Jakob Ginzburg
Urgestein
- Mitglied seit
- Jun 17, 2018
- Beiträge
- 843
- Bewertungspunkte
- 290
- Punkte
- 63
News Sättigendes aus der Gerüchteküche: Intel 10nm Ice Lake und AMD Ryzen 3000 im Benchmark
- Themenstarter Jakob Ginzburg
- Beginndatum
"Hürde": Natürlich, analog den meisten Intel-Lücken, aber keinesfalls so abwegig und theoretisch, dass man sie ignorieren kann. Und wenn man sich tatsächlich diese Arbeit macht, dann wäre das besonders fatal, weil sowohl Intels ME als auch AMDs Secure Processor komplett außerhalb der Kontrolle der CPU arbeiten.
Und bei Intels ME in Verbindung mit AMT (vPro) wirds dann ganz krude, da diese bspw. standardmäßig über einen eigenen out-of-band Kommunikationskanal über das Ethernet-Interface verfügt, den man selbst bei ausgeschaltetem PC ansteuern kann, solange zumindest eine Standby-Spannung anliegt oder ein Akku dranhängt. (Was AMDs Lösung zur Fernadministration im Detail kann, weiß ich nicht so genau.)
"Kommunikation/Problem und Faktoren abschätzen": Ich bezog mich hier ausschließlich auf das danach, während Du hier das davor oder währenddessen beschreibst.
Und hier kann man wohl keinem der beiden Großen eine übermäßige Komminikationsfreude zu diesem Thema unterstellen.
"Meldown-BR": Diese/r wurde Ende 2018 zusammen mit einigen anderen Lücken entdeckt, siehe u. a.:
"Meltdown-BR provides a way to bypass bound checks, which raise exceptions when an out-of-bound value is found. It exploits transient execution after such an exception to capture out-of-bounds secrets that wouldn't otherwise be accessible.
The researchers demonstrated their attack on an Intel Skylake i5-6200U CPU with MPX support, an AMD 2013 E2-2000 and an AMD 2017 Ryzen Threadripper 1920X. They note this is the first time a Meltdown-style transient execution attack has been shown to be able to take advantage of delayed exception handling on AMD hardware."
"abwegig und grundsätzlich": Einfache Logik. Anschaulich ist hier vielleicht der Witz mit dem Mathematiker und dem schwarzen Schaf.
Ein Informatiker, ein Physiker und ein Mathematiker fahren im Zug durch Schottland. Sie sehen aus dem Fenster ein einzelnes, schwarzes Schaf auf einer Weide grasen.
Der Informatiker schlussfolgert: "Schafe in Schottland sind schwarz."
Der Physiker verbessert: "Das ist nicht ganz korrekt. In Schottland gibt es schwarze Schafe."
Der Mathematiker seufzt: "In Schottland gibt es auf mindestens einer Weide mindestens ein Schaf, das auf mindestens einer Seite schwarz ist."
Schön hat es auch Nassim Taleb in seinem Buch dargelegt, in dem er erklärt, dass in der Alten Welt alle Menschen der Überzeugung waren, dass Schwäne weiß seien. Diese Überzeugung war unanfechtbar, da sie durch empirische Evidenz vollkommen bestätigt zu werden schien, denn in all den vorausgegangenen Jahrhunderten berichtete noch niemals jemand etwas Gegenteiliges ... bis Australien entdeckt wurde. Konkret schreibt er zur Bedeutung: "Sie [die Anekdote] veranschaulicht eine schwerwiegende Beschränkung bei unserem Lernen durch Beobachtung oder Erfahrung und die Zerbrechlichkeit unseres Wissens. Eine einzige Beobachtung kann eine allgemeine Feststellung, die aus Jahrtausenden von bestätigten Sichtungen von Millionen weißer Schwäne abgeleitet wurde, ungültig machen."
Aber um es kurz zu machen: Niemand hat bewiesen, dass AMDs Plattform und Architektur grundsätzlich sicherer ist. Aktuell deutet einiges darauf hin, mehr aber auch nicht. Und selbst mit diesen Hinweisen haben wir ein Problem, da grundsätzlich verstärkt Intel im Fokus der Betrachtungen steht. (Was sich vielleicht ändern wird, wenn den Sicherheitsforschern bei Intel die Ideen ausgehen werden oder wenn AMDs Marktanteile signifikant zu steigen beginnen.)
Die fehlende Kenntnis um mögliche Sicherheitslücken darf einen nicht zu der Aussage verleiten, dass es keine Sicherheitslücken gibt.
Tjo, negative Tatsachen („keine Probleme / Sicherheitslücken / nichts verschwiegen“) lassen sich halt einfach echt verdammt schwer belegen bzw. verargumentieren.
Das gilt allgemein und für uns hier damit auch. Dann kommt noch die Tatsache hinzu, dass - gerade im Internet, aber auch generell - die Bereitschaft, die eigene Meinung offen in der Diskussion zu ändern und die eines anderen anzunehmen (!), gegen Null tendiert. Da sind unbelehrbare Fanbois noch gar nicht berücksichtigt.
Irgendwann ist halt alles gesagt, nur vielleicht noch nicht von jedem...
Das gilt allgemein und für uns hier damit auch. Dann kommt noch die Tatsache hinzu, dass - gerade im Internet, aber auch generell - die Bereitschaft, die eigene Meinung offen in der Diskussion zu ändern und die eines anderen anzunehmen (!), gegen Null tendiert. Da sind unbelehrbare Fanbois noch gar nicht berücksichtigt.
Irgendwann ist halt alles gesagt, nur vielleicht noch nicht von jedem...
Wie viel Aufwand musste man für den L4-Kernel betreiben, damit man seine formale Richtigkeit beweisen konnte? 7500 Zeilen C-Code mit knapp 200.000 Zeilen der entsprechende Sprache?
Man könnte den Aufwand für die CPU sicher auch mal angehen, am Ende wäre damit aber dann nur die CPU sicher. Im Endeffekt ist ist „Sicherheit“ eine Utopie.
Man muss in dem Fall aktuell auch nicht beweisen, dass AMD sicherer ist oder Intel. Wie du sagst, es gibt Hinweise dass die eine Plattform aktuell sichere erscheint - ist hier wohl die bessere Wortwahl. Das kann sich aber morgen schon ändern.
Fehler sind Menschlich.
Habe ich auch nicht geschrieben. Aber der Kontext ist da immer wichtig, ab wann ich etwas ausnutzen kann. Bediene ich mich mal einer Poker-Metapher: Der Adminzugang ist der Straight-Flush und diese Lücken dann der Royal-Flush.
Am Ende des Tages werden wir sehen, was passiert.
Dark_Knight
Urgestein
- Mitglied seit
- Aug 20, 2018
- Beiträge
- 1.008
- Bewertungspunkte
- 380
- Punkte
- 84
@ackagent
Du bist auf Ignore, weil du einfach nur rumstänkern willst gegen AMD, was auch immer dir das Unternehmen getan hat. Und grundsätzlich kommen von dir Posts immer nur dann, wenn ein anderer User etwas gegen Intel sagt. Das ist mit diesem Forenaccount so, wie auch mit dem letzten, der offenbar nicht mehr existiert. Daher wirst du ignoriert. Ich muss halt so etwas nicht lesen. So einfach ist das.
Du bist auf Ignore, weil du einfach nur rumstänkern willst gegen AMD, was auch immer dir das Unternehmen getan hat. Und grundsätzlich kommen von dir Posts immer nur dann, wenn ein anderer User etwas gegen Intel sagt. Das ist mit diesem Forenaccount so, wie auch mit dem letzten, der offenbar nicht mehr existiert. Daher wirst du ignoriert. Ich muss halt so etwas nicht lesen. So einfach ist das.
QuFu
Veteran
@Dark_Knight Ich bin vielleicht etwas naiv, aber ich habe immer die Hoffnung, dass jeder sich weiterentwickeln kann, wenn er denn die Zeichen wahrnimmt.
Lange her, aber ich war auch mal so etwas, was man einen 3dfx-Fanboy nennen könnte. :-D Und besser hätte das Kartenhaus echt nicht zusammenfallen können. Eine schicke Idee (modulare Chips, ich find so etwas ja elegant), die aber leider so gar nicht konkurrenzfähig war... Oder das Gebrüll bei HDDs: Nie wieder dies oder das! Bringt doch nix, alles auf eine auserwählte Karte zu setzen. Und über kurz oder lang macht man sich damit auch noch lächerlich.
Wenn man ein Thema wirklich objektiv betrachten will, muss man es so betrachten, so wie der Mathematiker in Schottland. Ansonsten baut man schon von Anfang an Mist. (Obwohl der Informatiker das auch drauf haben sollte, sonst überlebt er das Grundstudium nicht, aber das ist ein ganz anderes Thema. :-D ) Leider im Alltag nicht immer umsetzbar, wegen der blöden real time... ;-) Aber Entwicklungen bei CPUs und GPUs... da ist ja wirklich genug Zeit "zwischendurch", objektiv zu sein, vorrausgesetzt man will das überhaupt. Wer will schon gerne zugeben, dass er manchmal nur weiß, dass er gerade gar nichts (genereller worst case, keine Anspielung) weiß. Selbstreflektion, bla...
Ach, das mit dem Whataboutism fällt wirklich sehr auf. Einer der unsympathischsten Schachzüge der Gesprächskultur. Hat einen hohen Wiedererkennungswert im Einzelfall. Nur so als Hinweis an die entsprechende Person...
Lange her, aber ich war auch mal so etwas, was man einen 3dfx-Fanboy nennen könnte. :-D Und besser hätte das Kartenhaus echt nicht zusammenfallen können. Eine schicke Idee (modulare Chips, ich find so etwas ja elegant), die aber leider so gar nicht konkurrenzfähig war... Oder das Gebrüll bei HDDs: Nie wieder dies oder das! Bringt doch nix, alles auf eine auserwählte Karte zu setzen. Und über kurz oder lang macht man sich damit auch noch lächerlich.
Wenn man ein Thema wirklich objektiv betrachten will, muss man es so betrachten, so wie der Mathematiker in Schottland. Ansonsten baut man schon von Anfang an Mist. (Obwohl der Informatiker das auch drauf haben sollte, sonst überlebt er das Grundstudium nicht, aber das ist ein ganz anderes Thema. :-D ) Leider im Alltag nicht immer umsetzbar, wegen der blöden real time... ;-) Aber Entwicklungen bei CPUs und GPUs... da ist ja wirklich genug Zeit "zwischendurch", objektiv zu sein, vorrausgesetzt man will das überhaupt. Wer will schon gerne zugeben, dass er manchmal nur weiß, dass er gerade gar nichts (genereller worst case, keine Anspielung) weiß. Selbstreflektion, bla...
Ach, das mit dem Whataboutism fällt wirklich sehr auf. Einer der unsympathischsten Schachzüge der Gesprächskultur. Hat einen hohen Wiedererkennungswert im Einzelfall. Nur so als Hinweis an die entsprechende Person...
Fuß vom Gas, sonst ist eine Verwarnung Dein kleinstes Problem!
@ackagent
Du bist auf Ignore, weil du einfach nur rumstänkern willst gegen AMD, was auch immer dir das Unternehmen getan hat. Und grundsätzlich kommen von dir Posts immer nur dann, wenn ein anderer User etwas gegen Intel sagt. Das ist mit diesem Forenaccount so, wie auch mit dem letzten, der offenbar nicht mehr existiert. Daher wirst du ignoriert. Ich muss halt so etwas nicht lesen. So einfach ist das.
Du bist so unglaublich ...., dass du noch nicht mal weißt was Ignore eigentlich ist. Wie sonst willst du mir jetzt geantwortet haben, wenn ich doch schon lange auf Ignore bin? Manche Leute. Bleib in deiner Filterblase. AMD hat keine Sicherheitslücken! Intel ist der Böse! AMD will nur das Beste für dich!
Zuletzt bearbeitet
:
Na der Vergleich geht dann doch zu weit; da solltest Du schon ein paar Bedingungen aus der Liste streichen
Beispielhaft würde ich hier nur einmal auf Rowhammer und dessen Entwicklung über die Jahre verweisen. Erste Meldungen erfolgten im Juni 2014 und seit dem wurden die Möglicheiten und Varianten sukzessive erweitert. Beispielsweise demonstrierte man in 2016 mit Drammer ein Android-App, die relativ zuverlässig root-Rechte auf einer Vielzahl aktueller Smartphones erlangen konnte und das lag nicht etwa an grundsätzlichen Unsicherheiten in Android oder der ARM-Architektur (Entsprechendes wurde auch schon zuvor für x86/Linux demonstriert). Das fast noch größere Problem ist, dass diese Technik quasi architekturunabhängig funktioniert und dass sich nur schwer Techniken dagegen implementieren lassen. Zumindest glaubte/hoffte man bisher, dass wenigstens ECC-Speicher dem Problem Einhalt gebieten könnte, aber weiterführende Untersuchungen Ende 2018 habe gezeigt, dass selbst ECC kein unüberwindbares Hindernis darstellt.
Hinzu kommt die Überlegung, dass es neben den offensichtlichen Interessengruppen auch noch andere Gruppierungen gibt, die ihre Erkenntnisse eher nicht in Forschungspapieren und der Presse publik machen ...
Vielleicht ein Missverständnis: ich meinte den Admin-Zugang auf der root-OS-Ebene (also z.B. Hypervisor, Cloud-OS oder was eben sonst "ganz unten" auf dem System werkelt). Meinte also nicht den Admin-Zugang z.B. auf Ebene einer VM.
Hab mich da wahrscheinlich unklar ausgedrückt bzw. auch den vorherigen Kontext außer Acht gelassen.
Hab mich da wahrscheinlich unklar ausgedrückt bzw. auch den vorherigen Kontext außer Acht gelassen.
Case39
Urgestein
Ich bin mir nicht sicher, ob alle bekannten Sicherheitslücken, irgendeine Relevanz für den 08/15 User haben?
Im Unternehmensumfeld oder Behördenkreis sieht das natürlich anders aus.
Im Unternehmensumfeld oder Behördenkreis sieht das natürlich anders aus.
@Besterino: Den Begriff VM escape attacks gibt es bereits. Beispielsweise der Xen Hypervisor hatte hier in 2015 ein böses Erwachen und bspw. VMware musste Ende 2018 ESXi patchen, da man über einen virtuellen Netzadapter aus der VM ausbrechen und Code auf dem Host ausführen konnte.
In Verbindung mit Flip Feng Shui und Rowhammer demonstrierte man in 2016 wie man aus einer VM heraus andere VMs auf dem System kompromittieren kann, wenn Memory Deduplication genutzt wird. In einer zweiten Stufe demonstierte man die komplette Übernahme "benachbarter" VMs, indem man sie dazu brachte, manipulierte SW-Pakete ohne Warnmeldungen zu installieren.
@Case39: Alle irgendwie bekannten ... nein, natürlich nicht. Schlussendlich sollte man aber auch immer im Hinterkopf behalten, dass wahrscheinlich mehr möglich ist, als allgemein bekannt ist. Und wenn man rein das geschäftliche Umfgeld betrachtet, dann kann man bei lohnenden Zielen auch immer von kombinierten Angriffen ausgehen, die zuerst Informationen sammeln und die Infrastruktur analysieren, spezielle Ziele mit individuellen Techniken angreifen und am Ende steht weiterhin das Social Engineering, da sich vielfach immer noch der Mensch als das schwächste Glied der Kette herausstellt (trotz bereits jahrelanger Aufklärung).
Aber um hier die Kurve zu bekommen ... mit Ryzen 3000/Epyc 2 und Ice Lake U/SP (und irgendwann S) wird dann alles besser ... zumindest bis ...
In Verbindung mit Flip Feng Shui und Rowhammer demonstrierte man in 2016 wie man aus einer VM heraus andere VMs auf dem System kompromittieren kann, wenn Memory Deduplication genutzt wird. In einer zweiten Stufe demonstierte man die komplette Übernahme "benachbarter" VMs, indem man sie dazu brachte, manipulierte SW-Pakete ohne Warnmeldungen zu installieren.
@Case39: Alle irgendwie bekannten ... nein, natürlich nicht. Schlussendlich sollte man aber auch immer im Hinterkopf behalten, dass wahrscheinlich mehr möglich ist, als allgemein bekannt ist. Und wenn man rein das geschäftliche Umfgeld betrachtet, dann kann man bei lohnenden Zielen auch immer von kombinierten Angriffen ausgehen, die zuerst Informationen sammeln und die Infrastruktur analysieren, spezielle Ziele mit individuellen Techniken angreifen und am Ende steht weiterhin das Social Engineering, da sich vielfach immer noch der Mensch als das schwächste Glied der Kette herausstellt (trotz bereits jahrelanger Aufklärung).
Aber um hier die Kurve zu bekommen ... mit Ryzen 3000/Epyc 2 und Ice Lake U/SP (und irgendwann S) wird dann alles besser ... zumindest bis ...
Dark_Knight
Urgestein
- Mitglied seit
- Aug 20, 2018
- Beiträge
- 1.008
- Bewertungspunkte
- 380
- Punkte
- 84
@QuFu
Du hast absolut recht. Und es spricht ja auch nichts dagegen, sich für eine bestimmte Firma zu entscheiden und bevorzugt deren Produkte zu kaufen. Wenn man aber von Grund auf die Produkte anderer Firmen ablehnt und die Firmen hinter den Produkten immer nur schlecht macht, teils sogar mit Diffamierung, Beleidigung oder Lügen verbreitet. Dann tut es mir leid, aber mit so einem User brauche ich keine Diskussion zu führen. Und wenn dann auch noch Beleidigungen dazu kommen, dann bin ich da halt einfach nicht bereit diesen User zu lesen.
Von daher Ignore Liste und gut ist.
Du hast absolut recht. Und es spricht ja auch nichts dagegen, sich für eine bestimmte Firma zu entscheiden und bevorzugt deren Produkte zu kaufen. Wenn man aber von Grund auf die Produkte anderer Firmen ablehnt und die Firmen hinter den Produkten immer nur schlecht macht, teils sogar mit Diffamierung, Beleidigung oder Lügen verbreitet. Dann tut es mir leid, aber mit so einem User brauche ich keine Diskussion zu führen. Und wenn dann auch noch Beleidigungen dazu kommen, dann bin ich da halt einfach nicht bereit diesen User zu lesen.
Von daher Ignore Liste und gut ist.
Genie_???
Veteran
- Mitglied seit
- Jan 13, 2019
- Beiträge
- 219
- Bewertungspunkte
- 69
- Punkte
- 30
Dein Post ist zwar schon etwas her, aber solche abstrusen Behauptungen, (oder sollte ich sie vielleicht sogar Lügen nennen?) kann ich einfach nicht so stehen lassen.
Wenn ich so etwas behaupte, sollte ich Beweise bringen können.
Den einzigen Beweis den du anbringst ist: "Ich habe nichts gefunden"
Leider scheinst ja nicht Willens oder in der Lage zu sein eine entsprechende google Suche durchzuführen.
Daher hab ich das mal für dich gemacht.
https://www.google.de/search?q=amd+processor+vulnerabilities+ryzenfall+fallout+chimera+masterkey+update+patch&newwindow=1&biw=1180&bih=613&source=lnt&tbs=cdr:1,cd_min:5/20/2018,cd_max:7/5/2019&tbm=
Du darfst dir dort gern etwas aussuchen.
Einfach ein Stückchen herunter scrollen und Du bekommst beispielsweise folgenden Link:
https://support.hp.com/us-en/document/c05950716
oder:
https://support.hpe.com/hpesc/public/km/search#q=Fallout Masterkey&t=All&sort=relevancy
Statement von AMD zu dem Vorgang:
https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research
CTS ist übrigens eine ganz abstruse "Bude" welche diese Veröffentlichungen zu Aktienleerverkäufen genutzt hat.
Sie haben also ein falsches Spiel gespielt. Merkt man auch schon daran, das sie AMD großzügige 2 Tage Zeit gegeben haben.
Böse Zungen behaupten, das CTS von Intel oder einer verbundenen Organisation beauftragt wurde. Dafür habe ich aber im Moment keinen Beweis.
Das ganze nur mal so als Beispiel, da ich meine Zeit ja auch nicht gestohlen habe.
Wenn HP alle seine Rechner gefixt hat, dann sollte man das vom Rest der Hersteller eigentlich auch erwarten können.
Das schreiben dieses Textes hat jetzt min. 3-4 x länger als die google Suche gedauert. Was war also daran so schwierig?
Welcher Gedankengang, hat dich überhaupt dazu gebracht anzunehmen AMD würde überhaupt nichts machen?
Bevor Du also das nächste mal unwahre Behauptungen verbreitest, besser recherchieren
oder ein anderes Forum mit dümmeren oder leichtgläubigeren Usern suchen.
Mich würde mal interessieren, was Du dazu zu sagen hast?
Vielleicht wäre auch eine förmliche Entschuldigung gegenüber dem Forum angebracht?
Edit: Hier kannst mal eine richtig gute Recherche zu dem CTS Vorgang lesen:
https://www.gamersnexus.net/industry/3260-assassination-attempt-on-amd-by-viceroy-research-cts-labs
Zuletzt bearbeitet
:
Dark_Knight
Urgestein
- Mitglied seit
- Aug 20, 2018
- Beiträge
- 1.008
- Bewertungspunkte
- 380
- Punkte
- 84
Es ist zwar lobenswert, das du dir jetzt die Mühe gemacht hast, diesem User zu zeigen, dass er falsche Aussagen gemacht hat. Aber da es ein Zweitaccount, eines wohl gesperrten Users war, da der Account auch wohl wieder gesperrt wurde (das vermute ich mal, da man wie beim ersten Account nicht mehr auf das Profil zugreifen kann), war die Mühe leider umsonst.
Und selbst wenn, dieser User gehörte zur Riege blinder Hater. Da könnte man noch so viele Fakten bringen, er würde trotzdem weiter gegen AMD schießen.
Und selbst wenn, dieser User gehörte zur Riege blinder Hater. Da könnte man noch so viele Fakten bringen, er würde trotzdem weiter gegen AMD schießen.
Dark_Knight
Urgestein
- Mitglied seit
- Aug 20, 2018
- Beiträge
- 1.008
- Bewertungspunkte
- 380
- Punkte
- 84
Glaubst du das wirklich?
Genie_???
Veteran
- Mitglied seit
- Jan 13, 2019
- Beiträge
- 219
- Bewertungspunkte
- 69
- Punkte
- 30
Diesen User kann man wohl wirklich nicht überzeugen.
Ich glaube aber, diese Sorte von Leuten, wollen auch nur Zweifel bei unbedarften Usern sähen. Wenn jmd. z.B. über google oder beim Schmöckern auf seine Aussage trifft, könnten beim gewöhnlichen DAU schon Zweifel an der Integrität AMD´s genährt werden.
Vielleicht wird er ja sogar von einer mit Intel verbundenen Organisation für diesen Mist bezahlt? Wer weiß????
Solche Sachen gehören heutzutage leider für manche Wettbewerber zum normalen Marketing hinzu. Nur haben das bis jetzt leider nur wenige begriffen.
Auch um dem entgegen zu wirken, habe ich diesen Text geschrieben und auch den Link nach gamersnexus.net eingefügt.
Dann kann sich jeder selbst ein Bild machen.
Ich bin mit Sicherheit kein "Fanboy" irgendeines Konzerns.
Was ich aber mit Sicherheit bin: Ein Freund sauberer Geschäftspraktiken und ehrlicher Arbeit.
