Jullie mening over veiligheid bij SMT/hyperthreading

[Mortov Molotov]

Dag iedereen,

ben in de voorbereidende fase mbt aankoop nieuwe pc, maar hier zou ik het willen hebben over het onderwerp veiligheid bij simultaneous multi-threading.

Naar aanleiding van een nieuwe reeks MDS vulnerabilities en o.a. deze post op tweakguides.com (2 juni 2019), ben ik me wat beginnen verdiepen in de kenmerken van CPU's, en in het bijzonder over SMT.

De vermelde post op tweakguides.com en de referenties erbij (hier en hier) suggereren om bij Intel hyperthreading af te zetten

Intussen verzekert AMD zich ervan dat hun chips niet gevoelig zijn aan de meest recente MDS vulnerabilities. Dit leidde ertoe dat mijn voorkeur uitging naar een PC met een X570 mobo en een Ryzen 3000 CPU.

Maar uiteraard ben ik niet zo naïef om zomaar AMD op zijn woord te geloven; ben geen fanboy, wil gewoon de beste hardware voor mijn huidige situatie.

En bovendien suggereren de vermelde posts in de op één na laatste paragraaf hierboven evengoed dat elke vorm van SMT eigenlijk als een security issue dient te worden beschouwd, en evengoed de zaak in BIOS te blokkeren.

Het vervelende is dat de performance van die Ryzen 3000 deels uit SMT lijkt te komen. Anderzijds zal de bulk van de prestaties op die PC dienen voor gaming, waarbij de focus tot nader order vooral op een single process lijkt te liggen.


Ik weet het niet goed meer hoor.... enerzijds neig ik naar AMD Ryzen 3700x of 3800x, vooral mbt de huidige stand van zaken ivm security. Maar anderzijds wil ik ook geen kat in een zak kopen, als bv. blijkt dat een groot deel van hun prestaties te lijken bestaan bij gratie van SMT (gezien ik deze zou uitzetten).


Jullie bedenkingen hieromtrent?

[boonpwnz]

Je kan ook gewoon een i7 9700k kopen. 8 cores geen hyperthreading

[ubremoved_2964]

Er is geen echte secure oplossing zonder performance drop. Je moet SMT/hyperthreading uitzetten. Ik heb dit recent mogen uitzoeken voor een grote fin. speler, in samenwerking met linux/vmware & secu teams. Ik heb de issue dan nog aangebracht.

Anderzijds is deze bug zeer lastig door een doorsnee script kiddie uit te voeren. Een partij zoals de NSA, een secu researcher of getalenteerde bedrijven zoals Qualys zullen misschien wel er iets mee kunnen.

Maar das nog niet het enige, ook je RAM kan via een side channel attack uitgelezen worden:

https://rambleed.com/

Hiervoor is nog geen oplossing.

Geen PC kopen is ook geen oplossing.

[lanadekat]

Wel op Intel processors lijkt het me veel makkelijker voor NSA/FBI/... om binnen te komen via de Intel Management Engine dan via (SMT) exploits. Waarschijnlijk zal AMD wel iets vergelijkbaars hebben. Nu denk ik niet dat jij een whistleblower bent bij wie 100% veiligheid voorop staat (mocht dat wel zijn, oude processoren zonder IME zijn dan beter, wel hyperthreading uitschakelen)

Maar ik zou me als consument er niet te druk om maken, er is onlangs ook een nieuwe RAM attack gevonden (https://rambleed.com/) die werkt op DDR3 en DDR4 dus zelfs al is je CPU veilig is jouw RAM dat niet. Maar momenteel lijkt de kans mij quasi onbestaand dat iemand zo'n exploits tegen een gemiddelde consument gaat gebruiken.

Edit: ub4b was me voor

[selder]

Als consument moet je hier geen schrik op hebben op je eigen computer thuis. De kans dat dit op een grote serverfarm van een dienst die jij gebruikt (je bank, Google, iCloud,...) is zo goed als onbestaand. De schrik moet eerder voor een kleinschalige of hobby project systeem komen, en dan nog, veel privé gegevens gaan ze daar niet vinden hé...

[ubremoved_2964]

Bij rambleed moet je ook weten waar je moet zoeken, en naar wat je op zoek bent. Gewoon wat random data uitlezen gaat vaak niks opleveren.

Vaak zijn dit soort attacks ook erg traag, dus even heel het geheugen scannen in 1-2-3 zit er ook niet in. Zelfde met die cpu attacks.

Dus een gespecialiseerde hacker met zeer veel low level architecture kennis zal hier misschien iets mee kunnen (bvb het niveau van attacker wat die papers schrijft, dus een echte researcher), maar een doorsnee script kiddie dus niet. Een gewone hacker zoekt naar makkelijkere targets om te exploiten.

[Mortov Molotov]

Je kan ook gewoon een i7 9700k kopen. 8 cores geen hyperthreading

was initieel ook het plan, maar de onderlinge stand is: AMD: Spectre (deels) vs Intel: Spectre (alles), Meltdown, Spoiler, Foreshadow; allemaal structurele problematiek, als gevolg van speculative execution, waardoor Intel zijn CPU's de voorbije jaren heeft gepimpt. Doet me een beetje denken aan Volkswagen & Dieselgate. Enfin, niet dat ik AMD fanboy ben, of ook maar enigszins verwacht dat zij een soort heiligen zijn nu. Maar in de huidige omstandigheden lijkt AMD aan 't langste eind te trekken. Kan volgend jaar volledig anders zijn, maar 't is in de komende maanden dat ik een beslissing moet nemen.

Wel op Intel processors lijkt het me veel makkelijker voor NSA/FBI/... om binnen te komen via de Intel Management Engine dan via (SMT) exploits. Waarschijnlijk zal AMD wel iets vergelijkbaars hebben.

Zonder enige twijfel; maar cfr. hierboven: ik moet afgaan op wat ik nu weet, niks aan te doen.

Nu denk ik niet dat jij een whistleblower bent ....

Wie zal het zeggen?

Maar ik zou me als consument er niet te druk om maken, er is onlangs ook een nieuwe RAM attack gevonden (https://rambleed.com/) die werkt op DDR3 en DDR4 dus zelfs al is je CPU veilig is jouw RAM dat niet. Maar momenteel lijkt de kans mij quasi onbestaand dat iemand zo'n exploits tegen een gemiddelde consument gaat gebruiken.

Zucht, zo kunnen we eeuwig doorgaan.... Als ik in lekentaal de bovenstaande discussie met m'n vrouw voer en ik vermeld dan nog eens die RAMBleed, mag ik er rustig vanuit gaan dat ze mijn enthousiasme over Veracrypt helemaal in het belachelijke gaat trekken...

[ubremoved_29832]

Als je veilig wil zijn en het is optie (eventueel met kvm als plaats een probleem is)...
Hou huidige pc, herinstalleer eventueel met enkel hoognodige programma's en gebruik die voor 'veilige' dingen. Geen probleem om daar performance op te offeren (waarschijnlijk ga je er niks van voelen).
Hou de nieuwe voor gaming, ook daar kan je dan niet zomaar alles doen maar moet je tenminste niet teveel inboeten.

Komende maanden beslissing: tegen september zou zen2 beschikbaar moeten zijn (maar zou blijf je bezig )

[Goztow]

Als je veilig wil zijn : 1 pc die je offline houdt en waar je alle gevoelige data op zet en die je gebruikt voor bijvoorbeeld werk. 1 pc die online gaat voor gamen en de rest. Alsook : geen enkele service gebruiken van Google, Facebook, Dropbox en consoorten. Geen enkele service gebruiken van Amerikaanse bedrijven want die zijn verplicht gegevens te geven aan de Nsa op vraag. Nooit een document van je offline pc mailen want mail is geen veilig protocol. Zeker geen android telefoon want dat is Google en dat is een Amerikaans bedrijf. Encryptie heeft trouwens geen zin want een toekomstige ai gaat die zo kraken.

Misschien moet je voor je data en business applications eens denken aan een server die in een Belgisch datacenter staat en waar je via vps mee verbindt en waar je al je meer zakelijke dingen op dort en opslaat? Fusa heeft momenteel nog wat speciale offertes lopen voor userbasers, kijk eens in het te koop forum.

https://userbase.be/forum/viewtopic.php?f=73&t=55546

Voordeel: je besteedt je veiligheid uit aan professionele firma's die gegevens herbergen voor firma's die veel belangrijker zijn dan jij. Back-up is geregeld. Professionele firewalls. Enzovoort. Enige nadeel je moet altijd online zijn om te kunnen werken.

Of anders ergens een gulden middelweg zoeken en aanvaarden dat een goede hacker toch sowieso aan je gegevens kan net zoals een echte goede dief ook bij je binnen kan (maar wat heb je dat hij zou willen?). In dat geval stel je je niet de vragen die je momenteel hebt.

[Mortov Molotov]

Voor mijn werk moet ik verbinding maken met de VPN om de dossiers te beheren; een offline systeem is aldus niet praktisch.

Dropbox heb ik al vervangen door Tresorit.
Android is op zich geen probleem, de Google apps uiteraard wel; in de praktijk gebruik ik m'n gsm nooit ivm gevoelige data.
Mijn facebook account wordt binnenkort gearchiveerd op m'n pc, en vervolgens onverbiddellijk verwijderd.

Dat Belgisch datacenter lijkt me interessant, thx voor de tip; ik bekijk het eens nader.

Als je veilig wil zijn en het is optie (eventueel met kvm als plaats een probleem is)...

Wat is kvm precies?

Komende maanden beslissing: tegen september zou zen2 beschikbaar moeten zijn (maar zou blijf je bezig )

Ik dacht dat, op de 3950x na, de zen2 processoren vanaf 7/7/19 beschikbaar zouden zijn.

[ubremoved_29832]

Wat is kvm precies?

muis/keyboard/scherm voor verschillende pcs gebruiken, bespaart veel plek en praktischer dan 2de ingang op scherm gebruiken.

Ik dacht dat, op de 3950x na, de zen2 processoren vanaf 7/7/19 beschikbaar zouden zijn.

Release is 7/7, september is dus misschien optimistisch

[DarkV]

Als je veilig wil zijn

… dan moet je gewoon van internet blijven (en zelfs dan zijn er air-gapped attacks).

Tenzij je een bank bent (en zelfs die maken zich amper zorgen) zou ik hier totaal niet van wakker liggen.

[devilkin]

Als je veilig wil zijn

… dan moet je gewoon van internet blijven (en zelfs dan zijn er air-gapped attacks).

Tenzij je een bank bent (en zelfs die maken zich amper zorgen) zou ik hier totaal niet van wakker liggen.

Bron voor dat laatste?

Sent from my Lenovo TB-X304F using Tapatalk

[heist_175]

PSD2 vereist dat banken API's openstellen voor derden,
wat in de praktijk betekent dat het mainframe plots aan het internet hangt .

[selder]

Ge ziet wat wat onvolledige en soms zelfs foute berichtgeving in mainstream media teweeg kan brengen... Als het dan nog door de fanboys van het groene kamp nog van het nodige drama voorzien wordt is het maar moeilijk om van dat idee af te stappen... Geen wonder dat Team Blue zich er niet al teveel van aantrekt.

[devilkin]

PSD2 vereist dat banken API's openstellen voor derden,
wat in de praktijk betekent dat het mainframe plots aan het internet hangt .

Euhm. Nog nooit van api gateways gehoord?

Sent from my ONEPLUS A6003 using Tapatalk

[DarkV]

Bron voor dat laatste?

Persoonlijke ervaring als consultant (het overige is geheim).

wat in de praktijk betekent dat het mainframe plots aan het internet hangt .

Systemen moeten heus niet aan het internet hangen om kwetsbaar te zijn... dit alles kan ook gebeuren vanaf een geinfecteerde PC op het interne netwerk.

[Mortov Molotov]

Ge ziet wat wat onvolledige en soms zelfs foute berichtgeving in mainstream media teweeg kan brengen... Als het dan nog door de fanboys van het groene kamp nog van het nodige drama voorzien wordt is het maar moeilijk om van dat idee af te stappen... Geen wonder dat Team Blue zich er niet al teveel van aantrekt.

Hey Selder, wat bedoel je hier precies mee?

PSD2 vereist dat banken API's openstellen voor derden,
wat in de praktijk betekent dat het mainframe plots aan het internet hangt .

Euhm. Nog nooit van api gateways gehoord?

Wat zijn dat precies?

[selder]

Hey Selder, wat bedoel je hier precies mee?

Dat het een dankbaar onderwerp is om mensen bang over te maken. Ja, er is een probleem, maar het is zo ingewikkeld, moeilijk en vooral tijdrovend om het beveiligingsgat te misbruiken dat er geen onmiddellijk gevaar is eindgebruikers. Niet gespecialiseerde websites berichten er dan in alle geuren en kleuren over zonder er dieper op in te gaan, en via social media gooien voorstanders van AMD (en/of tegenstanders van Intel) nog wat meer olie op het vuur.

Trek er u allemaal zoveel niet van aan, de kans dat je ooit met die exploit gaat ge maken hebben is zo klein dat je meer kans hebt om de lotto te winnen terwijl je door een bliksem geraakt wordt.

[DaNi0]

Dat het een dankbaar onderwerp is om mensen bang over te maken.

Ja, er is een probleem, maar het is zo ingewikkeld, moeilijk en vooral tijdrovend om het beveiligingsgat te misbruiken dat er geen onmiddellijk gevaar is eindgebruikers.

Als ik de berichten van Selder zo lees, wanneer hij het heeft over bangmakerij en hoe ingewikkeld het allemaal niet is, dan doet me dat een beetje denken aan de ontkenners van klimaatverandering...

Niet gespecialiseerde websites berichten er dan in alle geuren en kleuren over zonder er dieper op in te gaan

Wat de media vertelt moet je ook niet te veel van geloven blijkbaar...

Maar even serieus, ik denk niet dat de gemiddelde UB'er zijn technieuws van HLN haalt. Trouwens Intel zegt het zelf dat lokale malware hierdoor gevoelige informatie zoals wachtwoorden kan buitmaken, door het beschermd geheugen van andere programma's uit te lezen.
(hier ging het om Spectre/Meltdown)

Proof-of-conceptcode en demo's die hier misbruik van maken zijn online te vinden.
https://github.com/IAIK/meltdown
https://meltdownattack.com/#faq-demo-video

de kans dat je ooit met die exploit gaat ge maken hebben is zo klein dat je meer kans hebt om de lotto te winnen terwijl je door een bliksem geraakt wordt.

De kans is klein maar laat ons niet overdrijven. Als je systeem up-to-date is dan ben je grotendeels* beschermd door de software mitigations in Windows, Linux, ... Maar je betaalt er wel een performantiekost voor.

* Als je op zeker wil spelen, moet je inderdaad HT afzetten.

[selder]

Die website is geregistreerd op 22 december 2017, en in de FAQ staat nog altijd:

Has Meltdown or Spectre been abused in the wild?

We don't know.

Als jij je hierover dan nog zorgen wil maken, mij goed.

Wat het met het klimaat te maken heeft zie ik niet direct, daarvoor je had beter gisteren naar Canvas gekeken - dan zou je weten dat het voor dat onderwerp wél 11h59 is.