Google-onderzoekers: Spectre blijft ons nog lang achtervolgen
Aanvallen zoals Spectre en Meltdown zijn voorlopig nog niet in processors opgelost, zo stellen verschillende onderzoekers van Google. Spectre en Meltdown zijn zogeheten "side-channel" kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen.
Sinds de ontdekking van de twee aanvallen vorig jaar hebben Intel, alsmede andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. "Onze modellen, onze mentale modellen zijn verkeerd. We hebben al die tijd security ingeruild voor prestaties en complexiteit en we hadden geen idee", zeggen Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest van Google.
Volgens de onderzoekers is er decennia lang gedacht dat de security van programmeertalen in combinatie met statische en dynamische controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte. Het onderzoek van de Googlers laat zien dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit.
De kwetsbaarheden in combinatie met de huidige processors zorgen ervoor dat de vertrouwelijkheid die middels de programmeertaal wordt afgedwongen, "compleet vernietigd" kan worden. Het isoleren van de hardware en besturingssysteemprocessen is dan ook dringend nodig, aldus de onderzoekers. Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven namelijk kwetsbaar voor side-channelaanvallen, zo stellen ze. De onderzoekers spreken zelfs van drie gigantische problemen, namelijk het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan.
"Het is een pijnlijke ironie dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. En complexiteit zorgt ervoor dat deze drie problemen nog veel lastiger zijn. Spectre is dan ook toepasselijk zo genoemd, aangezien het ons nog lange tijd zal achtervolgen", concluderen de onderzoekers.
je ontdekt wordt is nogal aanwezig (mij valt het in ieder geval op als mijn processor ineens op 100% staat zonder dat er
een duidelijke reden voor is).
je ontdekt wordt is nogal aanwezig (mij valt het in ieder geval op als mijn processor ineens op 100% staat zonder dat er
een duidelijke reden voor is).
Vergeet niet dat bijvoorbeeld bij het bezoeken van een site met javascript, het volledige RAM geheugen van je computer uitgelezen kan worden. Niet erg snel, maar het kan wel. Dat is een side channel.
Linux heeft wel een leuke bescherming tegen Spectre 2. Retpoline. Maar hiervoor moet al je software opnieuw gecompileerd worden, wat bij MS Windows haast onmogelijk is omdat er zoveel verschillende ontwikkelaars zijn. Bij linux is dit veel makkelijker. Ook handig als je computer geen bios of microcode updates meer krijgt en je toch enigszins veilig wilt zijn.
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/TechFAQ
Google wilt simpelweg van domme hardware af.
Wij gaan voor snellere en slimmere devices,slimmer management,en betere monitoring.
Domme hardware i.c.m domme "complexe programmeer-taal" daar willen we van af en snel,
de huidige situatie moet worden vervangen met
slimmere en snellere chipsets en cpu's en slimmere programmeertaal.
Jaap Ezel
Er zal dan hooguit misschien een patch van tijdelijke aard verschijnen waardoor het erg lang duurt voordat er weer een lek is ontdekt.
Linux heeft wel een leuke bescherming tegen Spectre 2. Retpoline. [...]
Uit https://www.theregister.co.uk/2019/02/18/spectre_cant_be_killed/:
But that appears to be futile. "We argue that mitigating timing channels by manipulating timers is impossible, nonsensical, and in any case ultimately self-defeating," the researchers say.
Google's boffins added defenses against Spectre into the V8 JavaScript virtual machine within the company's Chrome browser and found the performance penalties frustrating because they slow things down without truly fixing the problem. "None of these mitigations provide comprehensive protection against Spectre, and so the mitigation space is a frustrating performance / protection trade-off," they say.
That's why Google shifted its browser security focus to the aforementioned site isolation. But help has to come from hardware, too, in the form of better process isolation.
Exploits zijn lastig als de aanvaller niks weet van het target systeem. Ik verwacht daarom niet snel exploit voor thuisgebruikers, maar grotere organisaties met uniform ingerichte computers (zowel desktops, servers als desktopomgevingen van thin clients draaiend op servers) kunnen een doelwit worden of zijn van gerichte aanvallen die misbruik maken van Spectre-achtige kwetsbaarheden. Daarbij vormt met name de insider threat een serieus te nemen bedreiging.
Het is wachten tot er een complete exploit kit voor spectre lekt uit het arsenaal van de NSA. En reken maar dat ze die nu al hebben en dat ze er heel erg blij mee zijn. Net als met Eternal Blue. Met als verschil dat er dit keer geen patch voor komt en het internet voor goed lek is.
Ik ben het eens met Google dat er een hardware oplossing moet komen. Het liefst door het volledig uitschakelen van branch prediction en dat soort technieken op moderne CPU's. Dat ging in het tijdperk voor de intel pentium ook lange tijd heel goed.
Anoniem van 19:12
Hoewel AMD er niet helemaal van is verschoond, heeft AMD een duidelijke strategy uitgezet:
https://www.amd.com/en/corporate/security-updates
(handig op deze webpage zijn ook de extra resource informatie: OS, System manufacturer en BIOS resources)
Ah dat is vervelend. Heb de laatste Chrome, nu moet ik bij default al standaard javascript uitzetten..
En nu dat wereldwijd je even 10% tot 20% minder waar voor je geld hebt gekregen, hoor je niets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.