führungsebene falsche Entscheidungen getroffen und inkompetente Mitarbeiter eingestellt oder deren Testmethoden sind nicht auf dem Stand der Technik, was wiederum Fahrlässigkeit bedeuten würde - gilt auch bei nicht durchgeführten Tests, es reicht halt nicht immer irgendwelche Test-Skripte laufen zu lassen...

Wäre das gleiche, wenn wir bei unseren Anlagen z.B. die Not-Aus Kette nur einmal oberflächlich ansehen und schauen ob alle LEDs leuchten, aber testen: ne brauchen wir nicht, sagen wir einfach "bedauerlicher Hard- oder Softwarefehler, da ist der Kunde halt selbst schuld wenn die Anlage abfackelt"
Member: MysticFoxDE
MysticFoxDE Aug 13, 2023 at 07:08:07 (UTC)
Goto Top
Moin @clSchak,

der Fehler war bereits bei Auslieferung bekannt und hätte durch gescheite Produkttests gefunden werden müssen

wenn der Fehler bereits bei Auslieferung bekannt gewesen wäre, hatte dieser auch nicht mehr durch irgendwelche Tests gefunden werden müssen. 😉
Und nein der Fehler war bei Auslieferung nicht bekannt, da Moghimi die Angrifstechnik erst im Jahr 2022 entwickelt hat.

wenn die eigenen Leute nicht wissen, was deren "Code" macht, hat die Führungsebene falsche Entscheidungen getroffen und inkompetente Mitarbeiter eingestellt oder deren Testmethoden sind nicht auf dem Stand der Technik, was wiederum Fahrlässigkeit bedeuten würde

Bevor du das nächste Mal solche Anschuldigungen äusserst, solltest du dir selbst mal die folgende Frage beantworten. 😉

"Weisst ich den immer, welche späteren Nebenwirkungen, jede meiner jetzigen Handlungen bewirken?"

Beste Grüsse aus BaWü
Alex