SWITCH - Hardware-Diskussionsthread

[yopparai]

Hab mir gerade nochmal ein paar Seiten durchgelesen zu den beiden Lücken. „Meltdown“ betrifft offensichtlich nur Intel-CPUs. Dabei wird die spekulative Ausführung von Code provoziert, der den Speicherbereich des Betriebssystemkernels ausliest. Das darf so ein Prozess natürlich nicht, daher löst eine solche Operation üblicherweise eine Exception aus. Allerdings dauert das eine Weile, bis die vom Prozessor im spekulativ ausgeführten Code erkannt wurde. Und bis dahin hat man Zeit, innerhalb dieses spekulativ ausgeführten Codes abhängig von diesen geladenen „verbotenen“ Daten dafür zu sorgen, dass das Cache-Layout geändert wird, d.h. (wenn ich da nix durcheinanderbringe, der ganze Scheiß ist ziemlich kompliziert für nen Laien) dass bestimmte Adressen im Cache als „dirty“ (mit dem Ram bzw. höheren Cache-Levels zu synchronisieren) markiert werden oder eben nicht - und diese Information kann man von außen mit ein paar Tricks auslesen und auf den ursprünglichen Wert schließen. Das ist also eine klassische side-channel-Attacke. Man liest Daten über das Verhalten des Prozessors aus, nicht die Daten direkt.

Die zweite Attacke , „Spectre“ hab ich noch nicht ganz verstanden, aber da geht es wohl vom Prinzip her darum, dass man einen User-Prozess (nicht das OS) durch Fehltraining des Branch Pedictors dazu bringt, spekulativ Code auszuführen, der dann wieder über einen Side-Channel zugängliche Daten aus dem eigenen Speicherbereich offenlegt. D.h., dass man so z.B. an Passwörter aus einem Browser käme oder ähnliches. Spectre betrifft sowohl Intel- als auch AMD- und ARM-CPUs.

Bezogen auf die Sicherheit der Switch und anderer Konsolen stellt sich jetzt also nur die Frage, was man mit Spectre anfangen kann. Wenn User-Prozesse auf der Switch irgendwo in ihrem Adressbereich Schlüssel ablegen mit denen man die Sicherheit umgehen könnte, dann wär das sicher ein ernstes Problem. Ich würde allerdings vermuten, dass sowas eher im Kernelspeicher liegt.
Aber dennoch ist die Sache schon recht ernst und ich würde nicht nur nicht ausschließen, dass jemand einen Weg findet, das zum Knacken aller drei Systeme zu nutzen, ich würde sogar fest damit rechnen, dass das früher oder später der Fall sein wird.

[Suppenkeks]

Die Leute mit PCs und Smartdevices sind viel schlimmer betroffen, aufgrund der offenen Architektur.
Hier zeigt sich dann der Vorteil eines Systems wie der Switch, das generell wenig Angriffsfläche bietet (siehe auch den 34c3 Talk zum Thema).

Wer natürlich seine Konsole hackt, oder per Proxy dann mit dem Webkit-Browser meint, surfen zu müssen, der ist selbst schuld.
Spätestens ab hier verstehe ich auch die Sorge von Nintendo, Sony und Microsoft, dass ihre Konsolen geknackt werden, für die Sicherheit kann dann folglich nicht mehr gesorgt werden.

Hat auf der andern Seite aber auch andere, spekulative Vorteile, wenn Intel, AMD und ARM (welche auch zum Teil betroffen sind!) eine Lösung zu den Problemen gefunden haben, welche Spectre mit sich bringt, so könnten wir eventuell neue Revisionen der Konsolen erwarten.

Fürs erste heißt es Ruhe bewahren, als Anwender kann man eh nichts machen, Konsolenspieler brauchen sich wohl auch umso weniger Gedanken machen, da es keinen Punkt gibt, wo Daten ausgelesen werden könnten, bis auf das Netzwerkkonto und Zahlungsmittel vielleicht.

[E-G]

äh... Bei meiner Anmerkung gings nicht darum, ob Nutzer gehackter Systeme irgendwelchen Sicherheitsrisiken ausgesetzt wären sondern darum, ob durch diese Fehler das Hacken an sich einfacher wird - inklusive dem Rattenschwanz an Piraterie der normalerweise folgt

[Suppenkeks]

Also Homebrew lässt sich jetzt bereits für die Switch und PS4 schreiben.
Wie leicht das Hacken durch Spectre wird, hängt davon ab, wie gut das System abgesichert ist, da muss ich mir auch nochmal den c3-Beitrag ansehen, um ein Bild davon zu kriegen, ob bestimmte Daten durchsickern könnten.

Ich erwarte jedenfalls demnächst Systemupdates, damit man auf Eventualitäten vorbereitet ist.

[yopparai]

„Homebrew ist bereits jetzt möglich“ ist mir zu allgemein formuliert. Erstens geht’s nicht um Homebrew sondern um das Anfertigen unlizenzierter Kopien (was natürlich zusammenhängt und weshalb ich ein Gegner von Homebrewbestrebungen in diesem frühen Stadium des Lebenszyklus eines solchen Gerätes bin). Und zweitens stimmt das bisher nur für bestimmte OS-Versionen, was das ganze für die breite Masse nutzlos macht, denn man kann durchaus bei neuen Titeln neue Firmware erzwingen.

[Chibiterasu]

Aber jetzt mal so als Smartphone und PC Nutzer (wo man nunmal private Daten oben hat).
Was muss ich dort befürchten? Oder was soll ich tun?

Muss sich da wer gezielt für mich interessieren oder könnte es dann Viren geben, die da automatisiert Dinge (Passwörter zb) auslesen oder Schaden anrichten (Dateien verschlüssel etc.).
Das gibt es ja jetzt auch alles schon und dagegen gibt es gewisse Schutzvorrichtungen.

Was ist hier anders und wie soll man damit umgehen?
Kann das wer kurz für Laien zusammenfassen?...

Danke!

[yopparai]

Alle Updates installieren die dir der Gerätehersteller anbietet und auf die Installation fragwürdiger Software verzichten. Also im Prinzip wie immer...

Ich weiß nicht, ob es im Netz schon irgendwo ausgenutzt wird, aber generell gilt auch da den Besuch nicht vertrauenswürdiger Seiten zu vermeiden. Insbesondere solang man noch keine Patches dagegen installiert hat. Ich geh davon aus, dass das innerhalb der nächsten 2-4 Wochen erledigt ist. Gegen bösartige Werbebanner von Drittseiten kann man natürlich nur bedingt vorhgehen, z.B. durch Werbeblocker. Weshalb ich hier auch 4p-Pur-Nutzer bin - denn selbstverständlich hab ich inzwischen überall Werbeblocker installiert.

Spezielle Tipps gibt es eigentlich nicht. Das sind die gleichen, die immer gelten. Nur ist ihre Einhaltung im Augenblick noch wichtiger als sonst.

[E-G]

Noscript ist dein Freund!

Was die Patches angeht bin ich noch nicht ganz durchgestiegen. Das Specterzeug kann man ja offenbar sowieso nciht richtig Patchen und das Meltdown ding betrifft mich nicht. Darum weiß ich gar nicht ob ich die Patches dahingehend überhaupt laden soll... Frei nach dem alten Motto: Software hat Fehler, mehr Software hat mehr Fehler. Darum fraglich ob man nen Fix für ein Problem das man nicht hat wirklich braucht.
Was specter angeht ärgert es mich mehr da es mich wohl zwingt, Firefox auf den neusten stand zu bringen und somit den schritt zu dem neuen beschissenen Addon-typ zu machen... ugh.
Andererseits soll es ja, anscheinend, ohnehin nicht vernünftig patchbar sein, sowieso nicht leicht ausnutzbar.. darum bin ich nicht ganz sicher ob der Aufwand überhaupt das Ergebnis rechtfertigen.

[Suppenkeks]

Naja als Hardware-Fehler kann man sich eigentlich nur noch schwer davor bewahren, da x86 und ARM heute federführend sind.

Patchen ist gut und sich auf keine fragwürdigen Seiten und Anwendungen verlassen, was auch Torrents und Filehoster einschließt.

Besser noch wäre, seinen Internetanschluss kündigen, oder ein extra Gerät dafür verwenden, doch welcher normale Anwender macht das schon?

Was die Sache mit der HB betrifft, so stimmt es zwar, dass bisher nur veraltete Horizon-Versionen betroffen sind, doch wann hat das die Hackerszene schon mal davon abgehalten, weiterzumachen?
Im Gegenteil, Spectre wird für manche jetzt erst recht die Einladung, Schlupflöcher zu finden.

Ich halte die Leute auch nicht davon ab, Homebrew zu entwickeln oder sie zu nutzen, habs auf meiner Wii und WiiU ja auch und schau mal, obs für meine fette PS3 nicht ebenfalls interessante Sachen gibt.

Doch wir vermischen hier auch das eine mit dem andern, Konsolen gehacke gabs schon immer und lässt sich nicht aufhalten, die Sicherheitslücken in den Prozessoren betreffen vor allem sensible Nutzerdaten, welche ausgelesen werden könnten und davon ist man mit dem PC (wozu ich auch moderne Telefone und Tabletts zähle) eher betroffen.

In jedem Fall Ruhe bewahren und nochmal überdenken ob eine Neuanschaffung von PC-Hardware aktuell überhaupt Sinn ergibt.

[Chibiterasu]

Ja, ich habe nämlich überlegt mir 2018 neue Hardware anzuschaffen...lass ich erstmal bleiben.

NoScript und Co. verwende ich eh schon, Passwörter Speichern und Autofill-Funktionen sind deaktiviert.
Naja, dann schau ich demnächst einmal nach, ob ich auf der Seite meines Motherboard-Herstellers was finde.

[JesusOfCool]

gewährleistung ist was anderes als garantie

[Krulemuk]

Ich bin kein Jurist, aber habe das immer so verstanden: Innerhalb der ersten 6 Monate Gewährleistung wird immer davon ausgegangen, dass ein etwaiger Fehler schon beim Kauf bestand und durch den Anbieter auszubessern ist. Es sei denn der Anbieter beweist das Gegenteil (was schwer ist).

Nach den 6 Monaten dreht sich die Beweislast um - nun muss quasi der Nutzer beweisen, dass ein Fehler schon beim Kauf bestand oder z.b. durch mangelhaftes Material etc. angelegt war. Bei den Joycon ist das einfach. Hierbei handelt es sich um einen bekannten Fehler, der seit Release bei zig Geräten aufgetaucht ist. Bei zweifelhafteren Defekten muss man dann aber auf Kulanz hoffen oder den Beweis antreten, dass der Defekt nicht durch die eigene unsachgemäße Nutzung entstanden ist...

Die Garantie hingegen ist eine freiwillige Leistung des Anbieters.

[johndoe1333267]

Ich habe mal eine Frage zu den Joy-Cons. Wurde hier bestimmt schon mal angemerkt, konnte aber auf den letzten paar Seiten nichts dazu entdecken.

Es geht um das "Spiel", wenn sie an der Konsole angesteckt sind. Ich habe meine Switch seit November und auch schon einige Spielstunden auf dem Buckel. (über 100h) Nun ist mir seit einiger Zeit aufgefallen, dass die Joy-Cons nicht mehr so fest an der Konsole sitzen, wie zu Beginn und das, obwohl ich die meiste Zeit mit dem Pro Controller spiele. Dies wurde ja schon Im Test von 4Players bemängelt. Ich habe das Gefühl ich bin schon paranoid, denn jedes Mal, wenn ich die Konsole in die Hand nehme, wird mir der Umstand bewusster.

Wie sieht es denn da bei euch aus? Habt ihr auch 1-2 Millimeter Spiel oder hat gar schon jemand größere Schwierigkeiten mit den Schienen oder der Passgenauigkeit? Wäre froh um jede Beruhigung.

[E-G]

mich macht das auch ziemlich fertig, und seitdem ich die konsole ein paar mal unanft auf dem steinboden "abgesetzt" habe, is das spiel auch ein wenig größer geworden...
hoffentlich liegts nur an den joycons und nich an der schiene. Würde gern mal neue testen, nur um sicherzugehen

[Krulemuk]

Habs gerade mal getestet. Meine haben zumindest soviel Spiel, dass ich sie minimal zum Wackeln bringe, wenn ich es darauf anlege...

Am besten keine Obsession entwickeln. Falls du der Meinung bist, es handele sich um einen Materialfehler -> umtauschen/einschicken. Ansonsten nicht ständig testen. Das Ding wird schon ausreichend lang halten...