abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:22 | Nová verze

Byla vydána verze 11.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Komunita

Do 30. října se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 4. prosince 2018 do 4. března 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 74
21.9. 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 8
21.9. 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
21.9. 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 11
21.9. 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
21.9. 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
20.9. 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
20.9. 21:32 | Zajímavý projekt

Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.

Fluttershy, yay! | Komentářů: 1
20.9. 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (15%)
 (21%)
 (23%)
 (24%)
 (4%)
 (1%)
Celkem 396 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel

Intel potvrdil (INTEL-SA-00161) další bezpečnostní problém ve svých procesorech. Problém byl pojmenován L1 Terminal Fault aneb L1TF. Popis problému přímo od Intelu na YouTube. Jedná se o CVE-2018-3615 (SGX), CVE-2018-3620 (OS/SMM) a CVE-2018-3646 (VMM). Další informace na stránce Foreshadow nebo přímo v dnešním commitu do Linuxu.

14.8. 22:11 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

15.8. 00:43 Ladislav Hagara | skóre: 85 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Další info: Red Hat, SUSE, Ubuntu, ...
16.8. 02:11 i2041826
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
15.8. 13:08 NN
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ma patch nejake vykonostni dopady?
16.8. 10:14 BathSK
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ahojte,

zial ma, minimalne zrejme chybna aplikacia Linux patchu - neviem, ale dnes rano to zhodilo produkciu, nakolko isla nepouzitelne pomaly. Ide o kernel v Ubuntu 14.04LTS, 3.13.0-155-generic z 10. augusta. Po nabootovani do starsieho kernelu vsetko OK, rovnake spravanie na 3 nodoch. Zaujimave, ze patch v Ubuntu 16.04 kernel 4.4.0-133-generic #159 takisto z 10.augusta je OK.

Pre info - keby mal niekto vykonnoste problemy po aplikovani patchu v Ubuntu.

16.8. 10:19 BathSK
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
tak uz je problem s kernelom 3.13 v Ubuntu 14.04 aj oficialny: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF vid: * Regression note we are currently tracking two possible regressions for the 3.13 kernel. This note will be updated as more information becomes available. (Bug 1787127 Bug 1787258)
15.8. 13:25 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Intel má dobrej rok...
Jendа avatar 15.8. 17:04 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ostatní výrobce procesorů to asi taky čeká (a některé z těch chyb už se umí aplikovat i na ně). Například AMD se chlubila, že v Ryzenech používají pro branch prediction perceptrony, což podle mě musí být úplně zlatý důl pro podobné útoky.
15.8. 17:21 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Například AMD se chlubila, že v Ryzenech používají pro branch prediction perceptrony, což podle mě musí být úplně zlatý důl pro podobné útoky.
Nejsem odporník, ale to mi zní jako ortogonální záležitost. Není celkom jedno, jak moc Chytře™ se prediktor rozhoduje? Důležité je, aby netrefující se rozhodnutí neměly side-effecty, to je celé, ne?

Nebo snad protéká mezi procesy/doménami/atd. i stav prediktoru?
Jendа avatar 15.8. 17:49 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Důležité je, aby netrefující se rozhodnutí neměly side-effecty, to je celé, ne?
Ale prediktor má z principu side effect - když se trefí, tak se instrukce vykonají rychleji.
15.8. 17:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
U těch chyb nešlo o to, jestli se prediktor trefí nebo ne, naopak, útok byl postaven tak, aby se zcela určitě netrefil a příslušné instrukce se provedly pouze spekulativně (protože naostro by neprošly).
15.8. 19:40 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ale prediktor má z principu side effect - když se trefí, tak se instrukce vykonají rychleji.
Ano, ale zrovna tenhle efekt je viditelný jen tím kódem, kterého se týká.
Jendа avatar 15.8. 19:48 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Nebo útočníkem, který s tím kódem interaguje a vidí, za jak dlouho dostal výsledek.
15.8. 19:56 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ok, nicméně to je timing attack, to je jiný problém. (A skoro bych se divil, kdyby bylo možné ho zneužít bez lokálního přístupu na daný stroj.)
15.8. 23:33 Cabrón
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
To je právě díky klesající latenci a jitteru moderních sítí jedno z nejaktivnějších odvětví bezpečnostního výzkumu. Např. nedávno zveřejněný NetSpectre je perfektním příkladem, jak provést timing attack na pranch predictor přes LAN.

https://misc0110.net/web/files/netspectre.pdf
16.8. 00:17 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
To je zajímavý paper, nicméně to není timing attack na branch predictor, nýbrž timing attack na cache (stejně jako u Spectre atd.) a na AVX2 unit (což je zřejmě další nově objevený side-channel, zajímavé). Je trochu znepokojující, že Spectre se dá využít i takhle přes síť. U toho AVX2 mi to až tak znepokojující nepřijde, protože IMHO v reálné situaci by bylo náročné najít na to v cílovém stroji použitelné gadgety (ale to je pouze můj amatérský odhad, kdoví, možná síťové aplikace zuřivě používají AVX2).
20.8. 17:36 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ano, AVX instrukce se pouzivaji napr. pri validaci a prevodu mezi ruznymi variantami UTF.
Jendа avatar 20.8. 18:01 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Já bych hlavně čekal, že přes ně budou akcelerované výpočty s velkými celými čísly (a tedy asymetrická kryptografie).
Jendа avatar 16.8. 02:26 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Timing útoky se běžně dělaly na kryptografické funkce, které potřebuješ, aby běžely v konstantní čase nezávisle na datech, protože jinak leakují informace o klíči/cizí komunikaci. Například chytrý predictor by mohl zjistit, že je zbytečné po selhané kontrole paddingu pokračovat když funkce stejně vrátí nějaké false, a nechtěně tak vytvořit padding oracle. Na Wikipedii je několik dalších ukázek.
16.8. 09:45 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Ale jo, já vím o co jde (kdysi jsme i ve škole psali cvičný timing attack proti snadno meřitelnému kódu, byl to triviální případ na seznámení s problémem). Šlo mi o to, že tohle není nijak specifické pro branch predictor, resp. konstantní čas vykonávání musíš zajistit celkem bez ohledu na to, jak je/není chytrej. IMHO stejně všichni považují branch preditkor za arbitrární magii a stadardní postup je prostě vůbec nebranchovat na základě tajných dat, používat místo toho aritmeticko-logické operace, cmov a podobně...

Supr by bylo, kdyby insturkční sady poskytovaly funkce pro vykonávání kódu v konstatním čase (a ideálně ještě taky za konstantní spotřeby energie, produkovaného záření, atd.). Znáš movfuscator? Ten kód poběží asi v celkem konstantním čase z hlediska vykonávání (ale asi už ne z hlediska paměti). Problém je, že nic z toho není AFAIK kodifikované ve specifikaci, myslimže ani časová konstantnost cmov ...
15.8. 17:56 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
Základní problém u většiny těch chyb byl v předpokladu, že se při spekulativním provádění můžeme vykašlat na některé kontroly, protože je přece stačí provést až když budeme vědět, že se ta větev bude opravdu provádět. Bohužel si neuvědomili, že už to spekulativní provedení může mít zneužitelný side effect. Interní informace samozřejmě nejsou, ale zatím se zdá, že u AMD tuhle "zkratku" nepoužili, ať už proto, že si uvědomili rizika, nebo proto, že nechtěli algoritmus komplikovat.
little.owl avatar 17.8. 12:23 little.owl | skóre: 22 | Brighton/Praha
Rozbalit Rozbalit vše Re: Bezpečnostní problém L1 Terminal Fault aneb L1TF v procesorech Intel
což podle mě musí být úplně zlatý důl pro podobné útoky.
To jsou spekulace. Branch prediction se vsech vykonnejsich procesoru uci a pouziti perceptronu je jen jiny pristup, ktery neni zatim prokazatelne zranitelnejsi, nez jine pristupy, spise naopak nebot je tezsi ho simulovat. Pokud jde o L1TF, AMD je touto chybou v Linuxu nedotcena.
$ man rtfm

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.