OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest15032 on January 06, 2018, 04:37:31 pm
-
Hi zusammen,
wie sieht es denn mit Updates bzgl. der jetzt bekannten Sicherheitsprobleme Spectre und Meltdown aus?
Steht ihr, die OPNsense Entwickler, da mit den FreeBSD Entwicklern in Kontakt bzw. übernehmt ihr einfach deren Lösung, sobald diese verfügbar ist? Oder arbeitet ihr separat an einem Patch für die Sicherheitslücken?
Gruß
Chris
-
hab vor kurzem ein Topic diesbezüglich eröffnet. Damit dürften sich alle deine Fragen beantworten.
https://forum.opnsense.org/index.php?topic=6774.0 (https://forum.opnsense.org/index.php?topic=6774.0)
-
In naher Zukunft ist keine Lösung absehbar, da der Kernel um die Probleme der CPUs herum arbeiten muss. Vielleicht auch der Compiler. Das wird Monate dauern, wenn nicht sogar Jahre. Einziger Trost für die Firewall ist, dass man mit einer Hardware-Appliance gut bedient ist, weil der Angriff lokal ist und so praktisch nicht relevant.
Sollte man aber OPNsense in der ungepatchten Cloud oder VM laufen lassen, so darf man den VMs nicht trauen, die auf dem selben Host sind...
Grüsse
Franco
-
Danke für die Antwort. Hab's gerade eben erst gelesen.
Gruss
-
Naja, ich denke Meltdown und Spectre sind tolle Finten um den PC-Markt zu beleben. Bei Grafikkarten kann man auch auf den Inhalt des Privaten Speichers einer Anwendung, von einer parallel laufenden Anwendung zugreifen. Das wurde damals unter den Teppich gekehrt und hat nach 2 Monaten keinen mehr interessiert. Und Meltdown und Spectre bezieht sich nicht auf den Arbeitsspeicher, sondern auf den CPU Cache und Befehlserratung welcher mit der gleichen Taktfrequenz (=> Cache) wie die CPU betrieben wird. Was bedeutet, das die Datenrate, mit der dort die Daten ausgetauscht werden extrem hoch ist. Eine Analyse dieses Caches wird also von Remote aus gesehen schon mal ziemlich schwierig. Eine Code Injektion wäre da schon was anderes. Aber davon war ja nicht Rede. Eine Analyse dieser Daten auf dem gleichen Host würde mit einer hohen CPU Auslastung und Systeminstabilität einher gehen.
Das was hier jetzt als Sicherheitslücken angeprangert wird sind einfach nichtsweiter als Anwendungs und Hardware Designfehler die man als Hersteller nicht zugeben möchte, da die Kunden ansonsten auf Ihr Garantierecht bestehen könnten. Da man uns das allerdings nun als Sicherheitslücke Verkauft greift eine Garantie zum Austausch seitens der Hersteller nicht. Außerdem hätten die wahrscheinlich eh keine CPU im Programm wo dieser Designfehler nicht gemacht wurde.
Letztlich muss man beide "Fehler" in Kombination sehen, ohne diese beiden Fehler wären die CPUs noch ziemlich lahm.
-
@NicholasRush
Das sehe ich zumindest was die mögl. Auswirkungen der Lücken betrifft deutlich anders.
Die möglichen Folgen sind derzeit noch gar nicht absehbar, auch da es bisher m.W. nach noch keine Schadsoftware gibt, die diese Lücken ausnutzt.
Das wird aber mit Sicherheit nicht mehr lange auf sich warten lassen.
Wir werden sehen, welche Auswirkungen sich in der Praxis daraus ergeben.
Und es dürfte wohl klar sein, dass ein klares Eingestehen eines 'Hardwarefehlers' seitens Intel oder AMD schnell das aus der jeweiligen Firma bedeuten könnte. Ich erinnere mich noch an den FDIV-Bug. Und damals waren nur ca. 1 Million CPU's betroffen!
Jetzt geht es um hunderte Millionen oder gar Milliarden Prozessoren bzw. Geräte die betroffen wären. Schlichtweg nicht zu stemmen ohne die Existenz der Unternehmen zu gefährden. Ich verweise hier mal auf den Diesel-Skandal. Wenn VW wirklich jeden Käufer entschädigen müsste bzw. Ihre Fahrzeuge zurücknehmen müsste wäre das Unternehmen in der Existenz bedroht.
Und die anderen Diesel-Hersteller waren/sind ja ähnlich kreativ, was Ihre Software betrifft (Stichwort: Thermofenster) und müssten eigentlich entsprechend abgestraft werden. Aber ob wir das wirklich wollen!?
Es gibt leider in der Tat ein 'Too Big to fail' in der Wirtschaftspolitik.
Gruß
Dirk
PS: Zum Glück kann ich mich was Spectre/Meltdown und OPNsene angeht wohl in Ruhe zurücklehnen. Meine HW (VIA Eden CPU/ Intel Atom D525) ist von dem Bug wohl nicht betroffen.
Lohnt sich also nicht nur finanziell 'abgehangene' HW einzusetzen! ;D
-
@monstermania
Das die Lücke in Zukunft bzgl. Code Injections keine Auswirkungen hätte, halte ich auch für unwahrscheinlich. Aber für den Moment sind diese Nachrichten meiner Meinung nach nur Panikmache, denn man hätte ja die Microcode Updates und die Betriebssystemupdates ohne diesen Presserummel beheben können und das ganze im Nachhinein berichten können. So ist es für den "Normaluser" nur Panikmache und für den Softwareentwickler eine überflüssige Nachricht, den daran ändern können beide nichts.
-
@NicholasRush nanu, seit wann gibts nur noch Endkunden und Softwareentwickler? WTF?
Natürlich kann man da jetzt den Aluhut auspacken... aber sorry, lasst stecken. Wenn die Kinder Obsoleszenz gewollt hätten dass jeder ihren neuen heißen Scheiß kauft, hätten sie das dezent anders machen können.
Und dass da mehr kommt - aber hallo. Da kann sich jeder schon die nächsten Jahre warm einpacken. Da braucht man keine Verschwörungstheorien o.ä. Gerade im CPU Design hat sich die letzten Jahre kaum was geändert und dass sich Sachen reinschleichen, die aus Compat Gründen ewig und 3 Jahre geschlummert haben - nunja. Was nach solchen Sachen noch kommt, kann man gar nicht abschätzen. Und nach dem Intel Atom Register - wovon Gott sei Dank einige Hardware dann doch nicht betroffen war - kam nun der erste richtige dicke große Unfall. Das jetzt runter zu spielen nützt keinem was. Natürlich muss man auch sehen, was und wo es zuschlägt. Auf einer Appliance? FW? LB? Eher weniger schlimm. Aber beim Normaluser? Der sich vllt. eh häufiger mal einen Schädling einfängt, weil er eben nicht so irre Netz-affin ist? Warum soll der noch einen Angriffsvektor mehr offen lassen?`
Aber das große Problem wird eher sein, was Dirk schon sagt. Windows bringt kein Microcode Loading. Board-Hersteller schreiben Consumer Sachen nach 3-4 Jahren ab. Jetzt steht man mit CPUs wie Sandy/Ivy Bridge da und muss zusehen, ob die MB Hersteller überhaupt ein BIOS Update mit Microcode Update bringen. Wenn nicht? Tja...
Für Normaluser Panikmache weil sie nichts ändern können? Quark. Problematisch wirds eher, wenn sie nichts machen _dürfen_ weil sie bspw. eben gar keine Möglichkeit dazu bekommen. Board zu alt oder gar kein Firmware Update mehr (alte Laptops) für BIOS/UEFI. Und mehr als den Hersteller nerven können Sie dann nicht, ja. Aber besser als den Enduser zu "verdummen". Wem soll das denn helfen?
-
@NicholasRush nanu, seit wann gibts nur noch Endkunden und Softwareentwickler? WTF?
Und mehr als den Hersteller nerven können Sie dann nicht, ja. Aber besser als den Enduser zu "verdummen". Wem soll das denn helfen?
Naja gemeint ist der Chip.de, Computerbild und was weiß ich nicht noch alles Leser, welcher dann hinter alles und jedem Programm Schadsoftware meint zu erkennen. Die Hersteller Nerven, wird meistens auch nicht viel bringen, zumindest hierzulande, in den USA sieht das schon anders aus. Und die Leute dumm zu halten indem die Nachrichten zurückgehalten werden meinte ich so nicht, wie "monstermania" meinen Post interpretiert hat. Ich finde es lediglich nicht gut wie z.B. Golem, Chip.de und Heise (Presse) mit der Sache umgegangen sind. Teilweise sind da Artikel bei rausgekommen, die nicht mal gut recherchiert waren, und für eben diesen "Normaluser" der auf diese Informationen angewiesen ist oder es glaubt zu sein für den ist das dann die Panikmache. Und diese kommen dann zu Leuten wie mir und ich darf denen dann alles nochmal richtig erklären, daher.
Denn es ging mit Intel los, wo man anfing mit der Behauptung, alle CPUs wären betroffen, jetzt sind es doch nicht alle CPUs. Etwas später waren dann auch "plötzlich" alle AMD und vor allem auch die neuen AMD CPUs auch betroffen. Obwohl man schon bei Heise anfangs behauptete Ryzen CPUs seinen definitiv nicht betroffen!
Und darum geht es. Hätte man das ganze anders behandelt vielleicht die Pressemitteilungen von AMD und Intel 1-2 Tage gesammelt, statt überstürzt zu berichten wäre das so nicht passiert.
Und das der Normaluser nichts ändern kann, ist so schon ganz richtig, denn außer ein Softwareupdate vom Bios von Windows aus sind leider sehr viele nicht imstande. Und in wie vielen fällen die Hardware das dann überlebt ist wieder eine andere Frage.
Zugegeben das der PC Markt schrumpft ist kein Geheimnis, aber man muss den Markt mal komplett betrachten. Microsoft bietet z.B. keinen Support für Win7 und Win8 auf Intel Kaby-Lake Prozessoren mehr an. Statt sich das nur darauf beschränkt das im Falle von Softwarefehlern es keine gesonderten Updates gibt, sind die so dreist und sperren für diese CPUs Windows Updates generell. Jetzt kommt obendrauf noch die Meltdown/Spectre Nachricht. Firmen die alle 3-4 Jahre ihre Leasinggeräte tauschen trifft das wahrscheinlich nicht so hart. Aber jetzt müssen in den nächsten Jahren nach Möglichkeit alle alles austauschen. Weil dieser Fehler eben nicht einfach mit einem Update gefixt werden kann. Und ein Microcode Update kann nur in einem sehr begrenztem Rahmen Fehler eindämmen aber niemals beheben.
Eine Appillance wie OPNsense sehe ich auch eher nicht betroffen davon, ebenfalls wie Netzwerkswitche etc.
In allem anderen Stimme ich dir zu @JeGr