Intel

Intel kwetsbaarheden

Onderzoekers van de Vrije Universiteit Amsterdam en daarna van andere universiteiten (waaronder de KU in Leuven) hebben een serieus lek gevonden in moderne Intel-processors. Die ontdekking is al enige tijd geleden aan het licht gekomen en nu Intel een patch heeft uitgebracht komen de achtergronden naar boven.

Er is inmiddels het nodige te vinden over dit onderwerp. Zo staat er een prima stuk op Tweakers (Onderzoekers vinden nieuwe kritieke lekken in vrijwel alle Intel-cpu’s) en tal van andere bronnen maken hier natuurlijk melding van.

Is het echt een serieus probleem?

Dat lijkt mij wel. Even de belangrijkste bevindingen op een rij:

  • Onderzoekers van de Vrije Universiteit hebben een groot datalek gevonden in de meest gangbare Intel-processoren. Alle (!) Intel processoren die de laatste 10 jaar zijn verschenen zijn vatbaar voor deze kwetsbaarheid. Ruim 80% van alle computers (desktops, laptops, servers/cloud) maakt gebruik van deze Intel processoren.
  • Intel heeft daarna samen met de VU de details bekend van RIDL (Rogue In-Flight Data Load), een kwetsbaarheid waarmee hackers ‘vrijwel alle data’ kunnen stelen van computers. De essentie van het probleem is dat hackers kunnen meekijken met gegevens die de processor op dat moment verwerkt.
  • Kwaadwillenden kunnen dit lek misbruiken door bijvoorbeeld code te verstoppen in een linkje of via een onschuldig lijkende webadvertentie.
  • Er zijn geen mogelijkheden om achteraf vast te stellen of er inderdaad data van je computer in verkeerde handen is gevallen.

Patch beschikbaar, maar is het voldoende?

Dankzij de bevindingen van de wetenschappers bij de Vrije Universiteit en het KU Leuven is Intel deze week naar buiten gekomen met een oplossing. Het is niet ongebruikelijk om een lek stil te houden en pas naar buiten te komen als er een oplossing voorhanden is. Voor alle platforms zijn er nu patches ter beschikking gekomen. Ubuntu heeft op 15 mei bijvoorbeeld een nieuwe kernel én een nieuwe zgn. Intel Microcode aangeleverd via haar reguliere updates.

Is het je niet opgevallen en wil je het checken? Open dan je /var/log/apt/history.log en zoek naar een gelijkwaardige aantekening als:

Start-Date: 2019-05-15  08:59:11
Commandline: /usr/bin/unattended-upgrade
Upgrade: intel-microcode:amd64 (3.20190312.1, 3.20190514.0ubuntu0.19.04.1)
End-Date: 2019-05-15 08:59:21

Toch is het nog maar de vraag of het installeren van deze patch voldoende is om het probleem echt te tackelen. Dat komt omdat moderne cpu’s werken met Hyper-threading. De patch die nu is uitgebracht beinvloed niet de gevaren die zijn verbonden aan het uitvoeren van instructies die voortkomen uit hyper threading. Wat de patch wel doet is het legen van de zgn. CPU buffers. Op die manier wordt ter beschikking staande data gewist voor een nieuwe instructie wordt uitgevoerd. Maar het is niet in staat om de zgn. SMT kwetsbaarheid te verhelpen. SMT staat voor Symmetric Multi-Threading en staat ook bekend als Hyper Threading. Met andere woorden, er wordt ook data uitgewisseld tussen de fysieke kern en de (zeg maar) virtuele processor. En daar kan vooralsnog geen patch tegenop.

The use of Symmetric Multi-Threading (SMT) – also known as Hyper-Threading – further complicates these issues since these buffers are shared between sibling Hyper-Threads. Therefore, the above changes are not sufficient to mitigate these vulnerabilities when SMT is enabled. As such, the use of SMT is not recommended when untrusted code or applications are being executed.

Hyper threading

Hyper-threading is de technologie die het mogelijk maakt dat een fysieke processorkern zich als twee logische processors gedraagt en daarmee de cache en externe interfaces delen. In de meeste gevallen wordt het hierdoor mogelijk dat de processorkern twee threads tegelijk uitvoert. Een processor met hyperthreading-technologie wordt door je besturingssysteem meestal als twee losse processoren gezien. Dankzij deze technologie presteert jouw computer gemiddeld 30% sneller omdat berekeningen van de cpu parallel kunnen worden uitgevoerd op die extra kern.

Juist het uitwisselen van data tussen de fysieke en de ‘logische’ kern geeft de mogelijkheid om data vanuit een computer te oogsten. Deze gevoeligheid was al eerder ontdekt en heeft bijvoorbeeld OpenBSD er in 2018 toe gebracht om Hyper threading standaard uit te laten staan. Google lijkt ook te overwegen om te stoppen met hyper threading op haar ChromeOS en Apple geeft ook aan dat voor volledige veiligheid je beter hyper threading uit kan zetten. Dat is nogal een advies want daarmee verlaag je de verwerkingssnelheid van die computer met circa 30%!

Wat te doen in dit geval?

Ga je nu als Linux desktop gebruiker in je bios hyper threading uitzetten? En zo ja, merk je dat dan? Die laatste vraag is nog wel het meest relevant. Want niemand wil dat de prestaties van je computer met 30% afneemt. Maar als je jouw computer gebruikt om -zeg maar- de standaard kantoortoepassingen te gebruiken dan ga je daar niets van merken. Gebruik je echter je computer om video te monteren, of om grote database queries te verwerken of om software te compilen dan maakt het natuurlijk wel degelijk uit. Zie bijvoorbeeld de recente uitkomsten van een test op Phoronix: Intel Hyper Threading Performance With A Core i7 On Ubuntu 18.04 LTS

Maar mocht je achter een computer zitten met belangrijke informatie dan zou ik toch maar het zekere voor het onzekere nemen. Dat zal in de regel niet gelden voor ‘gewone gebruikers’, maar als je als CEO toegang hebt tot belangrijke en gevoelige informatie dan denk ik toch dat het niet onverstandig is om maatregelen te nemen. En oh ja…de cloud is toch wat bewolkt aan het raken op deze manier. Hoe dan ook, dit verhaal gaat waarschijnlijk nog wel een staartje krijgen.

Tot slot

Mogelijk komen ook de fabrikanten van moederborden met een nieuw bios uit. Hou dat dus ook in de gaten. Je kan overigens vanuit je terminal zien welke bios versie je gebruikt met het commando:

sudo dmidecode | less

Je kan ook vanuit je terminal bekijken of jouw GNU/Linux computer kwetsbaar is: Bekijk daarvoor de output van het commando:

cat /sys/devices/system/cpu/vulnerabilities/mds

Komt daar als uitkomst uit ‘Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable‘ dan heb je nog niet de laatste microcode (de patch) geïnstalleerd op je linux computer.

Komt er als antwoord uit ‘Mitigation: Clear CPU buffers; SMT vulnerable” dan is dankzij de patch wel het nodige voordeel bereikt, maar blijft de SMT kwetsbaarheid onaangeroerd.

Meer informatie:

https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/MDS?_ga=2.197643567.1489802353.1557904875-802933965.1555581818

https://zombieloadattack.com/

https://www.nrc.nl/nieuws/2019/05/14/hackers-mikken-op-het-intel-hart-a3960208

Digiplace website opgeschoond

De digitale variant van de voorjaars schoonmaak heeft toegeslagen. Om te beginnen zijn onnodige plugins verwijderd, waaronder ook de classic editor van WordPress. Het wordt tijd om eens in het diepe te springen en de nieuwe Gutenberg werkwijze te omarmen. Anders komt het er nooit van. De footer widgets zijn tot slot ook opgeheven en in de sidebar staan nu alle relevante zaken keurig bij elkaar.

In de header heb ik een tagline (linux op je desktop) opgenomen en ik heb de Ubuntu kleuren doorgevoerd in linkjes en in bepaalde beeldelementen (knoppen en paginanummering).

Resmush

Alle afbeeldingen op de website zijn vervolgens onder handen genomen door reSmush.it Image Optimizer. Dat is wel een aanwinst voor de website. Uiteraard heb ik altijd mijn afbeeldingen opgeslagen met behulp van GIMP (Save for Web), maar er was duidelijk nog ruimte voor verdere optimalisaties mogelijk. Een volledige resmush leverde maar liefst 55% aan reductie op (255 MB).

GTmetrix

Het resultaat? Een veel snellere website! Volgens GTmetrix is er nu een PageSpeed score van 90% bereikt. Er zijn nog een paar kleine kansen op verbetering (nog betere gzip compressie maar daarvoor ben ik meer afhankelijk van de hosting provider dan van mijn configuratie. De zgn. YSlow Score kan ook beter maar om daar nou voor te investeren in een CDN lijkt mij overbodig met uitsluitend Nederlandse gebruikers.

GTmetrix output

Ubuntu: installeer ttf-mscorefonts-installer

Wil je een aantal standaard Microsoft fonts gebruiken op je Ubuntu desktop dan is normaal gesproken het installeren van ttf-mscorefonts-installer voldoende. Maar helaas geeft dat tegenwoordig problemen met het downloaden van de benodigde cabs. Als je toch deze fonts niet wil missen dan is er een alternatieve methode beschikbaar: Vanuit je terminal:

wget http://ftp.de.debian.org/debian/pool/contrib/m/msttcorefonts/ttf-mscorefonts-installer_3.6_all.deb

en vervolgens

sudo dpkg -i ttf-mscorefonts-installer_3.6_all.deb

fonts

Fedora: dnf history

Als je achteraf wil terugzien wat je allemaal hebt ge-update, geïnstalleerd of hebt verwijderd op je Fedora Workstation dan is het gebruik van dnf history een handige tool

dnf history

DNF is natuurlijk de software package manager van op RPM gebaseerde LInux systemen  zoals Red Hat en Fedora. Je kan met behulp van dnf heel eenvoudig software uit de softwarebronnen installeren, verwijderen of updaten. Maar soms wil je ook wel eens terughalen wat je allemaal hebt gedaan. Dan komt de functie van dnf history van pas.

Met sudo dnf history krijg je een overzicht te zien van alle achterliggende opdrachten. Keurig voorzien van een ID nummer, een datum en tijd stempel, de betreffende actie en de  hoeveelheid veranderingen die dat teweeg heeft gebracht. De output kan er als volgt uit zien:

dnf

De volgende stap is het bekijken wat een specifieke taak heeft uitgevoerd. Dat kan door toevoeging van info en het id nummer aan je opdracht. Concreet, als je van bovenstaand overzicht wil zien wat allemaal aan software is ge-update in de upgrade van 1 april 2018 kies je voor: sudo dnf history info 48. Je krijgt dan keurig een compleet verslag van alle mutaties te zien.

Fedora: Installeer nvidia driver vanuit fedora-workstation-repositories

NVIDIA

Zonder enige twijfel is het installeren van een NVIDIA driver het meest beschreven onderwerp op Digiplace. Waar een Linux desktop uitblinkt in het gebruiken van Open Source software is voor het optimaal gebruiken van een NVIDIA grafische kaart nou eenmaal een proprietary driver van de fabrikant nodig. 

NVIDIA

NIVIDIA onder Fedora

Fedora? Ja, ik ben sinds het gedonder met Fedora 28 toch weer nieuwsgierig geworden naar de ontwikkelingen van Fedora 29. En al snel bleek dat de problemen die onder Fedora 28 opdoken waren verdwenen onder Fedora 29. Althans met het volgen van de volgende installatie methode.

sudo dnf update

sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm

sudo dnf install fedora-workstation-repositories

sudo dnf config-manager –set-enabled rpmfusion-nonfree-nvidia-driver

Open vervolgens SOFTWARE, klilk op Add-ons>Hardware drivers>NVIDIA Linux Graphics Driver>Install

Fedora

En klaar ben je.

Ubuntu 4K UHD instellingen

4k UHD

Het is tegenwoordig steeds normaler als je werkt achter een 4K UHD beeldscherm. Helaas heeft GNOME niet de mogelijkheid zoals het voormalige Unity (Ubuntu) óf bijvoorbeeld KDE waarbij je gebruik kan maken van fractionele schaling. Je hebt dus alleen maar de keuze om te schalen naar 100, 200, 300 of 400%.

4K UHD

Een 4 K UHD scherm heeft een resolutie van 3840 x 2160 pixels. Oftewel 4 x de resolutie van een full HD scherm. Dat werkt prima op een schermformaat vanaf 32 inch of groter, maar op schermen van een kleiner formaat wordt alles wel heel erg klein weergegeven. Je ontkomt dan eigenlijk niet aan het schalen van je scherm.

Onder Ubuntu (GNOME) ga je daarvoor naar Instellingen, Apparaten, Schermen en kiest daar uit de aangeboden opties.

4K UHD

Er zijn echter nog meer mogelijkheden om de leesbaarheid te vergroten zonder dat je meteen daarvoor je schaling naar 200% moet zetten. Je hebt dan wel gnome-tweaks nodig dus zorg dat je die ook hebt geïnstalleerd (sudo apt install gnome-tweaks).

Fonts schalen

In gnome-tweaks kan je bij lettertypen kiezen voor de schaalgrootte van je fonts. Door die bijvoorbeeld te schalen naar 1,25 wordt je tekst in bijvoorbeeld je panel en toepassingen beter leesbaar weergegeven.  In je Panel wordt daardoor ook het symbool zichtbaar van Universele toegang. Je zal zien dat daarin de optie Grote letters is geactiveerd.

Aanpassen Firefox en Thunderbird

Je kan onder Firefox vanuit about:config de instelling layout.css.devPixelsPerPx aanpassen naar bijv. 1.2 of naar 2 maar in de praktij kan je dan beter per bezochte pagina kiezen voor de zoomfunctie van Firefox. Die wordt voor die betreffende pagina gewoon onthouden. Gebruik daarvoor de toetscombinatie CTRL +.

Onder Thunderbird werkt het handig om naar Bewerken, Voorkeuren, Geavanceerd en daar te klikken op Configuratie-editor. Zoek daar naar de instelling layout.css.devPixelsPerPx en verander de waarde van -1,0 (default) naar bijvoorbeeld 1.25 (let op..dat is een PUNT en geen komma). Dan wordt de inhoud van je e-mail beter leesbaar.

4k UHD

 

NIVIDIA problemen met Fedora 28, welkom terug Ubuntu

De trouwe lezers van Digiplace hebben nu wel door dat ik als GNOME gebruiker ben overgestapt naar Fedora.  Er zijn daar de nodige artikelen over verschenen. Fedora is dé GNOME distributie bij uitstek en ik was dan ook zeer gelukkig met respectievelijk Fedora 25, 26 & 27.

NVIDIA problemen met Fedora 28

Maar met Fedora 28 kwamen de problemen. De 4.16 kernel van Fedora kan vooralsnog maar met 2 specifieke drivers van NVIDIA werken. Overigens waren er (bij mij!) ook in vorige versies van Fedora op enig moment altijd problemen met de NVIDIA drivers.

En wat ik ook probeer (rpmfusion, of de nieuwe repo van Fedora 28 of de handmatige aanpak via de instructies van If Not True Then False: het leverde uiteindelijk allemaal problemen op. En via Reddit zag ik soortgelijke klachten voorbij komen waar ik mij volledig in kon herkennen. Ik was te vaak bezig met het editen van mijn GRUB om weer terug te kunnen komen naar de wel werkende NOUVEAU driver dan mij lief was. En wat doe je dan? Nou…ik ging terug naar een veilige omgeving.

Note Fedora 28/27/26 users: 396.24 and 390.67 are only version which works without patch with kernel 4.16. Currently you can also use patched 340.106 with Fedora 28/27/26 kernel 4.16.

Note 340.107 users: 340.107 on Fedora 28/27/26/25 Kernel 4.16/4.15/4.14/4.13/4.12/4.11 needs a patched version (Download NVIDIA-Linux-x86_64-340.107 + Kernel 4.16/4.15/4.14/4.13/4.12/4.11 patched version). And currently this installs, but not work with Gnome 3.28.1, other desktops should work.

Gnome Shell Extensions

extensions

Onlangs heb ik het aantal Gnome Shell extensions op mijn Fedora 28 Workstation fors uitgebreid. Een paar daarvan zijn bijzonder welkom gebleken. Zo brengt ‘extensions‘ de mogelijkheid om vanuit het panel-menu toegang te bieden tot alle beschikbare opties.extensions

Met ‘Auto Move Windows‘ kan je automatisch een applicatie toewijzen aan een virtueel bureublad. Met ‘Dynamic Panel Transparency‘ maak je het panel volledig transparant en dankzij ‘Hide Top Bar‘ maakt het panel volledig plaats voor een full blown venster. Met een lichte druk van je muis komt het panel dan weer in beeld.

Ook heel fraai is ‘Panel OSD‘ die ervoor zorgt dat notificaties komen te staan waar jij dat wil. En het kan ze ook nog eens volledig leesbaar maken (geen samenvatting). Met ‘Status Horizontal Placing‘ plaats je de iconen in je panel wat dichter bij elkaar (of juist meer uit elkaar, wat jij wil natuurlijk).

En met ‘Workspace to Dock‘ kan je vervolgens helemaal los. Daarmee kan je jouw virtuele bureaubladen veel beter gebruiken en echt een goed overzicht krijgen vooral in combinatie met (in mijn configuratie) Dash to Dock en in combinatie met 2 beeldschermen.

Zo blijkt maar weer hoe flexibel een GNOME desktop valt in te zetten. Je pakt wat je wil gebruiken en blijft in controle over jouw desktop. En zo hoort het ook.

GNOME desktop

Fedora aantekeningen

Fedora 28

Even een paar aantekeningen (random order) die opkwamen tijdens het in gebruik nemen van Fedora Workstation 28. Ik heb besloten om geen NVIDIA driver meer te installeren. De beeldkwaliteit van de NOUVEAU driver is gewoon beter (geen tearing). Mocht ik de kriebel krijgen om eens naar STEAM te kijken dan boot ik computer op vanaf ingebouwde HD tray met daarop Ubuntu 18.04 met NVIDIA driver en STEAM. Zal niet vaak voorkomen.

Fedora repositories

Ik ga ze niet gebruiken maar het is mooi dat het kan. Met behulp van deze repo krijg je namelijk Google Chrome, PyCharm, NVIDIA graphics drivers (Fedora 28 only) en Steam (Fedora 28 only) tot je beschikking.

The fedora-workstation-repositories package in Fedora contains the third-party repo definitions. Install this package to enable the third-party repositories. Using DNF with sudo:

sudo dnf install fedora-workstation-repositories

Bron: https://fedoramagazine.org/third-party-repositories-fedora/

Installing Free and Nonfree RPMFusion Repositories

sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm
(bron: https://rpmfusion.org/Configuration)

Multimediacodecs

sudo dnf -y install gstreamer1-libav gstreamer-plugins-base gstreamer1-plugins-base gstreamer-plugins-bad gstreamer-plugins-ugly gstreamer1-plugins-ugly gstreamer-plugins-good-extras gstreamer1-plugins-good-extras gstreamer1-plugins-bad-freeworld ffmpeg gstreamer-ffmpeg

Overzicht van geïnstalleerde kernels

sudo rpm -qa | grep kernel

Snelste mirror installen voor DNF

sudo nano /etc/dnf/dnf.conf

Voeg aan dat bestand de volgende regel toe:

fastestmirror=true

Samba share aanpassen

Als je klikt in Nautilus/Files op ‘Andere locaties‘ dan vind je geen Samba shares. Oorzaak is de aangescherpte beveiliging n.a.v. WannaCrypt/WannaCry . Een koppeling met een Windows share wordt dan gevaarlijk. Nu we met nieuwe kernels werken en er hier in huis alleen maar samba shares actief zijn op een QNAP NAS (met gepatchte kernel) die alleen lokaal luistert kan dat best aangepast worden. Daarvoor moet je weer SMBv1 activeren.

sudo nano /etc/samba/smb.conf

plaats de volgende tekst in het onderdeel GLOBAL:

client max protocol = NT1

En zorg er dan ook voor dat je meteen de juiste werkgroep wordt vermeld onder Global:

workgroup = NAAM VAN JOUW WERKGROEP

Deze lijst zal nog wel een vervolg krijgen. Makkelijk bij het opnieuw installeren of bij het in gebruik nemen van een andere Fedora Workstation.

Fedora 28

Scroll naar top