LN-Waschpress

Kategorie: Hardware

  • Intel kündigt halbherzige Fixes für Whiskey Lake an

    Whiskey Lake
    Bild: Public Domain

    Intel hat vor wenigen Tagen die neue Prozessor-Reihe Whiskey Lake vorgestellt, ließ dabei aber völlig unerwähnt, dass die für Mainstream-Notebooks ausgelegten Whiskey-Lake-CPUs die erste Prozessor-Reihe für den Endverbraucherbereich sein wird, die im Silizium Maßnahmen gegen die eklatanten Sicherheitslücken in Intels CPUs  mitbringt.

    Stillschweigen

    Das Verschweigen einer eigentlich doch sehr berichtenswerten Maßnahme hat natürlich seinen Grund: Die Umsetzung für Whiskey Lake ist bestenfalls als halbherzig zu bezeichnen. Die gleichzeitig vorgestellte Amber-Lake-Reihe erhält keine Bereinigung im Silizium. Beide Plattformen stellen optimierte Varianten der Kaby-Lake-Microarchitektur dar. Intels Entschuldigung für das Verschweigen der Informationen war, man habe das Interesse der Öffentlichkeit hieran unterschätzt.

    Halbherziger Whiskey Lake

    Der Industrieanalyst Ashraf Eassa hat die Nachricht gestern als erster verbreitet, Tom’s Hardware holte dann von Intel die Bestätigung ein. Intel-Vertreter bestätigten daraufhin, dass Whiskey-Lake-Chips die ersten In-Silizium-Mitigationen auf den Verbrauchermarkt bringen.  Dabei erhalten die Whiskey-Lake-CPUs lediglich Mitigationen für Meltdown und L1TF, die eigentlich viel gefährlicheren Spectre-Varianten bleiben völlig außen vor.

    Cascade-X kann mehr

    Warum das der Fall ist, bleibt vorerst Intels Geheimnis. Das auch zumindest die Spectre-Variante 2 im Silizium zu beheben ist, belegen die Server-CPUs der Cascade-Lake-X-Baureihe, die noch 2018 erscheinen sollen. Intel sagt dazu, die Mitigationen gegen Spectre v2 sollen mit der Zeit auch auf die Consumer-Chips ausgeweitet werden. Genauere Informationen über die Natur der Änderungen im Silizium hat Intel bisher nicht preisgegeben. Ob die Intel CPUs der neunten Generation, die gerüchteweise im Oktober angekündigt werden sollen, auch Mitigationen auf Hardware-Ebene bieten werden, unde wenn ja, wie weit, ist bisher nicht bekannt.

    Abwarten oder zur Konkurrenz

    Da seit der ersten Veröffentlichung der katastrophalen Sicherheitslücken im Januar ständig neue Lücken aufgetaucht sind, wergibt es vermutlich wenig Sinn, sich bereits bei den jetzt angekündigten Prozessorreihen neu einzudecken. Das gilt natürlich nur dann, wenn Intel als CPU-Lieferant überhaupt noch in Frage kommt.

  • Intel bestätigt Gerüchte um diskrete Grafikkarte

     

     

     

     

    Diskrete Grafikkarte
    Bild: Graphikarte mit Intel i740 | Quelle: Wikimedia | Lizenz: GFDL

     

    In einem kurzen Promotion-Video, das anlässlich der SIGGRAPH2018 Konferenz veröffentlicht wurde, bestätigt Intel hartnäckige Gerüchte, der Konzern arbeite an einer diskreten Grafikkarte. In den letzten  Jahren hatte Intel Grafikkerne nur als Teil der CPU verkauft.

    Zunächst gescheitert

    Allerdings ist Intels Plan, eine selbstständige Grafikkarte zu vermarkten, nicht der erste Ausflug des Konzerns in diese Richtung. Bereits 1998, vor 20 Jahren, hat Intel einen diskreten Grafikchip auf den Markt gebracht. Dieser hörte auf den Namen Intel740, kurz  i740, trug den Codenamen Auburn und erlebte seinen zweiten Geburtstag nicht.

    AGP war schuld

    Der Chip, den Intel auf eigenen Karten anbot, wurde damals im 350nm-Prozess hergestellt – heute ist man bei 14nm – und bediente die AGP-Schnittstelle. Intel hatte gehofft, mit dem i740 den AGP-Port zu popularisieren, während die meisten Grafikanbieter noch PCI nutzten. Im Februar 1998 mit großem Aufwand für 34,50 US-Dollar auf den Markt gebracht, entsprach die Karte nicht der erwarteten Leistung und verschwand nach wenigen Monaten bereits wieder aus dem Fokus der Anwender. Im August 1999, nach weniger als 18 Monaten, zog Intel die i740 vom Markt zurück.

    Intel versuchte das Debakel abzumildern und entwarf verbesserte Versionen in Form der Chips  i752 und i754, die doppelte beziehungsweise vierfache AGP-Leistung brachten, hatte jedoch auch damit keinen Erfolg. Karten mit dem i752 erreichten den Markt, konnten die Leistung der i750 jedoch nur marginal verbessern. Die i754 wurde daraufhin erst gar nicht veröffentlicht. Die i752- und i754-Kerne wurden später für die integrierte Grafik in den Intel-Chipsätzen 810 und 815 verwendet. In späteren Analysen erhielt dieAGP-Schnittstelle den schwarzen Peter.

    Zweiter Versuch

    Jetzt folgt also ein weiterer Anlauf von Intel in Sachen diskrete Grafikchips. Die derzeitigen HD-Grafik-Chips des Herstellers bieten 4K-Video und hardwareunterstütztes Video-Encoding, lassen aber einen großen Teil der Gamer und Grafikdesigner außen vor. Auch Data-Center und Artificial Intelligence (AI) kommen nicht ohne AMD oder Nvidia aus.

    Letztes Jahr gab es erste Hinweise auf Intels Pläne, als das Unternehmen den AMD-Vizepräsidenten und ehemaligen Apple-Grafik-Chef Raja Koduri als Vizepräsident und Chief Architect seiner Grafikabteilung anheuerte. Intel CEO Brian Krzanich verriet bereits im Juni, kurz vor seinem Ausscheiden, 2020 werde Intel in den Markt einsteigen.

    Wenig Details

    Krzanich ging nicht im Detail darauf ein, welches Leistungsniveau oder welchen Zielmarkt diese erste diskrete GPU-Lösung ansprechen soll, aber Intels Executive Vice President der Rechenzentrumsgruppe, Navin Shenoy, bestätigte, dass die Strategie des Unternehmens auch Lösungen für Rechenzentrumssegmente (Think AI, Machine Learning) umfassen wird. Für uns als Anwender kann es nur gut sein, wenn ein weiterer Anbieter den Markt der diskreten Grafikkarten betritt.

  • Helios4 – Open-Hardware NAS-Bausatz

    Helios4 NAS-Bausatz
    Bild: Helios4 NAS-Bausatz | Quelle: Kobol.io

    Das Projekt Helios4 startet derzeit im Rahmen eines Crowdfunding den zweiten Versuch der Finanzierung eines Network-Attached-Storage-Bausatzes (NAS), der den Prinzipien freier Soft- und Hardware folgt. Für rund 200 Euro (incl. Versand) kann man dort noch für 7 Tage ein für NAS optimiertes Mainboard samt Acrylgehäuse und allen benötigten Lüftern und Kabeln bestellen. Das Selbstbau-NAS, das im Oktober ausgeliefert werden soll, kann mit bis zu vier Festplatten mit bis zu je 12 TByte Storage bestückt werden.

    SoC für NAS und Networking

    Das nur 100 x 100 mm große Mainboard verfügt über einen Marvell ARMADA 388 SoC. Diese Dual-Core-ARM-Cortex-A-CPU mit einer Taktfrequenz von 1,6 GHz integriert eine Kryptographie- und XOR-DMA-Engine, um die beste Sicherheit und Leistung für die NAS-Funktionalität zu bieten. Damit sind RAID-Acceleration-Engines (PDF) ebenso unterstützt wie Security-Acceleration-Engines. Vier SATA-3-Ports prädestinieren das Board unter anderem als NAS-Grundlage. Gigabit-Ethernet und zwei GByte DDR3-ECC RAM unterstützen dies.

    Kleiner als die Konkurrenz

    Eine High-Speed-SD-Kartenschnittstelle mit theoretisch bis zu 104 MByte Durchsatz pro Sekunde nimmt SDHC- oder SDXC-Karten auf, auf denen das Betriebssystem performant laufen kann. Weitere Funktionalität kann, analog zum Raspberry Pi, über I2C-Bus und GPIO-Pfostenstecker ergänzt werden. Dabei bleibt das fertig aufgebaute Gehäuse mit 182 x 107 x 210 mm recht klein. Die gesamte Board-Spezifikation kann im Wiki eingesehen werden.

    [su_slider source=“media: 5970,5971″ limit=“12″ link=“lightbox“ width=“960″ height=“960″ autoplay=“0″ speed=“0″]

    Bootoptionen

    Bei der Software stehen standardmäßig Armbian oder das ebenfalls auf Debian basierte freie NAS-Software OpenMediaVault zur Auswahl. Damit eröffnet sich die gesamte Welt an Debian Software. Booten kann man Helios4 nicht nur per SD-Card, sondern auch per SPI-NOR-Flash, (PDF), SATA1 oderUART.

    Vergleichsweise günstig

    Im Vergleich zu einem gekauften NAS besticht zum einen der Preis, der ungefähr die Hälfte eines entsprechenden NAS von QNAP, Synology oder ähnlichen Anbietern ausmacht. Diese Anbieter liefern zwar eine große Anzahl an Applikationen mit ihrer proprietären Linux-Software aus, jedoch sind diese erfahrungsgemäß nicht immer gut gepflegt. Hier bieten die Debian-Archive eine größere und besser gepflegte Auswahl. Das Crowdfunding für das Helios4 NAS geht noch bis zum 5. August und steht derzeit bei 82 Prozent.

  • Udoo Bolt – Mini-Board mit AMD Ryzen Embedded V1000

    Udoo Bolt
    Quelle: Kickstarter

     

    Auf Kickstarter wird zur Zeit der leistungsstarke Einplatinen-Computer Udoo Bolt finanziert. Dabei handelt es sich um das bisher leistungsstärkste Mini-Board. Das mit einem AMD Ryzen Embedded aus der Baureihe V1000 ausgerüstete Board kann unter anderem als potentes Maker-Board oder als Workstation, auf der auch AAA-Spiele laufen, eingesetzt werden.

    Potente Hardware

    Die verwendete AMD Ryzen Embedded V1202B-SoC mit vier zwei Kernen und vier Threads leistet 3.2 GHz und inkludiert zudem eine Radeon-Vega-3-GPU ab. Das Board selbst ist zur Arduino-Plattform kompatibel, sodass es sich auch für Robotik und andere Elektronikprojekte eignet. Andererseits kann das von Hause aus mit 32 GByte eMMC-Speicher ausgestattete mit bis zu 32 GByte SO-DIMM mit 2.400 MHz in zwei Sockeln bestückt werden und als Workstation eingesetzt werden. Das Board bietet sich dafür auch an, weil es bis zu vier Monitore mit 4K-Ultra- HD ansteuern kann. Als Betriebssystem kann Windows oder eine beliebige Linux-Distribution installiert werden. Neben dem Udoo Bolt V3 gibt es zudem eine noch potentere Variante Udoo Bolt V8 mit AMD Ryzen Embedded V1605B-SoC.

    Viele Schnittstellen

    An Schnittstellen herrscht bei beiden Boards kein Mangel. Neben zwei USB-3-A-Ports sind auch zwei USB-C-3.1-Gen2-Ports verbaut, die auch im DisplayPort-Mode betrieben werden können. Zudem gibt es zwei Eingänge für HDMI-2.0 und einen GBit-Ethernet-Port. Für Arduino steht ein kompatibler Pin-Out bereit. Neben zwei Speicherbänken für die SO-DIMM-Module bietet die Rückseite des Boards die M.2-Sockets für die Formfaktoren 2260 und 2280 für PCIe. Zudem ist ein SATA-3.0-6GBit/s-Verbinder verfügbar.

    Preisgestaltung des Udoo Bolt

    Die Preise für die vielen Varianten des laut Planung im Dezember auszuliefernden Boards beginnen bei 229 US-Dollar. Dafür bekommt der Kunde das nackte Board samt CPU-Lüfter. RAM und Netzteil sind dabei nicht im Lieferumfang. Für 402 US-Dollar wird ein Paket angeboten, das neben dem Board auch 2 x 4 GByte RAM, ein Intel-WLAN- und Bluetooth-Modul inklusive Antenne, ein Netzteil, HDMI- und SATA-Kabel sowie ein Metallgehäuse enthält.

    Die KickStarter-Kampagne war auf 100.000 US-Dollar ausgelegt, derzeit sind bei noch 23 Tagen Laufzeit bereits über 550.000 Dollar eingegangen. Übersteigt die zugesagte Summe 800.000 Dollar, wird der verbaute eMMC-Speicher von 32 auf 64 GByte erhöht.

    Erfahren beim Crowdfunding

    Udoo hat bereits viel Erfahrung mit erfolgreicher Schwarmfinanzierung sammeln können. Vor fünf Jahren erschien das erste Board unter der Bezeichnung Udoo. Die Udoo-Boards entstammen einer Zusammenarbeit der Firmen SECO und AIDILAB. 2013 wurde als erstes Board das Udoo Quad auf Kickstarter finanziert, weitere folgten. Die ersten Boards setzten auf  i.MX6-CPUs von NPX und richteten sich dank Arduino-Kompatibilität hauptsächlich an die Maker-Szene. Mit dem X86 setzten die Entwickler danach erstmals auf einen Intel Pentium N3710 und erweitern damit das Einsatzspektrum.

     

  • Librem-5-Dev-Kit kann bis 31. Mai bestellt werden

    Librfem-5-Dev-Kit
    Mock-up des Librem 5 Gehäuses

    Die Bestellfrist für das Librem-5-Dev-Kit, ein Entwickler-Bausatz ohne Gehäuse und Akku, endet am 31.Mai. Das teilte Hersteller Purism auf seiner Webseite mit. Daraus geht auch hervor, dass dies eine einmalige Auflage ist, die nicht wiederholt wird. Nach dem Bausatz wird als nächstes das fertige Librem 5 Linux-Smartphone ausgeliefert. Purism hat die Spezifikationen für das Librem 5 Entwickler-Kit fertiggestellt und wird in der ersten Juniwoche 2018 alle Einzelteile bestellen und fertigen lassen. Der Preis für den Bausatz beläuft sich auf 399 US-Dollar.

    Leicht verspätet

    War die Auslieferung ursprünglich bereits für den Monat Juni vorgesehen, entschloss sich Purism, im Sinne der Kunden beim Prozessor auf die ersten Exemplare des i.MX-8M System On Module (SOM) zu warten anstatt den bereits länger verfügbaren Vorgänger i.MX-6 auszuliefern. Der neue Liefertermin für die Bausätze ist, je nach Eingang der Bestellung, August oder September.

    Noch Änderungen möglich

    Der Bausatz, dessen Komponenten noch Änderungen unterliegen können, besteht aus Mainboard, Touchscreen, Netzteil, einem Kamera-Modul sowie Kabeln und Sensoren. Neben dem i.MX-8M-SOM sind mindestens 2 GByte LPDDR4 RAM (das Endprodukt wird 4 GByte enthalten) und 16 GByte eMMC-Speicher mit im Paket. Der 5.7-Zoll große Touchscreen verfügt über eine Auflösung von 720 × 1440 Punkten. Zwei M.2-Karten für 3G und 4G Netzwerke sowie WLAN und Bluetooth sorgen für Kontakt mit der Außenwelt.

    Ohne Gehäuse und Akku

    Das Mainboard bringt alle notwendigen Motoren, Sensoren  und Slots für USB-3, microSD und SIM-Karte, 3,5mm Stereo-Audio-Jack sowie Mini-HDMI für einen externen Monitor mit. Wie die Notebooks von Purism verfügt auch dieses Board über Hardware-Killswitches für WLAN, Bluetooth, Kamera und Mikrofon. Im Unterschied zum fertigen Librem 5, an dessen Liefertermin im Januar 2019 Purism festhält,  enthält der Entwickler-Bausatz kein Gehäuse und keinen Akku, der dabei nicht benötigt wird.

  • Modularer Router Turris MOX im Endspurt

    Turris MOX
    Quelle: Indiegogo

     

    Gerade noch 48 Stunden läuft die Schwarmfinanzierung des modularen Open-Source-Routers Turris MOX auf der Plattform Indiegogo. Von den benötigten 250.000 US-Dollar sind derzeit über 219.000 US-Dollar zugesagt. Solltest Du also Bedarf an einem freien und nach Bedarf frei kombinierbaren Router aus der Open-Source-Szene haben, so ist jetzt der richtige Zeitpunkt.

    Zweite Kampagne

    Die Kampagne wurde von CZ.NIC ins Leben gerufen. Dahinter verbirgt sich eine Gruppe, die die tschechische Top-Level-Domain .cz  verwaltet. Bereits 2017 hatte CZ.NIC mit dem Vorgänger Turris Omnia erfolgreich einen Open-Source-Router mit über 1,2 Millionen US-Dollar auf Indiegogo finanziert und auf den Markt gebracht.

    Modularer Aufbau

    War der Turris Omnia aus einem Stück, so kann der Turris MOX aus bisher sechs Modulen nach Bedarf zusammengestellt werden.  Das Basismodul MOX A kommt mit einer Marvell Armada 3720 -Dual-Core CPU mit 1,2 GHz, einem USB-3.0-Port, einem microSD-Slot und GBit-WAN mit Unterstützung für Power over Ethernet (PoE). Mox B bietet einen mPCIe-Slot, der kompatible WLAN-Karten, ein LTE-Modem  oder eine SSD aufnehmen kann. MOX c erweitert den Router bei Bedarf um einen 4-Port-Switch für GBit-Ethernet mit RJ45-Verbindern.

    Mox D bietet einen SFP-Connector, der als WAN vorkonfiguriert ist und eine optische Verbindung mit bis zu 2,5 Gbps Kapazität. Mit MOX E erhält der Turris MOX ein Pass-Through-Modul mit zusätzlichem 8-Port-Switch für GBit-Ethernet. Insgesamt können drei Module E und C kombiniert werden. Anfang der Woche neu hinzugekommen ist MOX F, das mit Blick auf eine mögliche Kombination mit Nextcloud entworfen wurde. Es bietet vier USB-3.0-Anschlüsse über einen PCI-Express-Port, die zwei moderne 2,5-Zoll Festplatten mit Energie versorgen können.

    Flexibel einsetzbar

    Der Turris MOX kann unter anderem als Router, Access-Point oder Storage-Lösung konzipiert werden. Das eigens entwickelte Betriebssystem Turris OS 4.0 bietet eine grafische Oberfläche, um das Netzwerk zu konfigurieren, Storage hinzuzufügen oder verschiedene Dienste wie VPN, automatisierte Updates oder einen Honeypot in Betrieb zu nehmen. Darüber hinaus kann Turris OS 4.0 externe Speichermedien zu einem RAID zusammenfügen und Nextcloud installieren.

    Turris MOX mit Nextcloud

    Das Modell Turris MOX Cloud, bestehend aus MOX A, MOX F, RAM-Erweiterung, Gehäuse, Netzteil und SD-Karte mit Betriebssystem kann auf Indiegogo für 115 US-Dollar bestellt werden und soll ab Dezember ausgeliefert werden. Der spätere Preis soll 175 US-Dollar betragen.

  • Raspberry Pi 3 Model B+ vorgestellt

    Raspberry Pi 3 B+
    Bild: Raspberry Pi Foundation

     

    Der Einplatinenrechner Raspberry Pi hat gerade seinen sechsten Geburtstag gefeiert und kann bereits auf eine lange Reihe an Modellen und Erfolgen zurückblicken. In dieser Zeit wurden unter anderem der originale Pi, Pi 2, Pi 3 und der Pi Zero veröffentlicht. Insgesamt wurden über 18 Millionen Pis verkauft, davon alleine 9 Millionen Pi 3. Diese Zahlen werden mit der Bekanntgabe des neuen Modells Raspberry Pi 3 Model B+ weiter ansteigen, denn das neue Modell hat einige einschneidende Verbesserungen gegenüber dem vor zwei Jahren veröffentlichten Raspberry Pi 3 Model B zu bieten. Dabei wird es ebenfalls, wie der Vorgänger, für 35 US-Dollar über die virtuelle Ladentheke gehen.

    Raspberry Pi 3 Model B+

    Das neue Modell bietet:

    • eine 1.4GHz 64-bit Quad-Core ARM Cortex-A53 CPU
    • Dual-Band 802.11ac WLAN und Bluetooth 4.2
    • Schnelleres Ethernet (Gigabit Ethernet over USB 2.0)
    • Power-over-Ethernet-Unterstützung (mit separatem PoE HAT)
    • Verbessertes Booten über PXE und USB-Massenspeicher
    • besseres Hitzemanagement

    Schnelleres Netzwerk

    Der Netzwerkdurchsatz soll sowohl bei Ethernet als auch bei WLAN durch Dual-Band ungefähr zwei- bis dreimal schneller sein. Dazu wurde der bisherige Chip LAN9514-USB-Hub gegen einen LAN7515-USB-2.0-Hub Ethernet-Controller getauscht  Der neue Pi wurde um den Broadcom  BCM2837B0 herum entworfen, eine aktualisierte Version des  BCM2837 im Pi 3B.

    Der mit einem Heat-Spreader versehene SoC kann einerseits höhere Takte bieten, andererseits mit niedrigerer Spannung laufen um den Energieverbrauch zu senken. Dual-Band WLAN und Bluetooth 4.2 werden von einem Cypress-CYW43455-Chip bereitgestellt, der an eine  Proant-PCB-Antenne ähnlich der im Pi Zero angeschlossen ist. Im Vergleich mit dem Vorgänger bringt das verbesserte Leistung im 2,4-GHz-Band, die im 5-GHz-Band nochmals wesentlich verbessert wird.

    Power over Ethernet

    Durch das Hinzufügen von vier neuen Pins, die vom Haupt-GPIO-Header abgesetzt sind, wird die Unterstützung für Power-over-Ethernet realisiert. Ein offizielles PoE-HAT-Add-On-Board wird in Kürze veröffentlicht. Der ursprüngliche Raspberry Pi 3 war das erste Pi-Board, das mehrere Boot-Modi unterstützte – einschließlich PXE-Netzwerk-Booten und Booten von USB-Massenspeichergeräten.

    Dies bedeutet, dass beispielsweise Raspbian von einer USB-Festplatte booten kann, die schneller als eine SD-Karte ist. Das im Dezember in Raspbian integrierte PiServer-Tool bietet einfache Pi-Netzwerkverwaltung. Das bedeutet, dass man damit einen Cluster von Raspberry Pi 3 in einem verkabelten Netzwerk verwalten kann, ohne das die Boards SD-Karten brauchen, wenn sie remote in ein verwaltetes Betriebssystem-Image booten.

     

  • Angebliche Sicherheitslücken in aktuellen AMD-CPUs entdeckt

    Sicherheitslücken in aktuellen AMD-CPUs
    Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0

     

    War AMD bei Meltdown und Spectre noch relativ glimpflich davongekommen, so könnte die Glückssträhne unter Umständen nun zu Ende zu sein. Das israelische IT-Sicherheitsunternehmen CTS-Labs hat nach eigenen Angaben 13 Sicherheitslücken in AMDs aktuellen Prozessoren Ryzen und EPYC entdeckt, die die Bereiche Desktop und Server abdecken. Diese wurden in vier Klassen mit den Namen Ryzenfall, Masterkey, Fallout und Chimera eingeteilt. Die Lücken befinden sich angeblich, wie auch Meltdown und Spectre, in Bereichen der CPUs, die sicherheitsrelevante Daten des Anwenders vorübergehend speichern.

    Unübliches Vorgehen

    Die seit einem Jahr bestehende Firma CTS-Labs hält anscheinend nicht viel von der Gepflogenheit, einem Unternehmen die üblichen 90 Tage zur Untersuchung zu gewähren, bevor Sicherheitslücken öffentlich gemacht werden. Das Labor veröffentlichte seine Erkenntnisse bereits 24 Stunden nach Bekanntgabe an AMD. Daher liegt derzeit von AMD auch nur eine allgemeine Stellungnahme vor, man überprüfe derzeit die Angaben von CTS-Labs. Mittlerweile sind laut Heise.de Zweifel an der Seriosität der Firma CTS-Labs angebracht. Weder liegt ein Proof of concept für die Lücken vor, noch wurden sie als Common Vulnerabilities and Exposures (CVE)  gemeldet.

    Unterschiedliche Angriffsvektoren

    Die beschriebenen Sicherheitslücken setzen an verschiedenen Punkten der Prozessoren an. Die drei Lücken, die unter der Bezeichnung Masterkey laufen sowie die Lücke Ryzenfall-4 finden sich angeblich im Platform Security Processor (PSP) der Prozessoren. Dieser auch als »AMD Secure Processor« bekannte Bereich, der mit Intels Management Engine vergleichbar ist,  befindet sich in allen AMD-Prozessoren seit 2014. Er ist in einem ARM Cortex-A5-Kern integriert. Um diese Lücken auszunutzen ist physischer Zugriff auf das Gerät oder die Kombination mit anderen Attacken notwendig.

    Einfallstor Microsoft Device Guard

    Ryzenfall und Fallout umfassen mehrere Lücken, die einerseits den Microsoft Device Guard von Windows 10 sowie per Code-Injection den Sytem Management Mode (SMM) der x86-Architektur umgehen. Ryzenfall kann mit Admin-Rechten sowohl Code im PSP ausführen als auch auf dem PSP vorbehaltene Speicherbereiche zugreifen. Chimera dagegen sitzt laut CTS-Labs im Chipsatz und der Firmware von USB-Controllern, die nur auf  Ryzen und Ryzen Pro verbaut sind. Hier gelang es den Forschern, Code im Chipsatz auszuführen.

    Zweifel erlaubt

    Was an den Lücken dran ist, werden die nächsten Tage zeigen. Sollte der Fund echt sein, könnten Angreifer Kontrolle über Ryzen und EPYC Prozessoren und Chipsets erhalten und mit Malware infizieren. Zudem können Passwörter und andere sicherheitskritische Daten gestohlen und alle Sicherheitsmechanismen der CPUs umgangen werden.

    Verdächtig ist in jedem Fall die auf 24 Stunden verkürzte Vorlaufzeit. Mittlerweile wurden Vermutungen laut, es handle sich um einen Versuch der Kursmanipulation. Anlass dazu gibt ein Nachruf auf AMD auf der Webseite von Viceroy Research. Erst gestern warnte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor dem Unternehmen, dessen Webseite kein Impressum aufweist. Auch Linus Torvalds hat auf G+ mittlerweile heftige Zweifel an der Echtheit der Lücken geäussert.

     

  • CPU-Gau: Korrigierte CPUs in weiter Ferne

     

    CPU-Gau
    Bild: „IntelPentium4_Northwood_SL6SB_2015-05-09-17.26.07_-_ZS-PMax_-_Stack-DSC03946-DSC04026“ von Fritzchens Fritz Lizenz: CC-0

     

    Die Auswirkungen des CPU-Super-Gau, der in den letzten Tagen immer deutlicher die Züge einer IT-Katastrophe annahm sind noch nicht völlig überschaubar. Klar ist aber, dass letztendlich nur der Austausch der CPU die ultimative Lösung ist. Aber selbst wer sowieso in naher Zukunft die Anschaffung einer neuen CPU oder eines neuen Rechners geplant hat, wird seine zeitliche Planung neu überdenken müssen.

    Intel-Mitarbeiter klärt auf

    Die Tweet-Serie des ehemaligen Intel-Mitarbeiters Joe Fitz klärt uns darüber auf, dass hier mit Jahren und nicht mit Monaten zu rechnen ist, bis korrigiertes Silizium die Kunden erreicht. Aufgrund der gegebenen und über Jahrzehnte gewachsenen Komplexität heutiger Prozessoren ist es sehr aufwendig, das Layout auch nur in kleinsten Schritten zu ändern. Jedes sogenannte Stepping – bei Software würde man von einem Build-Vorgang sprechen – kostet einige Millionen Dollar und dauert einige Monate. Es ist jedoch mit einem Stepping nicht getan, ganz abgesehen von dem darauf folgenden Testzeitraum und der Auslieferung an die OEMs und der Händler für den Endkundenmarkt.

    Die Zahl der Steppings ist relativ eng begrenzt, will man profitabel bleiben. Den Änderungen am Layout sind zudem enge Grenzen gesetzt, was das Ausmaß pro Stepping angeht. Es sind bei weitem nicht alles »full layer steppings«. So können etwa keine logischen Gatter geändert werden, ohne weitreichende Regressionen hervorzurufen. Bestenfalls kann man die Art, wie die Gatter angebunden sind, verändern.

    Kleine Änderungen und hohe Kosten pro Stepping

    Die Grenzen der möglichen Veränderungen sind von einem Bit bis hin zu wenigen Byte eng gesteckt. Instruktionen können ausgetauscht, die Richtung eines Branch angepasst werden. Verändert man mehr, beeinflusst man alles drum herum. Somit liegt der Zeitrahmen selbst für kleinste Veränderungen bei mehreren Monaten für die Steppings, weitere Monate für interne Tests des Fixes. Dann folgen Regressions-Tests gegen 50 Jahre Code, die die CPU unterstützt. Ist das alles erfolgreich durchlaufen, folgt noch einmal ein halbes Jahr für die Produktion, gefolgt von der Auslieferung.

     

     

    Das beschriebene Szenario mag zur Reperatur der jetzt aufgefundenen Fehler im Design unter Umständen aber auch nicht ausreichen.  Dann müsste man bei den Chip-Herstellern von der Entwicklungsphase zurück in die Planunsgsphase. Dann würden aus 1-2 Jahren der oben beschriebenen Änderungen und Steppings, die alle in die im Schaubild gelbe Entwicklungsphase fallen schnell 5-6 Jahre unter Einbeziehung der rosa Planungsphase.

    Teurer Design-Fehler

    Für Intel und die anderen betroffenen Hersteller bedeutet das, dass der Absatz der bereits produzierten und im aktuellen Stepping noch zu produzierenden CPUs wahrscheinlich hohe Verluste nach sich ziehen werden, die von den Entwicklungskosten für eine bereinigte Architektur nochmals erhöht werden. Zudem sieht sich Intel bereits ersten Klagen gegenüber, die ebenfalls die Kasse strapazieren werden. Die bisherigen Klagen beziehen sich darauf, dass Intel in den letzten Monaten bewusst schadhafte CPUs verkauft habe ohne dies den Kunden mitzuteilen.

     

  • Gefahrenpotential von Meltdown und Spectre

    Meltdown und Spectre
    Bild: Google

     

    Zwar sind die Sicherheitslücken in modernen CPUs von Intel, ARM, Apple, AMD und IBM noch nicht völlig in der Tiefe ausgelotet, es reicht aber aus, um eine erste Analyse des Gefahrenpotentials zu wagen, das von Spectre und Meltdown ausgeht. Derzeit sind drei Fehler mit verschiedenen Angriffsvektoren bekannt:

    Dabei entsprechen die Varianten 1 und 2 dem Angriffsvector Spectre, Variante 3 entspricht Meltdown. Von Meltdown sind alle Intel CPUs seit 1995 mit wenigen Ausnahmen betroffen. Ausgenommen sind lediglich Atom-CPUs vor 2013 und Itanium-Prozessoren. Google hat eine Liste der betroffenen Prozessoren bereitgestellt. Die von Hause aus schwachen Atom-CPUs wurden bewusst nicht mit dieser Technik ausgestattet, da sie die Rechenleistungseffizienz pro Watt verringern kann.

    Meltdown

    Meltdown ist die am einfachsten zu behebende Variante. Diese Variante durchbricht die grundlegende Isolierung zwischen Anwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Geheimnisse anderer Programme und des Betriebssystems zuzugreifen.

    Wenn ein Computer über einen verwundbaren Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es möglich, dass Informationen der gerade aktiven Anwendung durchsickern, die im Kernelspeicher vorgehalten werden. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur. Dazu muss allerdings bereits Zugriff auf das Gerät bestehen. Das Problem solle durch Kernel-Patches mittlerweile für alle Plattformen eingedämmt sein.

    Spectre

    Spectre dagegen betrifft alle CPUs von Intel, AMD und ARM in angegegebenen Zeitraum, Es ist schwerer, Spectre auszunutzen, allerdings trifft das auch auf die Gegenmaßnahmen zu. Spectre nutzt die bei modernen CPUs zur Leistungssteigerung eingesetzte «spekulative Ausführung« aus. Dabei berechnet die CPU die wahrscheinlichste nächste Berechnung. Diese werden in einem extra Zweig (branch) gespeichert. Liegt die CPU richtig, was überwiegend der Fall ist, wird mit diesem Branch weitergemacht. Wenn nicht, werden die Daten verworfen und in einem anderen Branch fortgefahren.

    Attacke per Browser

    Hier können nun manipulierte Anwendungen lokal oder als Web-App oder Browser mittels einer sehr präzise getimten Side-Channel-Attack Daten aus dem Cache abgegriffen werden. Diese Lücke lässt sich allein mit Kernel-Patches nicht schliessen, dazu müssen viele Anwendungen mit einem aktualisierten Compiler neu gebaut werden. Deshalb werden wir mit Spectre noch lange zu tun haben. Denkt man beispielsweise an Debian, so müssen alle Pakete für jede der derzeit unterstützten zehn Architekturen gebaut werden.

    Bei virtuellen Maschinen und Containern ist die Situation nochmals kritischer. Hier kann unter Umständen sowohl der Speicher der Host-Mschine und der von anderen VMs auf dem gleichen Host gefährdet sein. Zudem können in solchen Umgebungen die Leistungseinbußen wie bei großen Datenbanken besonders zu Buche schlagen.

    Kernel, Browser und Microcode aktualisieren

    Wichtig ist es, Browser so gut wie möglich abzusichern. Firefox 57.0.4 liegt da momentan vorne, da es Versuche, per Sprectre Daten abzugreifen, erschwert. Bei Chrome/Chromium und den auf der gleichen Engine basierenden Opera und Vivaldi kann über chrome://flags die Funktion enable-site-per-process aktiviert werden, die jede offene Webseite in einem eigenen Prozess rendert. Google Chrome 64 erscheint am 23. Januar und hat diese Einstellung von Hause aus aktiviert. Microsoft Edge wird am 9 Januar gegen Spectre aktualisiert.

     

     

    Anwender egal welcher Distribution sollten neben dem Browser auch ihre Kernel aktualisieren. Intel bietet zudem einen ersten aktualisierten Microcode mit der Versionnummer  3.20171215.1 an, der in Debian Unstable und anderen Distributionen bereits verfügbar ist. Weitere werden folgen. Mit einem Update des Microcodes kann Intel Fehlfunktionen beheben, ohne dass die CPU ausgetauscht wird. Wie weit das für Spectre gelingt ist noch unklar. Bei Debian könnte dies die Diskussion um nicht um freie Software erneut anfeuern, handelt es sich doch beim Micocode um Software aus dem Non-free-Repository.