Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Beveiligingslekken in Intel-cpu's

Is dit het einde van Hyper-Threading?

19-05-2019 • 06:00

319 Linkedin Google+

Is het Intel-lek het einde van Hyper-Threading?

Er zit een fors lek in een groot deel van alle cpu's. Net als bij Meltdown en Spectre is er veel ophef rondom deze kwetsbaarheid, maar nu gaat het ook om hardwarematige eigenschappen van de chips. Betekent dit lek het einde van Hyper-Threading?

Wat gebeurde er ook alweer?

Eerder deze week brachten verschillende beveiligingsonderzoekers een ernstig lek aan het licht dat vrijwel iedere cpu van Intel treft. Dat kwam als een onaangename verrassing, want de cpu's van dat bedrijf zitten in meer dan driekwart van alle computers ter wereld.

Het gaat niet om één lek, maar om verschillende kwetsbaarheden, die min of meer gelijktijdig werden ontdekt door verschillende onderzoeksteams. De eerste werd ontdekt door Nederlandse onderzoekers van de Vrije Universiteit Amsterdam, maar onderzoekers van de KU Leuven vonden een soortgelijk lek, net als wetenschappers van de Universiteit van Graz in Oostenrijk. Intel schaart alle drie de aanvallen onder dezelfde kwetsbaarheid, omdat ze van dezelfde zwakke plekken in cpu's gebruikmaken. De onderzoekers hebben ook verschillende websites opgezet met hun bevindingen en whitepapers gepubliceerd. Ook Intel heeft dat gedaan, met een algemene blogpost. Zij noemen de bugs onder één verzamelnaam: Microarchitectural Data Sampling, of MDS. De onderzoekers hebben ook verschillende namen aan de kwetsbaarheden gegeven.

Onderzoekers Naam van lek Website
VU Amsterdam (VUsec) Rogue InFlight Data Load (RIDL) MDSattacks.com
KU Leuven Fallout MDSattacks.com
Universiteit van Graz Zombieload Zombieloadattack.com / CPU.fail
Intel Microarchitectural Data Sampling (MDS) Intel.com

Om wat voor kwetsbaarheden gaat het?

De kwetsbaarheden zitten in speculative execution, een optimalisatiemethode waarbij een cpu bepaalde taken of berekeningen probeert te voorspellen om de processor sneller te maken. Als zo’n voorspelling uitkomt, kan de berekening eerder worden uitgevoerd doordat de data dan al eerder geladen werden. Als de voorspelling niet klopt, wordt die weggegooid. Voor het maken van zulke voorspellingen worden verschillende soorten buffers gebruikt, zoals line-fill buffers, die data in de cache laden, en store buffers, die data naar het gewone geheugen schrijven. Met de nu ontdekte kwetsbaarheid kunnen de onderzoekers de data die weggegooid hadden moeten worden, uit die buffers onderscheppen.

Een aanvaller kan echter niet zomaar bepalen welke data hij uit een buffer kan aflezen. In een proof-of-concept van de VU laten de onderzoekers zien hoe ze een wachtwoord uit een Linux-partitie kunnen halen. Ze moeten de nodige commando's heel vaak draaien voordat ze de juiste data uit de buffer kunnen halen. Dat proces duurde ook lang: zo'n 24 uur. Mede daarom relativeert Intel de kwetsbaarheid. "Praktische uitbuiting van MDS is erg complex", schrijft Intel in een verklaring. "Maar", voegen de onderzoekers toe, "dat was onder de proof-of-concept. We kunnen het verder optimaliseren zodat het al binnen enkele minuten kan." Nadat de beveiligingsonderzoekers het lek aan Intel hadden gemeld, kwam de fabrikant met een microcode-update. Op basis daarvan hebben verschillende fabrikanten een patch uitgebracht.

Dat er in één keer verschillende lekken zijn gevonden, komt door het verschil tussen de soorten buffers die kunnen worden afgeluisterd. “Wij presenteerden aan Intel een proof of concept om te lekken uit line-fillbuffers en load ports”, vertelt Stephan van Schaik, een van de onderzoekers van de VU aan Tweakers. “Toen we daarover in gesprek raakten met Intel, kwamen we erachter dat het lek ook kon worden uitgebuit via load ports of storebuffers. Van dat laatste weten we niet honderd procent zeker of ons proof of concept ook daarop van toepassing is; dat onderzoeken we nog.” Dat storebufferlek is weer waar Zombieload op is gebaseerd: het lek dat de Oostenrijkse onderzoekers ontdekten, maar ook Fallout.

De kwetsbaarheid zit in speculative execution en de buffers die daarvoor gebruikt worden

In hoeverre lijkt dit lek op Spectre en Meltdown?

De kwetsbaarheid doet in eerste instantie veel denken aan twee andere grote cpu-bugs: Spectre en Meltdown. Die kwamen in januari vorig jaar met veel ophef naar buiten en niet zonder reden. Via die kwetsbaarheden kon informatie direct uit het geheugen van de chips worden ontfutseld en in beide gevallen ging het om een probleem dat niet zomaar te patchen was. En, niet onbelangrijk: bij zowel MDS als bij Meltdown ging het specifiek om Intel-chips (al werd ook de ARM Cortex A75 door Meltdown getroffen).

Wel zitten er een paar fundamentele verschillen tussen MDS enerzijds en Meltdown en Spectre anderzijds. In het geval van Meltdown ging het bijvoorbeeld om informatie die uit het kernelgeheugen kon worden gelezen. Bij MDS wordt de informatie uit verschillende soorten buffers van de chip geplukt. Daar zit volgens de onderzoekers een van de fundamentele verschillen; het gaat hier om een lek van in-flight data, gegevens die actief worden gebruikt tijdens een sessie, en niet om data die in het geheugen of in een cache zijn opgeslagen.

Ook zit er verschil in de manier waarop je data kunt aflezen. Van Schaik: “Bij aanvallen zoals Meltdown was dat veel gerichter. Daar kon je heel specifiek wijzen naar een adres, naar een specifieke plek in de kernel. RIDL richt zich niet specifiek op een dergelijke plek, maar op alle informatie uit de buffer. Die kun je dan aftappen en kijken wat erin zit, en dat maakt het heel moeilijk om hier op softwaregebied iets tegen te doen.”

Zo probeert RIDL de line-fillbuffer te onderscheppen

Betekent dit het einde van Hyper-Threading?

Wat het lek een stuk gecompliceerder maakt, is de relatie met simultaneous multithreading, of smt, een proces waarbij een fysieke core wordt gevirtualiseerd naar meerdere logische cores om zo meerdere threads op één core uit te voeren. Intels variant daarvan heet Hyper-Threading en dat proces maakt deze kwetsbaarheid makkelijker uit te buiten. Een update van de microcode vanuit Intel lost dat probleem enigszins op, maar niet helemaal, zegt Van Schaik. “De nieuwe microcode geeft ontwikkelaars van besturingssystemen een barrière. Die zorgt ervoor dat data in de buffers vóór de barrière niet gelekt kunnen worden door code ná de barrière. Dus als je wisselt van applicaties, kan het oude proces het nieuwe niet uitlezen tijdens speculative execution. Zo kun je dus via onze methode ook niets meer aflezen. Maar wanneer je Hyper-Threading aan laat staan, kun je niet voorkomen dat die barrière op beide threads geforceerd wordt. Daarom is het het veiligst om Hyper-Threading maar uit te schakelen.”

Het is niet voor het eerst dat Hyper-Threading wordt genoemd als potentieel veiligheidsrisico. Zo werd het proces in openBSD al eerder uitgeschakeld, omdat type libraries en L1-caches uitgewisseld werden tussen threads en die potentieel te onderscheppen waren. Ook Google heeft maatregelen genomen door Hyper-Threading uit te schakelen in ChromeOS 74, de recentste versies van het besturingssysteem. Toekomstige versies ervan krijgen 'extra maatregelen', al is niet direct duidelijk welke dat zijn. Gebruikers kunnen het proces wel nog handmatig inschakelen.

Andere softwaremakers, zoals Apple, Microsoft en verschillende Linux-distributies, komen met een patch die aanvallen via JavaScript en de browser onmogelijk maken. Er is een update voor Windows beschikbaar. Apple heeft macOS Mojave 10.14.5 uitgebracht, maar die is er niet voor iedere Macbook of iMac, doordat Intel daarvoor geen microcode-update heeft uitgebracht.

De bedrijven én de onderzoekers raden zelf ook aan om Hyper-Threading handmatig uit te schakelen. Die maatregel is nogal heftig en kan in sommige systemen leiden tot een flinke daling van prestaties, maar om hoeveel dat precies gaat, is moeilijk te zeggen. Dat verschilt per systeem en per programma; verschillende ontwikkelaars zijn inmiddels bezig met benchmarks. Intel waarschuwt dat de totale performance hit kan oplopen tot wel veertig procent, al zal dat vooral in extreme gevallen zijn.

Het probleem van het lek
is dat het om een hardwarekwetsbaarheid gaat
Google erkent dat probleem. "De beslissing om Hyper-Threading aan of uit te zetten is een afweging tussen veiligheid en performance." Er zijn op dit moment nog geen officiële benchmarks beschikbaar die het verschil in prestaties met en zonder de microcodepatch laat zien, een verschil dat in elk geval per applicatie en configuratie anders zal zijn. Dat bevestigt Van Schaik ook. “We hebben zelf geen cijfers over het performanceverlies, maar je kunt wel schatten wanneer Hyper-Threading vooral winst kan opleveren. Het hangt af van je workload; bij serverapplicaties is het bijvoorbeeld nuttig. Daar heb je veel clients die verbinden en zolang je niet met veel caches werkt en weinig responses hoeft te sturen, is dat prima. Als je echter veel data in een cache hebt, bijvoorbeeld bij het verwerken van grote databases, dan heb je niet zoveel aan Hyper-Threading. En bij gaming is single clock speed ook meestal het relevantst.” Bovendien, voegt hij toe, is het maar de vraag of de oplossingen die Intel voorstelt niet juist leiden tot slechtere prestaties dan wanneer Hyper-Threading helemaal wordt uitgeschakeld.

Intel raadt het uitschakelen van Hyper-Threading officieel niet aan, maar noemt het het wel als mogelijke maatregel in een nadere analyse van het probleem. "Enkel het uitschakelen van HT beschermt niet tegen MDS", schrijft het bedrijf. Het laat de beslissing aan klanten zelf. Intel heeft de vier kwetsbaarheden zelfs ingeschaald op het niveau 'laag tot middelmatig'.

Wanneer ben ik kwetsbaar?

De grootste impact van de kwetsbaarheid zit in twee dingen: het feit dat het om een hardwarematige bug gaat, die dus niet zomaar te patchen is, en de wijdverspreidheid ervan. Het lek zit namelijk in vrijwel iedere cpu van Intel. Alle chips van Intel vanaf 2008 zijn kwetsbaar; het gaat om chips met een architectuur vanaf Nehalem. De kwetsbaarheid zit niet alleen in cpu's voor laptops en desktops, maar ook in de Xeon-processors voor servers. AMD- en ARM-chips zijn niet kwetsbaar voor de kwetsbaarheid. AMD heeft daarover ook een verklaring naar buiten gebracht.

De onderzoekers van de VU Amsterdam hebben op hun website een tool gezet waarmee kan worden gecontroleerd of een systeem kwetsbaar is voor MDS.

Tool van de KU Leuven en de VU Amsterdam om de kwetsbaarheid van een systeem voor MDS te testen

Er is niet veel nodig om de kwetsbaarheid te misbruiken. Een aanvaller kan dat al als hij toegang heeft tot een machine of het netwerk van een computer, bijvoorbeeld door op hetzelfde netwerk te zitten in een kantooromgeving. Het is ook mogelijk code uit te voeren met JavaScript via bijvoorbeeld een geïnfecteerde website. Van Schaik: “Een aanvaller hoeft eigenlijk alleen maar unprivileged code access te hebben tot een machine. Het helpt dan ook niet om bijvoorbeeld met virtuele machines of secure enclaves te werken, want die maken gebruik van dezelfde onderliggende infrastructuren.”

En nu?

De grote vraag is nu hoe kwetsbaar gebruikers daadwerkelijk zijn. In eerste instantie lijkt het lek ernstig: een veelgebruikte technologie in vrijwel iedere cpu van zowel servers als desktops blijkt kwetsbaar en er is veel gevoelige informatie te stelen. Van de andere kant is een aanval uitvoeren niet zo makkelijk. Je moet daarvoor binnen hetzelfde netwerk zijn als een kwetsbare computer of een malwareaanval uitvoeren zoals via een banner op een website.

Hopelijk bieden in het verleden behaalde Meltdown-resultaten garantie voor de MDS-toekomst. Sinds die bug immers samen met Spectre en Foreshadow openbaar werd gemaakt, zijn er vrijwel geen grootschalige aanvallen met die methode voorgekomen. Die werden door sommige beveiligingsonderzoekers wel voorspeld. Voorlopig lijkt MDS ook redelijk goed in toom te houden. Met updates aan besturingssystemen worden grote risico's zoals JavaScript remote code executions tegengehouden en door Hyper-Threading uit te schakelen is het risico goed te minimaliseren. Of de risicoreductie opweegt tegen de daling in prestaties, is een andere vraag.

Reacties (319)

Wijzig sortering
Wat het lek een stuk gecompliceerder maakt, is de relatie met simultaneous multithreading, of smt, een proces waarbij een processor gebruikmaakt van verscheidene fysieke cores om dezelfde berekening uit te voeren.
https://en.wikipedia.org/wiki/Simultaneous_multithreading
Het is juist 1 fysieke core die via smt(intel ht) wordt gevirtualiseerd naar 2 logische cores om zo twee threads of taken op die ene fysieke core uit te voeren.
Het hele idee achter Hyperhreading is ook niet 'om dezelfde berekening uit te voeren,' maar juist om twee verschillende taken uit te voeren. Het concept is vrij simpel: voer je maar 1 taak uit op1 fysieke core, dan zal die code niet alle instructies tegelijkertijd gebruiken (waardoor je CPU eigenlijk, voor een gedeelte, idle draait). Door nu 2 threads tezamen uit te voeren, middels 2 logische cores (beiden met verschillende code), vullen ze zeg maar elkaars hiaten op, zodat de instructie saturation maximaal wordt, en je je CPU dus efficienter gebruikt (lees: meer performance).
Precies, ik had dat 's middags ook nog op het forum gezet waar dit artikel besproken werd:
https://gathering.tweaker...message/58899602#58899602
Hyperthreading leid soms juist tot minder performance. Juist in de gevallen wanneer de echte thread al volzit, ga je vaak geen winst behalen omdat de thread niet benut kan worden en een extra kloktik gebruikt moet worden en mogelijk data naar een langzamere cache toegaat.
Ah dat is inderdaad niet goed nee, pas ik aan thanks!
Alhoewel de techniek die in het artikel beschreven wordt ook wel interessant klinkt. Een soort super multicore...
Ik probeer Intel gewoon te inspireren :)
Hoop dat ze meelezen ;-)
Ik stond ook al te kijken toen ik die verklaring las, en had het ook even gedubbelcheckt want twijfelde zelf even.
Waarom heeft het ACM Intel niet terug geroepen en geforceerd deze chips te vergoeden met geld of dan wel een vervangend product? Desnoods met AMD, IBM of andere CPU producten. Grote server bedrijven kunnen geld zien, de consument wordt weer keihard genaaid. Een product gekocht in 2013 levert inmiddels de snelheid van een product in 2007. De upgrade in der tijd was het nu dus helemaal niet meer waard, tenzij de 'fixes' niet worden toegepast op OS niveau. Dit allemaal omdat Intel er specifiek voor koos de mentaliteit van obscuriteit zal het wel beveiligen en snelheid boven veiligheid. Deze ervaring zorgt voor mij dat ik permanent klaar ben met elk product dat Intel cpu's gebruikt. Nooit meer.

[Reactie gewijzigd door Lennart-IT op 19 mei 2019 06:25]

Ten eerste zou ik zelf eens testen hoeveel performance je daadwerkelijk kwijt bent. Veel van de tests in de media staan vol met waardeloze synthetische benchmarks die de maximale performance impact testen, dit zijn echter ook scenario's die je bij normaal gebruik nooit zal zien. Leuk om te zien, maar echte conclusies over het daadwerkelijke performance verlies kan je er niet uit halen.

Zo zie ik zelf op de systemen en real world workloads die ik getest heb voor onze relaties gemiddeld zo'n 0-5% performance verlies tussen niet gepatched en volledig gepatched. Her en der wat specifieke workloads die wat meer verliezen.

Nog steeds vervelend, maar lang niet zo dramatisch als je soms (helaas) in de media ziet. Ik had graag gezien dat de media zich ook meer zou richten op de daadwerkelijke verliezen en niet op de sensationele maximale theoretische verliezen.

Verder als je meent dat jou een non-conform product is verkocht vanwege deze lekken moet je onder onze wetgeving niet bij de fabrikant zijn, maar bij de verkoper. Je zou dus rustig eens een balletje kunnen opgooien bij je verkoper, en mocht deze daar negatief op reageren als je echt overtuigd bent van je juridische gelijk een zaak starten.

Ik zie dan ook niet direct waarom de ACM Intel zou moeten aanspreken onder onze wetgeving, ik vraag me zelfs af of dat wel zin zou hebben, Ik zie Intel (net als AMD, ARM of andere cpu vendoren) normaliter geen harde prestatie garanties afgeven, ze garanderen een kloksnelheid en een aantal cores en dat is het eigenlijk wel. Ik heb Intel of AMD nog nooit zien roepen in specs of in advertenties "Wij garanderen 100FPS in Game X of Wij garanderen een cinebench score van 200 Single Thread".
Op basis van diezelfde synthetische benchmarks heeft Intel jarenlang hun spul verkocht als beter dan AMD. Dus waarom mogen we Intel niet op dezelfde wijze afrekenen? Ook hier op Tweakers, jarenlang Intel aanraden op basis van diezelfde synthetische benchmarks.

Met al die performance verliezen die Intel nu heeft door de weg af te snijden… hoe ver liep AMD daadwerkelijk achter?
Volgens mij zeg ik nergens dat je Intel daar niet op af zou mogen rekenen als dat je ding is. Het heeft alleen weinig zin naar mijn mening om op basis van theoretische synthetische benchmarks conclusies te trekken over het performance verlies dat jij daadwerkelijk al dan niet geleden hebt. Als er ergens een test is die bijv 30% performance verlies laat zijn bij iets als 24/7 4k I/O's wegschrijven betekent dat niet dat jouw systeem ook 30% trager is bij jouw normale gebruik.

En juist dat zou ik nu graag willen dat de media zou laten zien, wat verliest jantje aan performance tijdens het browsen of het verwerken van zijn e-mails, wat verliest Ingrid aan performance terwijl ze netflix kijkt, merken zij überhaupt de invloed wel. Is Henk zijn PC nu ineens zo traag dat Fortnite niet meer werkt? Daar hebben consumenten immers wat aan, in hoeverre heeft het impact op de workloads die zij daadwerkelijk dagelijks uitvoeren. Welke invloed het in theorie zou kunnen hebben is dan weer veel minder interessant voor de meeste concurrenten.

Net als voor zakelijk gebruik, voldoen de clusters van onze relaties nog wel, moeten zij meer capaciteit bijschakelen na patchen, of zien ze zelfs na patchen amper verschil op hun specifieke workloads. Zijn werknemers minder productief omdat ze langer moeten wachten, of is er geen verschil. Juist dat soort zaken zijn interessant.

Uiteindelijk willen we uiteraard dat iedereen met een getroffen cpu zijn / haar systeem zal patchen. Ik denk dat gebruikers dit eerder zullen doen wanneer ze weten wat de echte impact is op hun workloads, dan wanneer ze continu horen 30% performance verlies, 40% performance verlies!!! terwijl dat in de meeste scenario's totaal niet zo is.
Wat een consument aan performance verliest, dat interesseert niemand wat. Voor bedrijven die cloud diensten aanbieden hebben vertragingen en het uitschakelen van processor functies wel degelijk impact. Misschien zelfs wel zodanig, dat je als bedrijf zijnde de rode cijfers in gaat duiken.

En als je als bedrijf 20.000 Euro of meer hebt uitgegeven voor een nieuwe server, terwijl deze net zo snel en bruikbaar is dan het oude model wat je nog hebt draaien, dan voel je je toch een beetje bekocht, de IT afdeling zit met een probleem in het budget, etc.

Zelf ook testen uitgevoerd met baremetal machines met en zonder de intel patches voor Meltdown.Spectre. Gebruik makend van de dezelfde software en databases duurden de exact dezelfde regressietesten (gebaseerd op daadwerklijke use-cases waarvoor bedrijven onze softwarre gebruiken) over het algemeen zo'n 45 minuten langer op systemen met deze patches ingechakeld. Bijna 30% aan prestatieverlies.

Dat is mijn ervaring met de vorige patches. En nu zijn er weer nieuwe problemen met Intel. Jarenlang geen AMD meer toegepast in de toko, maar sinds een maand of 6 draaien er nu een tweetal op Ryzen gebaseerde servers (als test) en men is daar goed over te spreken. Door die goede ervaringen is mijn trouw aan Intel al bijna tot het nulpunt geslonken.

Maar goed, dat is mijn ervaring en als het jouw ervaring helemaal anders is, dan gaan we het eens zijn over het oneens zijn. In ieder geval zat ik niet te wachten op nog meer problemen met Intel processoren. En die blijken er nu dus weer te zijn.

Intel is op deze manier niet de hoofdprijs waard, die ze menen te moeten vragen voor hun processoren. 15 jaar geleden waren we een 80/20 AMD toko. Denk dat dit in de nabije toekomst weer van kracht gaat worden alhier.
Wat een consument aan performance verliest, dat interesseert niemand wat. Voor bedrijven die cloud diensten aanbieden hebben vertragingen en het uitschakelen van processor functies wel degelijk impact. Misschien zelfs wel zodanig, dat je als bedrijf zijnde de rode cijfers in gaat duiken.

En als je als bedrijf 20.000 Euro of meer hebt uitgegeven voor een nieuwe server, terwijl deze net zo snel en bruikbaar is dan het oude model wat je nog hebt draaien, dan voel je je toch een beetje bekocht, de IT afdeling zit met een probleem in het budget, etc.
Behalve de consument zelf en juist voor die consument is nu juist vaak een dure PC een grotere hap uit het budget dan 20k voor een bedrijf. En dus wil die consument hopelijk gewoon weten wat dit voor impact heeft heeft op zijn / haar systeem.

Zeker voor cloud bedrijven zijn dit soort zaken vervelend. Die worden het hardst geraakt in de meeste gevallen.
Zelf ook testen uitgevoerd met baremetal machines met en zonder de intel patches voor Meltdown.Spectre. Gebruik makend van de dezelfde software en databases duurden de exact dezelfde regressietesten (gebaseerd op daadwerklijke use-cases waarvoor bedrijven onze softwarre gebruiken) over het algemeen zo'n 45 minuten langer op systemen met deze patches ingechakeld. Bijna 30% aan prestatieverlies.

Maar goed, dat is mijn ervaring en als het jouw ervaring helemaal anders is, dan gaan we het eens zijn over het oneens zijn. In ieder geval zat ik niet te wachten op nog meer problemen met Intel processoren. En die blijken er nu dus weer te zijn.
En dit is nu juist was ik bedoel, dit soort testen zou je juist moeten zien in de media, of ze nu veel of weinig impact hebben. Maar laat juist testen zien met echte workloads die echte gebruikers (of dit nu consumenten zijn of zakelijke gebruikers) uitvoeren. Daar heb je immers wat aan. En dan ook graag regelmatig hertesten, ik zie bijvoorbeeld ook dat er regelmatig na patches eerder performance verlies teruggewonnen wordt, waarschijnlijk omdat applicaties beter optimaliseert worden tijdens de ontwikkeling.
Euh, nee. Draai de benchmarks die Intel liet zien waarin ze zo goed er uit kwamen.

En dan kijken wat het verschil is. Want dat is de reden dat Intel werd gekocht. Wij zijn sneller, dus koop ons. Maar als dat komt door een slecht ontwerp is die benchmark dus niet terecht en is dus de claim vals.
Op basis van diezelfde synthetische benchmarks heeft Intel jarenlang hun spul verkocht als beter dan AMD. Dus waarom mogen we Intel niet op dezelfde wijze afrekenen? Ook hier op Tweakers, jarenlang Intel aanraden op basis van diezelfde synthetische benchmarks.

Met al die performance verliezen die Intel nu heeft door de weg af te snijden… hoe ver liep AMD daadwerkelijk achter?
Dit lijkt mij verder niet zo'n relevante vraagstelling omdat geen van de lekken de afgelopen jaren bekend waren en de performance impact van fixes, die toen nog niet bestonden, dus ook geen relevantie factor was voor 'echte' prestaties zoals jij die definieert.

Overigens is het stuk over synthetische benchmarks wel erg kort door de bocht. Dat Intel meer verkoop dat AMD zullen we het allemaal over eens zijn. Maar hoe die situatie is ontstaan hoort een geschiedenis van onderhand 50 jaar bij. Vergis je niet, AMD was in eerste instantie toeleverancier en zijn op basis van reverse engineering zelf in de x86 markt gestapt. Om precies te zijn de 8080 werd de AM8080.

Ook ben je te negatief over AMD. AMD liep niet altijd achter, ook niet synthetisch. Ten tijde van de X64(X2) ging het daar technisch prima, de X4 was ook een prima product om er maar een paar uit te pakken. Het was AMD zelf die in 2011 besloot dat PC gaming een doodlopend spoor was. Pas met de komst van Raja Koduri, die heil zag in VR gaming, is AMD zich weer gaan richten op de high-end desktop markt. Dat soort beslissingen hebben allemaal niets met synthetische benchmarks te maken.

Het is wel relevant voor ieder die nog binnen de economische levensduur zit van zijn aanschaf, denk aan skylake/coffee lake/enz. Zelf heb ik ook zo'n coffee lake in mijn desktop, gaat die nu minder lang mee dan de geplande 5 jaar omdat hij sneller gaat achterlopen in prestaties ten aanzien van nieuwe producten van AMD en Intel? Moeten ik nieuwe servers voortaan met AMD hardware uit gaan rusten? AMD is helaas ook niet immuun, zie de bevestiging van Ryzenfall, waar vrijwel iedereen enorm sceptisch over was: https://www.pcworld.com/a...routine-bios-updates.html Erg lastig te voorspellen als je het mij vraagt.

[Reactie gewijzigd door sdk1985 op 19 mei 2019 18:24]

In mijn geval is het ongeveer een 20% achteruitgang in games. Waar mijn overgeklokte 2600k met hyperthreading wel volstond, is hij nu de bottleneck in mijn systeem.
Dat is wel interessant, nu test ik niet veel games, maar de games die ik getest heb laten juist amper verlies zien.

Je hebt neem ik aan wel getest met dezelfde game, en dan enkel wel / niet gepatcht getest zonder andere veranderingen? Niet dat je met totaal andere games test (bijv. een game van 2 jaar geleden die goed draaide en een nieuwe game die minder goed draait, want dat zegt natuurlijk weinig :)
Ik heb het met dezelfde games getest (metro last night, Witcher 3), maar heb ook hyperthreading uitgezet voor extra veiligheid. Alleen de patch maakt niet een groot verschil (schijnt), het verlies komt door het niet meer hebben van hyperthreading. Ik game niet veel en wanneer zen 2 uitkomt stap ik over. Tot die tijd wil ik veilig kunnen bankieren. Om een indruk te krijgen van het verschil kan je een 2500k vergelijken met een 2600k (bijna dezelfde cpu op hyperthreading na).
Same here bf5 zonder patches prima speelbaar met patches soms een diashow

2600k met zelfde overclock

[Reactie gewijzigd door switchboy op 20 mei 2019 03:13]

Klopt, maar ook daar veel synthesche benchmarks volgens mij en andere maximale impact scenario's.
Ook daar zie ik ze niet / amper kijken naar de impact in daadwerkelijke gebruiksscenario's.

Terwijl als ik kijk op bijvoorbeeld virtualisatie clusters naar bijvoorbeeld het processor verbruik vandaag de dag om de dagelijkse workload uit te voeren en datzelfde verbruik bij dezelfde dagalijkse workload 1,5 jaar geleden (pre meltdown / spectre e.d.). Zit daar vaak maar weinig verschil in, hooguit een paar % meer verbruik vaak.

[Reactie gewijzigd door Dennism op 19 mei 2019 12:26]

Heb je wel gekeken? Ik vind het (iig niet puur) synthetisch hoor.
Daarom zeg ik ook synthetisch en andere maximale impact scenario's ;)

Terwijl het juist veel interessanter is om te weten wat er voor verlies op treed bij een realistische workload.
Ja, als ik de hele dag naar mijn geparkeerde auto zit te kijken kan ik ook wel zeggen dat ie een lage workload heeft en dat de topsnelheid dus niet boeit. Zo kan je ook naar naar je datacenter cores kijken en zien dat die de hele dag bijna niks zitten te doen. Prima, maar dat betekent nog niet dat ze niet langzamer zijn geworden door Intel's microcode patches.
Als Intel een nieuwe processor introduceert gooien ze zelf ook maar al te graag met cijfers gebaseerd op synthetische benchmarks.......
Intel zelf of de media? Bij Intel zelf ken ik eigenlijk alleen de, inderdaad naar mijn mening ook nutteloze, voorbeelden van "1,25x de performance van de vorige generatie" (zonder dat ze er dan bij vertellen wat de vorige generatie voor performance had).

Maar goed, ook daar vind ik synthetische benchmarks uiteraard nutteloos. Het zegt immers niet over wat ik als consument of zakelijke gebruiker kan verwachten in mijn workloads.

[Reactie gewijzigd door Dennism op 19 mei 2019 12:48]

Intel zelf bedoelde ik inderdaad.
ze garanderen een kloksnelheid en een aantal cores en dat is het eigenlijk wel.
Ze maken ook reclame met hyperthreading. Als dat ineens onbruikbaar blijkt en je vindt je product niet meer conform, dan heb je wel een punt vind ik.
Reden genoeg voor Intel om te zeggen dat Hyperthreading niet uitgeschakeld hoeft te worden terwijl andere bronnen dat in bepaalde gevallen wel adviseren. Ze zien de claims al komen.

[Reactie gewijzigd door grasnek op 19 mei 2019 13:46]

Ze adverteren bij auto's ook met een max snelheid, maar of dat veilig is om te doen, of het je het risico waard is qua boetes?
Dat een auto bij hoge snelheid een veiligheidsprobleem kan leveren is geen ontwerpfout. Bij Hyperthreading is dat overduidelijk wel zo.
Edit:
Bovendien is het in het geval van de auto geen probleem wat zich ver na de koop pas openbaart, en het product minder bruikbaar maakt dan voorheen.

[Reactie gewijzigd door grasnek op 19 mei 2019 14:57]

Dat het niet al te best is van Intel dat ze dergelijk designfouten niet hebben kunnen voorkomen, wil natuurlijk niet zeggen dat de vergelijking niet opgaat.

Die auto heeft wellicht niet al te beste wegligging of remmen, dus is wel degelijk slecht ontworpen. Een ontwerpfout in één van de systemen naast de motor, net als bij deze processoren, levert dus problemen op. Het verschil is dat je een PC op maximale snelheid mag en regelmatig wilt gebruiken en een auto meestal niet.

Overigens is dat ook exact wat voor de meeste consumenten geldt; desktops en laptops zijn zo snel geworden dat voor die paar mailtjes en wat browsen, er amper een verschil te merken valt. Natuurlijk; ga je op hoog niveau gamen, films en foto's bewerken dan is het een ander verhaal, al helemaal voor professionals die dit doen en/of renderen.
We hebben het hier over conformiteit. Dat betekent dat een verkoper een product op een bepaalde manier presenteert, met bepaalde eigenschappen, waar de koper op af moet kunnen gaan dat de gegeven specificaties correct zijn. De consument kan dan een verwachting vormen bij deze informatie. Zolang die verwachting redelijk is maar het product voldoet er niet aan, is het product pas niet conform te noemen.

We hebben het dus niet over restricties die dsmeef noemt, die door de overheid opgelegd worden op het gebruik van een product door de consument, zoals verkeersregels en boetes. Daar ben je als consument als het goed is van op de hoogte bij de koop, en ligt buiten de verantwoordelijkheid van de verkoper.

De CPU wordt verkocht met als fuctionaliteit: Hyperthreading voor performance boost. De consument mag er vanuit gaan dat die functionaliteit dan werkt zonder nadelige effecten zoals de recente bugs die ontdekt zijn. Het is namelijk niet zo dat het niet mogelijk is het probleem te voorkomen in het ontwerp. AMD lijkt het bijvoorbeeld ietsje beter in orde te hebben doordat bij hen slechts 1 van de 3 of 4 ontdekte bugs van toepassing zijn.

De auto wordt verkocht met een bepaalde topsnelheid, en de auto behaalt deze ook. Je mag er vanuit gaan dat de wegligging bij normale omstandigheden goed is. Pas als daar bij normaal gebruik gebreken in blijken te zijn heb je een claim. Die claim heb je niet als je met 180 over een zandweggetje met kuilen probeert te raggen. Daar is bijna geen enkele auto voor gemaakt en valt niet onder de redelijkerwijs te verwachten functionaliteit. Op een rechte snelweg die mooi strak aangelegd is kun je prima 250km/u halen. Als er ineens een scherpe bocht is niet, maar dat valt ook niet redelijkerwijs te verwachten dat een auto met 250km/u een haakse bocht kan nemen. Wat mij betreft valt 250km/u kúnnen rijden wel onder redelijkerwijs te verwachten functionaliteit, zolang dit op een plek gebeurt waarbij te verwachten is dat het kan. Bijvoorbeeld op een circuit of een lege snelweg bij droog weer. Dat het niet mag, of dat het niet slim is i.v.m. andere weggebruikers, heeft niets met conformiteit te maken.

[edit]
Wanneer dan wel? Als bij een bepaald toerental van je motor je binnenspiegel lostrilt, of als je banden van je wielen scheuren boven een bepaalde snelheid, maar nog binnen de geadverteerde snelheid die de auto zou moeten kunnen halen. (Dé reden dat de Porsche 911 GT2 RS gelimiteerd is op snelheid, de banden konden het niet aan. Ze hadden andere banden kunnen laten ontwerpen, maar vonden dat denk ik te duur worden. In plaats daarvan adverteren ze dus de gelimiteerde snelheid, niet de snelheid die de motor qua vermogen had kunnen halen zonder limiter)

[Reactie gewijzigd door grasnek op 20 mei 2019 13:41]

Battlefield5 is een goed voorbeeld. Onspeelbaar op mijn i7-2600k, mega bottleneck. Zeer goed speelbaar als ik spectre en meltdown patches uitschakel.

Dit is géén synthetische benchmark, dit is een real world usecase bij een game die wel multi threaded geoptimaliseerd is. Zonder hyperthreading wordt je CPU echt flink gecripppled.
Heb zelf een 3770K met hyperthreading. Hoe zet je deze patches uit als ik vragen mag? En is het echt nodig om hyperthreading uit te zetten als je toch alleen maar op je pc'tje gamed en ééns per maand op je bank inlogd?
Noluja.. is het nodig.. voor nu hebben de breaches nog niet echt impact/risico voor consumenten pc's, maar of dit zo blijft? Het is en blijft een hardware vulnerability die je dan moedwillig aan laat staan.

Ik heb nu op mijn i7-2600k ook alle spectre/meltdown patches uitgeschakeld, maar ik upgrade dan ook binnen enkele maanden naar een Ryzen 3000 ( vanwege prestaties, maar óók omdat hier geen HT op zit ).

Patches kun je uitschakelen met Insprectre:
https://www.grc.com/inspectre.htm
Hmm, qua performance heb je gelijk, maar je zou wel kunnen stellen dat een ondeugdelijk product is, wat gefixt wordt middels patches en updates maar daardoor niet meer in de buurt komt van de originele specs .. alleen is er idd nooit een harde garantie geweest qua specs in termen van threads of performance.
Wel zie ik een kier omdat ze aangeven dat security wise patches noodzakelijk zijn, maar ook het uitschakelen van HT als mitigatie mogelijk is.
Ik heb een i9 9900k SKU 13 en heb echt 0 performance verlies in alle taken programma's en games die ik draai. Zelf testen is dus het beste want ik lees vaak dat mensen je zo maar wat wijs willen maken zonder dat ze zelf benchmarks hebben gezien of gedraaid. Vaak hebben die mensen niet eens een intel CPU.
Ik zou maar eens goed kijken naar de wat oudere Intel CPU's, de 2 en 4 cores met HT, vooral in laptops.
Veel van deze cpu's zijn bijna 50% van hun performance kwijt! Niks waardeloze synthetische benchmarks.

Intel heeft de boel jarenlang bedonderd met onveilige cpu beveiliging omdat ze hierdoor een significante performance boost konden krijgen en de voorsprong op AMD behouden.

Ik ben benieuwd naar testen met oude AMD en Intel cpu's met HT uit! Het gat slinkt zienderogen!
Ik heb zelf een I9-9900K waar het minder impact heeft omdat ik 8 cores heb, maar toch voel ik mij behoorlijk bescheten voor 600€.

Volgende halte is de nieuwe AMD 3000 serie cpu! Kijk maar eens naar testen op Youtube, er is nu inmiddels veel meer bekend. De 8 en 9 gen Intel hebben minder last, gewoon omdat de i5 al 6 cores heeft. Maar dit is meer dan schandalig. Dat je 3 plusjes krijgt toont wel weer aan hoe beperkt mensen geïnformeerd zijn en alles voor zoete Intel koek slikken.

We zijn gewoon bedrogen.
Volgens mij begrijp je niet wat ik bedoel. Waarom ik synthetische benchmarks waardeloos vind, omdat deze totaal onrealistische workloads testen. Juist blind afgaan op synthetische tests in de media en vooral niet zelf testen of kritisch zijn laat zien dat mensen niet geïnformeerd zijn en van alles als zoete koek slikken.

Mijn punt is dan ook niet dat je geen performance verliest, als je dat denkt dan begrijp je mijn post ook verkeerd. Mijn punt is dat je als gebruiker goed moet kijken naar de impact van het performance verlies op jouw eigen gebruik en daar conclusies uit moet trekken en niet moet kijken naar algemene tests met zaken die jij mogelijk zelf nooit op je PC doet. Wat ik probeer te zeggen is dus niet "Je verliest geen performance", maar "Voer zelf testen uit met de programma's / games die jij gebruikt / speelt" en trek daaruit je conclusies over wat de impact op jouw eigen situatie is en welke stappen je wil ondernemen. Dat is de strekking van mijn post.

Het kan zelfs zijn dat jouw 9900K vrij wel helemaal geen impact heeft omdat deze hardware beveiligd is tegen deze zaken. Het ligt er alleen aan of deze stepping: intel64 family 6 model 158 stepping 12 heeft of intel64 family 6 model 158 stepping 13 , stepping 12 is deels hardware beveiligd tegen deze fouten, Stepping 13 is volledig beveiligd in hardware tegen deze fouten. Deze informatie kun je hier: https://www.intel.com/con...ctions-into-hardware.html terug vinden.

Heb je trouwens een link naar cpu's die 50% van de performance verliezen? Het meest worstcase scenario dat ik tot nu toe gezien heb is deze https://www.phoronix.com/...-Melt-L1TF-MDS-Laptop-Run waar je een 18 tot 25% verlies ziet over de breedte van de test.

Maar ook daar weer, de verliezen zijn voornamelijk zichtbaar in synthetische workloads. Zie bijvoorbeeld:

Dit Stress-NG resultaat: https://openbenchmarking....REI756045&sha=08e5da8&p=2 Enorme performance verschillen, maar ook iets dat je nooit dagelijks op je PC zal draaien.

Kijk je echter naar een realistische workload zoals plaatsjes bewerken in Gimp uit dezelfde test dan zie je ineens veel kleinere verschillen zie deze screenshots:

https://openbenchmarking....REI756045&sha=11abe21&p=2
https://openbenchmarking....REI756045&sha=c3c864f&p=2
https://openbenchmarking....REI756045&sha=dea40f0&p=2

En dat is dus precies waar ik op doelde, je ziet tests met enorme verliezen (maar zaken die niemand op zijn dagelijks op zijn PC doet), terwijl je bij tests van zaken die mensen mogelijkerwijs wel dagelijks op hun doen zoals in dit geval plaatjes bewerken in een Photoshop concurrent zie je veel kleinere performance verschillen.

[Reactie gewijzigd door Dennism op 21 mei 2019 21:54]

Kijk even naar deze bv: https://www.youtube.com/watch?v=a8yXqsfXWcM

En dan de comments. Jay test hier enkel de i7-8700K en de I9-9900K. Deze hebben volgens hem zo een 7% verlies in games die hij heeft getest en bv cinebench R15 is dat al een stuk hoger.

In de comments staan een aantal reactie's van mensen die wijzen op het feit dat er met 2 en 4 cores getest moet worden, vooral laptop cpu's.

Daar staan testen van mensen(dat is natuurlijk ook geen garantie, maar het klinkt bij die 2 en 4 cores erg plausibel) waar je bv bij gaming erg grote drops in frames hebt tot 50% met HT uit! Een simpele i5-2520m of zo moet het van HT in de meeste gevallen hebben.

Ik denk dat Apple met zijn probleem vooral met de wat oudere varianten zit, en het feit dat Apple niet core happy is, en bij hen dit meer uitwerking heeft.

Als je kijkt op de Intel site, doen ze net alsof er eigenlijk helemaal niets aan de hand is, ook zo'n filmpje met zo'n vent die doet alsof ze zelf dit naar buiten brengen, walgelijk gewoon.

Veel mensen met oude systemen zullen straks genoodzaakt zijn over te stappen naar nieuwere systemen. Als je een 6600K hebt ben je goed, maar een i7-6700k is nu eigenlijk even snel(paar procent door hogere clock) terwijl die aanzienlijk sneller was in real benchmarks in veel gevallen.

HT wordt veel gebruikt en is altijd door Intel als het wondermiddel geprezen. Nu opeens is het allemaal eigenlijk prima.
Ik meen oprecht dat ik keihard baal van mijn I9-9900K. Dat is eigenlijk een gewone I7-9700K geworden!

Ook met de nieuwe I9-9900K moet je uiteindelijk een bios update doen wanneer deze beschikbaar is, of HT zelf al uitschakelen. Daar heb ik deze cpu niet een aantal maanden geleden voor gekocht!

Ik hoop eerlijk gezegd dat Intel hiervoor aansprakelijk gesteld kan worden, want ik zou eigenlijk niet meer dan de gewone I7 willen betalen. Maar daar komen ze Intel kennende ongetwijfeld onderuit.

Ik vind het ongehoord dat een bedrijf dit doet. Mensen die denken dat dit per ongeluk was, en men dit niet wist dat er dit gevaar was, is hetzelfde als zeggen , goh, ik wist niet dat een F1 auto sneller dan een doorsnee auto rijd!

Intel heeft de antitrust zaak destijds tegen AMD verloren, en heeft heel veel vieze zaken gedaan. Als ik nu zie dat HT waar ze feitelijk de grote voorsprong op AMD mee hadden bewust is gedaan om die voorsprong te krijgen ongeacht het risico vind ik dat ongehoord.

Daarom was ik het niet eens met je hoe jij het positioneert het verhaal. Ik snap je punt, en zeker met de nieuwe cpu's is dat wel in orde. Maar het gaat mij om het principe dat onze veiligheid Intel niets interesseert.

Daarom stap ik ook snel over naar de nieuwe Ryzen die uitkomt, en hoop ik dat meer mensen dit doen. Intel heeft jarenlang gewoon de consument en de markt opgelicht. Telkens een procent of 5 erbij met een nieuwe gen, en maar maximaal winst opstrijken en AMD kapot trachten te maken, zodat ze de markt nog verder kunnen verzieken en wij als consument de dupe ervan zijn.
Ik reageer even wat beperkt i.v.m. tijd.
Ga ik doen.
Ik meen oprecht dat ik keihard baal van mijn I9-9900K. Dat is eigenlijk een gewone I7-9700K geworden!

Ook met de nieuwe I9-9900K moet je uiteindelijk een bios update doen wanneer deze beschikbaar is, of HT zelf al uitschakelen. Daar heb ik deze cpu niet een aantal maanden geleden voor gekocht!
Dat snap ik momenteel :) Echter de vraag is op de soep zo heet gegeten moet worden. In de link die ik net al postte zie je dat de nieuwe hardware revisie's van de 9900K volledig hardware beveiligd zijn, de oudere echter niet. Als de jouwe al een paar maand oud is zal je helaas een oudere stepping hebben. Dat betekent inderdaad dat je een nieuwe microcode nodig hebt, dit hoeft echter geen bios update te zijn (mag uiteraard wel) maar kan ook een OS update zijn, deze kan je wanneer je Windwos 10 1709 of eerder hebt hier https://support.microsoft...f-intel-microcode-updates al krijgen. 1803 en later moeten nog beschikbaar komen op die pagina.

Hoe het gaat met HT aan of uitzetten is nog even afwachten, er worden namelijk verschillende zaken genoemd. Er zijn bronnen die zeggen dat je HT het beste standaard kan uitzetten wil je 0 risico lopen maar dat het voor consumenten eigenlijk niet nodig is HT uit te zetten, andere bronnen geven echter weer aan dat dit na het patchen niet hoeft. Phoronix geeft daarbij ook aan in een review van vandaag dat bij revisies die volledig in hardware beveiligd zijn HT ook niet uit hoeft. https://www.phoronix.com/...item=intel-mds-xeon&num=5.
Wat daad uiteindelijk de exacte best practise zal worden lijkt nog even gissen.
Ik hoop eerlijk gezegd dat Intel hiervoor aansprakelijk gesteld kan worden, want ik zou eigenlijk niet meer dan de gewone I7 willen betalen. Maar daar komen ze Intel kennende ongetwijfeld onderuit.
Hier in Europa zal dat mogelijk lastig worden. Onder Europees recht moet de consument namelijk bij de verkoper zijn voor eventuele aansprakelijkheid. Tenzij jij dus direct bij Intel gekocht hebt zal Intel richting jou niet aansprakelijk zijn, maar moet jij bij je verkoper zijn die jou de cpu verkocht heeft. Deze kan mocht er wat te reclameren zijn dan weer bij zijn voorschakel aankloppen tot ze uiteindelijk bij Intel uitkomen.

In de US zullen er vast wel weer wat Classaction zaken gestart worden, maar die hebben op ons niet echt invloed.
De MS update's had ik al binnen gehaald :) en ik weet dat het nog niet helemaal duidelijk is. Maar wat natuurlijk wel erg is, en je kan erop wachten is dat er kwaadwillenden nu gegarandeerd gaan uitzoeken hoe ze dit kunnen uitbuiten.

Als er dan ook niets gemeld wordt in Windows, en Java al bv bij Chrome standaard wordt uitgeschakeld heeft dit natuurlijk al performance verlies ongetwijfeld.

Maar goed, we zullen zien wat er verder gebeurt. Ik vermoed dat dit nog een heel naar staartje voor Intel gaat krijgen. Hoeveel mensen hebben niet een Intel Core i laptop tot een 6e gen? Die zijn allemaal erg kwetsbaar.

Als je straks dat niet uitzet en veel mensen weten niet eens hoe ze in het bios moeten komen, en niet elke laptop zal mogelijk de mogelijkheid hebben om HT uit te schakelen, kan je wachten tot het fout gaat en de consument de dupe ervan is.

Als je straks ongemerkt gehackt kan worden en ze alle wachtwoorden kunnen verkrijgen en bv je rekening leeghalen kan je er donder op zeggen dat de bank zal zeggen, ja sorry, maar uw systeem was niet veilig en daardoor bent u zelf verantwoordelijk. Dit is helemaal niet zo een gek scenario.

Erger is dat het niet te traceren valt, wat ik veel erger vind, waardoor je eigenlijk standaard HT kan uitzetten met je oudere laptop met alle gevolgen van dien.Want met 2 cores zonder HT met de hedendaagse software die toch niet misselijk is zal je sneller op 100% cpu load komen...tja...daar gaat je leuke laptop die het goed deed tot de update...
De MS update's had ik al binnen gehaald :) en ik weet dat het nog niet helemaal duidelijk is. Maar wat natuurlijk wel erg is, en je kan erop wachten is dat er kwaadwillenden nu gegarandeerd gaan uitzoeken hoe ze dit kunnen uitbuiten.
Mogelijk ten overvloede maar dit zijn updates voor Windows die je in de meeste gevallen niet binnen haalt met Windows Update. Het is aan te raden deze pagina regelmatig te bekijken om te kijken of er nieuwe updates zijn voor de Windows versie die je draait :)

Of kwaadwillenden dit gaan exploiteren is eigenlijk ook nog een grote vraag. Meltdown en Spectre zijn inmiddels bijna 1.5 jaar "publiek" en voor zover ik weet zijn er nog steeds geen exploits in het wild opgedoken voor die lekken. Of dat nu wel gaat gebeuren zal nog even gissen blijven, maar wat ik voornamelijk hoor is dat informatie verzamelen via deze lekken zo random en zo traag is dat crimenelen liever voor "ge-eikte" methodes als randomware en phising e.d. zullen kiezen omdat die methoden veel sneller en beter resultaat zouden leveren. Nu kan dit uiteraard in de toekomst veranderen, dus blijf waakzaam. Maar ergens zou het mij ook niet verbazen als we over een jaar nog steeds geen exploits hierop gebaseerd in het wild zien, maar nog steeds regelmatig mensen die in phising getrapt zijn of alle data kwijt zijn aan ransomware.
Als je straks ongemerkt gehackt kan worden en ze alle wachtwoorden kunnen verkrijgen en bv je rekening leeghalen kan je er donder op zeggen dat de bank zal zeggen, ja sorry, maar uw systeem was niet veilig en daardoor bent u zelf verantwoordelijk. Dit is helemaal niet zo een gek scenario.
Dit zou met deze lekken nooit mogelijk moeten zijn, banken hebben immers allemaal 2 factor authenticatie waardoor je met lekken als deze nooit genoeg informatie mag kunnen achterhalen om in te loggen, laat staan geld over te maken. Kan dat wel dan is het systeem sowieso nooit veilig geweest.

[Reactie gewijzigd door Dennism op 21 mei 2019 22:57]

Ik heb de specifieke update binnengehaald nadat het hier op de site stond. Ik download vaak handmatig mijn updates, net zoals de versie voor Windows waarin de RTX kaart werkt, omdat ik een 2080 draai.

Met online bankieren heb je inderdaad een 2 traps beveiliging, maar bv webwinkels en dat soort zaken kan je mogelijk nat gaan. Dit lek is veel erger dan de spectre en meltdown lek, en is aangetoond simpel binnen een paar minuten te hacken als je pech hebt.

Maar het ging mij vooral dat Intel zelf zegt het beste HT uit te zetten voor de zekerheid terwijl dit op de oude I serie cpu's een enorme impact zal hebben, welke wordt afgedaan als een paar procent.

En dit is pertinent onjuist. Eerst zeggen ze je moet HT hebben want je hebt er zoveel baat en winst bij, en nu bagatelliseren ze het juist, en dat is de omgedraaide wereld.

Op een moment dat je hardware maakt, weet je precies hoe de code werkt, en hoe de beveiliging ervan is. Ik ben het dan ook helemaal eens met wat in het artikel staat dat bewust het snel is gelanceerd en de beveiliging ervan op een 2e plaats staat. Alles om maar te verkopen en AMD voor te blijven.

Je mag van zo een bedrijf verwachten dat ze de beveiliging op orde hebben zover mogelijk. Als AMD het kan kan Intel het zeker. En ik begrijp dat je veel kan hacken en niets uiteindelijk veilig is, maar simpele zaken voor dit soort maatschappijen moeten gewoon op orde zijn. En dat is het simpelweg niet.

Ik had dit van AMD eerder verwacht door het gebrek aan geld, niet van Intel.
Maar goed, we zullen zien wat de toekomst brengt, misschien is het uiteindelijk een storm in een glas water. Mocht HT echt uit moeten, zal dat een enorme klap voor Intel zijn!
Zelfs een groot succesvol bedrijf als Intel zou dat niet op kunnen brengen, dan werken ze gewoon een jaar voor niets en dan zijn ze failliet. Ik denk dat dit een kwestie is van 'too big to fail'.

Overigens zijn het dit keer Intel CPU's die exclusief 'getroffen' zijn, bij Spectre en Meltdown was dit niet het geval en ging het om elke CPU met speculative execution. Maar ik denk dat dat meer komt doordat de onderzoekers zich (logisch) op marktleider intel gericht hebben en dat AMD vergelijkbare zwakheden zal bevatten als daar goed naar gezocht wordt.

[Reactie gewijzigd door GekkePrutser op 19 mei 2019 07:03]

Meltdown (zoals genoemd in het artikel) was ook alleen Intel.

En hoewel er zeker dingen gevonden kunnen worden in AMD chips is de basis architectuur wel degelijk anders dan van Intel en is AMD in dit geval beschermd door een goede ontwikkel beslissing, niet puur geluk.
Welke goede ontwikkelbeslissing? Denk je dat AMD als ze hun CPUs 25% sneller konden maken ze dat niet zouden doen? Zelfs met deze vulnerabilities zou het nog interessant zijn om HT aan te bieden als optie. Deze vulnerabilities raken je alleen als je code draait die je niet vertrouwt of die zelf al code execution vulnerabilities heeft. Genoeg klanten die die problemen niet hebben of klein inschatten.

Bijvoorbeeld wetenschappelijke reken datacenters. En particulieren, de dikke Intel CPU in mijn Windows gaming rig draait alleen maar software van betrouwbare aanbieders, en zelfs al wordt hij geroot dan valt er niet veel buit te halen. Als dit in de browser ge exploit kan worden verandert dat het verhaal natuurlijk een beetje.
Het lijkt er (naar mijn idee) steeds meer op dat Intel bewust keuzes heeft gemaakt waarbij performance over security is gekozen. AMD heeft ondanks hun achterstand schijnbaar de juiste keuzes gemaakt en niet de boel proberen af te snijden.
Dat is een observatie die ook door een van de VU-onderzoekers wordt gedeeld. In dit Volkskrant artikel staat een reconstructie met daarin die observatie van die onderzoeker. In twee andere Volkskrant artikelen, die uiteindelijk naar de gelinkte reconstructie verwijzen, valt dit al uit de mond van de onderzoeksleider Herbert Bos, hoogleraar Systems and Network Security aan de VU op te tekenen:
Het lek bij Intel toont enige gelijkenis met de situatie bij vliegtuigfabrikant Boeing: door sneller en beter te willen zijn dan de concurrentie, zijn concessies gedaan aan de veiligheid.
en
Bij Intel zijn de aangetroffen kwetsbaarheden een onbedoeld gevolg van de pogingen de snelste te willen zijn.
In het artikel over de reconstructie zelf in iets meer detail, in Volkskranttaal, geschreven voor de doorsnee burger:
Dat dit soort lekken in Intel-chips bestaan is geen toeval. In de miljardenindustrie die de chipmarkt is, gaat het om snel, sneller, snelst. Bos: ‘Intel plaatst snelheid boven veiligheid.’ In de moordende concurrentiestrijd met AMD gebruikt Intel al jaren de truc die speculative execution heet. Hierbij kan de processor alvast iets berekenen zonder dat dit strikt noodzakelijk is. Door vooruit te werken en de uitkomst te parkeren, kan deze later als dat nodig is direct worden gebruikt. Blijkt de berekening niet nodig te zijn geweest, dan wordt de uitkomst weggegooid. Als hij wel nodig is, is er tijd gewonnen. Niets mis mee, in theorie. Maar slimme aanvallers kunnen achterhalen welke gegevens in dit geheugen worden opgeslagen.
Op de omschrijvingen uit de Volkskrant is natuurlijk weer van alles te nuanceren en af te dingen. Van belang is wel dat een dergelijk artikel bepalend is voor de beeldvorming van veel burgers, en dat die beeldvorming nu nadelig voor Intel uitpakt.

Het artikel lijkt ook te bevestigen dat alleen laptops van Intel zijn getest. Bedoeld of onbedoeld komt niet duidelijk naar voren. Er waren laptops getest, en we struikelen nog steeds over Intel laptops. AMD moet nog steeds met een lampje worden gezocht. Mogelijk is ook gewoon de wet van de waarschijnlijkheid hier aan het werk. Intel laptops zijn getest omdat die voorhanden waren. Zo groot zijn die universiteitsbudgetten niet dat ze de benodigde apparatuur toespitsen op de beoogde test. Eerder andersom, de test wordt geplooid rond hetgeen dat beschikbaar is.

[Reactie gewijzigd door teacup op 19 mei 2019 16:34]

Amd heeft gewoon het geluk dat ze na bulldozer wat toch wel een totale flop was vanaf niks begonnen zijn en dus alles mee konden nemen.
Intel draait gewoon met een 11 a 12 jaar oud design wat steeds door ontwikkeld is. Ik denk dat ze er gewoon nooit bij stil gestaan hebben dat dit een optie is omdat het al zo lang doorontwikkeld word. Er is nooit met verse ogen na gekeken.

Iedereen roept maat wat graag dat amd top is en het slimmer gedaan heeft en intel al deze leaks moedwillig inbouwd. Maar net als de huawei beschuldegingen is er nergens bewijs te vinden.

Alsof intel dit moedwillig doet met het risico dat het uitkomt...

Dit allemaal zal intel echt niet lekker zitten en het zal ze jaren kosten om het op te lossen.
Net als dat het amd jaren gaat kosten als er een lek komt bij de ryzen chips.
Amd heeft gewoon het geluk dat ze na bulldozer wat toch wel een totale flop was vanaf niks begonnen zijn en dus alles mee konden nemen.
1. Bulldozer en voorgangers zijn minder kwetsbaar als intel CPU's uit die tijd.
2. Bulldozer was geen flop, maar maakte de verwachtingen niet waar. Daar is de prijs destijds op aangepast.

Intel heeft risico's genomen voor snelheidswinst, daar betalen ze nu de prijs voor.
De houding van Intel t.o.v. het probleem vind ik persoonlijk wat arrogant, dat schaad mijn vertrouwen in Intel meer dan het probleem op zich.
Wederom word er gedaan alsof intel dit bewust heeft gedaan. Daar is NUL bewijs voor dus stel het ook niet zo.
Natuurlijk is daar wel bewijs voor. Simpel deze uitkomst. Intel engineers hebben het ontwerp op alle vlakken getest en weten wat de voor en nadelen zijn. Denk je nu echt dat er van het ontwerp destijds niemand wist dat dit kon gebeuren dat wat weggegooid werd niet meer gebruikt kon worden door kwaadwillenden?

Dan moet je wel extreem naïef zijn om dat te geloven. Ze hebben gewoon gegokt en gehoopt dat het nooit uit zou komen. De architectuur werkt gewoon op een bepaalde manier, en niet anders.

Deze uitzonderingen zijn 100% zeker weten destijds ook al naar voren gekomen, net zoals de voordelen dat wanneer dit gebruikt kon worden(HT) dat je er daadwerkelijk voordeel mee had.

Intel heeft AMD destijds op allerlei valse manieren beconcurreerd(en veroordeeld), maar jij gelooft dat ze eerlijk zijn naar de consument? Veel bedrijven zullen dit doen, als de winst genoeg is.

Geld gaat namelijk altijd voor leven, gevaar en andere zaken.
Ik heb zelf een I9-9900K en ga deze verkopen wanneer de nieuwe Ryzen 3000 serie uitkomt en voorlopig bye bye Intel voor mij.

We zijn jarenlang bedonderd door minimale performace boosts met de cpu's. En nu AMD eindelijk weer een goede cpu heeft, vliegen de cores opeens voor minder geld om je oren van Intel. Dat stinkt aan alle kanten.

Net als Nvidia welke mensen gewoon helemaal leeg zuigt met hun GPU's. Hopelijk kan Navi snel tegengas geven. Monopolisten doen alles ongeoorloofd om deze positie te behouden.
Meltdown (zoals genoemd in het artikel) was ook alleen Intel.
Dat klopt niet, ook IBM (Power) en bepaalde Arm designs zijn vatbaar voor Meltdown. En mogelijk ook oudere Sparc Sku's.

[Reactie gewijzigd door Dennism op 19 mei 2019 13:06]

Dat klopt niet, ook IBM (Power) en bepaalde Arm designs zijn vatbaar voor Meltdown. En mogelijk ook oudere Sparc Sku's.
SPARC is niet vatbaar voor Meltdown op architectureel/ISA niveau omdat de kernel adressen niet gemapped zijn in dezelfde address range als user, zoals op x86 en Arm wel het geval is. SPARC had bepaalde adresserings modussen (via ASI's) zodat de kernel wel usermode adressen kan benaderen, maar andersom kan je er gewoon niet bij. Ook speculatief niet, omdat het illegale instructies zijn binnen usermode en dus al in het decode gedeelte van je pipeline geannuleerd worden voordat ze (speculatief) uitgevoerd kunnen worden. In x86 en Arm wordt dat pas ontdekt zodra je in je TLB of Page Table ziet dat je geen toegang hebt. Meltdown kon plaatsvinden omdat dan het (speculatieve) kwaad al geschied was. Spectre was een ander verhaal, maar voor dat verwijs ik naar de officieele statements van Oracle aangezien ik waarschijnlijk niet over de details die ik weet mag praten ;)

Je haalt wel correct aan dat inderdaad, zoals incorrect in het artikel hier wordt vermeld, het zeker niet alleen Intel was wat vatbaar was voor Meltdown. Arm Cortex A75 was namelijk ook vatbaar voor Meltdown. Dit is wel de enige non-Intel die ik specifiek benoemd heb zien worden. Bij POWER was IBM niet erg duidelijk eerder welke varianten van toepassing waren. Ik heb dat ook nog even in de feedback voor dit artikel aangekaart. Verder geeft het wel een goed overzicht.
Maar ik denk dat dat meer komt doordat de onderzoekers zich (logisch) op marktleider intel gericht hebben en dat AMD vergelijkbare zwakheden zal bevatten als daar goed naar gezocht wordt.
Daar is gewoon absoluut geen aanwijzing voor, al was het alleen maat omdat AMD dit soort dingen ander aanpakt. Een van de redenen dat je vaak een fractie trager zijn.
Zelfs een groot succesvol bedrijf als Intel zou dat niet op kunnen brengen, dan werken ze gewoon een jaar voor niets en dan zijn ze failliet. Ik denk dat dit een kwestie is van 'too big to fail'.
Ik heb in de jaren 90 anders gewoon netjes een nieuwe CPU (Pentium) gekregen van Intel vanwege bugs.
Aanmelden en een paar dagen later een envelop met een nieuwe CPU.
Het kán dus best ;)
Wat is er dan aan de hand voor de gewone consument? Het is jammer dat zoiets bestaat, maar bij mij gaat HT echt niet uitgeschakeld worden. Het levert me een behoorlijke performance boost op, tegen wat waarschijnlijk een miniem extra risico is in thuissituaties. En als je per se elk risico uit de weg wil gaan, dan moet je netwerk uitschakelen en je USB poorten dichtlijmen. Dat doet ook niemand, want het is gewoon een afweging tussen veiligheid en performance.

[Reactie gewijzigd door Sissors op 19 mei 2019 09:29]

Het gaat ook niet om individuele systemen maar om het feit dat als er honderden miljoenen systemen zijn op de wereld er toch tientallen, honderden of zelfs miljoenen aanvallen kunnen plaatsvinden op die systemen die succesvol zullen zijn.
Behoorlijk onrealistische gedachte. Het probleem is dat drie kwart van de computers zo’n processor heeft.

Dat kun je niet zomaar vervangen. Ten eerst is alleen AMD compatible. Voor cpu’s Van andere fabrikanten moet je je software aanpassen. En dan hebben we het nog niet over andere hardware die ondersteund zou moeten worden. Als er al compatibele hardware is voor andere platformen.

En dan zijn er niet eens zoveel cpu's en bijkomende hardware te maken binnen een afzienbare tijd. Laat staan dat er genoeg mensen zijn om dat uit te voeren.

Wat jij voorstelt zou minstens 5 jaar kosten, alleen wat hardware betreft. En dat haal je niet omdat diegene die de kosten moet betalen dan al lang failliet is.

Net zoals zeggen dat alle Benzine motoren moeten worden vervangen, dan is amd vergelijkbaar met diesel en de niet compatible bijvoorbeeld elektrisch. Bouw maar eens alle bestaande benzine auto’s om naar elektrisch met vergelijkbare specs. Dat gaat niet. Diesel zou in veel gevallen willen met iets andere specs. Maar wie maakt al die motoren met bijkomende hard- en software en welke mensen gaan dat in afzienbare tijd allemaal ombouwen?
Net zoals zeggen dat alle Benzine motoren moeten worden vervangen
Eerder de diesels van Volkswagen. Als ik me niet vergis hebben die weldegelijk een grote douw gehad.
Intel lijkt echter wel van Teflon. Alle ellende glijdt telkens maat van ze af.
Bij Volkswagen en co is opzet in het spel.
Intel heeft deze ontwerpfouten niet express gemaakt om hun klanten te naaien. Big difference.

Dit hele verhaal begint hysterische vormen aan te nemen. Ik heb banken en verzekeringsmaatschappijen als klant. Die nemen dit heel serieus maar daar loopt echt niemand rond alsof hun haar in de brand staat. Ze laten zich niet gek maken door de media.
Maar toen de klanten wel met opzet werden genaaid is Intel ook niet echt aangepakt. Een verkoopverbod was toen echt op de plaats geweest. Of schadevergoedingen aan de consumenten.
Ja vind het ook bizar dat Intel er zo mee wegkomt. Je betaald voor het vermogen dat je koopt.
Deze ervaring zorgt voor mij dat ik permanent klaar ben met elk product dat Intel cpu's gebruikt. Nooit meer.
Het punt is dat het bedrijfsleven teveel vrijheden heeft. Er is veel te weinig controle op veiligheid. We stemmen liever op partijen die 'vrijheid' en 'minder regels' promoten; en dat is dan vooral veel vrijheid voor bedrijven om maar te doen en laten wat ze willen, ongeacht gevolgen voor milieu en veiligheid. Goed voor onze beurs (korte-termijn politiek) maar rampzalig voor de kwaliteit van het leven. Bedrijven hoeven ook het achteraf opschonen van het milieu of het oplossen van veiligheidsproblemen niet door te berekenen in hun producten; dat wordt lekker afgeschoven naar onze toekomstige generaties. Wel zo makkelijk; maar ik kan dat niet anders zien dan narcistisch. We leven in een wereld met grotendeels narcistische bewoners.

[Reactie gewijzigd door kimborntobewild op 19 mei 2019 17:08]

Eigenlijk zouden Intel CPU's allang moeten verboden zijn in de VS, op basis van nationale veiligheid.
Huawei wordt verboden op basis van onbewezen geruchten, terwijl Intel CPU's een security gatenkaas zijn.
Er wordt gemeten met 2 maten en 2 gewichten.
Ik werk zelf in de media (buiten de EU) en mij viel het wel op dat o.a. de Volkskrant notabene op de voorpagina aandacht besteedde aan mogelijk Chinese backdoors in Huawei systemen in Italie maar dat het intel verhaal niet eens werd benoemd.

Als we kijken naar de enorme wereldwijde impact van dit zoveelste intel schandaal vindt ik deze bewust selectieve media keuze van de Nederlandse kwaliteitsmedia nogal merkwaardig.
Huawei wordt verboden op basis van onbewezen geruchten
Er zijn in 't verleden allerlei lekken gevonden in Huawei-producten. (Al is 't de vraag of de Chinese overheid dat pusht(e).)
Maar hetzelfde geldt voor apparatuur van andere fabrikanten. Noem maar eens een willekeurig tech-bedrijf, en google dan maar eens op 'security holes' samen met die bedrijfsnaam.
Met de ontdekking wordt zo'n beetje de hele i7 lijn gedegradeerd naar i3 ofzo. Apple rapporteert al ruim 40% performanceverlies in bepaalde workloads wanneer HT uitgeschakeld wordt (wat ook gedaan wordt en binnenkort bij Chrome het geval is). AMD is grotendeels niet vatbaar voor die lekken omdat het controleert of een bepaald proces toegang mag verkrijgen naar iets anders. In dat opzich doet AMD het gewoon veel beter dan Intel. Zelfs een bulldozer is veiliger in dat opzicht.
wat ook gedaan wordt
Apple zet HT niet standaard uit met hun patch. Ze leveren wel instructies hoe je dit alsnog handmatig kan doen: https://support.apple.com/en-us/HT210108
Ik heb een MacBook Pro 2017 met een 7th Gen. "Kaby Lake" 3.1 GHz Intel "Core i5" processor (7267U). Ben benieuwt of Apple hem niet terug neemt aangezien er nu hardwarematig lek in zit:/

Er zullen ergens wel algemene voorwaarden staan waarmee ze zich hebben ingedekt.
Waarom zouden ze hem terug nemen? Het apparaat werkt toch gewoon? Of vind jij jezelf zo belangrijk dat je serieus angst hebt om via dit lek bespioneert te worden?

Best grappig trouwens dat je Apple hier verantwoordelijk voor probeert te houden en niet Intel.

[Reactie gewijzigd door RomeSDS op 19 mei 2019 18:46]

Je hele reactie slaat echt nergens op. Het apparaat werkt niet "gewoon", er zit een vrij ernstig beveiligingslek in, en om dat te omzeilen moet een flink stuk performance worden ingeleverd.

Iedereen is zo belangrijk dat hij het recht heeft op veilige communicatie.

En als hij dat apparaat van Apple heeft gekocht, dan is die inderdaad verantwoordelijk. Dat zij onderdelen hebben ingekocht bij een andere bedrijf is hun verantwoordelijkheid en zullen ze dan met Intel moeten oplossen. Als consument heb je garantie bij de verkoper, niet bij talloze leveranciers daar achter.

Het hele apparaat terug nemen gaat wel wat ver, maar een gedeeltelijke compensatie is helemaal geen gek idee.
Ik zei niet dat het hele apparaat niet meer werkt, maar wel dat er een serieus defect is. Dat je dan compensatie krijgt of omruil (wat momenteel nogal lastig is) is heel gebruikelijk in het consumentenrecht.

En ja, je kan Apple wel verantwoordelijk houden, dat staat namelijk in de wet. Je hebt garantie bij de verkoper en hebt dus niks met Intel te maken. Als een onderdeel van je nieuwe wasmachine stuk gaat, hoef je ook niet naar de fabrikant van het betreffende onderdeel te gaan, maar naar degene waar je het ding hebt gekocht.
Dat kan je zeggen, maar wat zou je er voor in vervanging krijgen? Elke MacBook die is uitgebracht in de afgelopen jaren heeft HT. Misschien heb je geluk en krijg je een touch bar met quad core i5, zonder HT aan. Maar ik zal er persoonlijk niets van verwachten.
Een laptop met AMD?
Die heeft Apple niet in de lineup.
Ik zit niet aan Apple vast. Veel te duur voor wat ze bieden. Misschien iets anders gaan bekijken?
Ik sta open voor andere hardware maar het iOS besturingsysteem van Apple vind ik persoonlijk vele male gebruiksvriendelijker dan Windows. Hackintosh vind ik te omslachtig omdat ik dan het gevoel heb dat ik constant bezig ben alles aan de slag te krijgen ivm drivers etc. Zeker nadat er een update is geweest. Misschien is dat anno 2019 wel verbeterd...
Ik neem aan dat het eerst volgende model wat ze gaan uitbrengen toch wel een andere Intel processor gaat krijgen waarbij het probleem is gepatched.
Met de ontdekking wordt zo'n beetje de hele i7 lijn gedegradeerd naar i3 ofzo.
Het ligt aan het doel van het systeem. Datacenters? Ja, HT daar is niet handig als systemen gedeeld worden. Gamesystemen en computers voor kantoorwerkzaamheden die door een enkele gebruiker worden gebruikt? Daarvoor zijn deze kwetsbaarheden niet bijster interessant. Interpreters (zoals in browsers) nemen mitigerende maatregelen om te zorgen dat de kans op succes bij een dergelijke aanval nihil is.

Als je als aanvaller al een stabiele basis hebt op een systeem om dit soort aanvallen uit te voeren, dan ben je waarschijnlijk in een positie om andere kwetsbaarheden te gebruiken om jezelf meer controle over het systeem te geven.

Overigens zou volgens Intel HT uitschakelen geen volledige oplossing bieden. Dat kan natuurlijk marketingpraat zijn, maar zelfs dan nog is dit probleem niet zo groot als dat men denkt.

Het is altijd zo geweest dat als je onbekende code op je systeem laat draaien dat dat een risico vormt. Deze kwetsbaarheden maken het bestaande aanvalsoppervlak iets groter, maar niet desastreus.

[Reactie gewijzigd door The Zep Man op 19 mei 2019 08:50]

Het is altijd zo geweest dat als je onbekende code op je systeem laat draaien dat dat een risico vormt.
Dat geldt natuurlijk voor zo'n beetje alle code die er op welk systeem dan ook draait. :+
maar niet desastreus.
Laat ik het juist daar niet mee eens zijn.

Een mooi voorbeeld in Nederland is vb ASML waarbij ze een voorsprong hebben op techniek. De kans dat daar een (economische) aanval wordt uitgevoerd is zeer groot. En HT uitzetten zonder heel veel capaciteit bij te zetten gaat je ook niet zomaar lukken.
Denk aan bank- en financieel wezen.

En zo zijn er meer bedrijven waarbij HT aanlaten geen optie is, maar uitzetten net zo min.

Daarnaast heb je ook op politiek vlak een aantal issues waarbij je dergelijke mogelijkheden wilt uitsluiten. Defensie is een voorbeeld bij uitstek, maar ook economische zaken en financiën waarbij je weet dat multi-nationals ook niet altijd helemaal koosjer handelen door informatie te vergaren via bedrijven van derden.


Bij Henk en Ingrid zal het allemaal weinig uitmaken en bij MKB hoef je er er ook niet echt druk om te maken. Maar veel grotere bedrijven zullen terdege een inventarisatie moeten maken of het verantwoord is om het zo te laten.
En zo zijn er meer bedrijven waarbij HT aanlaten geen optie is, maar uitzetten net zo min.
En waarom zou het uitzetten geen optie zijn?
Alleen in specifieke gevallen heeft HT winst. Volgens deze pagina heb je zelfs meestal verlies als je meer dan twee cores hebt:
https://www.mail-archive....openbsd.org/msg99141.html
Hoe dan ook: de veiligheid is veel belangrijker dan hier en daar wat extra snelheid. Dus uitzetten die hap (voor zover mogelijk).
Interpreters (zoals in browsers) nemen mitigerende maatregelen om te zorgen dat de kans op succes bij een dergelijke aanval nihil is.

Nou ja, dat vind ik weer een te boude uitspraak. Dit soort issues, die behoorlijk generiek zijn en zich op een andere laag afspelen dan de browser zelf (hardware vs applicatie) zijn vaak erg lastig te voorkomen op een hogere laag. Ik geloof gerust dat de (grotere) browser makers het meeste dicht zullen proberen te zetten. Maar dan is het nog de vraag of dit 100% lukt. Als malware maker zou ik zeker goed nadenken of er niet nog een gaatje over is.
Korte toevoeging: bij de meeste games biedt HT geen voordeel. Tenzij je echt te weinig fysieke cores hebt. Soms verlies je zelfs prestaties. Daarbij komt dat HT aardig wat stroom verbruikt. En je moet niet wakker te liggen van je stroomfactuur om je daar iets van aan te trekken: extra stroomverbruik is meet warmte, dus beter koeling nodig en mogelijk extra herrie van fans.
HT geeft voordeel als je 'te weinig' fysieke cores hebt.
Volgens https://www.mail-archive....openbsd.org/msg99141.html heb je juist meer kans op vertraging door HT als meer cores hebt.
Dat was exact wat ik zei. In de meeste games geen voordeel als je genoeg fysieke cores hebt. Soms zelfs prestatieverlies. Enkel als je te weinig fysieke cores hebt, is de kans groter dat je bij games wel voordeel haalt uit HT.
Kun je als datacenter niet hele cores verdelen, inclusief de hyper thread? Is het probleem toch ook opgelost?
Volgens mij kan dat idd maar veel hosting aanbieders hebben ook shared omgevingen. Als ze nu per klant cpu moeten aanbieden kun je veel minder klanten op 1 sever kwijt, prijzen schieten dan meteen omhoog.
Je kan wel zoiets doen als CPU pinning: je reserveert dan een aantal cores voor een VM. Echter binnen je VM kan je dan alsnog informatie lekken tussen de cores.
Mee eens, het is belachelijk dat we veel meer betalen voor het naampje Intel, en vervolgens door kostenbesparingen op beveiliging krijgen we dan dit soort fratsen voor de kiezen. Voorlopig koop ik geen Intel meer, en zodra ik maar iets merk van een degradatie van prestaties vervang ik het spul dan ook door AMD.

Ik ben blij dat mijn I5 8400 geen HT heeft, dat scheelt al een berg, maar mijn hybride notebook met een i3 6006 gaat natuurlijk gigantisch op de fles zodra HT hard zal worden uitgeschakeld.

[Reactie gewijzigd door netblade op 19 mei 2019 06:36]

Daarom ben ik voor mijn nieuwste PC build ook doelbewust van Intel afgestapt en gegaan voor een AMD Ryzen. De performance is "iets" minder, maar totaal niet merkbaar. Geen compatibility issues.

Betalen voor de naam is inderdaad gewoon belachelijk. Ja, Intel maakt snellere en energiezuinigere CPU's dan AMD, maar zeker de recente CPU's doen bijna niet onder aan Intel. Is het dat extra geld dan waar? Ik vind persoonlijk van niet.
Mee eens. Wel zou ik willen dat AMD nu eens eindelijk meer aandacht voor stroomverbruik gaat hebben. Niet alleen voor hun CPUs maar ook hun GPUs. Navi zou volgens de laatste geruchten weer een stroomzuiper zijn.

En als ik dan naar de x570 bordjes kijk, hier heeft zelfs de chipset nu een koeler nodig.

Ik ben redelijk tevreden met mijn Threadripper, maar zou echt wel willen dat hij minder idle stroom verbruikt. En als Navi echt zo'n stroomverslinder wordt, ga ik toch maar eens bij nVidia kijken, ook al zit ik dan met aparte Linux drivers.
Stroomverbruik is echt niet verkeerd hoor.
https://www.tomshardware....2700x-review,5571-12.html

Mits je geen Threadripper hebt. :+

Epyc doet het trouwens ook goed wat betreft stroomverbruik.
"Mits je geen Threadripper hebt"

Dat dus.
Wees blij dat je überhaupt Linux drivers heb. De R4 GPU in combinatie met de A6 wordt native ondersteund, maar laten we het maar niet over de prestaties hebben. Andere drivers zijn niet te vinden.
CPU's zijn qua stroomverbruik prima. Navi is niet uit geruchten niet, o maar geloven tot er reviews zijn.

En dat van die chipset cookers dat zou met pcie 4.0 te maken kunnen hebben en mogelijk alleen nodig zijn als je daar veel van gaat vragen. Ik ga er van uit dat die di gen in idle of low load niet eens draaien.
Stroomverbruik valt met die van mij wel een beetje mee, als ze idle zijn klokken de cores/threads terug naar ongeveerd 55% maar wat mij opviel met mijn AMD 2600X (6C/12T) was dat de CPU vies snel 95°C werd. Maar ja, ik gebruik stock koelertje en dichte kast om het stof een beetje tegen te houden.

Wat chipsets en koelers betreffen, dat is vaak alleen voor de show, zodat ze weer iets hebben wat ze kunnen RGB-en. Maar vaak kan een groter koelblokje al duurder uitvallen dan een kleine + fan dus dat kan ook een reden zijn.
Ik ook een volledige AMD desktop machine gebouwd. Ik sponsor graag de underdog en ben altijd op zoek naar een goede bang-for-the-buck verhouding, maar belangrijker nog is dat ik bedrijven met een klote manier van zaken doen *kuch* nVidia *kuch* Intel *kuch* mijn centen niet wil geven. ...Maar dit soort veiligheidslekken werken zeker ook niet mee, alhoewel ik niet de illusie heb dat het chipontwerp van AMD lekvrij is.
Performance mag theoretisch iets minder zijn, maar in de praktijk vaak sneller dan Intel met uitgeschakelde hyperthreading.
Over het algemeen zijn Intel CPU'S juist grotere energieverbruikers.

Edit: Dit lijkt bij de huidige generatie dus niet zo te zijn. My bad.

[Reactie gewijzigd door Evernote op 19 mei 2019 13:22]

Jaren geleden. Recent is het juist andersom geweest.
inderdaad, geweest. heb sinds kort de beschikking over een 95w i5-9600k en deze wordt toch wel behoorlijk warmer dan een 95w i7-6700k. de 9600k kan tot 100 graden alvorens de cpu afgeknepen wordt terwijl dit bij de i7 al bij 64 graden gebeurt. met een z390 bord de multiplier op 50 gezet en de i5 trekt de 5 ghz ook, maar doet furmark met een verbruik van ruim 1.4v, met een noctua luchtkoeler en 2 fans is dit maar net onder de 100 graden te houden. de i7 6700k deed 4,8ghz furmark met een veel lager voltage, urenlang rond de 60 graden; met dezelfde koeler.
daadwerkelijk verbruik van de i5 9600k met een OC lijkt meer op een 2011-3 cpu helaas.
deze wordt toch wel behoorlijk warmer dan een 95w i7-6700k.
de 9600k kan tot 100 graden alvorens de cpu afgeknepen wordt terwijl dit bij de i7 al bij 64 graden gebeurt.
Ook raar dat hij dan warmer wordt 8)7

Ik zou je koeler even opnieuw monteren. 100°C is niet normaal, zeker niet met een aftermarket koeler.
tijdens gamen haalt hij dit gelukkig niet (blijft onder de 80 graden), maar als je echt een zware cpu belasting hebt, zoiets als prime95, cinebench, furmark etc is het niet normaal meer. Als je in het bios het voltage ongemoeid laat, trekt de 9600K zelf 1,46V als je op 5 ghz of hoger gaat; daadwerkelijk verbruik vd CPU is dan een 130-140W.

[Reactie gewijzigd door toeschouwer op 19 mei 2019 13:23]

Ik zou je koeler even nazien. Ik haal hier op 150W load temps van 85-90°C max, en dat met een 212 van een paar tientjes.
Is al gedaan, koeler is prima gemonteerd, moet zeggen dat als je de multiplier ongemoeid laat en dus niet OC't, de 9600K niet boven de 63 graden uitkomt onder full load (half uurtje furmark, prime95 etc.)
Tijdens gamen heb ik de CPU nog niet boven de 52 graden gezien op stock speeds en voltages, en met 2 fans die onder de 800 rpm draaien.
Maar je koopt een K versie eigenlijk niet om op stock speeds te gebruiken; een flinke watercooler met 240 of 360 radiator is dus wel een must bij de nieuwe generatie Intel 6 en 8 cores K CPU's.
Wat dan wel weer een grote meevaller is, is dat de 9600K stock eigenlijk niet onder de 4,3Ghz uitkomt op alle 6 cores bij volle belasting, en dan dus nog steeds zonder OC best wel rap is (en dus ook hele nette temps heeft)
Snap dan ook niet echt waar de 3,7Ghz base clock vandaan komt, dit viel mij al eerder op bij een 2,8 Ghz 6700t 35W , die eigenlijk ook niet onder de 3300mhz (langdurig full load) uitkwam op alle cores en threads
Waarschijnlijk overbodig, maar je gebruikt toch wel (goede kwaliteit) koelpasta? 100 graden lijkt me niet goed voor de levensduur van de electronica.
Kortgeleden verse pasta gehaald, 2019 Arctic MX-4.
Alhoewel Intel zelf dus wel een Tcase waarde opgeeft van 100 graden celcius voor de 9600K, ben ik er ook niet blij mee. Maar zoals al eerder aangegeven zijn de temps wel heel netjes als je de multiplier met rust laat en niet gaat overclocken. op dit moment draait het stock speeds tijdens gamen max 52 graden / 4,3 Ghz @1.19V met geruisloos draaiende fans.
Prima hoor maar was eigenlijk aangeschaft om minimaal 5 - 5.2 Ghz te draaien. De eigenaar heeft geen zin om nog eens 100+ euro uit te geven voor een fatsoenlijke waterkoeling.
Waar baseer je dat je op?
Ik heb hier ook maar één recente machine met een Intel processor en dat is mijn laptop. Voor de rest een paar oudere AMD en PPC desktops, een SPARC server en een ARM SBC. Voorlopig schaf ik ook niks met een Intel processor aan.

Als ik de behoefte heb over een paar jaar en ik in de tussentijd geen andere oplossing heb gevonden, kijk er weer eens naar. Maar daar zal het waarschijnlijk niet van komen.
Heb nog wel Intel, maar wel al (onder)bewust voor een "echte" quadcore gegaan. Al voor al dit nieuws. ;)
Het is maar een celeron J op 1.5 met boost op 2.4 dus als je dan 2 "cores" kwijt bent ga je wel heel erg terug richting het jaar 2000 qua performance! :)
Ik kan me nog herinneren dat de eerste HT processoren uit kwamen. Dat waren namelijk Pentium Pro's. Toen stond het internet nog in de kinderschoenen en waren computers voor nerds. In die tijd waren dit soort aanvallen gewoon ondenkbaar.

De intel processoren zijn tegenoordig bijzonder complex maar uiteindelijk een doorontwikkeling van de 8088 het is dus onvermijdbaar dat er telkens dit soort problemen de kop opsteken. Delen van de processor zijn nu eenmaal ontwikkeld in een tijd waar men de huidige stand van zaken en dus ook de huidige risico's niet kon voorzien.

Ik gok dat als er net zoveel tijd gestoken wordt in het doorlichten van AMD CPU's dat er dan ook vanzelf kwetsbaarheden tevoorschijn komen.
Euh wat? Hyperthreading is geïntroduceerd op de pentium 4 generatie niet op de pentium pro. Jij bedoelt denk ik de xeon lijn.

https://en.m.wikipedia.org/wiki/Pentium_Pro

[Reactie gewijzigd door DarkBlaze op 19 mei 2019 11:04]

Mijn fout. Ik word niet alleen oud, mijn geheugen wordt ook minder....

De Pentium pro had overigens wel "speculative execution" wat onderdeel van de spectre en meltdown bug is als ik mij niet vergis

[Reactie gewijzigd door jbhc op 19 mei 2019 12:29]

Ik denk alleen niet dat de implementatie vergelijkbaar is, dus of dat echt zo is zullen we denk ik nooit weten.
Het heeft tot de eerste i7 in 2008 geduurd vooraleer een rechtstreekse afstammeling van de Pentium Pro HT kreeg. HT bestond toen al wel op Xeon's en Pentium 4's. Kan het zijn dat je een kleine vergissing gemaakt hebt?
Zelfs een bulldozer is veiliger in dat opzicht.
Heeft geen SMT dus op dit vlak een stuk veiliger dan Ryzen
Ben ik niet helemaal mee eens, weet zeker als er nu net zo hard gezocht woord naar AMD CPU's (en mobile CPU's) dat je ook zat kwetsbaarheden bij AMD CPU's vind.

Maar ALLES is nu grotendeels gericht op Intel, het is wel triest dat wel ja, en denk niet dat Intel dit wist, anders was het wel heel stom van ze, want de kans dat mensen het gingen vinden werd met de dag groter, dit gaat Intel nu veel geld kosten, maar gaan ze hoogstwaarschijnlijk nu alles veel beter controleren bij de nieuwe CPU's, niet dat die VELE miljoenen mensen/bedrijven daar wat aan hebben.

Dit gaat AMD zeker weer helpen, en zullen door dit dit jaar extra record verkoop AMD CPU's hebben en hoogstwaarschijnlijk winst.
Ben ik niet helemaal mee eens, weet zeker als er nu net zo hard gezocht woord naar AMD CPU's (en mobile CPU's) dat je ook zat kwetsbaarheden bij AMD CPU's vind.
Als, als, als...
Al een jaar of 25 wordt geroepen dat Linux net zo onveilig zou zijn als het net zoveel gebruikt zou worden als Windows. Da's net zo'n nutteloze uitspraak. Intussen is Linux gewoon veiliger.
Om in jouw redenering mee te gaan: 'Als er éénmaal heel veel elektrische auto's rondrijden, wordt daar ook sjoemelsoftware in gevonden, dus kan je op dit moment net zo goed in een sjoemeldiesel blijven rondrijden'.
AMD is dus gewoon veiliger dan Intel. Of zijn er gelijkaardige wijdverbreide lekken in AMD-CPU's bekend?
Ik schreef heel duidelijk "weet zeker als er nu net zo hard gezocht woord naar AMD CPU's (en mobile CPU's) dat je ook zat kwetsbaarheden bij AMD CPU's vind"

En AMD is geen CPU die weinig gebruikt woord, AMD is bijna net zo oud als Intel (2 jaar jonger), en zijn de zelfde mensen als Intel, ze werkten allebei bij de zelfde bedrijf, en begonnen voor hun zelf, en hebben een CPU bedrijf ieder opgericht.

Linux stelt niks voor vergeleken met Windows, maar AMD heeft vroeger wel veel voorgesteld tegenover Intel, en nu gaat het ook weer die kant op.

Ja het is waar als ze heel klein zijn zijn ze vaker ook veiliger, omdat veel minder mensen het proberen te hacken.
Dat is gewoon niet waar, op de desktop en kantooromgeving is Windows idd vele vele malen groter. Maar de wereld is groter dan dat, ik heb altijd begrepen dat de enterprise markt eigenlijk veel groter is dan het domein van de thuis- en kantoorgebruiker. Iig qua omzet en winst. Daar is Linux helemaal geen kleine speler. En dan heb ik het nog niet eens over android en embedded toepassingen.

Linux is imho wel degelijk veiliger, maar dat komt ook omdat ze een andere legacy hebben. En een mentaliteit van maak de boel maar opensource dan zorgen wij er wel voor dat jullie software met onze API's blijft werken :)
Sorry maar 79.24% van alle desktop computers hebben Windows, 14.64% gebruikt OS X, en MAAR 1.63% gebruikt Linux.

http://gs.statcounter.com/os-market-share/desktop/worldwide

En ja we hebben het over desktop en kantooromgeving, en sorry er zijn VEEL meer mensen met een laptop/Desktop dan de enterprise markt.

En sorry nee Lunux stelt nog steeds niks voor, en we hebben het niet over Android die op Linux draait, want mensen gebruiken Android niet Linux zelf.

En Android is weer aan het dalen, Windows is toegenomen de laatste paar maanden.

http://gs.statcounter.com/os-market-share
Ik schreef heel duidelijk "weet zeker als er nu net zo hard gezocht woord naar AMD CPU's (en mobile CPU's) dat je ook zat kwetsbaarheden bij AMD CPU's vind"
En dat is ook precies waar ik op reageerde.
Verder geef je zelf al aan dat AMD ook een grote speler is; dus 't zou mij verbazen als die niet al vele jaren óók onder grote belangstelling staat van hackers.
Geen idee, vind het gewoon heel apart dat dit nu allemaal opeens uit komt van Intel, want AMD heeft hier heel veel winst mee dat dit nu allemaal gebeurd, samen met die andere een jaar terug of zo.
Tja, als je lekke hardware maakt, moet je op de blaren zitten... Als het een volgende keer al AMD is waar ze lekken in ontdekken, dan zal 't AMD zijn die op de blaren moet zitten.
Ik vraag me af of Intel die "voorsprong" die ze al die jaren hadden niet te danken hadden aan het negeren van dit soort veiligheids eisen.

Daarnaast weet Intel zelf misschien ook wel dat ze er toch wel mee wegkomen en het ze toch niet zo zwaar zal raken, dat idee heb ik nu ook. Uiteindelijk heeft hun aandelenkoers er niet eens last van, ze komen er altijd mee weg en blijven altijd de grootste marktaandeel houden |:(
Uiteindelijk heeft hun aandelenkoers er niet eens last van...
Toch wel! Eerst doorgestegen naar $58 nu na twee winstwaarschuwingen terug naar $45. Hoe zit dat?

-Data-boeren hadden misschien 20% verlies aan prestaties door Spectra en Meltdown, opgelost door 20% extra Xeons te kopen (bezopen maar waar)
-Chinezen wilden snel veel Xeons hamsteren voor er extra importtarieven kwamen.

Dus tijdelijk is de verkoop kunstmatig hoog geweest, maar die bubbel zakt langzaam als een plumppudding in.

Data boeren verliezen hun vertrouwen in tel, en worden uitgemolken omdat ze afhankelijk zijn van Intel. Dus alle grote data boeren testen nu AMD; stel dat hun vrijgave en test een jaar duurt, en daarna gaan ze langzaam afgeschreven Xeons deels vervangen door Epyc. Dan is dat een olietanker die zeee langzaam op gang komt, maar daarna niet meer te stoppen is!
Misschien moeten we naar een nieuwe processorarchitectuur waarbij veiligheid prioriteit heeft.
Ik heb eens een artikel gelezen waarin gesteld werd dat de vliegtuigindustrie oude processoren van Intel gebruikt, omdat de nieuwe processoren onvoorspelbaar gedrag hebben.
Misschien is het efficiënter om 3 AoA sensoren te gebruiken ipv oude Intel processoren.
En als er volgende maand een zelfde soort fout in AMD wordt gevonden koop je geen AMD processoren meer? Uiteindelijk leef je weer in de 19e eeuw.
Intel heeft in het verleden ook al de floating point bug gehad.

Intel processoren hebben meer last van bugs dan die van AMD.

Ik heb diverse systemen thuis, en mijn indruk is dat de AMD systemen ook het stabielst draaien. Maar goed, dat is n=1 statistiek.

Het enige nadeel van AMD vind ik het energieverbruik. Als dat omlaag gaat, komt Intel bij mij niet meer in beeld.
Dat doe ik nu al niet. En als ik servers nodig heb, wordt dat waarschijnlijk op basis van ARM en POWER processoren met misschien nog AMD, als bepaalde software alsnog alleen maar goed blijkt te werken op x86.

Maar ik zou AMD toch vooral willen aanmoedigen om werk te gaan maken van hun ARM processoren en wellicht vooruit te kijken naar RISC-V. Wat Intel verder doet, boeit me niet zoveel.
Want het is opzettelijk? Wat is je punt?
De BlackBerry storing was ook niet met opzet en we weten allemaal hoe dat geëindigd is.
Wat ik niet helemaal snap. Zojuist heb ik een nieuwe pc gebouwd met daarin een pricewatch: Intel Core i7-9700K Tray. Echter deze heeft geen hyper threading dus dan toch ook geen last van (1 of meerdere) van deze lekken? Of mis ik wat kennis ergens?
Ik snap er ook nog weinig van. Volgens de tool (MDSattacks.com) is een van mijn pc's vulnerable voor allerlij zaken terwijl daar helemaal geen HT op zit. Vervolgens staat in de FAQ bij de vraag hoe je deze vulnerability's kunt mitigeren: zet HT uit...
Om welke lekken gaat het? Er zijn namelijk ook lekken waar de aanwezigheid van HT geen vereiste is om kwetsbaar te zijn, maar het lek wel groter maakt wanneer het aanwezig is.

Een van de zaken voor mitigatie kan dan nog steeds zijn zet HT uit, echter is dat in dat geval geen volledige mitigatie en zal je bijvoorbeeld ook nog een microcode en software patches moeten installeren om volledig gedekt te zijn.
Er staat dan ook in het artikel dat HT het gemakkelijker maakt om er misbruik van te maken, niet dat het een requirement is.
In het artikel staat een link naar de tool die ze online hebben gezet om het te controleren.
Dat klopt, deze processor zal niet vatbaar zijn voor lekken waar de aanwezigheid Hyperthreading een vereiste is.
retour sturen en een ryzen systeem maken ;)
Ik heb HT zojuist uitgezet op mijn laptop, maar nu werkt de Turbo Boost OOK niet meer.
Zo wordt het wel heel erg performance impacting (ik merk duidelijk dat mijn laptop trager is).
Thuis is dit toch helemaal niet van toepassing joh.
Heb je het artikel gelezen? De impact is best wel groot, in theorie is het bezoeken van een website al een risico....
Wat willen ze dan uitlezen, m'n Windows password? :P :D
Je digid? je bankwachtwoorden? als je denkt dat jou info niks waard is heb je het o zo erg mis. het is ronduit gevaarlijk dat te insinuieren. Dit is een gevaar voor mensen thuis. Dit zal in het wild worden misbruikt om mensen geld te ontfutselen.
.

[Reactie gewijzigd door WEBGAMING op 19 mei 2019 14:50]

Kijken op standaard locatie's en bijvoorbeeld wallet.dat files verzamelen, keepasses, dat soort zaken. Misschien is jouw systeem minder interessant, maar wanneer het om grote aantallen gaat....
De impact is best wel groot, in theorie is het bezoeken van een website al een risico....
In theorie kan ten alle tijden een combinatie van zero day exploits gebruikt worden om je systeem binnen een seconde over te nemen na het bezoeken van een site.

Waarom is dat in theorie? Omdat het in de praktijk niet voorkomt. Waarom zou iemand zijn zero days opofferen om jouw computersysteem te hacken? Dat is totaal niet interessant, en een desinfestering.

Hetzelfde gaat op voor het bezoeken van een website dat misbruik probeert te maken van de beveiligingslekken in je processor. Is dat in theorie mogelijk? Ja. Ga je het ooit in de praktijk meemaken? Onwaarschijnlijk. Browsers bieden betere bescherming tegen het uitvoeren van timing gevoelige code, en een kwaadaardige site staat binnen korte tijd op een blocklist.
De papers zijn al openbaar, dus een land als Noord Korea of een andere grote partij kan dit vandaag al inzetten. Denk aan wannacry in 2017? Dit was niet de laatste vorm van ransomware die we zullen gaan zien.
Ransom ware e.d. kan je echter niet binnen halen met dit soort lekken. Deze lekken zorgen er voor dat er informatie van jouw systeem naar buiten kan lekken. Denk hierbij aan bijvoorbeeld dat iedere keer dat jij een malafide op deze exploit ingerichte webpagina bezoekt op een niet gepatched systeem dan kan er een een paar bytes aan random informatie weglekken. Door lang genoeg ieder keer een klein beetje gelekte informatie te verzamelen zou een aanvallen dan op den duur wachtwoorden, cryptografische sleutels e.d. kunnen achter achterhalen, het kan echter ook volledig nutteloze informatie zijn.

Wat je echter niet via deze lekken kan doen is systemen overnemen, malware / randomware installeren. Daar heb je andere lekken voor nodig (of gebruikers die gewoon op linkjes klikken).
Oke, maar als deze exploit met wat optimalisaties (zoals de onderzoekers beweren) binnen enkele minuten werkt in plaats van een meervoud van uren zou een exploit dus toegang kunnen krijgen tot een account op de computer na het acherhalen van een wachtwoord en vervolgens alle bestanden die het bereiken kan encrypten met ransomware. Denk ik nu te simpel of is dit programmeerbaar?
In de basis zou dat kunnen, echter dan heb je een gebruikersnaam en wachtwoord, welke consument heeft zijn systeem open staan zodat vanaf extern ingelogd kan worden. Zakelijk zal dit vaker voorkomen, echter heb je dan alsnog in de regel een VPN nodig of 2 factor authenticatie nodig. Een systeem zomaar remote openzetten zou eigenlijk sowieso al nooit mogen. Dus de vraag is dan, je hebt de acccount naam en het wachtwoord, echter hoe ga je het systeem inkomen.

Al met al is wanneer bijvoorbeeld het massaal besmetten met randomware je doel is het veel gemakkelijker om andere exploits te gebruiken dan zoiets als dit.
Door lang genoeg ieder keer een klein beetje gelekte informatie te verzamelen zou een aanvallen dan op den duur wachtwoorden, cryptografische sleutels e.d. kunnen achter achterhalen, ...
Wat je echter niet via deze lekken kan doen is systemen overnemen, malware / randomware installeren.
Hmm, die twee dingen kunnen niet tegelijk waar zijn.
Als je wachtwoorden kunt ontfrutselen dan kan je op een gegeven moment ook het admin wachtwoord vinden en het systeem overnemen.
Wat ik bedoel is dat je niet via de exploits direct controle over het systeem kan nemen. Je kan niet een systeem via de exploits besturen.

Het Admin wachtwoord zou kunnen lekken. Echter als het systeem niet open staan voor logins van buiten af kun je er weinig mee tenzij je lokale toegang hebt.
Om de aanval uit te voeren moet je al lokaal code uitvoeren. Vadaaruit zou je dan mischien een login kunnen regelen.
Browsers bieden betere bescherming tegen het uitvoeren van timing gevoelige code, en een kwaadaardige site staat binnen korte tijd op een blocklist.
Tientallen - zo niet honderden - miljoenen computers gebruiken helemaal geen blocklist.
Als je een pc zonder gepatched os aan het internet hangt is hij in no time geïnfecteerd zonder dat je dingen doet. OS patches en hardware aanpassingen houden veel tegen. Maar die zorgen in sommige gevallen ook weer voor performance drops.

Ik zou het niet zo erg onderschatten als jij doet. Het is en blijft een risico.

[Reactie gewijzigd door Astennu op 19 mei 2019 10:25]

Als je een pc zonder gepatched os aan het internet hangt is hij in no time geïnfecteerd zonder dat je dingen doet.
Dat geloof ik niet ... Onderbouwing?
Even snel wat op google gezocht:
https://www.theregister.c...19/infected_in20_minutes/

In het verleden meer onderzoeken van gezien die kan ik zo 123 niet vinden.
Ik heb geen idee hoe lang het bij windows 10 duurt. Dat zal vast beter zijn dan XP. Maar voor zowel win7 als 10 geld dat er vanaf dag 1 behoorlijke leaks in zaten die je wil gedicht wil hebben doe je dat niet kan je grote issues krijgen. Het kan ook een tijdje goed gaan en je kan ook goed pech hebben.
Bijzonder weer...
Je zegt iets dat een ongepatched systeem zo geinfecteerd is en dan moet je zelf nog google-en voor een voorbeeld. En dat voorbeeld is dan uit 2004 van een XP bak. En dan weet je ook niet hoe het met windows 10 zit.. 8)7 8)7 8)7

Jammer dat er altijd van dit soort oude wetenschap wordt aangehaald wat allang niet meer van toepassing is en alleen maar onnodig beroering brengt.
Het hele leven is een risico
Onzin.
Zolang de gebruiker weet wat hij doet is er niks aan de hand.
Mijn pc is van 2012 met een windows 7 uit 2011 zonder enige updates.
Daarnaast staat uac, defender en de firewall uit en gebruik ik de inmiddels oude firefox 54.
En heb nergens last van gehad sinds ik deze pc heb.

Ik draai af en toe een paar scans en vind nooit wat behalve cookies en een reg key die windows update uitschakeld.

Je ben zo veilig als je je gedraagt online.
Zo kan je alles wel bagatelliseren, zo simpel is het dus niet.

"Ook als je niet rookt kan je keelkanker krijgen, dan maar gewoon roken" zoiets? |:(

[Reactie gewijzigd door legendareN op 19 mei 2019 14:00]

Zo simpel is het echt wel. Helemaal als je het echte leven, zoals de straat op gaan, gaat vergelijken met een CPU bug.

Je edit is wel hilarisch.
[Reactie gewijzig
Heb je ook gelezen dat de PoC attack zo'n 24 uur nodig had? Spectre en Meltdown zouden ook tot enorme aanvallen 'in het wild' leiden en die aanvallen zijn er niet geweest.

Ja, dit is een kwetsbaarheid die niet eenvoudig te patchen is. Er zijn echter voor specifieke aanvallen gebaseerd op deze kwetsbaarheid wel effectieve tegenmaatregelen te nemen...zoals patches voor OS en browser zodat die theoretische aanval die jij beschrijft dus niet meer mogelijk is:
Andere softwaremakers, zoals Apple, Microsoft en verschillende Linux-distributies, komen met een patch die aanvallen via JavaScript en de browser onmogelijk maken. Er is een update voor Windows beschikbaar. Apple heeft macOS Mojave 10.14.5 uitgebracht, maar die is er niet voor iedere Macbook of iMac, doordat Intel daarvoor geen microcode-update heeft uitgebracht.
Doordat een aanvaller voor andere aanvallen op hetzelfde netwerk als de gebruiker moet zitten, is deze kwetsbaarheid extreem moeilijk uit te buiten op systemen in huishoudens.
Heb je ook gelezen dat de PoC attack zo'n 24 uur nodig had?
Heb je ook gelezen dat ze verwachten dit door finetuning tot enkele minuten te kunnen reduceren? Vele veiligheidsdiensten zijn daar waarschijnlijk al lang mee bezig; zou me verbazen als ze dat niet snel lukt of niet al gelukt is.
Doordat een aanvaller voor andere aanvallen op hetzelfde netwerk als de gebruiker moet zitten, is deze kwetsbaarheid extreem moeilijk uit te buiten op systemen in huishoudens.
Is 'internet' niet 'hetzelfde netwerk', als je simpelweg een website bezoekt?

[Reactie gewijzigd door kimborntobewild op 19 mei 2019 17:21]

Ach ja, alles in het leven kent risico’s. In theorie kan er ook ieder moment een kleine komeet op je huis knallen.
In theorie ja. Met de proof of conceptcode (die native draait) duurde het 24 uur om iets zinnigs uit die gesnoopte data te extraheren.

Met een javascript vm ertussen gaat het vast niet sneller.

Bovendien, gewoon umatrix/ublock origin/noscript gebruiken en niks aan het handje.
Was ook slechts als test, staat inmiddels weer gewoon aan.
Zeker wel, alleen is het risico er laag.
De twee hebben eigenlijk niks met elkaar te maken, dat klinkt als een bug in de implementatie van je leverancier. Ik raad je aan daar contact mee te zoeken, misschien hebben ze een test-UEFI voor je.
In Linux werkt het wel gewoon, in Windows niet.
Inmiddels weer gewoon aan gezet.
Ik vraag me af wat dit gaat betekenen voor de kosten van cloud services. Als provider heb je nu meer fysieke cpu’s nodig om aan hetzelfde aantal cores te komen. Plus dat je veiligheidshalve nu in je huidige serverpark HT moet disablen, dus meteen een grote sprong omlaag gaat in rekenkracht. Moeten dus weer investeringen tegenoverstaan om dat te compenseren.
Overstappen naar AMD }>
Zeker een oplossing aangezien AMD minder gevoelig is voor deze problemen en momenteel het grotere aantal cores kan leveren.

Maar er gaan geruchten dat Zen 3 volgend jaar uitkomt met 4 threads per core. Ik ben benieuwd of AMD hier extra goed gelet heeft op de veiligheid, en dus lessen heeft getrokken uit de verschillende problemen, of net als Intel de performance heeft laten primeren.
Er gaan ook geruchten dat bijv VMware fixes heeft uitgebracht die geen 40% performance verlies

Ben dus idd erg benieuwd wat de echt impact gaan zijn
Tja exact hetzelfde was het geval bij de eerste spectre en meltdown bugs. de eerste patch kostte enorm veel prestaties en de latere patched veranderde gewoon helemaal niks. sterker nog sommige resultaten waren beter.
Oftewel binnen de foutmarges van tests.

Maar mensen springen online nog al snel van de wal op het schip en wijzen met hun vingertje zonder zich in te lezen of te weten wat voor een impact dit daadwerkelijk heeft op de lange termijn.

1 grote storm in een shotglas met water dit.

Bug gevonden bij intel omdat er niet zo actief bij AMD gezocht word > leaks gedicht vis patches > niks aan het handje.

En ik blijf zeggen het feit dat dit gedicht kan worden met software patches zou mensen toch aan het denken moeten zetten over of dit niet gewoon ook serieuze software leaks zijn.
Nee dit zijn geen Software leaks, je hebt puur software patches nodig om een workaround (je kan niet echt spreken over een fix) te creeren voor de exploits in de hardware.
Of er nou wel of niet actief gezocht word is AMD gewoon veiliger.

Het is wel hypocriet want als dit bij AMD was ontdekt zouden mensen weer roepen "zie je wel het is een goedkoop merk en het was te verwachten voor die prijs"
Hoe kan je in vredesnaam stellen dat amd veiliger is. Misschien gaan al deze 'onderzoekers' zich binnekort vervelen of gaat amd ook geld beschikbaar stellen voor het vinden van leaks en komt de ene na de andere leak boven water.
Dit hele verhaal gaat nog vele jaren duren en tot er actief gezocht word kan je niet stellen dat amd veiliger is.
Of denk je dat criminelen het vrij zouden geven als ze een leak konden exploiten.

Dat iets niet gevonden word betekend niet per definitie dat het er niet is.

Time will tell maar vooralsnog is er niet eens een indicatie dat er bij amd gezocht word.
Als het niet gevonden is dan is het er toch niet?

Dat is net zoiets als zeggen dat een willekeurige persoon een moordenaar is omdat die waarschijnlijk ooit een moord gaat plegen. 8)7
zucht...
Of er is niet gezocht.

Je weet wel 10 jaar geleden waren apple devices 'veilig' en virus vrij.
Nu is het marktaandeel groter en tada genoeg infecties en bende voor apple devices.
Los van de kosten om alles te vervangen is dat alleen een oplossing tot het volgende lek in AMD processors gevonden wordt.
En tot die tijd, wat dus eeuwig kan duren is AMD de oplossing.
Bij de klant waar ik momenteel werk, is HT standaard uitgeschakeld op de ESX-servers. Dat heeft te maken met jet feit dat 1 HT core bepaald niet gelijk staat aan 2 single cores. Ik kan mij voorstellen dat mijn klant niet de enige is die dit zo heeft ingericht.
Al zijn er natuurlijk talloze scenario's waarbij HT wèl nuttig is.

Ik denk dat AMD hier wel garen bij kan spinnen: zij maken serverchips met het grootste aantal cores en hun HT-variant is niet kwetsbaar. Dubbel win voor het rode kamp. Zeker met de next-gen Epyc. 64 cores, 128 threads in 1 socket. Daar heb je heel wat Intel CPUs voor nodig.
Nu ben ik wel nieuwsgierig naar compensatie richting de consument.

Is er een mogelijkheid voor een Claas action lawsuit bij het Europese hof? Jarenlang Intel i7 gekocht waarbij t belangrijkste verschil met de i5 hyperthreading was
Voor zover ik weet ik de Europese regelgeving erop gestoeld dat je voor eventuele compensatie bij een non-conform product bij de verkoper moet zijn en niet bij de fabrikant (de verkoper kan dan weer verhalen op zijn voorschakel).

Ik verwacht eigenlijk niet dat Intel aanspreken hier voor de consument de juiste route is.
eventuele compensatie bij een non-conform product
Volgens mij wordt het door overheden gewoon als conform gezien, als je hard- of software een lek heeft. Sterker nog: overheden vragen (in het algemeen) aan de bedrijven lekken met opzet zo lang mogelijk te laten zitten, of vragen de bedrijven zelfs er met opzet lekken (achterdeurtjes) in te stoppen, zodat hun veiligheidsdiensten daar gebruik van kunnen maken.

[Reactie gewijzigd door kimborntobewild op 19 mei 2019 17:49]

Dat kan alleen als de fabrikant Apple is.
Handig als je een moederbord hebt waarbij je HT niet kunt uitschakelen in het BIOS/UEFI.
Dan doe je het over het OS. ;)
Bij Linux kan je dit over de console doen (live of met noht als bootflag) dat zal voor andere besturingssystemen hetzelfde eigenlijk moeten zijn.

[Reactie gewijzigd door foxgamer2019 op 19 mei 2019 15:46]

Dit.

Mijn ASUS laptop van eind 2017 kan ik HT niet op uitschakelen. De laatste bios versie is ook van eind 2017. Belachelijk, ik heb een Haswell desktop, een Braswell NUC en een Haswell server en die zijn allemaal in 2018 nog gepatched.

Toen ik ASUS mailde over uitschakelen van HT was de reactie "Klopt! Installeer updates en dan komt alles goed. Groetjes!"

@foxgamer2019 Ik zie overigens geen manier in Windows 10 om HT uit te schakelen.
Ik vind inderdaad niet zo snel een manier om dit te doen op Windows. Zelf dacht ik altijd dat dit onder Power Management stond, maar aangezien ik geen CPU heb met HT op mijn Windows-machine, kan ik het helaas niet voor je testen.

Overigens weet ik niet precies hoe Linux/OS X dit aanpakken, het lijkt erop dat ze het systeem onderdrukken, mogelijk dat Windows dit een brug te ver vindt.
Ik waardeer het in ieder geval dat je hebt gekeken!
Intel heeft benchmarks laten zien en de 8 en 9 gen zouden volgens intel hardwarematig bescherming bieden?
https://www.intel.com/con...e-and-technology/mds.html
Dat ligt aan het model. Bepaalde modellen binnen de 8ste en 9de generatie hebben hardware matige beveiliging, andere modellen niet en hebben een microcode en/of software update nodig. Dit is allemaal hier terug te vinden: https://www.intel.com/con...ctions-into-hardware.html
Ik heb een met hw matige beveiliging, de i9 9900k
Die heeft maar voor 1 van de 4 varianten die deze week bekend gemaakt zijn hardware matige beveiling, voor de overige 3 zijn microcode en software updates nodig.
Die zijn uiteraard geïnstalleerd, asrock bios 4.00 en de windows updates. De benchmarks zijn nog als voor de updates. Davinci Resolve cadlelight, metro Exodus, Farcry 5 waar ik zelfs iets meer fps haal en GRWL. Volgens mij word het performance verlies wat aangedikt in de media en fanboy's van de andere partij.
Dat laatste weet ik niet, wel is wat ik zie dat synthetische tests vaak een compleet onrealistisch beeld laten zien t.o.v. realworld workloads. Nu test ik zelf geen games, enkel zakelijk applicaties, maar ik begrijp inderdaad uit meerdere tests dat games ook geen of bijna geen performance verlies laten zien.
je sample is 1 persoon
Jah klopt, en zonder cijfers. Zo lang ik maar zelf weet dat ik me nergens zorgen over hoeft te maken. Iedereen kan dat ook voor zich zelf testen gelukkig.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Consoles

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True