Abo
  • IT-Karriere:

Sicherheitsbedenken: OpenBSD deaktiviert Intels Hyper-Threading-Technik

Intels Hyper-Threading ist laut OpenBSD wahrscheinlich durch Sicherheitslücken vom Typ Spectre verwundbar. Das Sicherheitsrisiko führt die Entwickler zu einem drastischen Schritt: Die Technik wird im sicherheitsorientierten Betriebssystem standardmäßig deaktiviert.

Artikel veröffentlicht am , Moritz Tremmel
OpenBSD verhindert Timing-Attacken durch Hyper-Threading.
OpenBSD verhindert Timing-Attacken durch Hyper-Threading. (Bild: Agê Barros)

Die Entwickler des Open-Source-Betriebssystems OpenBSD gehen davon aus, dass durch Simultaneous Multithreading (SMT) und speziell Intels proprietäre Umsetzung Hyper-Threading Sicherheitslücken vom Typ Spectre ausgenutzt werden können. Die Technik wird daher im kommenden OpenBSD Release standardmäßig deaktiviert. Nutzer können sie aber per Kernel State händisch wieder aktivieren.

Stellenmarkt
  1. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm
  2. Technische Informationsbibliothek (TIB), Hannover

Durch Hyper-Threading sollen Prozessoren besser ausgelastet werden, indem jeder Prozessorkern in zwei virtuelle Kerne geteilt wird. Diese werden vom Betriebssystem wie zwei echte Kerne behandelt und die anstehenden Rechenoperationen (Threads) auf die virtuellen Kerne verteilt. Entsteht auf einem der virtuellen Kerne eine Rechenlücke, weil beispielsweise Daten aus dem langsameren Arbeitsspeicher in den Prozessorcache geladen werden müssen, werden die wartenden Rechenoperationen des anderen virtuellen Prozessorkerns eingeschoben und die Wartezeit wird so mit Berechnungen überbrückt. Die Rechenoperationen der verschiedenen Kerne laufen letztlich parallel und sorgen für eine höhere Perfomance.

Da sich bei Hyper-Threading und anderen SMT-Techniken verschiedene Rechenoperationen aus unterschiedlichen Sicherheitszonen - etwa Kernel- und Userspace - üblicherweise einen Prozessorkern und dessen TLB- (Translation Lookaside Buffer) und L1-Caches teilen, können Timing-Angriffe auf eben jene Caches deutlich vereinfacht werden. Die OpenBSD-Entwickler sehen ein hohes Risiko, dass hierdurch Sicherheitslücken vom Typ Spectre ausgenutzt werden können und damit aus der jeweiligen Sicherheitszone ausgebrochen werden kann.

Eine Lösung wäre laut den Entwicklern, nur Berechnungen einer Sicherheitszone auf einem physischen Kern beziehungsweise den dazugehörigen virtuellen Kernen auszuführen. Hierfür müsste allerdings der Scheduler, der für die Verteilung der Rechenoperationen zuständig ist, massiv umgebaut werden. Das sei zu kompliziert und zu aufwändig. Aufgrund des hohen Angriffsrisikos haben die Entwickler den Hard-Cut gewählt: Intels Hyper-Threading wird in OpenBSD standardmäßig deaktiviert. Die Performance werde hierdurch nicht pauschal eingeschränkt, da die durch Hyper-Threading erreichte Steigerung stark am Workload hänge und bei mehr als zwei echten Prozessorkernen sogar mit einem negativen Performance-Effekt zu rechnen sei, schränkt OpenBSD ein. Nutzer haben aber weiter die Kontrolle über die Hyper-Threading-Technik und können sie aktivieren. Dies sei notwendig, da in vielen Bios-Implementierungen keine Einstellungsmöglichkeiten zu Intels Hyper-Threading mehr vorhanden seien.

Die Neuerungen sind bereits im Entwicklungszweig der kommenden OpenBSD Version 6.4 enthalten. Anfang April erschien OpenBSD 6.3, welches einige Sicherheitspatches für die Meltdown- und Spectre Angriffe enthielt.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

chewbacca0815 22. Jun 2018

Hier geht's aber nicht um Linux, sondern um OpenBSD aka Unix. Performance war aber noch...


Folgen Sie uns
       


Ghost Recon Breakpoint - Fazit

Das Actionspiel Ghost Recon Breakpoint von Ubisoft schickt Spieler als Elitesoldat Nomad auf eine fiktive Pazifikinsel.

Ghost Recon Breakpoint - Fazit Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /