abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 06:11 | Zajímavý článek

    Man Yue Mo z GitHub Security Lab se podrobně rozepsal o již opravené zranitelnosti CVE-2023-6241 v Arm Mali GPU umožňující získání roota na telefonu Pixel 8 s povoleným MTE (Memory Tagging Extension).

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | IT novinky

    V San José probíhá vývojářská konference NVIDIA GTC 2024. CEO společnosti NVIDIA Jensen Huang měl dvouhodinovou keynote, ve které představil celou řadu novinek: NVIDIA Blackwell platform, NVIDIA NIM microservices, NVIDIA Omniverse Cloud APIs, Project GR00T, …

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

    Ladislav Hagara | Komentářů: 7
    včera 13:33 | Pozvánky

    Od 21. do 23. března proběhnou Arduino Days 2024. Sledovat bude možné oficiální streamy. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.

    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Pozvánky

    Letošní ročník konference LinuxDays se uskuteční o víkendu 12. a 13. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během letošního ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru, Facebooku nebo na Mastodonu, přidat se můžete také do telegramové diskusní skupiny.

    Petr Krčmář | Komentářů: 3
    včera 09:00 | Nová verze

    Byla vydána nová major verze 2.0.0 a krátce na to opravné verze 2.0.1 open source online editoru Etherpad (Wikipedie) umožňujícího společné úpravy v reálném čase.

    Ladislav Hagara | Komentářů: 0
    včera 08:00 | IT novinky

    Elonem Muskem založena společnost xAI otevřela pod licencí Apache 2.0 svůj AI LLM model Grok-1.

    Ladislav Hagara | Komentářů: 3
    včera 00:44 | Nová verze

    Matematický software GNU Octave byl vydán ve verzi 9.1.0. Podrobnosti v poznámkách k vydání. Nově je preferovaný grafický backend Qt a preferovaná verze Qt 6. V tomto vydání byly přepracovány funkce pro převod čísel z desítkové soustavy. Jako obvykle jsou zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.

    Fluttershy, yay! | Komentářů: 0
    17.3. 22:33 | Zajímavý článek

    Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu březnový souhrn novinek. Vypíchnout lze, že pracují na virtuálním asistentu PineVox a zatím bezejmenných sluchátkách na lícní kosti (bone conduction).

    Ladislav Hagara | Komentářů: 0
    17.3. 18:33 | Nová verze

    Hyprland, kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, je již dva roky starý. Při té příležitosti byla vydána verze 0.37.0 (a záhy opravná 0.37.1 řešící chybu ve vykreslování oken). Nově závisí na knihovně hyprcursor, která poskytuje škálovatelné kurzory myši.

    Fluttershy, yay! | Komentářů: 3
    Steam
     (25%)
     (28%)
     (13%)
     (10%)
     (24%)
    Celkem 305 hlasů
     Komentářů: 4, poslední 11.3. 21:45
    Rozcestník

    Další bezpečnostní chyby v procesorech od Intelu

    Intel dnes zveřejnil hned 18 upozornění na bezpečnostní chyby ve svých produktech. Řada z nich se týká procesorů. V upstream Linuxu se již objevují příslušné patche: TAA - TSX Asynchronous Abort (CVE-2019-11135), iTLB multihit (CVE-2018-12207), … K dispozici je také nová verze 20191112 mikrokódů.

    12.11.2019 22:44 | Ladislav Hagara | Nová verze


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Max avatar 13.11.2019 01:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Proč mně to nepřekvapuje :-/.
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 02:28 Cabrón
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Mám radost, že jsem nepodlehl tlaku a kecům okolí a šel do Ryzena.
    # curl -L https://meltdown.ovh -o spectre-meltdown-checker.sh
    # bash spectre-meltdown-checker.sh
    (...)
    CVE-2017-5753:OK
    CVE-2017-5715:OK
    CVE-2017-5754:OK
    CVE-2018-3640:OK
    CVE-2018-3639:OK
    CVE-2018-3615:OK
    CVE-2018-3620:OK
    CVE-2018-3646:OK
    CVE-2018-12126:OK
    CVE-2018-12130:OK
    CVE-2018-12127:OK
    CVE-2019-11091:OK
    CVE-2019-11135:OK
    
    Na Intel i některých ARM strojích tam mám několik CVEček "červených".
    13.11.2019 07:50 Vera Pohlova
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tyhle procesorove afery jen kazdeho otravuji a kazdym patchem snizuji vykon. Ja bych je zakazala.
    Max avatar 13.11.2019 07:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tak ono to už začíná docházet k dokonalosti. Už se bypasslo několik cache fcí a je doporučováno vypínat HT a zachvíli bude doporučeno nepoužívat ani zbytek cpu :).
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 13:11 PetebLazar
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    A není to škoda zrovna v době, kdy nám velikost L3_cache/core dosáhla až na 16MB (EPYC 7262)?

    Nestačilo by třeba jen přejít zpátky na in-order architekturu. ;-)

    Max avatar 13.11.2019 13:51 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Bavíme se snad jen o Intelu, takže nechápu...
    Zdar Max
    Měl jsem sen ... :(
    David Heidelberg avatar 13.11.2019 12:06 David Heidelberg | skóre: 46 | blog: blog_
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    A jak si všichni stěžovali na ty AMDčka, že jsou pomalá.. A nakonec ve výsledku, možná dopadnou v porovnání lépe a ještě bezpečnější.

    Jsem zvědavý, jak se vyvine POWER9. Třeba se ukáže jako lepší cesta.
    13.11.2019 13:16 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Už někdy v roce 1995 koloval vtip, kdy se Pentia zeptali, kolik je dva plus dva: "Pět! Sice špatně, ale rychle."
    Quando omni flunkus moritati
    13.11.2019 13:25 mngnt
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ten vtip sa týka skôr tohto bugu pentia. Je pozoruhodné, ako reakcie Intelu ostali za celý ten čas rovnaké - aj vtedy o chybe dlho veeli a snažili sa tváriť akože nič, podobne ako pred časom pri prvých chybách v kategórii spectre/meltdown.
    Max avatar 13.11.2019 13:54 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tak ono se postupně ukazuje, že ty Intel optimalizace, co naháněly IPC, jsou tak děravý, že je postupně zase stahuje. Jinak už teď je IPC AMDéčka lepší. Aktuální stav je, že AMD : srovnatelný/lepší IPC, levnější, nižší spotřeba, nemají aktuálně žádný známý bezpečnostní problém.
    Intel to s tou dírou v HT pokajdil, protože vypnuté HT = v některých operacích -40% výkonu.
    A upozorňuji, že se tomu nesměji, jsem docela dost nasranej, sami totiž máme Intel only servery.
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 14:28 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tak to by určitě mělo jít vyreklamovat, ne...?
    Quando omni flunkus moritati
    Max avatar 13.11.2019 14:51 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Opíráš se o nějaký zákon? Nebo je to čistě hypotetická myšlenka?
    Protože tak jako všichni jedou stylem : "za nic neručíme". Žaloby na Intel jdou ohledně těchto problémů z jiných důvodů (to, jak se zachoval CEO a pak Intel jako takový k akcionářům).
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 01:55 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Sarkasmus. Už jsem to tu psal, co v IT projde do "za to neručíme", to je prostě neuvěřitelné...
    Quando omni flunkus moritati
    13.11.2019 15:49 Peter Fodrek | skóre: 11
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    >AMD : nemají aktuálně žádný známý bezpečnostní problém.

    Som fanúšik AMD ale toto nie e pravda, akurát ich majú oveľa menej. https://arxiv.org/pdf/1811.05441.pdf

    ono Spectre v1 má aj

    IBM S/390

    Release date :September 5, 1990 https://en.wikipedia.org/wiki/IBM_System/390

    aj AMD.

    Možno len MIPS je OK
    Max avatar 13.11.2019 16:03 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ale to už je zaplátovaný by microkod a by novější Ryzeny, ne?
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 23:19 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ne, Spectre se zaplatovat neda, leda, ze bys vypnul spekulativni exekuci uplne. Kdyz ma mit nejaky benefit, bude z definice vzdycky meritelny casovy rozdil v te exekuci. Jedine, co se s tim da realne delat, je nenechavat Spectre gadgety v kodu.

    NetSpectre se potom rika utokum, kdy je Spectre gadget dostupny po siti (obzvlast 25GE, ktery ma nejnizsi latence, ten je na to uplne super).

    Jinak Intel i IBM nakupovaly at the time inovace od stejnych firem, jen Intel je aplikoval tak agresivne, jak mohl. Az zacinam mit pocit, ze to cele byla uplne naschval power-play, ze dokud si toho nikdo nevsimne, muzou pracovat na zatlaceni AMD do zeme ultra-raketovym stylem. Ale trochu zapomneli zapocitat, ze jim samotnym se rozpadne next-gen vyrobni technologie pod rukama (EUV).
    --- vpsFree.cz --- Virtuální servery svobodně
    13.11.2019 16:51 j
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Vazne by me zajimalo, v cem je AMDcko mentalne lepsi, protoze neustale plati, ze Intel podava daleko vyrovnanejsi vykon (daleko mensi zavislost na konkretni aplikaci), a stale taky plati, ze Intel dava vic per MHz/core. A jelikoz nikoli nepatrna cast aplikaci nebezi (a nikdy nepobezi) na vice jadrech, tak je porad vykon jednoho jadra celkem podstatny parametr.

    A samo, znamych bezpecnostni chyb ma i AMD celou radu. Prakticky vsechny chyby ktery Intel zverejni a popise se nasledne povede zprovoznit i na AMD.
    13.11.2019 18:57 PetebLazar
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Zákazníci v ČR to patrně vidí jinak, pokud se 64-core model CPU (právě ten nejpomalejší z 64-core) stane nejžádanějším ze všech modelů řady Epyc Rome. ;-) https://www.abacus.cz/procesory-epyc-rome-7002-_c11778626.html
    13.11.2019 23:12 Ovocucníček
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    "Prakticky vsechny chyby ktery Intel zverejni a popise se nasledne povede zprovoznit i na AMD."

    To je hrubá nepravda, na AMD jde tak zrhuba osmina, ne-li míň chyb, co jsou objevené pro Intel. Je tam opravdu diametrální rozdíl (poněkud to sleduju).
    13.11.2019 23:24 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Intel dava vic per MHz/core
    Jen a pouze diky jejich 14++++++++++. Na 10nm jsou v riti jak Bata s drevakama, topi jim to a neuchladi ani ty frekvence, co dosahuji ted na 14nm.

    Takovyhle fanboism neni nejlepsi metodou, jak si dobre vybrat, ale samozrejme si klidne utracej, za co chces ;-)
    --- vpsFree.cz --- Virtuální servery svobodně
    14.11.2019 08:33 j
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Blabolit si muzes co chces, ale serveru s Intelem je 99,9%. Navic nejde zdaleka jen o CPU, server s AMD sem videl, jeden, a dotycny zakaznik si uz vzivote AMD nekoupi. Nefungovalo na tom prakticky vubec nic. Tim nerikam ze zrovna tohle byl problem AMD, ale takovyhle sou zkusenosti nejednoho zakaznika.

    Mimochodem, jeste porad provozuju xpm. Svoji praci vpohode odvede. Ale od ty doby co prislo core, vlaje AMDcko daleko na obzoru a horko tezko se drzi pri zivote, dokonce ho Intel musi dotovat. Toliko k blabolum o fanboism.
    Max avatar 14.11.2019 09:21 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Pokud jde o toho zákazníka, bavíme se o Epycu, nebo starých Opteronech? Tzn., je to zkušenost čerstvá, nebo lovíš v paměti? Protože Opterony opravdu nestály za nic.

    Ten druhý odstavec, to je fakt úlet, k tomu se nemá ani cenu vyjadřovat.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 12:22 qwe
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    lol to je ale kravina tenhle komentar
    Max avatar 14.11.2019 09:17 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nevím, co má být "mentálně" lepší. To by asi chtělo rozvést.
    Pokud jde o tvrzení ohledně chyb, chtělo by to dodat nějaký zdroj, protože pramálo z toho šlo aplikovat na AMD (ty první zranitelnosti), další velké průšvihy se týkaly jen intelu.

    Pokud jde o IPC, je na tom AMD srovnatelně, dnes už možná i lépe (většinou člověk najde na netu testy s nezaplátovaným Intelem :-/). Pokud jde o MHz/core, tak třeba my provozujeme až neskutečně moc aplikací a nevím o žádné, u které by dělal strop výkon CPU na core.

    To, co dnes letí, je masivní paralelismus. Na jedné straně v rámci virtualizace, na druhé straně i v rámci samotných aplikací.
    Maximální výkon na core pak není zrovna to, po čem člověk touží (pokud nedělá nějaké specializované výpočty). A díky těm chybám a zranitelnostem v HT se stává Intel nepoužitelným. A nejen těm chybám v HT, viz hned problémy na začátku : Fun with Spectre (s výsledkem). Problém je, že to byl jen začátek, pak to šlo teprve z kopce.

    Pokud tu tedy argumentuješ burnem, tak když se budeš držet bezpečnosti, tak si u Intelu díky vypnutí HT odečti 40% výkonu, což je cca ta hodnota, o kterou v celkové maximální zátěži přijdeš.
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 13:57 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Protože v datových centrech, univerzitních i firemních, drtivě převažuje Intel, zaměřuje se výzkum chyb v procesorech (který vyžaduje spoustu výpočetního času, aby se chybu podařilo prozkoumat a spolehlivě reprodukovat) pochopitelně spíš na (snáze dostupný) Intel než na AMD. Proto je možné, že AMD má "v záloze" pár dalších, dosud neobjevených bezpečnostních chyb. Snad se poučili z chyb odhalených u Intelu (resp. u Intelu a AMD zároveň).

    Jak se vyvine Power9? Samozřejmě je na Power9 jak Meltdown, tak Spectre. Příslušné opravy jsou ve firmwaru i v kernelu. Mají pochopitelně dopad na výkon.

    Sny o "lepší cestě" mi někdy připadají úsměvné. Už jsem o tomhle diskutoval s cca 10 lidmi, kteří snili o bájné bezpečnosti Power9 natolik intenzivně, že se neobtěžovali zadat do vyhledávače jeden jednoduchý dotaz, zda má Power9 Meltdown a Spectre. :-D

    13.11.2019 22:48 MadCatX
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Moc bych se nedivil, kdyby v Intelu nefungovala malá divize lidí, jejichž úkolem by bylo intelí díry reprodukovat na čipech od AMD. Vzhledem k tomu, že EPYCy jsou pro serverová nasazení hodně zajímavé a zároveň jsou tam intelí díry nejvíce cítit by to dávalo smysl :)
    Conscript89 avatar 13.11.2019 23:06 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    A stejne tak naopak :)
    I can only show you the door. You're the one that has to walk through it.
    13.11.2019 23:34 MadCatX
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nepochybně, ale Team Red zatím jednoznačně vede. Jako bonus ten nově vydaný mikrokód řeší tohle JCC Erratum, které dokáže zabrzdit výkon více než Spectre záplaty. Zdá se, že černý pátek nastal u Intelu o týden dříve...
    13.11.2019 16:44 j
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Az na ten detail, ze AMDcka maji presne stejny chyby, jen je jejich zneuzitelnost redukovana jednak pomalosti toho CPU a druhak nulovou penetraci trhu.

    Jinak receno, pokud je zneuzitelny trebas pouzivanich cache, tak logicky CPU kterej tu cache bud vubec nema, nebo ji ma 1/10, je "bezpecnejsi", protoze sance, ze v ty cache neco zajimavyho bude je proste mensi.

    A presne takhle fungujou zatim uplne vsechny chyby o kterych se pise. Napr Inteli CPU provadej spekulace mnohem dal, takze je tu opet mnohem vetsi sance, ze bude k dispozici neco, co by vlastne byt nemelo. A presne na tom je ovsem zalozeny i vyrazne vetsi vykon.

    Navic ve skutecnosti vsechny tyhle chyby vadej tak maximalne provozovatelum cmoudu.
    13.11.2019 20:17 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    To je tak zavádějící "vysvětlení", že to až hraničí se lží. Realita je taková, že většina těch chyb je způsobena tím, že Intel při spekulativním provádění instrukcí ignoroval většinu kontrol s tím, že je stačí provést až při provádění "naostro", čímž procesoru ušetří práci v případě, že se větev nakonec zahodí. To byla zásadní chyba, protože už sama skutečnost, že se instrukce provedla, i když jen spekulativně, má různé vedlejší efekty, které jsou odhalitelné útočníkem (např. u Meltdownu to bylo načtení příslušné cacheline). U AMD nebyli tak neopatrní a do téhle pasti nespadli. Zpětně už se asi nedozvíme, jestli to bylo proto, že si to nebezpečí uvědomili, nebo proto, že prostě jen byli opatrnější.

    Navic ve skutecnosti vsechny tyhle chyby vadej tak maximalne provozovatelum cmoudu.

    Jistě, a to, že k některým existují veřejně dostupné exploity implementované v javascriptu, které se dají pustit přímo v prohlížeči, je jen iluze.

    13.11.2019 23:17 Ovocucníček
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    No soudě podle příspěvku výš i tohohle a třeba toho "nenápadného" chlístu o pomalosti (momentálně jsou Epycy vákonnější než top Xeony) soudím, že ten jeho post moc úpřímnej nebyl. Asi holt fanda značky/troll/dobrovolnej shill...
    14.11.2019 08:44 j
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tohle ke kandidat na blabol roku: "U AMD nebyli tak neopatrní ..."

    AMD se naopak cele roky snazili implementovat obdobne technologie a techniky, jen v tom opet cele roky zaostavaji (vymyslet znova kolo aby nevypadalo jako kolo holt nejakou dobu trva). Dukazem je prave to, ze drtiva vetsina tech zranitelnosti tam funguje taky. Jen treba pomaleji nebo s omezenimi, danymi prave tim, co tam neni. Je to stejny blabol, jako kdyz nekdo intelu vycita minix ... a AMD ma v CPU prakticky totez.

    Exploit v js neni problem CPU ale browseru. Ale neboj se, bude to jeste mnohem a mnohem horsi. Viz WebAssembly.

    14.11.2019 09:05 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    AMD se naopak cele roky snazili implementovat obdobne technologie a techniky, jen v tom opet cele roky zaostavaji

    Raději si o tom konečně něco přečtěte nebo si třeba pusťte nějakou přednášku, na webu je jich plno. Zjistíte, že rozdíl u většiny těch problémů opravdu není v tom, že u AMD neimplementovali nějakou techniku, ale v tom, že je neimplementovali tak bezhlavě a potřebné kontroly provádějí i při spekulativním běhu. To sice stojí trochu výkonu, ale jak se ukázalo, vyhnou se tím leakování informací přes postranní kanály.

    Dukazem je prave to, ze drtiva vetsina tech zranitelnosti tam funguje taky.

    Tak se podívejte třeba na ty výpisy, které jsem sem dával včera. AMD procesorů se týká jen ta část Spectre vulnerabilities, která je v podstatě nevyhnutelným důsledkem spekulace jako takové (takže se týká i non-x86 architektur), a u novějších modelů SSB. Žádný Meltdown, žádné L1TF, žádné MDS, žádné TAA, žádný iTLB multihit. To má být ta vaše drtivá většina?

    14.11.2019 09:46 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Fakt nechápu, proč se tolik lidí ještě pořád pokouší s tímhle "j" trotlem debatovat, přestože tady za posledních několik let z 95% mele akorát prokazatelné nesmysly...
    Quando omni flunkus moritati
    14.11.2019 12:51 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Jistě, a to, že k některým existují veřejně dostupné exploity implementované v javascriptu, které se dají pustit přímo v prohlížeči, je jen iluze.

    Můžu poprosit o ty zdroje? Protože zjistit, co SKUTEČNĚ lze dneska skrze JavaScript z paměti dostat je, bez pročítání desítek vědeckých článků (a tam stejně většinou ty proof-of-concept kódy nejsou) zhola nemožné... A DTTO se skutečnými dopady těch záplat v jádře. Pokuď je například průměrná ztráta výkonu 25% a reálně se lze dostat pouze k datům daného webu (díky site-isolation v browserech) nedává moc smysl mít ty záplaty na desktopu zapnuté, obzvlášť na běžném 6 let starém desktopu, kde je každé procento výkonu už znát.

    Každý má právo na můj názor!
    Max avatar 14.11.2019 13:23 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    U některých chyb je putna, zda je js v prohlížeči izolován. Nevím, zda existuje veřejně dostupný exploit na něco konkrétního, jen existují videoukázky a konstatování, že je to možné implementovat i do js.
    Spectre a Meldown byl ze začátku také zranitelný z js (příklady jsou). Poté výrobci prohlížečů implementovali do zpracovávání js snížení přesnosti časování, aby tyto chyby nebyly proveditelné.

    Nové chyby, nové techniky a kolečko se opakuje.
    Kdo neplátuje, vystavuje se zlovůli potencionálních útočníků. Já si při prvním Ryzenu koupil Intel i7 jednoduše proto, protože jich byly bazary plný a poměr cena/výkon byl lepší, jak při koupi nového Ryzenu. Výrobce desky vydal nový bios s novým mikrokodem + záplaty v jádře, které jsem samozřejmě nevypínal a nyní jdu i cestou vypínání HT.

    Pokud jde o servery, tak samozřejmě virtualizujeme ve velkým a při poslední vlně chyb jsem zaplátoval také vše a naladil nové schedulery od vmware atd., kde vmware dle jejich vlastní testů zaznamenává oproti předchozí verzi scheduleru asi jen 25%(i méně) výkonnostní propad (scheduler-options-vsphere67u2-perf.pdf).
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 14.11.2019 13:28 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ještě dodám, že na stránkách týkajících se posledních zranitelností, je i příklad zneužitelnosti přes js. Viz : mdsattacks.com.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 13:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    To, že v (některých) prohlížečích jsou implementovány workaroundy, které omezí praktickou proveditelnost útoku přes javascript, neznamená, že problém neexistuje. Pokud si opravdu stojíte za tím, že u desktopu není žádný problém, když může normální uživatel celkem pohodlně číst jakoukoli paměť jádra (nebo kohokoli jiného), co je pak vlastně špatného na tom, když se uživatel na začátku přihlásí jako root (nebo Administrator) a pracuje pod ním?

    Musím říct, že jakkoli je to strašné, musím obdivovat efektivitu PR mašinerie Intelu. Jeden z největších bezpečnostních průšvihů se jim podařilo odignorovat tak, že většina poloodborné veřejnosti si z něho odnesla, že je to vlastně drobný technický problém, který netřeba brát vážně a hlavně se má primárně řešit úplně někde jinde, než kde je příčina. Autoři téhle scény jsou proti nim žabaři.

    xxx avatar 14.11.2019 13:40 xxx | skóre: 42 | blog: Na Kafíčko
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Za prvy, neni to zadna skvela prace marketingoveho oddeleni Intelu, ale dusledek toho, ze kazdy kdo ma do prdele diru, ma dneska nejake dramaticky pojmenovane CVE.

    Za druhy, ta otazka je zcela na miste, protoze velka cast tech zranitelnosti (obecne) ma hromadu omezujich podminek pro jejich zneuziti.
    Please rise for the Futurama theme song.
    14.11.2019 14:03 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Netvrdím, že to není žádný problém, ale ta praktická proveditelnost útoku je zásadní. Teoreticky lze veškerá vaše data z počítače získat pomocí klíče za pár dolarů, ale prakticky se to tak většinou nedělá...

    A co se týče toho roota/admina, tak z hlediska bezpečnosti dat - a o ty jde - je (na jednouživatelském stroji) uživatelský přístup samozřejmě zcela ekvivalentní s tím rootovským. To rozdělení na user/root procesy je čistě z technických/praktických důvodů ale z hlediska bezpečnosti dat je zásadní jestli ty procesy jsou důvěryhodné, nebo ne (jestli mi bankovní účet někdo vybere pomocí uživatelského nebo rootovského procesu je úplně irelevantní).

    Každý má právo na můj názor!
    Max avatar 14.11.2019 14:15 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    ...uživatelský přístup samozřejmě zcela ekvivalentní s tím rootovským..

    To opravdu není.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 14:46 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jaká zajímavá data jsou na tvém desktopu dostupná pouze rootovi a proč si myslíš, že někdo prahne po nastavení tiskárny víc než po heslu k tvému bankovnímu účtu?!
    Každý má právo na můj názor!
    14.11.2019 15:05 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Tak nějak https://xkcd.com/1200/:)
    Max avatar 14.11.2019 15:08 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Minimálně na win má keyloger horší možnosti pod userem, než pod rootem.
    Dále na PC bývá většinou více účtů (rodiče + děti apod.), takže jako "root" sejmeš všechny, jako "user" jen sebe.

    To o té tiskárně jsem nepochopil.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 14.11.2019 15:13 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jinak to, že pod rootem ti bordel může odstavit veškeré zabezpečení, které by mohlo za normálních okolností na problém upozornit (např. hromadné a postupné cryptování souborů), je jedna z dalších věcí, jaký je rozdíl mezi "rootem" a "userem". Když tedy chceš ten příklad, co se týká dat.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 15:55 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Bavíme se tady o standardním jednouživatelském linuxovém desktopu, což je explicitně zmíněno v tom příspěvku, protože celá ta diskuze je o praktické proveditelnosti útoků V DANÉM PROSTŘEDÍ. Takže vytahovat tady Windows a "rodiče a děti" je stejně mimo, jako kdyby někdo k původnímu "JavaScriptovému" příspěvku začal psát, že "v cloudu je to ale obrovský problém" (ano je, ale o tom ta diskuze není...).

    Každý má právo na můj názor!
    Max avatar 14.11.2019 16:44 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já tedy nevím, ale já mám na Linuxovém PC také víc účtů a běžně jsem dřív sdílel PC se spolubydlícíma.
    Dále bych chtěl podotknout, že nejde jen o uživatelské účty. Na mém PC (a předpokládám, že i na jiných) běží i pár služeb (testovací instance apache, nginx, nodejs apod.), takže pokud někdy bude nějaká služba děravá (ať už vlivem mé hlouposti, nebo chyby v programu), tak opět, dotkne se to dat jen v rámci té dané služby a mých osobních dat se to nedotkne (za předpokladu, že nebudu mít děravý i kernel pro lokální exploit na roota). Argument, že mám v PC jeden user účet, je tedy tak jako tak mimo.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 17:04 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    To je furt dokola. Když z výrazu "jednouživatelský desktop" vynechám "jednouživatelský" a "desktop", dostanu multiuživatelský server a tam to problém je, to už ale víme...

    I co se týče služeb, tak z hlediska Meltdown/Spectre útoků (o kterých celá tato diskuze je), je podstatné pouze to, zdali se spouští nějaký neautorizovaný kód. A to se v případě, že neprovozuješ hosting/cloud nespouští.

    Každý má právo na můj názor!
    Max avatar 14.11.2019 17:32 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Takže ty máš v /etc/passwd dva záznamy, jeden root a jeden user a nic dalšího. Ok, tak to budeš jeden z mála a v takovém případě se tady bavíme jen o tobě. Super argumentace.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 17:41 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Uživatelských účtů (pro služby) mám samozřejmě na svém desktopu mraky, ale data, "co by stála za hřích" mám jenom v tom svém. Stejně jako většina lidí. Možná by si se měl podívat na to notoricky známé XKCD, co tady už padlo. A pak taky samozřejmě občas zajít někam mezi lidi, co nejsou správci serverů...
    Každý má právo na můj názor!
    Max avatar 14.11.2019 18:16 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já jen reagoval na tvé tvrzení, že pracovat pod uživatelem je z hlediska bezpečnosti dat stejné jako pracovat pod rootem. Příklad z Windows, kde se víc řeší bezpečnost práce uživatele, ti nevoněla. Příklad vývojáře na Linuxu ti také nevoní, protože spouštět si testovací věci pod různými uživateli už bereš jako multiuživatelský desktop (nebo do toho ty služby z mně neznámého důvodu nepočítáš).
    Ok, můžeme to zakončit tak, že se neshodneme a klidně si pracuj pod rootem a všechno si pod rootem spouštěj.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 18:41 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    "Nevoněl" mi především ten tvůj přístup useknout ten výrok před tou klíčovou informací o jednouživatelském systému. To, že čím víc se posunuješ k multiuživatelskému využití, tím víc najdeš případů, kde nějaký rozdíl je, tu nikdo nerozporuje.

    Každý má právo na můj názor!
    14.11.2019 18:59 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Zajímavé je, že tady horlivě debatujete ve vlákně o jedno- a mnohouživatelskosti systému, ale vlákno týkající se zneužitelnosti těch procesorových chyb javascriptem jste nějak odignoroval...
    Quando omni flunkus moritati
    14.11.2019 19:35 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Žádný vlákno, který by přinášelo nějaký relevantní informace tady nevidím... (A ne, ten fragment kódu z roku 2018 opravdu relevantní informace není).

    Jenom aby bylo jasno, já netvrdím, že v prohlížečích aktuálně žádný reálný problém není. Jenom se snažím dobrat k tomu, jaký je skutečný stav věcí, tzn. čeho dnes v běžných podmínkách opravdu lze pomocí JS a Spectre/Meltdown zranitelností dosáhnout. V obchodu se strachem jsem totiž dělal dost dlouho na to, aby mně nějaký třísekundový video na Youtube přesvědčilo o závažnosti situace...

    Každý má právo na můj názor!
    14.11.2019 19:49 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Aha, přístup "odmítám vaši realitu a nahrazuji ji svou vlastní"... dobrá, za mě už nic.
    Quando omni flunkus moritati
    Max avatar 14.11.2019 21:37 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já napíšu, že Spectre a Meltdown je v aktuálních verzích prohlížečů pořešený pomocí workaroundu a ty o těch obstarožních zranitelnost pořád mluvíš dokola. Já uvedl jednak link, jak se daly využívat zranitelnosti tehdy se Spetre a Meltdown a pak jsem dodal i link na využití aktuální zranitelnosti RIDL. Takže ne, fakt se tu nebavíme konkrétně o Spectre a Meltdown. Bavíme se tady o celé řadě zranitelností, jejich řešení a aktuálnímu stavu.
    Přístup typu : "Jo, je to chyba, ale nevím, jak se dá zneužít, tak to nemá cenu řešit." je opravdu geniální. Jedna věc je tvůj osobní přístup, ok, ale druhá věc je to obhajovat veřejně v diskusích a ještě se za to prát. Je to úplně stejný přístup jako těch lidí, co v diskusích vykřikují, jak je super zakazovat updaty ve windows, protože nikdy oni osobně neměli problém s viry a aktualizace stejně jen zpomalují PC.
    Zdar Max
    Měl jsem sen ... :(
    14.11.2019 23:45 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Však já se taky nebavím pouze o originálních Spectre a Meltdown zranitelnostech ale nazývám tak celou tu rodinu zranitelností založených na problémech se spekulativním vykonáváním kódu. Ještě jsem neviděl, že by někdo vypisoval vždy všechny ty zranitelnosti jednotlivě, protože z popisu: "Spectre/Meltdown/ZombieLand/RIDL/Fallout..." by se každej brzo zbláznil...

    Problém tvrzení o tom workaroundu s časovačema je, že to vůbec nevystihuje současný stav věcí. Viz například pěkné shrnutí na blogu V8 nebo podrobněji viz git Chromia. Problém toho linku o RIDLu pak zase je, že v jejich repozitáři s PoC není aktuálně žádný JS kód... Jediný co jsem s JS našel je to video na hlavní stránce. A to je prostě málo.

    A konečně k tomu přístupu. Nikdo netvrdí: "Jo, je to chyba, ale nevím, jak se dá zneužít, tak to nemá cenu řešit.", jak se mi snažíš podsunout. Ten původní dotaz zněl a stále zní: "Jaké jsou reálné možnosti zneužití (stojí to za snížení výkonu)?". Protože jestliže "in the wild" aktuálně nejsou (a nikdy nebyly) pozorovány žádné reálné JS útoky na tyto zranitelnosti, je někde zcela jistě nějaký "problém".

    Každý má právo na můj názor!
    Max avatar 14.11.2019 23:49 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ok, tak tu hlášku poupravíme na : "Je to chyba, ale neznám žádné útoky na tuto chybu, tak to nemá cenu řešit."
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 00:04 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Stále ta samá demagogie. To je opravdu tak těžké pochopit, že existují lidé, kterým na rozdíl od tebe pro posouzení závažnosti CVE nestačí, že to CVE má cool název a vlastní webovou stránku?
    Každý má právo na můj názor!
    Max avatar 15.11.2019 08:08 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jediný demagog jsi tady ty. Popis té chyby a příklad zranitelnosti je myslím jasný. To, že ty, aby jsi tu chybu akceptoval, vyžaduješ example kód, který útočí na něco konkrétního, je čistě jen tvůj problém.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 10:13 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Stále nechápu, odkud bereš ten nesmysl, že tu chybu neakceptuju. Já rozhodně nezpochybňuju, že pokud máš přístup k "železu", tak je ta chyba (a tím myslím libovolné z těch desítek CVE) zneužitelná. Mě ale zajímá i to, zdali je (s aktuálními prohlížeči) zneužitelná i pomocí JavaScriptu. Tzn. zdali se týká i běžného desktopu a je nutné kvůli ní obětovat nezanedbatelnou část výkonu.

    Každý má právo na můj názor!
    Max avatar 15.11.2019 11:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já nepíšu, že neakceptuješ, že jde o chybu. Umíš číst? Já píšu, že jen neakceptuješ možnost její zneužitelnosti, protože nemáš nějaký example kód, který ti někdo naservíruje až pod nos a nedokáže ti to.
    Dále i ta poznámka s prohlížeči je mimo. Opět, to že víme, nebo nevíme, že aktuální prohlížeč má problém, neříká nic o tom, že ten problém nebude. Dále už jsem milionkrát psal, že i v normálním desktop PC běží i jiné věci (třeba sítové, např. avahi), které v kombinaci s jejich zranitelností a touto získá přístup ke tvým datům. Ty asi budeš argumentovat dalším úžasným proslovem jako tím, že tobě v PC avahi neběží, což nám ale zase nic neřekne.

    Víme o chybě, víme, že je ještě jednodušeji zneužitelná, než předchozí Spectre a Meltdown a víme, že jakékoli chyby by se měly plátat, protože nikdo nevidí do budoucnosti, co bude za měsíc, za rok.

    Jako sorry, prevence je základ a pokud ty chceš mít nezaplátovaný PC, tak si ho měj, ale nechlub se s tím v diskusích a nesnaž se to navíc obhajovat.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 13:48 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já píšu, že jen neakceptuješ možnost její zneužitelnosti, protože nemáš nějaký example kód, který ti někdo naservíruje až pod nos a nedokáže ti to.

    Neakceptuju reálnou možnost zneužitelnosti, pokud neexistují důkazy, že taková možnost existuje (nelze prostě paušálně tvrdit, že něco určitě půjde zneužít, s takovým přístupem by se nedal počítač používat vůbec). A z toho co jsem o RIDL dohledal to nevypadá, že by existovala. Jejich POC útok přes JavaScript totiž vypadá tak, že si "pro jednoduchost" upraví JS jádro aby vracelo přesný čas a odkáží se na dříve publikované metody, jak lze takový dostatečně přesný čas v JS získat. Jenomže tyto metody (např. SharedArrayBuffers) už jsou taky v aktuálních JS enginech nefunkční. Navíc s v prvním příspěvku zmíňenou site-isolation nepočítají zdá se vůbec. Samozřejmě je tu riziko, že se objeví nějaká další metoda, ale reálný stav věcí (neexistence reálných útoků) ukazuje, že míra toho rizika nebude příliš vysoká.

    Jako sorry, prevence je základ a pokud ty chceš mít nezaplátovaný PC, tak si ho měj, ale nechlub se s tím v diskusích a nesnaž se to navíc obhajovat.

    Promiň, ale tvá kvalifikace v oblasti bezpečnosti očividně opravdu není na takové úrovni, aby si mohl někomu určovat co může a co nemůže říkat/dělat.

    Každý má právo na můj názor!
    Max avatar 15.11.2019 14:02 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jasně, radit lidem, aby ignorovali prevenci, to je opravdu hodné bezpečnostního experta. Jsem proti tobě opravdu lama. Máš ve všem pravdu. Přijmi mou pokornou omluvu.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 15:19 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Nikdo tady lidem neradí, aby ignorovali prevenci. Jediné co tady "radím" je, že je vhodné zvážit rizika a dopady a podle toho se rozhodnout. Přijatelná míra rizika i přijatelné dopady a výsledný "poměr" je pro každého jiný. Pro korporátního ajťáka je samozřejmě nejjednodušší obětovat jakýkoliv výkon i za infinitezimální snížení rizika, protože on na tom nesnesitelně pomalém počítači pracovat nebude, zatímco případný bezpečnostní problém dopadne na jeho hlavu. To ale neznamená, že je tento přístup vhodný pro každého...

    Každý má právo na můj názor!
    15.11.2019 15:42 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    To ale neznamená, že je tento přístup vhodný pro každého...
    Samozřejmě, protože "každý" za rozhodnutí, že riziko je malé, málokdy nese následky. Když někomu vyberou účet kvůli ukradenému heslu, je to odpovědnost banky, když počítač někomu zneužijí k útoku, náklady na řešení nese oběť...

    Kvůli lidem, jako jste vy, jednou legislativci zavedou takové zákony pro IT, že se nebudeme stačit divit.
    Quando omni flunkus moritati
    xxx avatar 15.11.2019 16:45 xxx | skóre: 42 | blog: Na Kafíčko
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    No to mas pravdu. Protoze jestli legislativci zavedou zakony podle tebe nebo Maxe, tak si domu budes muset poridit alespon 64 jadro, aby jsi si vubec precet Abclinuxu. :-)
    Please rise for the Futurama theme song.
    Max avatar 17.11.2019 00:12 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Zaprvé argumentuješ nereálným extrémem. A zadruhé, já nemůžu za to, co Intel udělal a dělá.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 19:56 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jako že oběti mají být zodpovědné za to, že na ně byl spáchán trestný čin? Holka byla příliš vyzývavě oblečená, proto si může za znásilnění sama?! To jsou zákony podle gusta Jiřího Bourka?!!
    Každý má právo na můj názor!
    15.11.2019 20:06 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Vhodnější příměr: pokud někdo nechá v bytě na stole ležet nabitou pistoli, odejde a nezamkne, je trestně odpovědný, když ji někdo sebere a použije
    Quando omni flunkus moritati
    15.11.2019 10:54 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Myslím, že to, o co mu jde, je něco zcela jiného. Ptal bych se spíš takle: dá se ta chyba (kterákoli z nich) znežít snadno? tj. kdekdo si na webu najde kus kódu, který dostane ke mě do počítače (třeba pomocí toho javascriptu) a začnou se mu na obrazovce objevovat moje šifrovací klíče. Nebo to je spíš něco ve stylu, pokud je splněna spousta dalších podmínek, tak se útočník může dostat ke kousku paměti, ke které by jinak neměl přístup a ten kousek může obsahovat moje šifrovací klíče?

    Na mě to zatím působilo, že se to blíží té druhé možnosti. Za to mi snížení výkonu nestojí. Pokud ano, tak bych asi měl taky tendenci bydlet v dobře zásobeném protiatomovém krytu hlídaném soukromou armádou.

    Max avatar 15.11.2019 11:12 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ale přesně o tom se celou dobu bavíme. Pokud chcete mít nezaplátovaný PC, protože doteď vám nikdo před nos nenaservíroval exploit, který tu chybu zneužívá, tak si ho mějte, ale neventilujte to na veřejnosti a nesnažte se to navíc obhajovat v diskusích.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 12:06 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nemusí mi ho nikdo servírovat pod nos. Jde o to, jak moc velká je pravděpodobnost, že tu chybu vůči někdo zneužije. Na mě popis těch chyb zatím působí tak (a je dost možné se pletu), že je pravděpodbnější, že se ke mě domů někdo vloupe a namontuje mi do klávesnice keylogger, než to, že mi nědko ukradne pomocí těch chyb šifrovací klíče. Proti tomu prvnímu útoku jsem taky chráněn jen do určité míry. Neaplikovat záplaty vůči těm chybám tudíž vidím podobně jako nezavírat počítač do trezoru.

    Život je obecně plný rizik, jestli a jak se před nimi chránit, je vždy o tom, jestli mi negativa vyplívající z té ochrany za to stojí v kontextu pravděpodobnosti a případných následků. Často mám pocit, někteří lidé na tohle u počítačů zapomínají a aplikují opatření, které by v reálné životě opravdu připomínali život v tom protiatomovém krytu.
    Max avatar 15.11.2019 13:56 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Když to bereš tak, tak podobnou pravděpodobnost budeš mít v případě neinstalování aktualizací také.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 14:21 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Za cenu nižšího výkonu ...
    Max avatar 15.11.2019 14:44 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Samozřejmě, ale tak to bylo vždy (ale asi né v takovém rozsahu, ale to se nedá nic dělat). Každopádně neradím nic, co sám nedělám.
    Zdar Max
    Měl jsem sen ... :(
    15.11.2019 15:37 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jednou za občas se tady nebo v doporučených videích na YT objeví přednáška z nějaké bezpečnostní konference. Ve většině případů se člověk nestačí divit, co dokážou lidi vymyslet a nakombinovat, aby nakonec zneužili nějakou chybu a dostali se k něčemu, k čemu se dostat nemají.

    Je možné, že Tůma a prqek jsou odborníci na tak vysoké úrovni, že dokážou taková rizika vyhodnotit, ale na 99% jsou to oba diletanti, kteří by neměli mít administrátorský přístup ani k vlastnímu počítači.
    Quando omni flunkus moritati
    xxx avatar 15.11.2019 16:53 xxx | skóre: 42 | blog: Na Kafíčko
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ja ti teda nevim, ale jediny co mr. Tuma po Maxovi chtel, bylo zhodnoceni hrozby. Coz bych tak nejak ocekaval, ze mezi bezpecnostnimi experty, mezi ktere si i s Maxem asi radis, je naprosto bezna vec. Taky si myslim, ze takove zhodnoceni, je zakladnim predpokladem pro rozhodnuti o nejakych opatrenich k potlaceni one hrozby.

    Bohuzel expert Max se zmohl jen na konstatovani, ze tam ta hrozba je, a ze je urcite velka.
    Please rise for the Futurama theme song.
    15.11.2019 19:45 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Neřadím a jestli mezi všemi návštěvníky tohohle webu jsou víc než dva lidi, kteří jsou skutečně schopni něco takového posoudit správně, tak bych se moc divil. Právě proto se nepokouším řešit, jak velké riziko představuje ta či ona chyba.
    Quando omni flunkus moritati
    16.11.2019 13:42 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Čeho se bojíš víc, co ti přijde pravděpodobnější a hlavně proč? Že ti někdo namontuje do klávesnice keylogger nebo ti nějak uškodí v důsledku diskutovaných cpu chyb?

    Celá ta diskuze je zhodnocení míry rizika a za jakou cenu se jím zabývat. Žádné jasné zhodnocení se tu neobjevilo, jen odkazy na proof of concept. POC by se dal najiti i k tomu keyloggeru a stejně počítač do trezoru nezamykám. Dle Maxovi logiky bych měl. Deláš to ty?
    18.11.2019 11:31 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já vim, že ten keylogger máte jako univerzální výmluvu, abyste nemusel nic dělat, ale to je všechno, co máte: výmluvu. Já vám napovím, v čem je rozdíl. Když vám někdo bude chtít nainstalovat keylogger do klávesnice, tak se vám musí vloupat do baráku, čímž se přinejmenším vystavuje riziku, že ho někdo chytí, a pokud se mu to náhodou povede, tak má keylogger u jednoho člověka, který možná používá internetové bankovnictví a možná má i dost peněz na to, aby se celá tahle sranda vyplatila.

    Pokud někdo vymyslí, jak zneužít chybu v běžně používaném hardware a software, může současně, z bezpečné vzdálenosti a prakticky bez rizika odhalení zaútočit na tisíce lidí.
    Quando omni flunkus moritati
    18.11.2019 12:24 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Univerzální výmluvu, aby nemuseli nic dělat tady mají především "experti" Max Devaine a Jiří Bourek. A tou výmluvou je - "nerozomíme tomu, tak radši všechno zakážem (i za cenu velkého poklesu výkonu)". Protože zjišťovat přesné informace o bezpečnostních problémech samozřejmě je pracné (ale ne nemožné, jak se nám tu "experti" snaží namluvit).

    Osobně bych ani s tímto přístupem "expertů" neměl zas až takový problém, kdyby tito "experti", kteří nejsou schopni provést ani tak základní krok jako analýzu dopadů těch chyb, neměli tu drzost tady ostatní, kteří mají k problematice poněkud serióznější přístup, častovat výroky typu "by neměli mít administrátorský přístup ani k vlastnímu počítači" nebo "nechlub se s tím v diskusích a nesnaž se to navíc obhajovat"...

    Každý má právo na můj názor!
    Max avatar 18.11.2019 12:58 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Takže kromě zlehčování dopadů bezpečnostních chyb jsi se i pasoval na lháře. Good job ;-).
    Zdar Max
    Měl jsem sen ... :(
    18.11.2019 13:30 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Analýza reálné zneužitelnosti bezpečnostních chyb není zlehčování dopadů těch chyb.

    Jak se člověk citováním výroků druhých pasuje na lháře mi trochu uniká, ale možná to bude tím, že ten tůj příspěvek je velmi slabý nejenom argumentačně, ale i jako útok ad hominem...

    Každý má právo na můj názor!
    18.11.2019 14:41 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    No, on "expert" Tůma tady ze sebe dělá kdovíco, ale určitě ten základní krok a analýzu sám neprovedl také. A ne, takovým krokem opravdu není podívat se na internet, jestli půjde stáhnout javascript, který by tu chybu zneužil.
    Quando omni flunkus moritati
    18.11.2019 14:55 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Analýzu proveditelnosti zneužití RIDLu v JS jsem provedl a výsledek jsem zde popsal (a nikdo jej zde ani nerezoporoval, natož vyvrátil). Alespoň číst co sem lidi píšou by si mohl, když už je potřebuješ napadat tak trapnejma výrokama, jako že by "by neměli mít administrátorský přístup ani k vlastnímu počítači"...
    Každý má právo na můj názor!
    18.11.2019 15:16 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Abych předešel další zbytečné diskuzi - neprovedl jsem samozřejmě analýzu všech dosud zveřejněných Spectre/Meltdown chyb na zneužití z JS (stav 11/2019), ale pouze té, kterou "expert" Max Devaine označil jako: "víme, že je ještě jednodušeji zneužitelná, než předchozí Spectre a Meltdown". Což dle mé analýzy rozhodně není.

    To, zda-li je někde dostupná aktuální analýza zneužitelnosti z JS (a samozřejmě případně příslušné POC) k celé této rodině bylo právě předmětem dotazu, který celou tuto "expertní diskuzi" rozpoutal. Bohužel místo nějakých argumentů zde padají akorát primitivní urážky od pseudoexpertů Maxe Devainea a Jiřího Bourka...

    Každý má právo na můj názor!
    Max avatar 18.11.2019 16:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jenomže tady se nebavíme o zranitelnosti v js, ale o zranitelnosti té chyby jako takové z celkového hlediska. Nechápu, proč se tu pořád oháníš jen tím js v rámci prohlížeče.
    Zdar Max
    Měl jsem sen ... :(
    18.11.2019 17:11 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    ?!! Celý tohle nekonečný vlákno je a od začátku bylo o zneužitelnosti těch chyb v JavaScriptu!
    Každý má právo na můj názor!
    Max avatar 18.11.2019 17:32 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ne, to opravdu není. Když argumentuji využitím chyby v jiných službách běžících na PC a jako příklad uvedu běžně spuštěný avahy daemon, tak se vážně nebavím o webovém prohlížeči.
    Ohledně webového prohlížeče a js tu byly zmíněny dvě věci :
    1) je použit workaround, který by měl minimalizovat riziko zneužitelnosti té chyby
    2) to, že nyní existuje nějaký workaround neznamená, že to tak bude platit na vždy (= workaround není řešení).

    To, že ty se pořád slepě točíš jen kolem js, je jen tvůj omezený pohled na věc. Celou dobu tady říkám, že stačí chyba v nějaké app (třeba v tom avahi), která umožní lokálně spustit nějaký kód, a díky zranitelnostem kolem HT máš po datech, i když ta služba běží pod jiným userem.
    Zdar Max
    Měl jsem sen ... :(
    18.11.2019 19:01 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    Veškeré "opravy" Spectre/Meltdown chyb jsou "workaroundy" (viz změny v kernelu). Řešení, které není workaround je pouze správně fungující CPU. A již poněkolikáté v této diskuzi - argumentovat tím, že se může v budoucnu objevit další chyba (možnost jak v JS získat přesný časovač) je nesmysl, toto se dá říct o jakémkoliv SW a pokuď by si tomu chtěl zabránit, můžeš tak akorát zamknout (vypnutej) počítač do trezoru...

    Co se týče té možnosti kaskádování chyb tak samozřejmě pro spoustu nasazení to může být dostatečné ospravedlnění snížení výkonu. Pro spoustu nasazení to ale nepředstavuje takové riziko, aby se vyplatilo kvůli tomu o ten výkon přijít. To je ale na rozhodnutí každého jednotlivého uživatele. Ty ze své pozice, bez znalosti toho nasazení, o tom ale těžko můžeš kvalifikovaně rozhodovat. A už vůbec ne stylem: "nesnaž se to ani obhajovat".

    Každý má právo na můj názor!
    Max avatar 18.11.2019 19:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nechávat si v PC lokální root exploit je prostě úlet. Říkej si co chceš, ale je to hovadina jak zvon. A ničím to neospravedlníš.
    A pokud jde o web prohlížeče, tak chyby ohledně vzdáleného spuštění kódu (připomínám, že se nebavíme o js) se tu a tam jednou za čas objeví :
    Firefox
    Chrome

    Takže soráč, ale kecy o tom, jak neuznáváš, že se v budoucnu může objevit nějaká chyba, je v tomto kontextu úplně mimo, protože se objevují celkem pravidelně.
    Zdar Max
    Měl jsem sen ... :(
    18.11.2019 23:00 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nechávat si v PC lokální root exploit je prostě úlet. Říkej si co chceš, ale je to hovadina jak zvon. A ničím to neospravedlníš. A pokud jde o web prohlížeče, tak chyby ohledně vzdáleného spuštění kódu (připomínám, že se nebavíme o js) se tu a tam jednou za čas objeví

    Že rozdíl mezi rootem a uživatelem ve spoustě případů není prakticky podstatný už jsem tady ukazoval, ale pro pořádek to zopakuji. Pokud jsou jediná důležitá data dostupná v tom uživatelském účtu, kde je i výrazně větší exponovanost pro vzdálené útoky například právě skrze prohlížeč, není riziko root exploitu prostě nikterak zásadní záležitost. Já si třeba zase neospravedlním na svém desktopu pro své použití výrazné snížení výkonu za cenu zvýšeného rizika root exploitu. Třeba proto, že běžně mi tady běží jediný proces pod jiným uživatelem než mým uživatelským účtem nebo rootem.

    Takže soráč, ale kecy o tom, jak neuznáváš, že se v budoucnu může objevit nějaká chyba, je v tomto kontextu úplně mimo, protože se objevují celkem pravidelně.

    Nikdo samozřejmě netvrdí, že se v budoucnu nemůže objevit/neobjeví nějaká bezpečnostní chyba. Ale to je předpokládám jenom součást tvého "expertního trollingu".

    Každý má právo na můj názor!
    Max avatar 19.11.2019 08:16 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ty si tady budeš obhajovat lokální exploit a mně ironizovat "expertem" a říkat, že "trollim".
    Ok, dál už se asi neposuneme.
    Zdar Max
    Měl jsem sen ... :(
    19.11.2019 11:38 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    "Expertem" tě tady lidé nazývají proto, že nejenom nejsi schopný, ale ani vůbec ochotný provést tak základní věc jako je zhodnocení hrozby a její porovnání s dopady případných preventivních opatření.

    Trollíš proto, že tvrzení, které říká, že tu vždy budou nějaké bezpečnostní chyby zcela otočíš a snažíš se oponentům podsunout, že tvrdí: "neuznáváš, že se v budoucnu může objevit nějaká chyba".

    Každý má právo na můj názor!
    19.11.2019 09:17 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nechávat si v PC lokální root exploit je prostě úlet.
    A co třeba root přihlášený v grafickém emulátoru terminálu, který běží pod obyčejným uživatelem? Nebo tohle pro práci pod rootem nepoužíváš?
    18.11.2019 17:45 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Ono se to da jednoduše použít plošnému automatizovanemu útoku? To stačilo říct rovnou a mohli jsme si tuhle diskuzi ušetřit.
    19.11.2019 09:24 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Já vim, že ten keylogger máte jako univerzální výmluvu, abyste nemusel nic dělat,
    Univerzální? Od začátku je to jen příklad, který má ilustrovat vztah mezi mírou rizika a cenou za jeho eliminaci. Vtip je v tom, že obvykle je tou cenou jen installace patche. Což je prakticky zanedbatelná cena. V tomhle případě je ale ta cena mnohem vyšší. Jen pro jistotu doplňuju, že pořád uvažuju v kontextu jendouživatelského deskotpu. A mimochodem, když se ti nelíbí příklad s keyloggerem, co tohle?
    13.11.2019 13:27 Michal
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jeste par desitek takovych a uz to pomalu prestane byt legrace :-p
    Max avatar 13.11.2019 13:56 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Pro dost lidí to legrace přestala být před rokem. Od května letošního roku to už muselo nasrat všechny.
    Zdar Max
    Měl jsem sen ... :(
    13.11.2019 13:30 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

    TL;DR: Všude přidat do příkazové řádky kernelu tsx=on a dál už nad takovou ptákovinou nepřemýšlet. Sorry jako, máme rok 2019 a transakční paměť má prostě fungovat.

    Tohle je ale fakt styl "já bych všechny ty počítače a internety zakázala":

    Although there are mitigations for all known security
    vulnerabilities, TSX has been known to be an accelerator for
    several previous speculation-related CVEs, and so there may be
    unknown security risks associated with leaving it enabled.
    
    13.11.2019 19:03 kvr
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jakkoli bych nechtěl ty bezpečnostní problémy bagatelizovat, tak reálně vzato u systémů běžících na bare metal dedikovaných na jednu úlohu (databáze, aplikační server, ...) je ten dopad zanedbatelný. Všechny work-aroundy můžou zůstat vypnuté, bo neformálně vzato je systém jednouživatelský. A vzdálené zneužití u těchto chyb je už hodně v oblasti teorie. U klasického desktopu je riziko vzdálený kód, který se běžné spouští na lokálním CPU (javascript), tam je otázka, zda by šlo zapnout work-arounds na základě aplikace.

    Ale v této chvíli je aplikované řešení těžký kanón na vrabce, který často řeší neexistující problém. Holt si budou muset lidi vybrat, zda jejich use-case akceptuje riziko nebo potřebují bezpečnost za cenu zpomalení. Obojí zjevně úplně nepůjde, spekulace jsou poměrně klíčovým prvkem ke zvedání výkonu (a ne, ani AMD tomu neušlo, jen jich bylo míň a nejspíš má pro všechny softwarové záplaty, pochopitelně snižující výkon)...
    13.11.2019 20:26 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    a ne, ani AMD tomu neušlo, jen jich bylo míň a nejspíš má pro všechny softwarové záplaty, pochopitelně snižující výkon

    AMD Ryzen 3900X:

    itlb_multihit:Not affected
    l1tf:Not affected
    mds:Not affected
    meltdown:Not affected
    spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
    spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
    spectre_v2:Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: conditional, RSB filling
    tsx_async_abort:Not affected
    

    starší AMD Athlon 5050e (tam je ještě jádro bez poslední sady patchů, takže neukazuje TAA a iTLB multihit, ale u obou by bylo "Not affected"):

    l1tf:Not affected
    mds:Not affected
    meltdown:Not affected
    spec_store_bypass:Not affected
    spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
    spectre_v2:Mitigation: Full generic retpoline, STIBP: disabled, RSB filling
    

    Intel Core i7-6600U:

    itlb_multihit:KVM: Mitigation: Split huge pages
    l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
    mds:Mitigation: Clear CPU buffers; SMT disabled
    meltdown:Mitigation: PTI
    spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
    spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
    spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, RSB filling
    tsx_async_abort:Mitigation: Clear CPU buffers; SMT disabled
    
    13.11.2019 23:24 Ovocucníček
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Nedávno byl na Phoronixu test, podle kterýho mitigace mají na AMD asi poloviční postih nebo ještě menší proti tomu, co se děje s Intelem. A to bylo před tou poslední várkou.

    Jinak ale souhlasím, že na single user systému to není až taková katastrofa a třeba doma taky mám jeden dva Intely a holt se na to snažím nemyslet. Většinou říkám, že to chce brát jako součást reality a ty výkonnostní postihy taky brát jako něco normálního a součást obvyklého zvyšování nároků nového softwaru a bezpečnostních aktualizací. Ale hlavní stroj mám teď Ryzena, takže to se mi to kecá :)

    Kdybych měl server, tak mám asi větší pifku, no... ale jak se dívám, tak firmy pořád v neuvšřitelný míře kupujou Xeony (96 % trhu teď v Q3 209), takže evidentně manažeři co o tom orzhodujou na to serou, akorát prý kvůli tomu nakupujou silnější CPU a víc serverů, aby překonali tu ztrátu výkonu, takže Intel má paradoxně ještě větší žně, LOL
    13.11.2019 23:28 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    On je rozdil cekat na server tyden, nebo mesic ;-) AMD to moc nestiha vykryvat, pokud vim, ale hlad by po jejich CPU byl.
    --- vpsFree.cz --- Virtuální servery svobodně
    13.11.2019 23:30 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Dalsi podstatny faktor je, ze ne zdaleka vsichni major server vendori shippuji AMD, spousta z nich se na to teprve chysta. Vzhledem k predchozim zkusenostem, ze kdyz ma AMD neco zajimave, tak to nestiha dodavat, je vcelku chapu.

    No a v neposledni rade - vubec neni jednoduche se s AMD dat do kontaktu a neco s nimi zacit resit, maji kapacitu se bavit jen s temi opravdu nejvetsimi - takze napr. k cemu je, ze maji skvela embedded CPU, kdyz se k nim neda dostat :)
    --- vpsFree.cz --- Virtuální servery svobodně
    14.11.2019 06:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Konkrétně u 3900X (nejvýkonnější model z desktopové řady) měla Alza od začátku července do začátku října trvale "dostupnost na dotaz", což podle jejich odpovědí v diskusi znamenalo něco mezi "objednejte si ho a my vám řekneme, kdy asi tak přijdete na řadu" a "objednejte si ho a my se vám ozveme, až bude". Teď už je to ale lepší.
    14.11.2019 21:00 Ovoce | skóre: 16 | blog: Vyplizlo_ze_zivota
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Jo, po těch Ryzen 3900X byl fakt relativně hlad, ale už se to myslím srovnalo. Teď přijde 3950X, což je totéž ale ještě drsnější (16 jader v normálním malým socketu), tak uvidíme, jak to bude tam, taky by na ně asi mohla výt fronta, ale cena už je brutálnější, tak třeba nebude zájem takovej.

    Ale v těch serverech mají docela malý tržby, letos to bylo při tom 3% tržním zastoupení tak 150-200 mega $ za kvartál, což je proti 5 miliardám Intelu úplný prd. Takže myslím, že tady to není, že nestíhají dodávat, jenom prostě trh je tak konzervativní. Jestli něco brzdí tu dostupnost, tak bych řekl že hlavně až v druhý fázi ta výroba a dodávky celých serverů. U CPU je asi to, že třeab v první generaci se reálná dostupnost objevila až po x měsících a to může být možná i teď, ale to je spíš o tom, že je to paper launch, než o tom, že by potom po rozjetí výroby kapacita nestačila.
    14.11.2019 13:44 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    • běžících na bare metal
    • dedikovaných na jednu úlohu

    Tohle^^^ ale v praxi prostě nejde dohromady. Leda snad u firem s nekonečným rozpočtem na hardware i elektřinu (přepočteno na podíl informačních technologií na činnosti firmy), které sice možná někde existují, ale nikdo o nich zatím neslyšel. ;-)

    Jinak zcela souhlasím, že většina těch "procesorových" hrozeb je v praxi téměř "neaplikovatelná". Systém vůbec nemusí být jednoúlohový. Stačí, aby byla přiměřená kontrola nad tím, co na systému běží (tedy aby to nebyl "cloudový" stroj, nýbrž interní stroj, který vyžaduje a je ochoten spouštět pouze kontejnery a binárky zkompilované interně a pečlivě auditované). Pak najednou většina těch útoků, které potřebují k přečtení cizích dat velmi specifické podmínky (obskurní kus kódu, velké zatížení procesoru, relativně málo souběžně fungujících procesů atd.), v podstatě přestane existovat, protože je prostě není jak provést, kromě nějakého insider threat spiknutí.

    14.11.2019 14:59 MadCatX | skóre: 28 | blog: dev_urandom
    Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
    Benchmarky TAA mitigace: https://www.phoronix.com/scan.php?page=article&item=zombieload-v2-taa&num=1

    Když se k tomu přičte efekt JCC errata, jsou ti, co využívali TSX asi tak tam, kde byli před pěti lety.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.