Google-onderzoekers: Spectre blijft ons nog lang achtervolgen
Aanvallen zoals Spectre en Meltdown zijn voorlopig nog niet in processors opgelost, zo stellen verschillende onderzoekers van Google. Spectre en Meltdown zijn zogeheten "side-channel" kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen.
Sinds de ontdekking van de twee aanvallen vorig jaar hebben Intel, alsmede andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. "Onze modellen, onze mentale modellen zijn verkeerd. We hebben al die tijd security ingeruild voor prestaties en complexiteit en we hadden geen idee", zeggen Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest van Google.
Volgens de onderzoekers is er decennia lang gedacht dat de security van programmeertalen in combinatie met statische en dynamische controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte. Het onderzoek van de Googlers laat zien dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit.
De kwetsbaarheden in combinatie met de huidige processors zorgen ervoor dat de vertrouwelijkheid die middels de programmeertaal wordt afgedwongen, "compleet vernietigd" kan worden. Het isoleren van de hardware en besturingssysteemprocessen is dan ook dringend nodig, aldus de onderzoekers. Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven namelijk kwetsbaar voor side-channelaanvallen, zo stellen ze. De onderzoekers spreken zelfs van drie gigantische problemen, namelijk het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan.
"Het is een pijnlijke ironie dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. En complexiteit zorgt ervoor dat deze drie problemen nog veel lastiger zijn. Spectre is dan ook toepasselijk zo genoemd, aangezien het ons nog lange tijd zal achtervolgen", concluderen de onderzoekers.
je ontdekt wordt is nogal aanwezig (mij valt het in ieder geval op als mijn processor ineens op 100% staat zonder dat er
een duidelijke reden voor is).
je ontdekt wordt is nogal aanwezig (mij valt het in ieder geval op als mijn processor ineens op 100% staat zonder dat er
een duidelijke reden voor is).
Vergeet niet dat bijvoorbeeld bij het bezoeken van een site met javascript, het volledige RAM geheugen van je computer uitgelezen kan worden. Niet erg snel, maar het kan wel. Dat is een side channel.
Linux heeft wel een leuke bescherming tegen Spectre 2. Retpoline. Maar hiervoor moet al je software opnieuw gecompileerd worden, wat bij MS Windows haast onmogelijk is omdat er zoveel verschillende ontwikkelaars zijn. Bij linux is dit veel makkelijker. Ook handig als je computer geen bios of microcode updates meer krijgt en je toch enigszins veilig wilt zijn.
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/TechFAQ
Google wilt simpelweg van domme hardware af.
Wij gaan voor snellere en slimmere devices,slimmer management,en betere monitoring.
Domme hardware i.c.m domme "complexe programmeer-taal" daar willen we van af en snel,
de huidige situatie moet worden vervangen met
slimmere en snellere chipsets en cpu's en slimmere programmeertaal.
Jaap Ezel
Er zal dan hooguit misschien een patch van tijdelijke aard verschijnen waardoor het erg lang duurt voordat er weer een lek is ontdekt.
Linux heeft wel een leuke bescherming tegen Spectre 2. Retpoline. [...]
Uit https://www.theregister.co.uk/2019/02/18/spectre_cant_be_killed/:
But that appears to be futile. "We argue that mitigating timing channels by manipulating timers is impossible, nonsensical, and in any case ultimately self-defeating," the researchers say.
Google's boffins added defenses against Spectre into the V8 JavaScript virtual machine within the company's Chrome browser and found the performance penalties frustrating because they slow things down without truly fixing the problem. "None of these mitigations provide comprehensive protection against Spectre, and so the mitigation space is a frustrating performance / protection trade-off," they say.
That's why Google shifted its browser security focus to the aforementioned site isolation. But help has to come from hardware, too, in the form of better process isolation.
Exploits zijn lastig als de aanvaller niks weet van het target systeem. Ik verwacht daarom niet snel exploit voor thuisgebruikers, maar grotere organisaties met uniform ingerichte computers (zowel desktops, servers als desktopomgevingen van thin clients draaiend op servers) kunnen een doelwit worden of zijn van gerichte aanvallen die misbruik maken van Spectre-achtige kwetsbaarheden. Daarbij vormt met name de insider threat een serieus te nemen bedreiging.
Het is wachten tot er een complete exploit kit voor spectre lekt uit het arsenaal van de NSA. En reken maar dat ze die nu al hebben en dat ze er heel erg blij mee zijn. Net als met Eternal Blue. Met als verschil dat er dit keer geen patch voor komt en het internet voor goed lek is.
Ik ben het eens met Google dat er een hardware oplossing moet komen. Het liefst door het volledig uitschakelen van branch prediction en dat soort technieken op moderne CPU's. Dat ging in het tijdperk voor de intel pentium ook lange tijd heel goed.
Anoniem van 19:12
Hoewel AMD er niet helemaal van is verschoond, heeft AMD een duidelijke strategy uitgezet:
https://www.amd.com/en/corporate/security-updates
(handig op deze webpage zijn ook de extra resource informatie: OS, System manufacturer en BIOS resources)
Ah dat is vervelend. Heb de laatste Chrome, nu moet ik bij default al standaard javascript uitzetten..
En nu dat wereldwijd je even 10% tot 20% minder waar voor je geld hebt gekregen, hoor je niets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
