Digiplace

Intel

Algemeen, Hardware, Linux /
Intel kwetsbaarheden

Onderzoekers van de Vrije Universiteit Amsterdam en daarna van andere universiteiten (waaronder de KU in Leuven) hebben een serieus lek gevonden in moderne Intel-processors. Die ontdekking is al enige tijd geleden aan het licht gekomen en nu Intel een patch heeft uitgebracht komen de achtergronden naar boven.

Er is inmiddels het nodige te vinden over dit onderwerp. Zo staat er een prima stuk op Tweakers (Onderzoekers vinden nieuwe kritieke lekken in vrijwel alle Intel-cpu’s) en tal van andere bronnen maken hier natuurlijk melding van.

Is het echt een serieus probleem?

Dat lijkt mij wel. Even de belangrijkste bevindingen op een rij:

  • Onderzoekers van de Vrije Universiteit hebben een groot datalek gevonden in de meest gangbare Intel-processoren. Alle (!) Intel processoren die de laatste 10 jaar zijn verschenen zijn vatbaar voor deze kwetsbaarheid. Ruim 80% van alle computers (desktops, laptops, servers/cloud) maakt gebruik van deze Intel processoren.
  • Intel heeft daarna samen met de VU de details bekend van RIDL (Rogue In-Flight Data Load), een kwetsbaarheid waarmee hackers ‘vrijwel alle data’ kunnen stelen van computers. De essentie van het probleem is dat hackers kunnen meekijken met gegevens die de processor op dat moment verwerkt.
  • Kwaadwillenden kunnen dit lek misbruiken door bijvoorbeeld code te verstoppen in een linkje of via een onschuldig lijkende webadvertentie.
  • Er zijn geen mogelijkheden om achteraf vast te stellen of er inderdaad data van je computer in verkeerde handen is gevallen.

Patch beschikbaar, maar is het voldoende?

Dankzij de bevindingen van de wetenschappers bij de Vrije Universiteit en het KU Leuven is Intel deze week naar buiten gekomen met een oplossing. Het is niet ongebruikelijk om een lek stil te houden en pas naar buiten te komen als er een oplossing voorhanden is. Voor alle platforms zijn er nu patches ter beschikking gekomen. Ubuntu heeft op 15 mei bijvoorbeeld een nieuwe kernel én een nieuwe zgn. Intel Microcode aangeleverd via haar reguliere updates.

Is het je niet opgevallen en wil je het checken? Open dan je /var/log/apt/history.log en zoek naar een gelijkwaardige aantekening als: 

Start-Date: 2019-05-15  08:59:11
 Commandline: /usr/bin/unattended-upgrade
 Upgrade: intel-microcode:amd64 (3.20190312.1, 3.20190514.0ubuntu0.19.04.1)
 End-Date: 2019-05-15  08:59:21

Toch is het nog maar de vraag of het installeren van deze patch voldoende is om het probleem echt te tackelen. Dat komt omdat moderne cpu’s werken met Hyper-threading. De patch die nu is uitgebracht beinvloed niet de gevaren die zijn verbonden aan het uitvoeren van instructies die voortkomen uit hyper threading. Wat de patch wel doet is het legen van de zgn. CPU buffers. Op die manier wordt ter beschikking staande data gewist voor een nieuwe instructie wordt uitgevoerd. Maar het is niet in staat om de zgn. SMT kwetsbaarheid te verhelpen. SMT staat voor Symmetric Multi-Threading en staat ook bekend als Hyper Threading. Met andere woorden, er wordt ook data uitgewisseld tussen de fysieke kern en de (zeg maar) virtuele processor. En daar kan vooralsnog geen patch tegenop.

The use of Symmetric Multi-Threading (SMT) – also known as Hyper-Threading – further complicates these issues since these buffers are shared between sibling Hyper-Threads. Therefore, the above changes are not sufficient to mitigate these vulnerabilities when SMT is enabled. As such, the use of SMT is not recommended when untrusted code or applications are being executed.

Hyper threading

Hyper-threading is de technologie die het mogelijk maakt dat een fysieke processorkern zich als twee logische processors gedraagt en daarmee de cache en externe interfaces delen. In de meeste gevallen wordt het hierdoor mogelijk dat de processorkern twee threads tegelijk uitvoert. Een processor met hyperthreading-technologie wordt door je besturingssysteem meestal als twee losse processoren gezien. Dankzij deze technologie presteert jouw computer gemiddeld 30% sneller omdat berekeningen van de cpu parallel kunnen worden uitgevoerd op die extra kern.

Juist het uitwisselen van data tussen de fysieke en de ‘logische’ kern geeft de mogelijkheid om data vanuit een computer te oogsten. Deze gevoeligheid was al eerder ontdekt en heeft bijvoorbeeld OpenBSD er in 2018 toe gebracht om Hyper threading standaard uit te laten staan. Google lijkt ook te overwegen om te stoppen met hyper threading op haar ChromeOS en Apple geeft ook aan dat voor volledige veiligheid je beter hyper threading uit kan zetten. Dat is nogal een advies want daarmee verlaag je de verwerkingssnelheid van die computer met circa 30%!

Wat te doen in dit geval?

Ga je nu als Linux desktop gebruiker in je bios hyper threading uitzetten? En zo ja, merk je dat dan? Die laatste vraag is nog wel het meest relevant. Want niemand wil dat de prestaties van je computer met 30% afneemt. Maar als je jouw computer gebruikt om -zeg maar- de standaard kantoortoepassingen te gebruiken dan ga je daar niets van merken. Gebruik je echter je computer om video te monteren, of om grote database queries te verwerken of om software te compilen dan maakt het natuurlijk wel degelijk uit. Zie bijvoorbeeld de recente uitkomsten van een test op Phoronix: Intel Hyper Threading Performance With A Core i7 On Ubuntu 18.04 LTS

Maar mocht je achter een computer zitten met belangrijke informatie dan zou ik toch maar het zekere voor het onzekere nemen. Dat zal in de regel niet gelden voor ‘gewone gebruikers’, maar als je als CEO toegang hebt tot belangrijke en gevoelige informatie dan denk ik toch dat het niet onverstandig is om maatregelen te nemen. En oh ja…de cloud is toch wat bewolkt aan het raken op deze manier. Hoe dan ook, dit verhaal gaat waarschijnlijk nog wel een staartje krijgen.

Tot slot

Mogelijk komen ook de fabrikanten van moederborden met een nieuw bios uit. Hou dat dus ook in de gaten. Je kan overigens vanuit je terminal zien welke bios versie je gebruikt met het commando:

sudo dmidecode | less

Je kan ook vanuit je terminal bekijken of jouw GNU/Linux computer kwetsbaar is: Bekijk daarvoor de output van het commando:

cat /sys/devices/system/cpu/vulnerabilities/mds

Komt daar als uitkomst uit ‘Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable‘ dan heb je nog niet de laatste microcode (de patch) geïnstalleerd op je linux computer.

Komt er als antwoord uit ‘Mitigation: Clear CPU buffers; SMT vulnerable” dan is dankzij de patch wel het nodige voordeel bereikt, maar blijft de SMT kwetsbaarheid onaangeroerd.

Meer informatie:

https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/MDS?_ga=2.197643567.1489802353.1557904875-802933965.1555581818

https://zombieloadattack.com/

https://www.nrc.nl/nieuws/2019/05/14/hackers-mikken-op-het-intel-hart-a3960208

Digiplace website opgeschoond

Algemeen, Linux /

De digitale variant van de voorjaars schoonmaak heeft toegeslagen. Om te beginnen zijn onnodige plugins verwijderd, waaronder ook de classic editor van WordPress. Het wordt tijd om eens in het diepe te springen en de nieuwe Gutenberg werkwijze te omarmen. Anders komt het er nooit van. De footer widgets zijn tot slot ook opgeheven en in de sidebar staan nu alle relevante zaken keurig bij elkaar.

In de header heb ik een tagline (linux op je desktop) opgenomen en ik heb de Ubuntu kleuren doorgevoerd in linkjes en in bepaalde beeldelementen (knoppen en paginanummering).

Resmush

Alle afbeeldingen op de website zijn vervolgens onder handen genomen door reSmush.it Image Optimizer. Dat is wel een aanwinst voor de website. Uiteraard heb ik altijd mijn afbeeldingen opgeslagen met behulp van GIMP (Save for Web), maar er was duidelijk nog ruimte voor verdere optimalisaties mogelijk. Een volledige resmush leverde maar liefst 55% aan reductie op (255 MB).

GTmetrix

Het resultaat? Een veel snellere website! Volgens GTmetrix is er nu een PageSpeed score van 90% bereikt. Er zijn nog een paar kleine kansen op verbetering (nog betere gzip compressie maar daarvoor ben ik meer afhankelijk van de hosting provider dan van mijn configuratie. De zgn. YSlow Score kan ook beter maar om daar nou voor te investeren in een CDN lijkt mij overbodig met uitsluitend Nederlandse gebruikers.

GTmetrix output

Ubuntu: installeer ttf-mscorefonts-installer

Desktop, Linux, Ubuntu /

Wil je een aantal standaard Microsoft fonts gebruiken op je Ubuntu desktop dan is normaal gesproken het installeren van ttf-mscorefonts-installer voldoende. Maar helaas geeft dat tegenwoordig problemen met het downloaden van de benodigde cabs. Als je toch deze fonts niet wil missen dan is er een alternatieve methode beschikbaar: Vanuit je terminal:

wget http://ftp.de.debian.org/debian/pool/contrib/m/msttcorefonts/ttf-mscorefonts-installer_3.6_all.deb

en vervolgens

sudo dpkg -i ttf-mscorefonts-installer_3.6_all.deb

fonts

Fedora: dnf history

Fedora, Linux /

Als je achteraf wil terugzien wat je allemaal hebt ge-update, geïnstalleerd of hebt verwijderd op je Fedora Workstation dan is het gebruik van dnf history een handige tool

dnf history

DNF is natuurlijk de software package manager van op RPM gebaseerde LInux systemen  zoals Red Hat en Fedora. Je kan met behulp van dnf heel eenvoudig software uit de softwarebronnen installeren, verwijderen of updaten. Maar soms wil je ook wel eens terughalen wat je allemaal hebt gedaan. Dan komt de functie van dnf history van pas.

Met sudo dnf history krijg je een overzicht te zien van alle achterliggende opdrachten. Keurig voorzien van een ID nummer, een datum en tijd stempel, de betreffende actie en de  hoeveelheid veranderingen die dat teweeg heeft gebracht. De output kan er als volgt uit zien:

dnf

De volgende stap is het bekijken wat een specifieke taak heeft uitgevoerd. Dat kan door toevoeging van info en het id nummer aan je opdracht. Concreet, als je van bovenstaand overzicht wil zien wat allemaal aan software is ge-update in de upgrade van 1 april 2018 kies je voor: sudo dnf history info 48. Je krijgt dan keurig een compleet verslag van alle mutaties te zien.

Fedora: Installeer nvidia driver vanuit fedora-workstation-repositories

Desktop, Fedora, Linux /
NVIDIA

Zonder enige twijfel is het installeren van een NVIDIA driver het meest beschreven onderwerp op Digiplace. Waar een Linux desktop uitblinkt in het gebruiken van Open Source software is voor het optimaal gebruiken van een NVIDIA grafische kaart nou eenmaal een proprietary driver van de fabrikant nodig. 

NVIDIA

NIVIDIA onder Fedora

Fedora? Ja, ik ben sinds het gedonder met Fedora 28 toch weer nieuwsgierig geworden naar de ontwikkelingen van Fedora 29. En al snel bleek dat de problemen die onder Fedora 28 opdoken waren verdwenen onder Fedora 29. Althans met het volgen van de volgende installatie methode.

sudo dnf update

sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm

sudo dnf install fedora-workstation-repositories

sudo dnf config-manager –set-enabled rpmfusion-nonfree-nvidia-driver

Open vervolgens SOFTWARE, klilk op Add-ons>Hardware drivers>NVIDIA Linux Graphics Driver>Install

Fedora

En klaar ben je.

Scroll naar boven