Forum: PC Hard- und Software Immer wieder Sicherheitslücken bei Intel CPUs. Macht es AMD besser?

Absolut geschützt davor ist wohl nur jemand der keinerlei branch 
prediction methoden implementiert hat, also niemand in den letzten 20 
Jahren.

Das sind doch nur Low-Level-Backdoors oder Honeypots ...

asdfg schrieb:
> Immer wieder Sicherheitslücken bei Intel CPUs. Woran liegts?

Am Prinzip, was einer auslesen kann kann auch ein zweiter auslesen. Und 
somit ist jeder Core dump eine Sicherheitsverletzung, siehe Cold boot 
attacks.

A. K. schrieb:
> Das Grundproblem ist aber die spekulative Ausführung von
> Befehlen, weshalb sich auch bei ARM Probleme ergeben.

Wobei die Implementation anscheinend eine wichtige Rolle spielt. 
Mittlerweile sieht es so aus, als würde es einen systematischen 
Unterschied zwischen Intel und AMD geben.

mh schrieb:
> A. K. schrieb:
>> Das Grundproblem ist aber die spekulative Ausführung von
>> Befehlen, weshalb sich auch bei ARM Probleme ergeben.
>
> Wobei die Implementation anscheinend eine wichtige Rolle spielt.
> Mittlerweile sieht es so aus, als würde es einen systematischen
> Unterschied zwischen Intel und AMD geben.

Nein, es ist nur so, dass aufgrund der größeren Verbreitung von Intel 
CPUs diese umfangreicher vom Markt untersucht werden bzw. mehr 
Aufmerksamkeit erhalten.
In AMD CPUs können daher noch dutzende Fehler stecken, die allerdings 
nicht auffallen, weil keiner hinsieht.


Schon im Linux Kernel gab es Bugs, die dort 20 Jahre ungesehen 
herumschlummerten. Auch hier ist es Windows, dass die gesamte geballte 
Aufmerksamkeit der Hacker erhält.

In der HW Welt sind daher auch Intel Systeme die lohnenderen Ziele, eben 
weil die überall eingesetzt werden.

Kurz: Alle kochen nur mit Wasser, die Verbreitung bestimmt aber die 
Aufmerksamkeit, die einer für seine Suppe bekommt.

Nano schrieb:
> Nein, es ist nur so, dass aufgrund der größeren Verbreitung von Intel
> CPUs diese umfangreicher vom Markt untersucht werden bzw. mehr

Das ist ne interessante Theorie. Die ganzen Googles, Facebooks, Amazons 
und Co habe sicher kein Interesse daran sichere Prozessoren zu nutzen, 
die nicht 30% der Leistung seit Kauf verloren haben. Intel hat sicher 
auch kein Interesse daran, Probleme bei AMD zu finden. Es gibt sicher 
auch keine Sicherheitsforscher, die Proleme bei AMD suchen. Warum sollte 
es da auch einfacher sein, immerhin Suchen aus den von dir genannten 
Gründen die meisten bei Intel und es sollte einfach zu findende Probleme 
bei AMD geben.

A. K. schrieb:
> mh schrieb:
>> Mittlerweile sieht es so aus, als würde es einen systematischen
>> Unterschied zwischen Intel und AMD geben.
>
> Ja, das fällt auf. Intel scheint generell etwas mehr auf Kante zu nähen.

Ein typischer Effekt wenn man jahrelang kaum Konkurrenz hat. Man wird 
schlampig und glaubt mit allem davon zu kommen. Denn der Kunde kauft 
sowieso.

Marten Morten schrieb:
> A. K. schrieb:
>> mh schrieb:
>>> Mittlerweile sieht es so aus, als würde es einen systematischen
>>> Unterschied zwischen Intel und AMD geben.
>>
>> Ja, das fällt auf. Intel scheint generell etwas mehr auf Kante zu nähen.
>
> Ein typischer Effekt wenn man jahrelang kaum Konkurrenz hat. Man wird
> schlampig und glaubt mit allem davon zu kommen. Denn der Kunde kauft
> sowieso.

Das ist eine Möglichkeit, wie es dazu kommen kann. Vielleicht hat Intel 
aber auch einfach das geliefert, was die Kunden wollten und niemand 
hatte Grund sich zu beschweren (außer über Preise ...).

Marten Morten schrieb:
> Man wird
> schlampig und glaubt mit allem davon zu kommen.

Die Sicherheitslücken haben nichts mit Schlampigkeit zu tun, die sind 
prinzipbedingt und daher jedem memory sharing system zu finden. Wer 
seine wichtigen Dokumente in den Wandsafe legt, kann nicht per Internet 
ausgespät werden. Insofern ist Naivität auf beiden Seiten des 
Computergehäuses zu finden.

mh schrieb:
> Vielleicht hat Intel
> aber auch einfach das geliefert, was die Kunden wollten und niemand
> hatte Grund sich zu beschweren (außer über Preise ...

Ach hört doch endlich auf, dem Kunden die Verantwortung umzuhängen für 
den unsicheren Mist, den die Hersteller abliefern.
Man hat schon jahrelang gewarnt, dass das was Intel macht nicht sicher 
ist, wo bleibt die Produkthaftung?

Vielleicht verkauft Intel Backdoors an Behörden und so ...

vn nn schrieb:
> mh schrieb:
>> Vielleicht hat Intel
>> aber auch einfach das geliefert, was die Kunden wollten und niemand
>> hatte Grund sich zu beschweren (außer über Preise ...
>
> Ach hört doch endlich auf, dem Kunden die Verantwortung umzuhängen für
> den unsicheren Mist, den die Hersteller abliefern.
Wenn die Kunden nicht sagen, dass sie Probleme mit dem Produkt haben und 
es weiter Kaufen, ist es die Verantwortung der Kunden. Und wenn die 
Kunden Jahrelang "schneller und effizienter" schreien, warum sollte 
Intel das nicht liefern?
> Man hat schon jahrelang gewarnt, dass das was Intel macht nicht sicher
> ist
Kannst du ein paar Quellen nennen, in denen ich das nachlesen kann? Ich 
vermute du beziehst dich dabei auf Probleme mit speculative execution 
und nicht irgendwelche Management Eingine Probleme die hier grad 
irrelevant sind.
> , wo bleibt die Produkthaftung?
Für was genau soll Intel haften?

Rolf M. schrieb:
> Halb Gebläse schrieb:
>> Wer
>> seine wichtigen Dokumente in den Wandsafe legt, kann nicht per Internet
>> ausgespät werden. Insofern ist Naivität auf beiden Seiten des
>> Computergehäuses zu finden.
>
> Aber wen interessiert das heute eigentlich noch? Wer sein Zeug auch noch
> selber ins Internet hochlädt, braucht ja gar nicht mehr ausgespäht zu
> werden.

Das ist nicht gemeint. Gemeint ist, wer seine Doks elektronisch auf den 
Computer speichert, muss sich im Klaren sein, das sie von dort von 
Dritten ohne direkten Zugang zum Computer gestohlen werden können. Egal 
welche CPU drin schlägt. Auch zum datendienstahl gehören immer zwei ...

Mw E. schrieb:
> Also AMD wirbt bei EPYC2 zumindest damit Spectre gepatcht zu haben.
> Wobei ja Spectre bei AMD kaum ausnutzbar ist, trotzdem habense diese
> Lücke geschlossen.
> Die anderen Dinge wie Meltdown und Foreshadow und und und gibts bei AMD
> ja ganich erst.

Dafür kann es anderes geben, was nur noch keiner gefunden hat, weil 
keiner danach gesucht hat.
Siehe oben mein Kommentar.

Es war diese eine Hochschule in Graz, die Meltdown in den Intel CPUs 
entdeckt hat.
Das Budget bei Hochschulen ist allerdings begrenzt und Intel war damals 
noch leistungsmäßig führend. Also kauft man das, was man da für sein 
Geld bekommt und muss dann mit dieser Hardware leben und seine Forschung 
damit betreiben. Extra Geld für weitere CPUs dürften erst einmal nicht 
drin gewesen sein.

Dass die Intel CPUs erforscht wurden und nicht die AMD CPUs hängt also 
direkt mit deren größeren Verbreitung ab. Dem Marktführer wird zuerst 
auf die Finger geschaut und lediglich weniger Leute schauen dann auf die 
Finger der Konkurrenz. Wenn da aber auch weniger hinschauen, dann ist 
auch die Chance kleiner, das man etwas findet.

Und wenn man dann etwas gefunden hat, erst dann schaut man auch, ob die 
Konkurrenz davon auch betroffen gibt, aber das bedeutet nicht, das es 
nichts anderes bei AMD gäbe. Denn auch das muss erst einmal gefunden 
werden. Dafür braucht man viele gute Leute die genau hinschauen und da 
selbst Spectre und Meltdown für über 20 Jahre in den Intel CPUs 
unentdeckt blieben, kann man sich ausmalen, wie das erst bei AMD 
aussieht, das noch einen viel geringeren Marktanteil hat.

Nano schrieb:
> Extra Geld für weitere CPUs dürften erst einmal nicht
> drin gewesen sein.
Dafür hast du sicher eine Quelle oder?

mh schrieb:
> Nano schrieb:
>> Extra Geld für weitere CPUs dürften erst einmal nicht
>> drin gewesen sein.
> Dafür hast du sicher eine Quelle oder?

Klar, deswegen schreibe ich "dürften".
Das ist schon ein Beweis und bedarf daher keiner weiteren Quellen.

Merk dir eines, alles was im Konjunktiv geschrieben ist, sind bewiesene 
Tatsachen, die keiner weiteren Quelle mehr bedürfen.

Nano schrieb:
> Merk dir eines, alles was im Konjunktiv geschrieben ist,

Woher soll ich wissen, ob du den Konjuktiv verstanden hast? Der Rest des 
Textes ergibt ja auch keinen Sinn.