ACS Patch - Schätze ich das Risiko falsch ein?

[eehm]

Ich hätte gerne euere Meinung zur Sicherheit des ACS Patches in Bezug auf die Nutzung im Homelab.
Bei vielen "einfachen" Mainboards sind viele Sachen in einer großen IOMMU-Chipsatzgruppe z.B.:

• PCIe
• SATA-Controller
• USB-Controller
• Ethernet Adapter
• usw.

Somit ist es nicht möglich z.B. den SATA Controller oder PCIe-Karten aus dieser großen Gruppe durchzureichen.

Wenn ich den ACS-Patch verwende, wird die IOMMU Gruppierung ignoriert und jedes PCI-Gerät befindet sich virtuell in einer eigenen Gruppe.
Wenn ich nun ein Gerät dieser ehemaligen großen Guppe per Passthrough durchreiche, kann die Gast-VM nun auf Speicheradressen der eigentlichen IOMMU-Gruppe zugreifen (also auf den gesamten Speicher der großen Chipsatzgruppe), weil die Isolation nur virtuell ist (also nicht vorhanden!!!).
Somit könnte man von der VM theoretisch den gesamten Speicher des Hosts bzgl. des Ethernet-Adapters oder USB (Tastatur mit Passworteingabe) auslesen.
Mir kommt dieser Patch sehr unsicher vor.

Da dieser Patch fast in jenen Forum und Thema an zweiter Stelle kommt und angewandt wird, stelle ich mir folgende Frage.
Ist er im Homelab wirklich halbwegs unbedenklich oder ist er so unsicher wie es mir vorkommt?

 

[pwnbert]

Wenn dich der Mossad nicht mag, nimmt er dich einfach irgendwann einfach mit und hackt nicht dein Homelab.

 

[underclocker2k4]

Ist eigentlich ganz einfach.

Du hast eine Entscheidung, die zwei Auswirkungen hat.
Es ist also eine binäre Entscheidung.
1 - ACS Patchen weil Durchreichen
2 - kein ACS Patchen, weil Securityimplikationen

Entweder gewichtest du 1 größer als 2 oder du gewichtest 2 größer als 1.
Damit ist eine Entscheidungsfindung relativ einfach.
Gewichtest du 1 genauso wie 2, dann ist die Entscheidung schwer und für einen Menschen ggf. nicht so einfach auflösbar.
Hier hilft der Griff ins Portemonais.
Kopf = 1
Zahl = 2
Münze werfen, Entscheidung herbeigeführt.

Falls die gleichberechtigte Entscheidung nicht binär ist, kann man mit einem d100 Würfel bis zu 100 gleichberechtigte Entscheidungsoptionen einer Entscheidungsfindung zuführen.

Jedes Securityproblem ist ein Securityproblem, egal ob Homelab oder Datacenter oder in der Cloud.
Es hängt immer davon, wie groß der eigene Aluhut ist.
Bei manchen ist der im Homelab größer als im Datacenter, dann ist das.
Jede Sicherheitslücke wird irgendwann ausgenutzt, die Frage ist nur wann.

 

[pwnbert]

Erstens bin ich mir nicht so sicher, ob er das für seine Pläne überhaupt benötigt (und ob das DER Trick ist, der seinen Plan von der Unumsetzbarkeit zur Umsetzbarkeit bringt).
Ich würde einfach den Hunnie fürs 550er Riptide hinlegen und die Sache testen. Der Verlust ist relativ überschaubar, wenns nix wird.


Die Sicherheitsfrage is halt... wer soll überhaupt ins System eindringen (von außen), bist du "von außen" überhaupt erreichbar?
Angst vor irgendwelchen komischen Dingen im AUR?
Achso, ein dubioses Win11 soll laufen, naja, gut...

Aber am Ende braucht der Angrifer ja einen Angriff, der auf so eine Situation zugeschnitten ist.
Gut, ich bin nicht so gut im IT-Security, aber ich kann mir schwer vorstellen, dass das eine Situation ist, mit der ein potentieller Angreifer rechnet bzw. arbeiten will.


Das ist ja in etwa so, wie wenn du ne Allergie hast auf die grünen Gummibärchen von einem speziellen bulgarischen Herstellers und sonst auf nix. Jemand, der dich damit vergiften wollen würde, würde erstmal dieses Wissen benötigen. Freilich würde ein Angreifer (der dich persönlich nicht sehr gut kennt) da eher mit den typischen Allergenen arbeiten, Erdnüsse, Histamin... weisst du, wie ich meine?