Frage Was ist das Risiko und die Auswirkungen des Abschaltens von KPTI?


KPTI bringt einen Leistungshit. Für den durchschnittlichen Benutzer von Ubuntu (nicht Windows, kein Wein), der seinen Laptop hinter einer Firewall zu Hause oder im Büro verwendet, besteht ein signifikantes Risiko einer Ausnutzung durch Spectre oder Meltdown, wenn KPTI ausgeschaltet ist?

Z.B. Einige Linux-Benutzer installieren kein Antivirus-Paket, weil Computerviren es sind unter Linux viel seltener als unter Windows. Ist ein Benutzer eher einer Ausnutzung von Spectre oder Meltdown ausgesetzt als einem Linux-Virus?

Bitte beantworten Sie dies mit einem kosten- Nutzenanalyse nicht nur eine Meinung.


4
2018-01-12 09:45


Ursprung


Danke für den Link. Ich habe es mir angesehen, aber ich habe nur den Eindruck eines theoretischen Risikos. Ich habe meine Frage bearbeitet, um das Risiko von Linux-Viren zu vergleichen. - mcarans
Wie im Moment ist das Risiko wahrscheinlich gering, da es Crackern eine Weile dauern würde, den Exploit zu nutzen. Sie müssen wirklich einen Artikel über die Qualitätsprüfung lesen - theguardian.com/technology/2018/jan/04/... . Es wird eine Verzögerung geben und dann werden die Cracking-Tools diesen Exploit skripten und es wird ein großes Problem für ungepatchte Systeme sein. Wie schätzen Sie bei jeder Sicherheitsentscheidung Ihre Daten ein? Wie viel, wenn überhaupt, eines Performance-Hit ist die Lösung für Ihre CPU? Ist Ihr Bankkonto lohnenswert? - Panther
Ich denke, dies ist eine ausgezeichnete Kosten / Nutzen-Analysefrage und erwog, sie mit zu beantworten KAISER und KASLR Verweise. Aber bei 4 knappen Antworten scheint die Zeit, in der die Antworten beantwortet werden, eine Zeitverschwendung. - WinEunuuchs2Unix
Ich sehe nicht, dass Antworten darauf in erster Linie meinungsbezogen sein müssen. Wie WinEunuuchs2Unix sagt, ist es möglich, eine Kosten-Nutzen-Analyse durchzuführen. - mcarans


Antworten:


Bevor wir zu den harten Fakten übergehen, möchte ich meine Meinung äußern, dass Ihr Vergleich zwischen Viren und Exploits für Spectre und Meltdown ein wenig verzerrt ist: Es gibt mehr als eine Million Viren und keine Exploits für Spectre und Meltdown zum Zeitpunkt des Schreibens: Nur der "Proof of Concept" (PoC) -Code, aber die NSA, CIA, BSI, ССБ und andere Organisationen mit drei Buchstaben werden sehr wahrscheinlich Überstunden machen, um Exploits zu entwickeln.

Zweitens kann das Risiko nicht für sich allein betrachtet werden, ohne auch über die Auswirkungen zu sprechen. Deshalb habe ich das zu Ihrer Frage hinzugefügt.

Nun zu den harten Fakten:

  • Heute ist die Anzahl der Exploits 0 (soweit wir wussten), Das Risiko ist also gering.
    (Kosten: hoch. Vorteil: Niedrig)
  • In Zukunft wird die Anzahl der Exploits steigen, Das Risiko wird also linear steigen.
    (Kosten: Hoch. Vorteil: Mittel.)
  • Wenn Sie sich entscheiden würden, die Patches nicht zu implementieren, und Sie in Zukunft von einem Exploit getroffen werden würden, der Einfluss wird hoch sein, da dies ein ist Seitenkanal-Schwachstelle
    (Kosten: Hoch. Vorteil: Hoch)
  • Wenn Sie in einer virtuellen Umgebung mit Ubuntu als Host-System laufen würden, die Auswirkung wäre sehr hoch da die VMs auf demselben physischen Host in der Lage wären, den Speicher des jeweils anderen zu überprüfen ...
    (Kosten: hoch. Vorteil: extrem hoch)

5
2018-01-14 12:01



Wenn Sie in einer Cloud-Umgebung arbeiten, sollte die Meltdown / Spectre-Sicherheitslücke im Betriebssystem der Cloud-Systeme primär gepatcht werden, da das Betriebssystem in der VM keinen direkten Zugriff auf die Hardware hat. - Soren A
@SorenA Ja, korrekt: Auf der Hypervisor-Ebene, aber da das OP in seiner Frage nicht angegeben hat und andere Leute diese Frage beim Laufen in einer solchen Umgebung lesen, habe ich dieses Szenario hinzugefügt, um es genau zu vervollständigen. - Fabby
@SorenA Falsch. In VMs a virtuell Die CPU hat ihre eigene Firmware und so. Die Betriebssysteme müssen daher immer noch in der Cloud-Umgebung gepatcht werden, so dass mehr als nur der 'Host' gepatcht wird, da die virtuellen CPUs, die den Gästen ausgesetzt sind, möglicherweise auf ähnliche Weise ausgenutzt werden könnten. Dies wurde innerhalb der Internet Security Community bestätigt und akzeptiert. - Thomas Ward♦
Danke, das ist toll, Fabby, aber wäre es möglich, den Kostenvorteil in etwa zu vergleichen, wenn man keine Antivirensoftware installiert, z. Wenn die Infektion durch einen typischen Linux-Virus ausgelöst wird, ist die Auswirkung gleich oder höher? Wird sich die Anzahl der Exploits schneller erhöhen als bei Linux-Viren? Wie wirkt sich die Ausführung von Antivirensoftware auf die Leistung aus? Dies erleichtert die Quantifizierung von Kosten und Nutzen. - mcarans
"Heute ist die Anzahl der Viren weniger als 50 (so weit wir wussten), also ist das Risiko niedrig / mittel / hoch. (Kosten: niedrig / mittel / hoch. Vorteil: niedrig / mittel / hoch.) In der Zukunft, Die Anzahl der Viren wird steigen, das Risiko steigt also linear / exponentiell an (Kosten: niedrig / mittel / hoch. Vorteil: niedrig / mittel / hoch) Wenn Sie sich entschließen, kein Antivirenprogramm zu installieren, werden Sie davon betroffen sein ein Virus in der Zukunft wird die Auswirkungen niedrig / mittel / hoch sein. (Kosten: niedrig / mittel / hoch. Vorteil: niedrig / mittel / hoch). " Dies würde das Verständnis des Kostenvorteils IMHO erleichtern. - mcarans