Maand: juni 2022

Nieuwe CPU-gerelateerde kwetsbaarheid ontdekt

Onderzoekers van een drietal Amerikaanse universiteiten hebben een nieuwe kwetsbaarheid in processoren ontdekt, gebaseerd op de variabele frequenties die moderne processoren hebben. Ze hebben deze kwetsbaarheid toepasselijk “Hertzbleed” genoemd.

Hoe werkt deze kwetsbaarheid precies?

Zoals ik net al toelichtte, zit de basis in de variabele frequenties. Dit heeft er mee te maken dat de processor zodra deze meer werk doet, naar een hogere frequentie schiet. Voorbeelden die de onderzoekers hebben gevonden, zijn bijvoorbeeld dat binnen hetzelfde programma een berekening als 2022 + 23823 een andere frequentie op de processor oplevert als de berekening 2022 + 24436.

Wat kunnen aanvallers hier precies mee?

Het complete bereik van deze aanval is natuurlijk lastig in te schatten. Momenteel zijn de onderzoekers er vooral bang voor dat deze kwetsbaarheid er voor kan zorgen dat men data en sleutels uit cryptografische applicaties kan halen. Er is echter maar één slimme groep nodig die nog een ontdekking doet hierin om een volgende toepassing te vinden.

Is mijn PC/mobiele telefoon/tablet hier ook de dupe van?

Het korte antwoord is ja. Zowel Intel als AMD hebben al aan de onderzoekers laten weten (die deze kwetsbaarheid laat vorig jaar aan hen hebben getoond) dat veel, als niet alle processoren die zij leveren last hebben van “Hertzbleed”. ARM en andere vendors van processoren hebben nog niks laten weten hierover, maar als er variabele frequenties aan te pas komen kan je er vanuit gaan dat je processor ook de dupe is.

Is Hertzbleed een bug? een zero day? een exploit?

Hertzbleed is vooral het laatste; een exploit. De verschillende frequenties naarmate de berekening zwaarder wordt zijn een bedoeld gevolg van de variable frequenties die alle moderne CPU’s ondertussen hebben.

Hoe beveilig ik mezelf hiervan?

Allereerst is het belangrijk om te weten dat een aanvaller niks zou kunnen zolang hij niet bij jouw CPU stats kan komen. Als je firewall goed is en je verder geen sketchy programma’s op je PC hebt staan, is de kans redelijk laag dat mensen er iets mee kunnen. De kwetsbaarheid is verder ook pas 2 dagen publiek, dus verwacht niet dat aanvallers er meteen mee aan de slag kunnen, vooral omdat ze het in de context van een programma moeten gebruiken en daarvoor eerst alles uitgezocht moet worden.

Intel en AMD hebben beiden al vanaf eind vorig jaar dan wel begin dit jaar toegang tot de conceptcode voor deze aanval. Ze hebben beiden aangegeven dat ze hier zelf niks mee kunnen (want dat zou de hele ontwikkeling voor variabele frequenties teniet doen), maar dat de documentatie en sturing bieden aan developers om er voor te zorgen dat hun programma’s beter bestand zijn tegen de exploit.

Draai je dus programma’s waarin je veel met cryptografische sleutels en hashes werkt, zorg dus dat deze goed up to date zijn en blijven. Mocht je er verder echt bang voor zijn, zou je het probleem kunnen verhelpen door je CPU op een vaste frequentie te draaien. Gezien de huidige scope van dit probleem, en de kans dat een aanvaller hier momenteel wat mee kan is dit echter niet iets wat ik aanraadt voor gewone gebruikers.

Iets dieper duiken in Hertzbleed?

Hoewel ik hier het volledige artikel kan gaan overtypen, kan je voor meer informatie het beste hier op de website van de onderzoekers zelf kijken. Hier vind je een Engelse Q&A over Hertzbleed (die we hier grotendeels hebben gecovered), en mocht je het echt interessant vinden kan je hier hun paper vinden.

AMD 5800X3D mogelijk niet laatste CPU op AM4 socket.

AM4 is mogelijk niet aan het einde van z’n leven met de aankomende lancering van AM5, deze gedachte word nogmaals opgewekt door een beantwoorde vraag in een Q&A van Forbes.

In de keynote van AMD een kleine tijd terug; werd door Lisa Sue zachtjes en bijna onopmerkelijk gezegd dat AM4 door zal gaan. Wat deze woorden in de realiteit zou gaan betekenen is niet bekend geworden en AM4 is verder niet meer genoemd tijdens de keynote. Misschien ging het alleen over de resterende levensduur van de huidige processoren.

Echter in een artikel van Forbes is een Q&A met Robert Hallock van AMD te lezen, hierin word ook AM4 besproken. Hierbij word de vraag gesteld of de Ryzen 5800X3D de laatste processor voor de AM4 socket is. Hierop word geantwoord: waarschijnlijk niet.

Hiermee is er een tweede punt voor de gedachte ontstaan dat AM4 nog steeds niet aan het einde van z’n leven zou zijn. Verder word er gezegd dat AM4 mogelijk parallel zal gaan leven naast AM5 met lagere prijzen.

Zou Ryzen 6000 alsnog een AM4 CPU/APU worden, én 7000 de AM5 socket? Dat zou absoluut geen slechte ontwikking zijn. We hebben nu ook 4000 series voor de lagere gespecificeerde computers naast de 5000 series voor de enthousiastelingen.

Hierbij nog eventjes de link naar het Forbes artikel: https://www.forbes.com/…/amds-robert-hallock-answers…/

Aanbeveling voor wattage AMD RX7000 kaarten mogelijk gelekt door Seasonic.

Foutje van voedingfabrikant Seasonic waarschijnlijk, de aanbevolen voedingen voor de aankomende AMD RX7000 grafische kaarten zijn in de wattage calculator van Seasonic te vinden…

Misschien hebben we interessante informatie gekregen over de aankomende AMD grafische kaarten. De toekomst zal moeten laten zien of deze getallen klopten. Alsnog wil ik ze eventjes doornemen:

Alle te selecteren onderdelen heb ik op 0 gezet behalve de processor. Deze staat op de Celeron G6900 om het zo laag mogelijk te houden. Bij een AMD RX7900XT & RX7800XT grafische kaart word een minimale voeding aanbevolen van 750 watt, de RX7700XT komt met een aanbeveling van 650 watt.

Voegen we een Intel Core i9 12900K, 2 solid state drives en 8 ventilatoren aan de calculator toe. Dan is het het aanbevolen minimum wattage van de RX7900XT & RX7800XT 100 watt hoger, de RX7700XT zakt naar 600 watt volgens Seasonic.

Vergelijken wij de wattage van RX7000 met de RX6000 grafische kaarten van AMD dan lijken de aanbevelingen door Seasonic voor wattage van je voeding gelijk te blijven.

Neem de getallen aangegeven op dit moment door Seasonic nog niet als een wattage aanbeveling om een nieuwe voeding te kopen voor je volgende generatie grafische kaart, daarvoor staat deze informatie echt nog op te lossen schroeven. Neem de getallen die naar buiten zijn gekomen over de RX7000 met een korreltje zout.