Gedeeltelijk mee eens. Het gaat hier wel om een lek in de hardware en dat los je niet snel even op. De huidige patches zijn toch een soort lapmiddel. Verder weet je ook niet of het lek al misbruikt is en bij iets als WannaCry is dat meteen zichtbaar.

Het probleem is dat het NU misschien geen gevaar is, maar deskundigen waarschuwen dat bij een verder onderzoek door verschillende personen misschien meer mogelijkheden worden gevonden om een systeem te compromitteren. Als dit in verkeerde handen komt, kunnen de gevolgen groot zijn. Daarom is altijd patchen aan te raden. Het is totaal niet van belang of het een hype is of niet: een systeem moet niet kwetsbaar blijven.

Meer bijgewerkte info is hier te lezen:
https://secure.dshield.org/forums/diary/Meltdown+and+Spectre+clearing+up+the+confusion/23197/

Voor Windows gebruikers: bekijk even deze sektie van het OS. Naast de patch moet er ook een update voor het BIOS/UEFI worden uitgevoerd, anders is de huidige patch nutteloos. Zie daarvoor bovenstaande link "Update 1".

Mee eens

Echter, deze kwetsbaarheden zijn gevaarlijk voor alle Cloud- en hosted omgevingen omdat in principe iedereen daar hun eigen code op kan laten draaien. Ik heb in het verleden al eens meegemaakt dat ik een simpele website had op een Shared Host en deze site op een gegeven moment steeds opnieuw werd geïnfecteerd. Zelfs indien ik er een blanco webpagina op plaatste bleek dat deze binnen de kortste keren met malware werd besmet! En na enig onderzoek bleek dat ik mijn host dus deelde met een honderdtal andere sites die ook allemaal steeds besmet werden. En een van die sites had dus een beveiligingslek waarmee de hackers rechtstreeks de gehele server konden besmetten! Mogelijk dat de hackers zelf een site erop hadden staan en dus helemaal geen hacks hoefden uit te voeren!
In mijn onderzoek naar hoe deze hosted server mijn site steeds kon besmetten ben ik eens gaan uitzoeken wat voor code ik zelf kon uitvoeren op die server. En dat bleek schokkend veel te zijn! Ik kon via Active Directory (want een Windows host) een overzicht krijgen van alle andere gebruikersnamen op die host en ik kon zien wat de exacte locatie was van mijn eigen site. En ik kon via simpele code gewoon de gehele host doorzoeken op "interessante" bestanden, hoewel niet alles toegankelijk was! Maar goed, dat was in 2005 en tegenwoordig is de beveiliging een stuk beter. Hoop ik.
Desondanks is een cloud omgeving erg eenvoudig te besmetten met malware simpelweg door er een account op te openen en dan je malware gewoon te gaan uploaden naar de host. Nog even zorgen dat deze wordt uitgevoerd en klaar! In windows Azure, bijvoorbeeld, kun je gewoon een virtuele machine aanmaken en daar dus je Spectre of Meltdown op uitvoeren en voor je het weet heb je Azure gehackt! En daar kun je niets tegen doen want de hacker is gewoon een administrator binnen die virtuele machine!
Maar goed, van dit risico ben ik mij nu al ruim 12 jaar bewust...

Thanks voor het artikel redactie het is een gezond tegengeluid in al dat hyping gedoe.

Eens Wim wat jij aanhaalt zijn slecht geconfigureerde serveromgevingen. Het staat in de cloud een ander doet het, dus het zal we veilig zijn. Zo'n aanname is de ergste ICT fout van de afgelopen 50 jaar die telkens weer terug komt.
Weet je ik zie hoe serveromgeving met de meest gevoelige zaken ingericht en beheerd worden (sorry Linux). Dat is echt zorgelijk hoe er met het kostenargument de weest wonderlijke situaties goedgepraat wordt. Nee, het was in 2005 in jouw geval foute boel maar denk maar niet dat het nu veel anders is. Mogelijk niet exact de zelfde basale fouten maar er zijn er nog genoeg.

Het zijn meestal de - doorsnee zakelijke of privégebruikers - die dus gebruik maken van die cloud of gevirtualiseerde omgevingen en hun kostbare gegevens daar in hebben staan.
Dus je mag je ook zorgen maken over gebruikte clouds of gevirtualiseerde omgevingen van ánderen die jíj gebruikt
om bijv. jouw data of wachtwoorden daarin te zetten.

"Een gebruiker moet iets doen om een nieuw programma te laten draaien, en het moet met voldoende rechten draaien om misbruik van de kwetsbaarheid te maken. Daarom is deze dreiging niet ernstig voor de doorsnee gebruiker en een veel groter risico voor cloudproviders en gevirtualiseerde omgevingen"

Dit is juist de reden om het WEL serieus te nemen, bij zo goed als alle malware/ransomware aanvallen (m.u.v. WanaCry en NotPetya) is dit juist de reden waarom er zoveel succesvolle aanvallen zijn.

- Onnodig poorten over publiek Internet open laten staan,
--services die je niet nodig hebt toch opstarten.
- Admin rechten ongecontroleerd over publiek Internet.
- ontbreken netwerksegmentatie en meerdere verdedigingslijnen.
Dat zijn de echte fouten die constant gemaakt worden ongeacht het os. Helaas al 50 jaar de praktijk.
WanaCry petya MongoDB s3 bucket datalekken hadden allemaal niet plaats gevonden als dat wel goed gedaan was.

Welke thuisgebruiker zijn door wanna cry not petya getroffen?

Dit is echt de grootste onzin. Het is bekend dat het exploitable is VIA JAVASCRIPT.

Een random website kan de bug triggeren en dan memory uit andere processen of andere tabs lezen.

Bron

https://react-etc.net/page/javascript-spectre-meltdown-faq

Dit gaat veel verder.

Stel dat je routertje thuis (of de coorporate security aplliance) een proces draait dat naar de inhoud van paketten kijkt om bv JavaScript te filteren. De firmware ervan is simplistisch, opensource en door de leverancier doorontwikkeld op maximale veiligheid.

...Nog niets aan de hand.

Nu laat een kwaadwillende een speciaal geprepareerd pakketje door de router of SA gaan die het filterproces kaapt. Door de bug in de CPU krijgt dit proces toegang tot de kernel en is het einde oefening, het apparaat is overgenomen. Omdat een kwaadaardige bootloader of een rootkit geïnstalleerd kan worden, zal het pachten niet helpen om controle over het apparaat terug te krijgen.

En dat ene proces kan vanalles zijn, als het maar paketten verwerkt, dus ook een VPN daemon, etc.

Niet meer in Firefox, Chrome en Edge. Moeten mensen maar geen pauper browsers gebruiken,

Thanks ik kon het al niet plaatsen. Nu wel met https://hackaday.com/2018/01/06/lowering-javascript-timer-resolution-thwarts-meltdown-and-spectre/
Welke idioten hebben verzonnen dst zoiets nauwkeurigs te gebruiken als sensor open en bloot beschikbaar moet zijn.?
Het is hetzelfde als het open staan van vele sensors op je Smartphone. Sensors geven altijd de mogelijkheid tot side channels.

Klopt, maar elke maand worden er meerdere bugs gepatched in Firefox, Chrome en of Edge waarmee dit mogelijk is en je ook nog code kan uitvoeren. Het grote verschil is dat deze problemen lastiger op te lossen zijn.

Hoe ziet dat er dan uit? Een pakket wat door de router gaat is toch data, geen code?
Er zullen toch geen routers zijn die pakketjes die gerouteerd worden gaan "uitvoeren" als onderdeel van wat voor
filterproces dan ook?

Sorry hoor, maar die Haber van BeyondTrust heeft echt een bord voor zijn kop.

Maarja, wat moet je dan als vice-president van een Security Software Fabrikant en je toekomst in rook ziet opgaan.

Als eergisteren eindelijk het nieuws naar buiten komt via Journaal/RTLZ, de Pro kanalen op het web en de fabrikant Qualcomm, dat alle pc's en mobieltjes, ongeacht welke OS, al besmet zijn en men er niets aan kan doen.

Ik/wij met de UT zijn die hackers al meer dan een jaar aan het volgen, weten precies hoe ze te werk zijn gegaan en rapporteren dit.

Ik heb mij hier speciaal enkele maanden geleden bij Security.nl aangemeld en om onze bevindingen met jullie te delen, zoals wij dat ook op Pro fora hebben gedaan.
Alleen hier werden de bevindingen zonder onderbouwing niet ernst genomen.

Nu het hoge woord eruit is van de fabrikant en andere grote spelers omtrent dit niet te fixen lek, geen reacties meer.

Beetje jammer...want samen staan we sterk, want 'anoniem' iemand belachelijk maken, daar schiet niemand wat mee op!

Succes!

Welke hackers heb je gevolgd? Voor zover bekend zijn deze kwetsbaarheden niet in de praktijk misbruikt. Het gaan dan ook niet om een besmetting, maar een fundamentele kwetsbaarheid in hoe een bepaalde techniek in processoren in elkaar zit.

Welke CPU’s zijn wel veilig? Ik moet mijn huidige oude systeem vervangen, maar dan natuurlijk het liefst door een krachtige, zuinige CPU die niet door bovenstaande problemen getroffen is.

Het is, wat mij betreft, te vroeg om Meltdown en Spectre een hype te noemen. Moderne systemen vertrouwen veel te veel op sandboxes, virtualisatie en andere compartimentering (onderscheid maken tussen accounts met meer of minder privileges), en dat zijn precies de risicogebieden. Of er, en met welke targets precies, exploits ontwikkeld gaan worden, weten we simpelweg nog niet.

Het zou mij niet verbazen als exploits mogelijk zijn die via JavaScript, Flash (beide ook in PDF), Java applets, Silverlight of ActiveX bijvoorbeeld WiFi-wachtwoorden kunnen uitlezen (iets dat mogelijk is via injectie als mensen via public WiFi http sites bezoeken). Ook sluit ik niet uit dat malware, door een virusscanner uitgevoerd in een sandbox, tijdens die "uitvoering" al geheugen buiten de sandbox kan benaderen.

Een ander probleem zouden nieuwe side-channel attacks kunnen zijn die mogelijk worden als gevolg van patches voor deze lekken. Goede cryptografische software werkt volgens het "constant-time" principe om te voorkomen dat een aanvaller bijv. een geheime sleutel kan bepalen door timing-attacks (input op een specifieke manier variëren en meten hoe lang berekeningen duren). De patches voor de Meltdown en Spectre lekken kunnen grote invloed hebben op timing, waardoor voorheen constant-time code dat, op gepatchte systemen, niet meer is.

Vooral op systemen waar de fabrikant alle mogelijke moeite doet om te voorkomen dat een app rootrechten kan krijgen (Android, iOS, spelcomputers, devices met DRM) konden deze lekken nog wel eens een flink staartje krijgen.

Om nog maar niet van de vele shared hosting systemen te spreken waarop privacygevoelige gegevens worden verwerkt en staan opgeslagen. Als er al patches voor al deze systemen bestaan, moet je maar afwachten of hosters deze implementeren, vooral als zij vrezen voor merkbaar lagere performance. Als jouw gegevens op zo'n virtuele server worden verwerkt kun jij zelf niet vaststellen hoe veilig dat systeem is. Wetende dat veel partijen destijds erg gemakzuchtig met Heartbleed omgingen (dat eenvoudig en zonder bijwerkingen gepatched kon worden), ben ik benieuwd naar hoe dit gaat aflopen.

Een pakket dat gefilterd moet worden op de inhoudelijke data wordt niet uitgevoerd maar als een combinatie van bepaalde data, in een bepaalde volgorde en met een bepaald interval ervoor zorgt dat het proces onbedoeld gedrag gaat vertonen (een bug dus) dan kan dat onbedoeld gedrag ook betekenen een bepaalde instructie in het geheugen veranderen waardoor deze instructie van onschuldig naar gevaarlijk wordt en de processor deze gewoon zal uitvoeren. Die instructie kan blijkbaar ook een instructie zijn die bij de kernel hoort. Zelfs als het alleen maar mogelijk is om data uit het geheugen te lezen, dan kunnen sleutels van VPN verbindingen of beheerwachtwoorden worden buitgemaakt en kan het apparaat alsnog snel overgenomen worden.

Met behulp van fuzzers kan men de goude combinatie aan data en data-rate vinden die het proces over zijn nek laat gaan en het gewenste commando vanuit het geheugen laat uitvoeren.

Al dit gedoe zit mij niet lekker en dan met name het feit dat je er niks aan kan doen omdat het in de hardware zit. Ik bezoek geen rare sites, gebruik een adblocker en ben heel alert op spam en phisingmails omdat ik weet dat kwaadwillenden zo je gegevens kunnen stelen maar nu kan dat blijkbaar alsnog en je kunt er niks tegen doen.

Waarschijnlijk zal het inderdaad niet meteen een gevaar opleveren voor de normale doorsnee gebruiker want daar valt weinig te halen maar het kan wel. En wellicht zijn er nog veel dingen lek waar we niet eens wat van weten op dit moment. Op dit soort momenten baal ik er steeds vaker van dat je tegenwoordig alles maar via het internet moet regelen

Men kan testen op Spectre hier: https://github.com/wearefriday/spectre tool credits gaan naar vgrigorik & nckdunn

En hoe te testen via Powershell commando's op Windows:
https://www.bleepingcomputer.com/news/microsoft/how-to-check-and-update-windows-systems-for-the-meltdown-and-spectre-cpu-flaws/ info credits gaan naar Catalin Cimpanu

Jodocus Oyevaer

Voorlopig nog geen, of je moet het over heel oude of heel simpele processors hebben. Het is ook nog maar even afwachten hoe lang het duurt voordat er een nieuwe veilige generatie staat. Het ontwikkelen van een processorfamilie kost doorgaans vele jaren en ondanks dat men alles op alles zal zetten om dit te corrigeren, is het niet zomaar gedaan. Een half jaar tot een jaar zou al een klein wonder heten. Ook omdat je echt zeker wilt weten dat je geen nieuwe fouten introduceert.

Klinkt interessant en heb dat gemist, kan je nog eens linken naar die bevindingen?

@Bitwiper Eindelijk iemand die de ernst van de zaak in ziet en met onderbouwig komt, waar de 'lekken' zouden kunnen zitten en hoe er gebruik van kan worden gemaakt.

Ik heb mij bij Security.nl maanden geleden aangemeld en zo kort mogelijk onze bevindingen beschreven, en gezegd dat elk systeem, ongeacht welke OS en/of software pakketen wat men gebruikt, allang 'besmet' en overgenomen door dezelfde groep hackers die o.a. 'WannaCry' hebben verspreid.

Maarja...mij voor gek verklaren, dat het onmogelijk is, allemaal fictie, beledigen enz..enz...en dat zonder onderbouwing en het liefst 'Anoniem'.

Zelfs nog uitleg gegeven, hoe men hun hardware kan testen...blijkbaar te veel moeite en/of gebrek aan kennis.

En wat schets mij verbazing: Een paar dagen terug komt Qualcomm naar buiten met nieuws, dat hun 'communicatie chip' zo lek is als maar kan en men hier niets tegen kan doen, alleen een update/patch verminderd het risico iets.

Te laat...gezien dit 'intern' al heel lang bekent is, dik een jaar, kan men nu niet anders dan deze design fout naar buiten brengen.

Dit door druk van andere hardware- en software fabrikanten, die hun veiligheid ook niet meer kunnen garanderen naar de consument en hopeloos alles proberen dicht te timmeren zonder succes.

Maar wat je zegt; hebben de meeste fabrikanten jaren lang de consument verkeerd voorgelicht over hun product en/of dienst en dachten ermee weg te komen. Dus niet...

Ondanks dat dit naar buiten is gekomen en word geadviseerd geen nieuwe hardware aan te schaffen, totdat deze is voorzien van de nieuwste chip's en nog maanden kan duren, wordt er nog steeds aan getwijfeld en ziet men nog steeds het verband niet tussen alle nieuws en vragen die hier bij Security.nl worden vermeld.

Het zij zo...Succes...samen staan we sterk.

Normaal reageer ik niet op Anonieme reacties, maar voor deze keer wel, want...

Je vraagt; Welke hackers wij volgen...meen je dat?
Wil je namen van personen of een groep? Hun herkomst en woonplaats?

En je geeft aan dat er niets aan de hand is en er alleen maar een fundamentele kwetsbaarheid in hoe bepaalde techniek in CPU's in elkaar zit?

Leg mij dan eens uit, hoe je zo zeker weet dat het niet in de praktijk voorkomt en welke techniek in CPU's heb je het over?

Ik laat me verrassen...normaal ben ik niet van de linkjes, maar bekijk deze eens...paar dagen oud...

Https://nos.nl/artikel/2210445-chips-in-computers-en-smartphones-vatbaar-voor-ernstige-lekken.html

Ik vraag welke hackers jullie volgen omdat er vooralsnog geen sprake is van een hack of hackers. Het gaat om een kwetsbaarheid. Een kwetsbaarheid is als een keukenraampje dat je met je elleboog gemakkelijk openduwt, een hack is een inbreker die dat ook daadwerkelijk doet en binnentreedt en een besmetting is een inbreker die zich in de kast verstopt en zich schuilhoudt in je huis. Er zijn geen gevallen bekend waarbij Meltdown of Spectre door iemand gebruikt zijn om binnen te treden. Er is dus vooralsnog ook geen sprake van besmettingen.

In je vorige post had je het erover dat jullie deze hackers al maanden volgen. Als je een specifieke persoon of groep volgt weet je daar meer van dan alleen een algemene aanduiding. Je moet ze immers kunnen herkennen als dezelfde persoon of groep. Hoeveel specifieker kan je zijn dan alleen "hackers" in de breedste en meest algemene zin van het woord? Wie is "wij" waarmee je deze hackers zegt te volgen?

Het linkje gaat over dezelfde kwetsbaarheid (of eigenlijk kwetsbaarheden) die we hier bespreken. Dat gaat inderdaad over een fundamentele kwetsbaarheid in hoe bepaalde techniek in CPU's in elkaar steekt. Niet om daadwerkelijke besmettingen of hacks. Hoe deze techniek heet en werkt is in diverse artikelen op het internet te vinden, maar betreft speculative execution, of out-of-order execution. Dit is een optimalisatietechniek die je in vrijwel iedere op performance gerichte processor vindt. Hoe het precies werkt kan je lezen op de pagina: https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/ Belangrijk om op te merken is dat het hier een fout in de hardware betreft. Dat is niet iets dat achteraf aangepast kan worden of een besmetting die je kunt oplopen. Het zit in een onveranderlijk deel van je processor en komt voor bij Intel-, AMD- en ARM-processoren, omdat die allemaal van soortgelijke optimalisaties gebruik maken.

Niemand weet zeker dat het in de praktijk niet voorkomt, maar het is vooralsnog niet aangetoond. Mocht je bewijs hebben dat dat wel het geval is, dan is dat letterlijk wereldnieuws. Je hoeft ook niet bang te zijn voor onverdiende scepsis, want letterlijk duizenden experts zijn op zoek naar een dergelijke bevestiging. Zulke informatie zou met open armen ontvangen worden, indien correct.

Kan er iemand iets zinnigs zeggen over de situatie met Hosts en VMs ?
Zitten dezelfde bugs uberhaupt ook in de vCPU van de VM ? Of vangt de fysieke CPU dit altijd af en moet die dus eigenlijk gepatched worden (via het HyperVisor OS) ?


Een host patchen, waarmee in 1 klap een hele berg VMs virtueel ook beschermd zijn is een stuk minder werk dan voor elke VM, en elk OS daarbinnen, aan de slag te gaan. Zeker met de afweging dat bepaalde OS'en meer vertraagd worden dan andere, afhankelijk van het vCPU/CPU type. En bij Cloud providers is de klant verantwoordelijk voor de patches binnen de afgenomen VM.

En hoe stabiel staat het verhaal dat als je op een enkele VM deze exploits gebruikt, je dan ook kan spieken en meekijken in alle andere VM's opdiezelfe host ? En los je dit altijd op als de Host eenmaal gepatched is, of het het risico pas geweken als en de Host en alle VM's gepatched zijn ?