Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.

Bardzo poważna sprzętowa wada wszystkich procesorów Intela, ARM, AMD podatne na Meltdown i Spectre

OXYGEN THIEF 3 Styczeń 2018

View Users: View Users
  1. Zeno

    Zeno Bardzo aktywny Fąfel

    Dołączył:
    25 Grudzień 2012
    Posty:
    3,147
    Otrzymane Polubienia:
    860
    Miałeś przede wszystkim zaaplikować łatkę KB4056897. Poza tym w przeglądarkach opartych na Chromium przez "chrome://flags" wyszukaj "enable-site-per-process" i włącz funkcję. Osobiście wydaje mi się sensowne blokować javascript, flash i blokować rekalmy (potencjalne źródło podejrzanych skryptów) w przeglądarkach. Oczywiście aktualizacja programów do ochrony. Co do tego:
    "Czyli wychodzi na to, że jeśli Microsoft nie zaaplikuje łatki mikrokodu Intela umożliwiającej załatanie dziury (jak to zrobił Linux)" to błąd, gdyż to Intel oraz AMD we współpracy z producentami sprzętu (np. laptopa) lub płyt głównych mają przygotować nowy firmware zaaplikowany w update'cie BIOS-u (UEFI). Konkluzja jednak jest dobra, bo bez tego będziesz podatny na Spectre.
     
    Ponury Rumcajs lubi to.
  2. al

    al The janitor Obsługa Forum Administrator

    Dołączył:
    22 Lipiec 2012
    Posty:
    3,798
    Otrzymane Polubienia:
    1,009
    Lokalizacja:
    Somewhere over the rainbow.
    Ja w tym wszystkim jestem daleki od paniki jaka powstała w sieci. Meltdown wymaga łatek i takie powstaną. Spectre się nie załata i trzeba będzie wymienić procka u kto wie co jeszcze. Żeby wykorzystać te dziury trzeba mieć naprawdę sporą wiedzę. Tylko czy ktoś kto ją ma będzie atakował usera z PZD? Wątpię. Jeśli będzie chciał na tym zyskać to włamie się tam gdzie czeka na niego nagroda. Nagle tyle osób zaczęło się przejmować ale nie przeszkadza crack, którego użyli do zalegalizowania Windowsa albo uruchomienia Photoshopa czy Call of Duty. Macie w komputerach więcej dziur przez które tracicie albo kiedyś stracicie jakieś dane. Udostępniacie kolejne megabajty swoich danych przez fajne strony typu FB czy Twitter ale tu nagle zapaliła się lampka ostrzegawcza. Trochę późno i niepotrzebnie. Podobnie było przy tych petyach i całej reszcie. Też była panika i gorączkowe łatanie wszystkiego co się da. A ile znacie osób, które straciły w ten sposób dane? Jak ktoś wie jak korzystać w miarę bezpiecznie z komputera to nic nie złapał.
    Kupcie najpeirw legalnego Windowsa i swoja ulubioną grę a dopiero później martwcie się Spectre.
     
    memnon and spamtrash like this.
  3. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    Poczytaj też ten temat... czekaj zresztą, masz tu:

    Zaloguj się lub zarejestruj aby zobaczyć link


    sprawdzałkę obu podatności PowerShellem, wraz ze screenami ;)
     
    Ponury Rumcajs lubi to.
  4. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    Z jednej strony - O, to, to pszem Pana! Nic dodać nic ująć, bo tak naprawdę zamiast ładować exploita na usera, to lepiej załadować go od razu na serwis transakcyjny mbanku czy bankomat chociażby po USB. Albo dodać szajs do kraka, bo user sam mu pozwoli na co tam tylko trzeba, byle mieć "Ofisa".

    Z drugiej zaś strony mam wrażenie że nie należy nie doceniać tego narzędzia, naprawdę dużo może... nadal. Nie wiem czy zauważyłeś, ale w "międzyczasie" spectre dostało kolejne znalezione CVE...
    Te backdoory były po prostu piękne: proste w użyciu i uniwersalne, niezależne od platformy (do pewnego stopnia).

    Tu, jakkolwiek zgadzam się z opinią że sama zasada wykorzystania jest skomplikowana i parę rzeczy trzeba zrozumieć, nie znaczy to że Seba Chakier będzie musiał dumac od podstaw.

    I to jest właśnie z nimi problem. Bo jak się jeden Seba naumie jak wsadzać, to za chwilę do Metasploita za psie piniondze dokupisz moduł Spectre. I walić będą ransomami i innym badziewiem wykorzystującym tą furtkę, sadly.

    Oczywiście (ale to już nie Saba) nader latwo wymyslić scenariusz żeby wykorzystać Spectre do sterownika podstacji, trafo, przerywaczy, przesuwników fazowych i paru innych rzeczy, np. na terenie województwa. W sumie jak sie już Spectrem pokradnie hasełka, to można w cyklu: pozmieniać hasła, nakazać odstawienie (lub np. przez przepięcie) trwałe uszkodzenie sprzętu.
    Ciekawe ile by zabrało zanim by w Wawie znów było światło. ;)
    Zresztą tu nie ma co gdybać, rok temu ponad odbyła się próba, a właściwie dwie, w okolicach Kijowa. Wygląda na to że to był tylko test, bo atakujący namieszał troszkę i się wycofał, więc scenariusz już komuś do łba przyszedł.

    Natomiast NO Petya zrobił dużo dobrego, choć owszem, u mnie namieszał w danych, z klasycznym przykładem NHS-u - przekonał ludzi że trzeba łatać dzięki towarzyszącemu szumowi medialnemu.
     
    al lubi to.
  5. Grandalf

    Grandalf Bardzo aktywny Zasłużony

    Dołączył:
    26 Maj 2015
    Posty:
    2,484
    Otrzymane Polubienia:
    2,141
    Łatki Intela dla Spectre/Meltdown same zawierają poważny błąd :szydera

    Zaloguj się lub zarejestruj aby zobaczyć link



    Najlepsze są te dwa zdania:

    "Łatki wypuszczone zostały w ubiegłym tygodniu, a Intel obecnie rekomenduje swoim największym klientom i partnerom OEM opóźnienie ich instalacji."

    "Oczywiście zupełnie inną radę otrzymują konsumenci, którym Navin rekomenduje kontynuowanie instalacji aktualizacji, co pokazuje tylko, że Intel po raz kolejny próbował zatuszować swoją wpadkę."

     
    OXYGEN THIEF lubi to.
  6. .M.

    .m. Wygadany

    Dołączył:
    1 Grudzień 2011
    Posty:
    59
    Otrzymane Polubienia:
    13
    nie bardzo wiem do kogo kierujesz te slowa. naleze do tych ktorzy maja legalny system, zero piractwa na komputerze i nie zycza sobie aby przez czyjs idiotyczny blad na etapie projektowania sprzetu jaki kupilem mialbym tracic pieniadze. jesli kupuje jakis sprzet oczekuje, ze bedzie wolny od wad. a w przypadku wykrycia wad ukrytych bede mial pelne prawo domagac sie od producenta naprawienia szkody lub wymiany sprzetu na taki bez wady. cenie swoj pieniadz, czas i nerwy, oczkuje tego samego od producenta. przykladowo moja sytuacja na dzis wyglada tak- i3-4150, asrock b85m i cala reszta... zakupione ponad 2 lata temu, wiec zgodnie z prawem polskim, nie lapie sie na reklamacje z tytulu wady ukrytej. aktualizacji na dzien dzisiejszy brak. producent mowi, ze sie pojawi, ale owo kiedy uzaleznia od otrzymania latek od intela. i teraz wyobraz sobie sytuacje, ze w tym czasie ktos mimo zabezpieczen sprzetowych na routerze, pakietu is na kompuetrze okrada mnie ze wszystkiego, dorabia sobie tozsamosc i wrabia mnie w jakies machloje. kto za to ma ponosic odpowiedzialnosc? ja? bo nie moge w zaden sposob zabezpieczyc sprzetu? wkurza mnie takie podejscie - bedzie jak bedzie. wkurza mnie pisanie- kup legalny i nie pierdziel. wkurza mnie bo placac za sprzet, soft i cala impreze nikt nie ponosi za nic odpowiedzialnosci! ale jak ja wyloze sie z czyms to odpowiadam calym swoim majatkiem. wiec wybacz ale jestem zdania, ze gdyby intel odczul pelnie zwrotow sprzetu, w skali globu, z uwagi na niezalatanie syfu jaki narobili to majac kupe w majtkach siedzieliby dzien i noc aby tylko zalatac dziury. w ameryce jakies pierwsze pozwy sie pojawily. bardziej dla cyrku i wyciagniecia kasy. ale ty jako kowalski mozesz im fizycznie nagwizdac. no chyba ze jakis sprzedawca uzna ci wade ukryta sprzetu i zwroci kase albo wymieni... tylko na co, jak nic nie jest zalatane. szanujmy siebie i swoje pieniadze a moze wtedy ktos, czytaj jakis producent, zacznie tez i nas szanowac. bo na chwile obecna leca w kule po calosci. wiec czekam na latki, bo i co mam zrobic. pochlastac sie nie pochlastam. wolalbym jednak uslyszec od kogos z intela kiedy moj sprzet zostanie zalatany z podaniem daty do kiedy... a tak, jestem olany sikiem prostym. mam sie domyslac, ze moze kiedys, jesli w ogole. wkurza mnie to. pokazuje mi tez to, ze prosciej mi by bylo zostac bandyta i napieprzac ludzi po ryjach, zabierajac im kase niz pracujac uczciwie mam miec cale zycie pod gorke.
     
    Last edited: 12 Styczeń 2018
    Zeno lubi to.
  7. al

    al The janitor Obsługa Forum Administrator

    Dołączył:
    22 Lipiec 2012
    Posty:
    3,798
    Otrzymane Polubienia:
    1,009
    Lokalizacja:
    Somewhere over the rainbow.
    Nie kieruję tych słów do nikogo konkretnego. Tym bardziej do Ciebie jeśli masz legalny system. Nic tylko przyklasnąć. Jednak nie wszyscy tak podchodzą do sprawy jak Ty i mają różne wersje limitowane swoich systemów i oprogramowania.

    Ja osobiście zapukam do Intela o wymianę bo kupiłem procesor niecały rok temu więc mam jeszcze ponad rok na ten krok. Czekam więc co zrobią.
     
  8. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    ciach
     
    Last edited: 1 Maj 2018
  9. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    ciach
     
    Last edited: 1 Maj 2018
  10. .M.

    .m. Wygadany

    Dołączył:
    1 Grudzień 2011
    Posty:
    59
    Otrzymane Polubienia:
    13
    mnie jako uzytkownikowi koncowemu przedstawiono to jako blad sprzetowy wykryty i niezalatany. mnie to rybka czy intel otrzymal wytyczne od kogos jaka ma byc furtka w sprzecie... czy faktyczny blad. jesli zaliczyli wtope z furtka niech ponosza pelna odpowiedzialnosc i na przyszlosc albo trzymaja sekrety zakopane 2 m pod ziemia razem z projektantami albo niech nie daja sie wrobic, ze beda projektowac gowno z furtka. jesli wtopa to takze niech ponosza odpowiedzialnosc. co mnie klienta koncowego interesuje przyczyna? moim problemem jest skutek i to co mam z tym zrobic. na chwile obecna jedynie micromietki zrobil swoje, polowicznie latajac. na drugie pol moze sie doczekam latki albo i nie. intel nie mowi kiedy na dany sprzet wypusci late. gdyby zaczac do tego podchodzic na zasadzie analogii - samochod z wada fabryczna odkrecajcych sie kol i wadliwych hamulcow, zagraza uzytkownikowi i wszystkim na drodze. nastepnego dnia masz zglosic sie do serwisu z pojazdem na lawecie w celu naprawy na koszt producenta nawet jesli samochod jest starszy niz 2 lata. w stanach byla afera ze zwiekszonym spalaniem i zwroty samochodow? firma dostala po lapach? producent z rynku komputerowego ma byc jakims wyjatkiem? gdzie w tym logika.
     
    spamtrash lubi to.
  11. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    W warunkach gwarancji... czytajmy umowy
     
  12. Zeno

    Zeno Bardzo aktywny Fąfel

    Dołączył:
    25 Grudzień 2012
    Posty:
    3,147
    Otrzymane Polubienia:
    860
    Nikt nie będzie czaił się i wyszukiwał konkretnego użytkownika PZD tylko z tego względu, że nie ta skala. Z socjotechnicznego punktu widzenia przeciętnego usera PZD, P2D, Malwertips i pokrewnych forów łatwo skroić inaczej: ogłosić jako dystrybutor jakiegoś softu (np. Magix, Adobe itp.) lub nowa strona rozdawnicza konkurs na dajmy na to 50 licencji PhotoShopa, Vegas Pro lub 10 iPhonów itp. Po wejściu na stronę trzeba wyłączyć blokera reklam (w końcu stronę z czegoś trzeba utrzymywać, no nie). I tak w kodzie strony, którą pobieramy na dysk walimy kilka składnie napisanych skryptów, w spreparowanych reklamach wrzucamy inne skrypty. Dodatkowo, żeby wygrać musimy podać nasz adres e-mail, odwiedzić stronę naszych partnerów (gdzie czekają na nas inne skrypty bazujące na innych podatnościach), żeby dostać dodatkowe punkty może zagrać w gierkę we flashu na stronie partnera. Właściwie to przecież uczestnikowi konkursu możemy dać wygrać, czemu nie... Po 48 h godzinach prześlemy mu wiadomość e-mail z instrukcją instalacji w odpowiednio spreparowanym pliku .doc może dołożymy plik licencji .lic z jakąś biblioteką .db, które trzeba wkleić w katalog główny programu w Program Files. Nie trzeba od razu zainfekowanego pliku .exe, bo wystarczą skrypty wykorzystujące podatności Doplecośtam, com hijacking, mechanizmu MS authenthication itp.). A skrypty będą sobie siedzieć i "gadać" z procesorem, a streszczenie rozmów wysyłać na jakąś stronkę na Seszelch itp.
    Uwaga o kupowaniu legalnego Windowsa faktycznie nie na miejscu, bo nie po to userzy PZD siedzą na forum o promocjach i zniżkach na soft, żeby mieli wgrywać sobie nielegalnie soft i ryzykować 5 lat odsiadki (bo to przecież inna odpowiedzialność niż za ściągnięcie empetrójki). Od tego znajda sobie inne fora z np. przedrostkiem "dark".
    spamtrash lubię ten styl, ale w ferworze ułańska fantazja trochę Cię poniosła. Przy mojej sympatii dla Ciebie muszę oponować:
    Odkąd japoński Softbank kupił niecałe 2 lata temu ARM Technologies za (bagatela) 32 mld USD siedzi w tym biznesie po uszy. O ile Softbank (w domyśle ARM) trudno nazwać producentem procesorów to jednak ich konstruktorem jest pełną gębą. Właściwie jeśli chodzi o graczy na rynku konstrukcji procesorów jest trzech: Intel (konstrukcja i produkcja) oraz AMD i VIA (obydwa na ogół konstrukcja). Osobnym przypadkiem jest NVidia, która jest konstruktorem i producentem GPU, ale również cpu np. NVidia Tegra X1. Poza tym żaden (lub prawie żaden)współczesny cpu nie powstanie bez współpracy z NVidią. Bo na tym zabawa polega, że część procesów i komend od cpu przejmuje gpu. Takie rzeczy muszą być uzgadniane już na etapie konstrukcji. Warto zauważyć, że póki co - wydajność w grach w testach po zaaplikowaniu patchy nie spada lub spada nieznacznie. Dlaczego? Bo tu większość (znaczną część) zadań przejmuje gpu. Widać na razie nie stwierdzono podatności procesorów gpu NVidii w związku z tym ich wydajność nie spadła.
    Moim zdaniem to są błędy konstrukcyjne (może zachowane celowo), których Intel mógł mieć świadomość od 1995 r.

    Niemniej dopiero od udowodnienia przez Google w czerwcu ub. roku, że można go praktycznie wykorzystać do podsłuchiwania uzytkowników sprzętów Intel musiał już coś z tym zrobić. A błędy wyszły na jaw dopiero teraz bo twórcy linuxa (kod otwartoźródłowy) musieli zaaplikować poprawki i wielu linuxiarzy tworzących swoje dystrybucje musiało zobaczyć czego dotyczą i zadać pytanie dlaczego spowalniamy systemy.
    No nie. Gwarancja to taki miły dodatek, którym producenci nakręcają swoją sprzedaż. Coś co się przydaje, kiedy zepsuje się procesor lub wiatraczek. Bo gwarancja to dobrowolne jednostronne umowne zobowiązanie się producenta od czegoś tam. Może wpisać w gwarancję cokolwiek np. swoją odpowiedzialność za usunięcie skutków wadliwego działania sprzętu po ataku kormoranów. Dlatego patrzymy na odpowiedzialność ustawową producenta za produkt i obowiązującą go rękojmię oraz sprzedawcy z tytułu niezgodności z umową. Z prawniczego punktu widzenia skuteczne dochodzenie roszczeń z tyt. Meltdown i Spectre jest (będzie) w praktyce bardzo skomplikowane.
    Ps. Imo wkurzenie na Intela i innych producentów jest jak najbardziej zasadne, bo gdyby nie łaty do Linuksa, to branża nie puściłaby pary z ust o błędzie jeszcze przez rok. Zauważcie, ze z każdym dniem przedawnia się tysiące roszczeń do konstruktorów procków i producentów sprzętu, jak również sprzedawców.
     
    spamtrash lubi to.
  13. al

    al The janitor Obsługa Forum Administrator

    Dołączył:
    22 Lipiec 2012
    Posty:
    3,798
    Otrzymane Polubienia:
    1,009
    Lokalizacja:
    Somewhere over the rainbow.
    Przecież napisałem, że jak ktoś w miarę rozsądnie korzysta z komputera to na nic się nie złapie a podajesz mi przykład, na który złapie się człowiek mało obeznany i rozsądny.

    You made my day. Trzech ze znanych userów PZD prężnie działa na warezach bo nawet im się nie chce ustawić innego nika czy avatara i często kopiują od nas zarejestrowane programy i wstawiają tam. Jeden z nich w temacie o W10 tłumaczy jak aktywować soft dziadostwem, które jest w paczce a Ty mi piszesz, że nie po to tu siedzą żeby ryzykować :szydera Wczoraj się urodziłeś? Przecież oni z promocji umieszczanych tutaj trzepią kasę za pobieranie "wyremontowanego" softu z ich linków. Tutaj dostają towar, rozrabiają go na własnych pecetach i popychają dalej na warezach. To jest trzech, którzy są leniwi i się nie kryją. Myślisz, ze na tym koniec. :myśli2
     
    Last edited: 13 Styczeń 2018
    OXYGEN THIEF and spamtrash like this.
  14. spamtrash

    spamtrash Bardzo aktywny

    Dołączył:
    11 Styczeń 2014
    Posty:
    1,011
    Otrzymane Polubienia:
    1,045
    Lokalizacja:
    To tu to tam....
    ciach
     
    Last edited: 1 Maj 2018
    OXYGEN THIEF lubi to.
  15. .M.

    .m. Wygadany

    Dołączył:
    1 Grudzień 2011
    Posty:
    59
    Otrzymane Polubienia:
    13
    male info dla wszystkich. na forum asrocka dogrzebalem sie do ciekawych informacji, nie bedacych tez zadnym specjalnym nowum. ale... do rzeczy. intel wypuscil microkody do wszystkiego co zyje na linuxie

    Zaloguj się lub zarejestruj aby zobaczyć link

    do tego kazdy kto jest odrobine desperados i sadomaso moze sobie przy uzyciu narzedzi... machnac bios i wpakowac na plyte.

    Zaloguj się lub zarejestruj aby zobaczyć link

    gdzie ostatnia aktualizacje mikrokodu dla swojego procka widze na 20171120

    Zaloguj się lub zarejestruj aby zobaczyć link

    oraz

    Zaloguj się lub zarejestruj aby zobaczyć link


    Zaloguj się lub zarejestruj aby zobaczyć link


    chwilowo nie chce sie mi za to zabierac, ale jak do tygodnia czy dwoch producenci sie nie uwina a pojawi sie aktualizacja w bazie to bede czul sie zmuszony rozgrzebac wszystko i zalatac. moze sie okaze, ze spolecznosc sama sie z tym rozprawi i zacznie udostepniac juz zmodyfikowane biosy, co bardzo by mnie nie zdziwilo. przegladajcie fora producentow swoich plyt/lapkow.
     
    Last edited: 13 Styczeń 2018
    OXYGEN THIEF lubi to.
Ładuję...
Similar Threads - Bardzo poważna sprzętowa Forum Date
Bardzo przydatne narzędzia informacyjne Pogadanka o wszystkim i o niczym / Chat 18 Maj 2018
Przestępcy przekierowali mu telefon i okradli konto w banku. Bardzo ciekawy atak Newsroom security - ciekawostki dotyczące security 14 Styczeń 2018
Exploit na antywirusy - proszę bardzo Newsroom security - ciekawostki dotyczące security 11 Styczeń 2018
Płacenie twarzą? Proszę bardzo... Nowe technologie - kierunki i trendy... / Technolo 6 Wrzesień 2017
eM Client 7.1 – klient pocztowy i organizer dla bardzo wymagających Opisy programów - wykonane przez forumowiczów 5 Czerwiec 2017

Udostępnij Tą Stronę