Spectre-Lücke: Auch Server mit IBM POWER, Fujitsu SPARC und ARMv8 betroffen

11.1.2018 - Nicht nur Intel hat alle Hände voll zu tun: IBM stellt Firmware-Updates für Server mit POWER7+, POWER8 und POWER9 bereit, Fujitsu will einige SPARC-M10- und -M12-Server patchen; zu ARM-SoCs für Server fehlen Infos.            

Die Spectre-Sicherheitslücken CVE-2017-5715 und CVE-2017-5753 betreffen außer Prozessoren mit x86- und einigen ARM-Mikroarchitekturen auch manche IBM-POWER- und Fujitsu-SPARC-CPUs für Server. IBM hatte schon vor einigen Tagen auf kommende Firmware-Updates für Server mit POWER7+, POWER8 und den nagelneuen POWER9 hingewiesen, etwa für das Power System S812L und für andere OpenPOWER-Server.

Power

Zu Mainframes mit Z-Prozessoren gibt es von IBM keine öffentlichen Informationen, sondern nur für Kunden.

Sparc

Fujitsu hat am gestrigen Mittwoch eine lange Liste mit betroffenen Computern veröffentlicht, darunter sind sechs Fujitsu SPARC Server: Fujitsu SPARC M12-1/M12-2/M12-2S sowie M10-1/M10-4/M10-4S. Die ersten drei arbeiten mit SPARC64 XII, letztere mit SPARC64 X+.

Oracle hat bisher anscheinend noch keine Informationen zu SPARC M7 und Spectre veröffentlicht.

Bisher noch keine Hinweise gefunden haben wir auch zum AMD Opteron A1100 mit Cortex-A57; letzterer ist laut ARM von Spectre betroffen.

Cavium ThunderX und APM X-Gene nutzen jeweils selbst entwickelte Kerne, hier ist die Situation unklar. Die Kerne des X-Gene, X-Gene2 und des ThunderX2 beherrschen aber Out-of-Order-Execution. (Hier stand vorher, dass auch ThunderX und APM X-Gene Cortex-A57 nutzen.) /Update

Der neue Qualcomm-Serverprozessor Centriq 2400 enthält hauseigene ARMv8-Kerne namens "Falkor"; ob sie betroffen sind, ist unklar – Qualcomm hat sich bisher erst pauschal geäußert.

Laut ARM ist der neue Cortex-A75 genau wie Intel-Prozessoren von Meltdown betroffen; er wird aber bisher noch in keinem Server-SoC eingesetzt, sondern in ähnlicher Form erst im kommenden Snapdragon 845.

NAS sind von Meltdown und Spectre nur dann direkt betroffen, wenn man Plug-ins installieren kann oder in einer VM oder einem Container andere Software oder Betriebssysteme ausführen kann. Das ist bei NAS mit ARM-SoCs seltener der Fall. Die Marvell-SoCs der Baureihen Armada 7K und 8K enthalten jedenfalls von Spectre betroffene Cortex-A72-Kerne, die Alpine-SoCs der Amazon-Tochter Annapurna Labs Cortex-A15.

In-Order-ARM-Kerne wie Cortex-A7 und Cortex-A53 sind von Meltdown und Spectre nicht betroffen.

Xerox Alto: Forscher finden Sicherheitslücke in 45 Jahre altem System

Read more: Xerox Alto: Forscher finden Sicherheitslücke in 45 Jahre altem System

10.1.2018 - Passwortverschlüsselung für Datenträger geknackt – Ziel: Archivierung historischer Daten


Die Geschichte ist nicht immer gerecht zu ihren Akteuren, und das gilt nicht nur für politische Ereignisse. Im Vergleich zum Apple Mac ist der Xerox Alto ein der breiten Masse weitgehend unbekannter Rechner, aber einer der für die Computergeschichte eine kaum zu überschätzende Rolle eingenommen hat. War dies doch der erste Rechner, der von Grund auf für die Benutzung mit Maus und grafischem User Interface ausgelegt wurde.

Archivierung

Ganz vergessen wurden die wegweisenden Arbeiten des Xerox PARC allerdings nicht, also hat sich eine Gruppe von Forschern nun daran gemacht, alte Disketten des Forschungsinstituts von Xerox zu archivieren. Dabei stießen sie aber auf eine unerwartete Hürde: Die 14-Zoll-Wechselplatten, die bis zu 2,5 Megabyte an Daten speichern konnten, waren zum Teil verschlüsselt. Jeglicher Bootversuch landete also bei einer Passwortabfrage – und das betreffende Passwort war natürlich niemandem mehr bekannt.

Spurensuche

Also machten sich die Forscher daran, die verwendete Verschlüsselung unter die Lupe zu nehmen, um potentielle Angriffe gegen diese zu identifizieren. Nicht gerade überraschend kann diese auch tatsächlich modernen Ansprüchen nicht mehr gerecht werden. Es wird ein ziemlich simpler Hash-Algorithmus verwendet, der einen 64 Bit langen Hash ergibt. Dieser ist zwar mit einem Salt angereichert, um all zu leichte Attacken zu verhindern, dieser findet sich aber auf der Wechselplatte selbst. Es geht aber noch leichter: Die Forscher haben nämlich herausgefunden, dass es auf den Datenträgern ein verstecktes Bit gibt, über das sich die Verschlüsselung komplett deaktivieren lässt.

Passwortanalyse

Damit waren die Daten also wieder verfügbar. Aus Interesse hat man dann aber zusätzlich eine Brute-Force-Attacke gegen die Verschlüsselung gestartet, immerhin wollte man auch noch die Passwörter herausfinden. Dabei zeigte sich, dass die Entwickler schlauerweise keine einfachen Wörter verwendet haben, die über Wörterbuchattacken leicht zu knacken wären. Stattdessen setzte man auf simple achtstellige Buchstabenkombinationen wie "AATFDAFD" oder "AAJMAKAY". Diese Kombination wiederum machte die Forscher stutzig, da hier immer wieder ähnliche Muster zu erkennen waren. Schlussendlich stellte sich heraus, dass bei allen Passwörtern über sechs Stellen die ersten Zeichen ignoriert werden – was Angriffe noch leichter macht.

Fazit

Schlussendlich konnten die Passwörter – und damit auch die historisch relevanten – Daten also wiederhergestellt werden. Die Forscher resümieren, dass der Passwortalgorithmus des Xerox Alto einige grundlegende Sicherheitslücken hatte, die Angriffe wesentlich leichter machten. Für die damalige Zeit sei die Sicherheit aber durchaus "angemessen" gewesen – und mehr hatte man auch nicht versprochen. Die betreffende Lücke hat man "XeroDay" benannt – in Anspielung auf den Begriff "Zero-Day", da es sich hierbei ja tatsächlich um eine bisher unbekannte Lücke handelt, für die es noch keinen Fix gibt. Dass ein solcher noch kommen wird, scheint aber auch eher unwahrscheinlich.

 

Gravierende Sichheitslücke bei Prozessoren entdeckt

4.1.2018 - In den Prozessoren verschiedener Hersteller klafft eine riesige Sicherheitslücke.  Derzeit arbeiten Linux- und Windows-Entwickler mit Hochdruck an umfangreichen Sicherheits-Patches, die Angriffe auf Kernel-Schwachstellen verhindern sollen.

So soll es auf Grund dieser Lücke Angreiferen ohne größerem Aufwand möglich sein, Zugriff auf eigentlich geschützte Daten zu erhalten.

Googles Project Zero hat inzwischen auch Details zu der Sicherheitslücke in Prozessoren und den Auswirkungen veröffentlicht. Darin verweisen Googles Sicherheitsforscher auch auf die zwei Angriffsszenarien, die von anderen Sicherheitsexperten entwickelt wurden und die Spectre beziehungsweise Meltdown getauft wurden.

Zunächst war das Problem nur Intel Prozessoren zugeschrieben worden, wie in der Zwischenzeit bekannt wurde, sind auch die Prozessoren anderer Herstellen von der Lücke betroffen.

Google berichtet, dass mit einem Android-Security Update vom 2. Jänner diese Lücke bereits geschlossen zu haben.

Die Linux-Entwickler arbeiten mit Hochdruck an der Lösung des Problems. Das neue Schutz-Feature mit dem Namen KPTI ist für den Linux Kernel 4.15 bereits fertig, Backports für ältere Kernels sind in Arbeit.

Microsoft hat ebenfalls bereits reagiert und das für 9. Jänner geplante Update bereits am 4.1. freigegeben. Hier ist vor allem im Desktopbereich Vorsicht geboten, da durch die neuen Updates auch ein Update der meisten Antiviren-Produkte erfordern. Das Windows Update finden Sie hier: https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890

Apple zufolge wurden bereits durch ein früheres Security-Update Lücke zum Teil geschlossen, das Update auf macOS 10.3.3 wird weitere Fixes bringen.

Quelle: heise.de

HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning

12.11.2017 - Das Festnageln von Zertifikaten sollte gegen Missbrauch schützen. In der Praxis wurde es jedoch selten eingesetzt. Zu kompliziert und zu fehlerträchtig lautet nun das Verdikt; demnächst soll die Unterstützung aus Chrome wieder entfernt werden.

HTTPS Public Key Pinning (HPKP) ist angetreten, das Web etwas sicherer zu machen. Damit ist es jetzt wohl vorbei. Google mustert den nur wenig genutzten Standard demnächst aus, wie Chrome-Entwickler Chris Palmer in einer Mail ankündigt. Gründe sind die nach wie vor niedrige Verbreitung sowie die Gefahr, seine Nutzer selbst auszusperren. Als Ersatz soll Googles Lieblingsprojekt Certificate Transparency herhalten.

Zu kompliziert

HPKP hat dennoch keine große Verbreitung gefunden, weil die Einrichtung nicht ganz trivial ist. So fand etwa Scott Helme, dass 2016 von den Top 1 Million Sites von Alexa nur 375 HPKP nutzten; Palmers eigene Scans ergaben sogar noch niedrigere Zahlen. Das Verfahren geriet in den vergangenen Monaten vermehrt in die Kritik, nachdem einige Seitenbetreiber sich selbst beziehungsweise ihre Besucher ausgesperrt hatten. Das kann etwa passieren, wenn ein Seitenbetreiber seine eigenen Schlüssel festnagelt und ihm diese dann wie auch immer abhanden kommen. Oder er legt sich via HPKP auf Intermediate CAs fest und der Zertifizierer nimmt deren Unterschriftszertifikate aus dem Betrieb.

Deshalb soll Chrome mit Version 67, die Ende Mai 2018 fällig wird, die Unterstützung für das dynamische Pinning aufgeben. Die im Browser eingebauten statischen Pins bleiben vorerst erhalten; sie sollen erst verschwinden, wenn alle Zertifikate via Certificate Transparency erfasst sind. Da IE/Edge und Safari das Pinning ohnehin nie unterstützten, bleiben damit nur noch Firefox und Opera. Nachdem sich Mozilla in TLS-Fragen in jüngster Zeit recht eng an Google orientiert, dürfte dies das Ende von HPKP bedeuten. Wer es schon im Einsatz hat, muss sich deshalb jedoch keine Sorgen machen; der Wegfall der Unterstützung hat keine Einschränkung des Betriebs zur Folge.

Alternative CT

Als Alternative zum Pinning preist Google sein aktuelles Lieblings-Projekt an: Certificate Transparency (CT) soll mittelfristig alle CAs dazu zwgen, ihre ausgestellten Zertifikate in einem manipulationssicheren Log zu protokollieren. Anders als etwa Pubic-Key-Pinning kann dies den Missbrauch von Zertifikaten nicht verhindern. Google setzt offenbar darauf, dass schon die erzwungene Transparenz letztlich zu mehr Sicherheit führen wird.

TLS und der Einsatz von Zertifikaten stellen hohe Anforderungen auch und vor allem an Administratoren. Mit TLS 1.3, CAA, CT stehen reichlich neue Dinge mit teils fraglichem Nutzen vor der Tür, während viele Server noch längst nicht optimal eingerichtet sind.

Quelle: heise.de

HPE-Server mit Supercomputer-Technik für 32 CPUs und 48 TByte RAM

15.11.2017 - Hewlett Packard Enterprise stellt einen skalierbaren Server mit Intel-CPUs vor, der vor allem Big-Data-Anwendungen beschleunigen soll. Die Shared-Memory-Technik dafür stammt von SGI.

HPE aktualisiert seine Superdome-Serverreihe für kritische Geschäftsanwendungen, insbesondere für In-Memory-Datenbanken wie SAP HANA. Die neue Variante Superdome Flex beherbergt in einem fünf Höheneinheiten großen Chassis bis zu vier Fassungen (Sockets) mit Intels aktuellen Xeon-Scalable-CPUs (alias Skylake-SP, Platinum und Gold). Mit Erweiterungs-Chassis mit jeweils vier weiteren Xeons lassen sich Server mit bis zu 32 Prozessoren und 48 TByte RAM aufbauen.

Der US-amerikanische Hersteller nutzt für den Chipsatz die weiterentwickelte Technik des 2016 übernommenen Unternehmens SGI. Das hatte ein System für verteilten Shared-Memory entwickelt (NUMAlink) und in einer Server-Produktreihe unter den Bezeichnungen Altix und Ultra Violet auf den Markt gebracht. In einem Superdome-Flex-Chassis lassen sich 48 DDR4-Speichermodule unterbringen (12 pro CPU). In acht gekoppelten Chassis mit 32 Xeons stehen also 384 DDR4-DIMM-Slots für Module mit bis zu 128 GByte Kapazität bereit, daraus ergeben sich maximal 48 TByte RAM. Ein Superdome-Flex-Chassis enthält außerdem 12 oder 16 PCIe-Slots, vier Einschübe für Massenspeicher sowie je zwei 1-Gigabit- und 10-Gigabit-Netzanschlüsse. Als Betriebssystem sind die Enterprise-Linux-Distributionen von Red Hat, SUSE und Oracle vorgesehen. Weitere Details zum Superdome Flex stehen in einem QuickSpec-Dokument (PDF).

Quelle: heise.de

Sichere Anwendungsautorisierung: ownCloud führt OAuth 2.0 ein

11.11.2017 - Die Cloud-Software ownCloud setzt künftig auf das OAuth-2.0-Protokoll, um Geräten und Anwendungen den tokenbasierten Zugriff auf Nutzerdaten zu ermöglichen.

ownCloud, eine freie Cloud-Software für das Filehosting auf eigenen Servern, unterstützt jetzt die Verwendung des offenen Authentifizierungsprotokolls OAuth in der Version 2.0. Das geht aus einem Blogeintrag auf der Webseite des ownCloud-Projekts hervor. Mittels OAuth können Nutzer Geräte und Anwendungen zum Zugriff auf geschützte Ressourcen autorisieren, die auf einem Server verwaltet werden. Die Übermittlung von Login-Daten ist hierzu nicht erforderlich; stattdessen kommen serverseitig generierte Tokens zum Einsatz, die die Autorisierung durch den Nutzer repräsentieren.

Erfahren Sie mehr dazu bei heise.de