Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Spectre op Linux Mint op te lossen?

21-01-2018, 06:17 door Anoniem, 14 reacties
Hallo,

Ik probeer me te beschermen tegen Meltdown en Spectre en draai als O.S. Linux Mint
Sonya 18.2
Steve Gibson (www.grc.com) heeft voor Windows, Mac en Linux een tooltje gemaakt
om te kijken of men vatbat is voor beide lekken.
https://www.security.nl/posting/546201/InSpectre-tool+checkt+Windows-pc%27s+op+Spectre+en+Meltdown

Het tooltje schijnt ook te werken onder Wine, en kijkt ook naar het onderliggende O.S.
dus ziet of je vatbaar bent voor Spectre. De twee onderste buttons werken echter niet
om beide op disabled te zetten even los van alles.

Als ik het goed begrepen heb is Meltdown meer een software issue, dat al gefixed word
door de laate versie van Firefox te gebruiken welke is al in gebruik heb.

Ik zie ook via de tool dat ik niet meer vatbaar ben voor Meltdown, maar wel voor Spectre.

Rest me nog Spectre te fixen


Vraag: Is spectre meer een hardware issue? En moet ik nu de laatste drivers van de bios
installeren of????
https://www.asus.com/de/Motherboards/M5A78LMUSB3/HelpDesk_Download/

Echter die ´rom tool´ is al van 2015, dus waarschijnlijk blijf ik dan nog steeds vatbaar.


Mijn moederbord en andere gegevens:
Machine: Mobo: ASUSTeK model: M5A78L/USB3 v: Rev X.0x
Bios: American Megatrends v: 1103 date: 03/26/2012
CPU: Quad core AMD Phenom II X4 945 (-MCP-) cache: 2048 KB

Vraag is dus nog steeds moet ik inderdaad de drivers van mijn BIOS strakjes gaan
upgraden mist er een nieuwe versie beschikbaar komt? Of moet ik drivers hebben
van de CPU??


Hartelijk dank voor alle reacties.

Groet Jan
Reacties (14)
21-01-2018, 11:17 door Anoniem
Hier kan je een script vinden dat het op Linux checkt - maar dat beschermt je evenmin:
https://github.com/speed47/spectre-meltdown-checker

Het is inderdaad een hardwareprobleem, Meltdown en Spectre zijn beide mogelijk omdat moderne processoren parallel instructies kunnen verwerken en in een poging daarin zo snel mogelijk te zijn instructies uitvoeren waarvan nog niet zeker is of ze wel uitgevoerd kunnen gaan worden. Via slimme trucs met instructies die eigenlijk niet uitgevoerd zouden moeten worden, het daarlangs laden van gegevens in de processor-cache, en door te kijken hoe snel de benadering van geheugenadressen vervolgens gaat zijn aanvallers in staat om te achterhalen wat er in geheugenadressen staat waar ze niet bij mogen komen. Dat zijn echt kwetsbaarheden die voortkomen hoe de processor instructies verwerkt, hardware dus.

Voor Meltdown heb je waarschijnlijk al een gepatchte kernel binnen, maar Spectre ligt lastiger. Zoals ik het begrijp is de oplossing daarvan een combinatie van aangepaste microcode (daarin is gedefinieerd hoe een processor instructies verwerkt) die van Intel of AMD moet komen en applicaties die bepaalde processor-instructies vervangen door andere instructies met andere effecten op hoe de processor met het parallel uitvoeren ervan omgaat. Zowel Intel als makers van webbrowsers (de toepassingen waar je je vermoedelijk de meeste zorgen om moet maken) zijn daarmee bezig. Die komen vanzelf via het normale update-proces op je systeem terecht. Kijk even of je (afhankelijk van of je processor van Intel of AMD is) intel-microcode of amd64-microcode hebt geïnstalleerd (zo heten de pakketten op Debian, ik neem nu aan dat dat voor Ubuntu en Mint hetzelfde is). Via die pakketten zou bijgewerkte microcode tijdens het opstarten van je computer geladen moeten worden, zodra die erin verwerkt is. Dat zal als het goed is dezelfde microcode zijn die je via een upgrade van je BIOS/UEFI binnenkrijgt, als de maker daarvan die beschikbaar heeft.

Bedenk dat misbruik van deze kwetsbaarheden vereist dat anderen code op jouw systeem uitvoeren. Voor zover bekend is er nu alleen een proof-of-concept en geen werkende aanval waar je bang voor moet zijn, en dan nog moet die wel eerst op je systeem terchtkomen voor hij uitgevoerd kan worden. Je webbrowser is denk ik veruit het kwetsbaarst, die voert enthousiast uit wat makers van websites en advertenties allemaal aan ellende daarin opnemen. Daar wapen je je, ook los van Spectre, tegen met add-ons als NoScript en Privacy Badger, of alternatieven daarvoor, en eventueel een adblocker (waar NoScript alleen al heel effectief tegen is).
21-01-2018, 12:13 door -karma4
https://www.linuxmintnl.nl/?p=1266

M.b.t. BIOS updates (die zullen waarschijnlijk niet komen voor oudere computers):

Intel Microcode
Gebruik de Update Manager om intel-microcode te upgraden naar versie 3.20180108.0.
Opmerking: als intel-microcode niet op uw computer is geïnstalleerd, voert u Driver Manager uit om te zien of dit nodig is.
21-01-2018, 13:58 door [Account Verwijderd]
Door The FOSS: https://www.linuxmintnl.nl/?p=1266

M.b.t. BIOS updates (die zullen waarschijnlijk niet komen voor oudere computers):

Intel Microcode
Gebruik de Update Manager om intel-microcode te upgraden naar versie 3.20180108.0.
Opmerking: als intel-microcode niet op uw computer is geïnstalleerd, voert u Driver Manager uit om te zien of dit nodig is.

Dank voor deze informatie!
En heb er gebruik van kunnen maken voor mijn Linux 18.1 Hard Disk.

Nieuwste Kernel (21-01-2018, 13:25 uur) is 4.4.0-109.132

Tot nu geen problemen door deze Kernel update

Ik was nog niet bekend met het programma 'Driver Manager' zodanig genoemd op https://www.linuxmintnl.nl/?p=1266
In de Nederlandse versie van Linux is het genaamd: 'Stuurprogrammabeheer' en heb hiermee de Intel Micro-Code kunnen installeren.
21-01-2018, 14:25 door [Account Verwijderd] - Bijgewerkt: 21-01-2018, 14:36
@Jan,

Het installeren van de Micro-Code is te prefereren boven een veel ingrijpender BIOS upgrade is mijn persoonlijke mening.
De enigste reden die ik hiervoor aanvoer is dat als zo'n upgrade misgaat je met een onbenaderbare computer opgescheept zit.
Ik ben geen computerspecialist en ben gewoon huiverig om in zo'n vroeg stadium m.b.t. Spectre en Meltdown acties te gaan uitvoeren buiten het gebruikte Operating System in de BIOS/UEFI, laat staan ROM firmware upgrades in de processor, voorzover dat mogelijk is, net als bij Blu-Ray spelers.

Ik denk daarom dat het voorlopig verstandig is zoveel mogelijk te patchen binnen het gebruikte OS waarmee ik zowel Linux/Ubuntu, MacOs, en Windows bedoel en op die patches gewoon te vertrouwen.

Toegevoegd:

Op https://www.security.nl/posting/546576/Microsoft+rolt+nieuwe+Spectre-updates+uit+voor+AMD-systemen lees je (citaat)...Meltdown raakt alleen Intel-processors...

Naar ik lees in je system info is je computer voorzien van een AMD processor: Quad core AMD Phenom II X4 945

Conclusie: Meltdown vormt voor jou geen bedreiging.
21-01-2018, 14:34 door -karma4
Door Aha:
Dank voor deze informatie!

Graag gedaan Aha.

-- The FOSS - zeker niet de kwaaiste ;-)
21-01-2018, 19:05 door [Account Verwijderd] - Bijgewerkt: 21-01-2018, 19:05
Om Spectre en Meltdown te controleren verwijs ik naar de pagina van ghacks:
https://www.ghacks.net/2018/01/11/check-linux-for-spectre-or-meltdown-vulnerability/

Daar staat de methode om met een paar Terminal opdrachten te checken of je Linux-systeem kwetsbaar is.


Open Terminal on the Linux system you want to check.
Type cd /tmp/
Type wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh This downloads the script from the GitHub server.
Type sudo sh spectre-meltdown-checker.sh This runs the script with elevated privileges.
Type the password.

Je hoeft dus niets over te typen, maar alleen te selecteren en te plakken in de geopende Terminal. Daarna RETURN geven.
Nadat je als laatste je password hebt ingegeven, gaat de tool aan het werk. Alles wat ROOD is aangemerkt is niet juist. Het kan dus zijn (zoals in mijn geval) dat je systeem wel tegen Meltdown maar niet tegen Spectre is beveiligd.

Let wel op: als je niet gewend bent met Terminal-opdrachten te werken, voer het dan voor mijn part niet uit. Dit is dus wel allemaal voor eigen risico.
21-01-2018, 19:24 door Anoniem
microcode doet op zich zelf niet heel veel je zal ook echt retpoline en kernel patches nodig hebben om spectre op te lossen.
microcode helpt hierbij want dat maakt het gemakkelijker om wat registers te gebruiken die intel enabled heeft.
https://wiki.gentoo.org/wiki/Project:Security/Vulnerabilities/Meltdown_and_Spectre
22-01-2018, 05:17 door Anoniem
Door Aha:
Door The FOSS: https://www.linuxmintnl.nl/?p=1266

M.b.t. BIOS updates (die zullen waarschijnlijk niet komen voor oudere computers):

Intel Microcode
Gebruik de Update Manager om intel-microcode te upgraden naar versie 3.20180108.0.
Opmerking: als intel-microcode niet op uw computer is geïnstalleerd, voert u Driver Manager uit om te zien of dit nodig is.

Dank voor deze informatie!
En heb er gebruik van kunnen maken voor mijn Linux 18.1 Hard Disk.

Nieuwste Kernel (21-01-2018, 13:25 uur) is 4.4.0-109.132

Tot nu geen problemen door deze Kernel update

Ik was nog niet bekend met het programma 'Driver Manager' zodanig genoemd op https://www.linuxmintnl.nl/?p=1266
In de Nederlandse versie van Linux is het genaamd: 'Stuurprogrammabeheer' en heb hiermee de Intel Micro-Code kunnen installeren.

Hallo,

De microcode kun je ook automatisch en sneller laten uitvoeren dan in een shell de volgende opdract uit te voeren.

sudo apt-get install amd64-microcode

Na ingeven even je wachtwoord ingeven en voila de laatste microcode word doorgevoerd.
22-01-2018, 07:07 door Anoniem
Door The FOSS:
Bedenk dat misbruik van deze kwetsbaarheden vereist dat anderen code op jouw systeem uitvoeren. Voor zover bekend is er nu alleen een proof-of-concept en geen werkende aanval waar je bang voor moet zijn, en dan nog moet die wel eerst op je systeem terchtkomen voor hij uitgevoerd kan worden. Je webbrowser is denk ik veruit het kwetsbaarst, die voert enthousiast uit wat makers van websites en advertenties allemaal aan ellende daarin opnemen. Daar wapen je je, ook los van Spectre, tegen met add-ons als NoScript en Privacy Badger, of alternatieven daarvoor, en eventueel een adblocker (waar NoScript alleen al heel effectief tegen is).
Ik gebruik naast Firfox ook nog Opera, Brave en Palemoon.
Hoe zit het met deze andere browsers?

Ik gebruik met name meerdere browsers voor een ander profiel te verkrijgen, ik een vergelijk kan maken, en om uit te vinden hoe andere browsers werken.
22-01-2018, 08:31 door Anoniem
Door Anoniem:
Door Aha:
Door The FOSS: https://www.linuxmintnl.nl/?p=1266

M.b.t. BIOS updates (die zullen waarschijnlijk niet komen voor oudere computers):

Intel Microcode
Gebruik de Update Manager om intel-microcode te upgraden naar versie 3.20180108.0.
Opmerking: als intel-microcode niet op uw computer is geïnstalleerd, voert u Driver Manager uit om te zien of dit nodig is.

Dank voor deze informatie!
En heb er gebruik van kunnen maken voor mijn Linux 18.1 Hard Disk.

Nieuwste Kernel (21-01-2018, 13:25 uur) is 4.4.0-109.132

Tot nu geen problemen door deze Kernel update

Ik was nog niet bekend met het programma 'Driver Manager' zodanig genoemd op https://www.linuxmintnl.nl/?p=1266
In de Nederlandse versie van Linux is het genaamd: 'Stuurprogrammabeheer' en heb hiermee de Intel Micro-Code kunnen installeren.

Hallo,

De microcode kun je ook automatisch en sneller laten uitvoeren dan in een shell de volgende opdract uit te voeren.

sudo apt-get install amd64-microcode

Na ingeven even je wachtwoord ingeven en voila de laatste microcode word doorgevoerd.

Let op! geef eerst even de juist CPU op, in mijn voorbeeld amd64.
22-01-2018, 10:33 door Anoniem
En als je nu eens de gastsessie van Linux Gebruikt om te internetten?

Dan begin je met een schone omgeving.
Doe dan eerst de gevoelige zaken (zaken met een wachtwoord) en sluit de sessie af, dan is de kans op een effectieve besmetting klein.
Start de sessie opnieuw om e.v.t. sporen te wissen en verder te surfen.

Of is dat onzin?
22-01-2018, 11:03 door -karma4
Door Anoniem:
Door Aha: ... Ik was nog niet bekend met het programma 'Driver Manager' zodanig genoemd op https://www.linuxmintnl.nl/?p=1266
In de Nederlandse versie van Linux is het genaamd: 'Stuurprogrammabeheer' en heb hiermee de Intel Micro-Code kunnen installeren.

Hallo,

De microcode kun je ook automatisch en sneller laten uitvoeren dan in een shell de volgende opdract uit te voeren.

sudo apt-get install amd64-microcode

Dan zou ik (als je een Intel processor hebt) wel de Intel variant installeren: intel-microcode
22-01-2018, 11:26 door [Account Verwijderd]
Door The FOSS:
Door Anoniem:
Door Aha: ... Ik was nog niet bekend met het programma 'Driver Manager' zodanig genoemd op https://www.linuxmintnl.nl/?p=1266
In de Nederlandse versie van Linux is het genaamd: 'Stuurprogrammabeheer' en heb hiermee de Intel Micro-Code kunnen installeren.

Hallo,

De microcode kun je ook automatisch en sneller laten uitvoeren dan in een shell de volgende opdract uit te voeren.

sudo apt-get install amd64-microcode

Dan zou ik (als je een Intel processor hebt) wel de Intel variant installeren: intel-microcode

Beide suggesties kloppen maar bij gebruik van Stuurprogrammabeheer wordt door Linux 'gekeken' naar welke processor draait. Handig voor mensen die moeite hebben te achterhalen welke processor in hun computer zit, en vergissing is daardoor volledig uitgesloten.
22-01-2018, 22:28 door Anoniem
Vandaag weer een nieuwe micro code update gekregen via de mint update manager.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.