Bitcoin Forum

Вот так и новости подкатили!

CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений? (https://habrahabr.ru/post/346026/)

Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.
И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится.

Экстренное обновление для Win 10 (https://support.microsoft.com/en-ca/help/4056892/windows-10-update-kb4056892)
Для линуксов тоже выпущены патчи - срочно обновитесь через менеджер обновлений/пересборку ядра, если суровые гентушники.


Несколько фактов:

• ARM тоже подвержены этой атаке. Обновление получат не только лишь все. Android сосёт.
• Есть побочный эффект от патча - теперь ваш компьютер будет работать, в среднем, на 2/3 своей мощности. В худших случаях - тормозить в 2 раза.
• Владельцы процессоров от AMD вроде пока ликуют. :)

Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.

Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать?

Вы не поняли. Теперь из, например, браузера можно прочитать память ЛЮБОГО процесса. А память из соображений производительности не всегда очищается. И там может остаться что угодно - пароли, ключи, кошельки и т.п. И проблема в том, что можно прочитать не просто память процесса, который крутит браузер, а память АБСОЛЮТНО ЛЮБОГО процесса в системе, даже ядра, даже гипервизора, даже неба, даже Аллаха. Вы можете на хостинг или VPS залить скрипт, который нагнёт всех соседей по этому хостингу, например. И никакие защиты на уровне памяти и проца не спасут.

Что-то подобное было недавно с уязвимостью heartbleed. Там через запросы к SSH можно было прочесть память сервера. И тогда вой на весь интернет был, что можно сдампить сервак и найти что угодно - от паролей для входа на сервер, до паролей и кошельков крупных криптобирж. Хотя та уязвимость затрагивала только серваки с SSH.

Данная уязвимость затрагивает ПРАКТИЧЕСКИ ЛЮБОЙ компьютер и смартфон. Память можно читать хоть из вредоносного JS-скрипта, который встраивается на раз, и отправлять наиболее интересные участки к себе на сервер. Если получен гостевой доступ к серверу с возможностью исполнять ограниченный код - можно относительно просто получить рут на этом серваке. Выводы делайте сами.

какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?

Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности.


Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую.

Если бы Вы перешли по ссылке из первого поста, то обнаружили бы, что проблемы в том числе и у AMD и у ARM архитектуре, а от сюда подвержены опасности даже "Байкалы" отечественного производства, а вот "Эвересты" такой проблемы не имеют. Пока лучший вариант, поставить патчи и ждать выхода новых процессоров. Кстати, патчи снижают производительность процессоров, в некоторых задачах, до 30%. Короче ситуация очень неприятная.

Как я понимаю, самый лучший и не вызывающий торможения патч - это тупо поменять процессор (ну и все прочее, вместе с ним, конечно), раз уж уязвимость аппаратная?  Впервые так радует, что не пользуюсь Интелом...

Из комментов к той статье про AMD:

Куки можно было читать еще в далеком 1998 году, как они появились. Это от процессора не зависит.

Intel спецом выпустила данную новость, чтобы ее акции упали. Сейчас перезакупится и все исправят. Скажут - обычный глюк.

Ну так проблема в основном у хостеров, которые по триста виртуалок запускают на одном сервере. Обычному человеку тут думаю бояться нечего. Главное хрень всякую на ставить в виде плагинов для хрома.

Проблема именно у вас. Любой сайт, на который вы заходите может выполнить JS, эксплуатирующий эту узязвимость. Даже не специально - сайт могут взломать злоумышленники и подсунуть туда этот JS. Всё очень серьёзно. Намного серьёзнее js-майнеров.

Крику то в СМИ. При этом не зафиксировано ни одного факта атаки.

А разве нельзя привязку к IP сделать и авторизацию по СМС на телефон. Вебмани, например, давно такую систему использует. При этом, даже зная пароль, злоумышленник не сможет получить доступ к кошельку. И железо тоже привязывается.

Теперь производители процессоров будут зарабатывать. Выпустят новое поколение которое расскажут , лучше и производительнее, чем было. Вообщем все как всегда, продажи подымут и все по новой.

Атака не оставляет никаких следов. Это раз.
Подождите. У вирусописателей сейчас бессонные ночи в предвкушении заработков. Это два.
Вероятно, что уязвимость известна давно в некоторых кругах и уже была использована неоднократно. Это три.


Можно. Если у вас онлайн-кошелек и вы доверяете всю свою крипту (закрытые ключи) каким-то неизвестным левым людям.
Нельзя. Если у вас официальный или хранящий данные локально кошелек, который никуда закрытые ключи не передает и оставляет на компе.

Если ваш закрытый ключ скомпрометирован (читай: прочитан) - считайте что крипты у вас больше нет.

Короче теперь раз не только у интела но и у всех остальных производителей вышли такие баги надо срочно покупать аппаратные кошельки. Но вот будет смешно если и их тоже легко будет взломать тем же методом.

Хоть в чем-то они оказались лучше Intel

Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.

Да похеру им все. Хотят быстрее заработать и делают кое как.

Вот только хотел себе компьютер купить на базе ИНТЕЛ, теперь буду думать что то другое как страшно!!

Если это правда, то сейчас все ломанутся менять процики. Но мне кажется, что появится какая-то защитная функция, которую разработчики будут продавать, а потом еще выяснится, что никакой угрозы не было, а кто-то на этом наварится просто.

Там всё сложнее. Сам механизм предсказания ветвлений, вшитый в проц, игнорирует защиту памяти по соображениям производительности. Тут косяк by design.

И пока непонятно как сделать аппаратный фикс в новых моделях так, чтобы и скорость сохранилась и алгоритм работал.

Просто мы достигли того момента, когда механизм, дающий ускорение в разы настолько сложен, что предвидеть все баги невозможно. А без него откатимся лет на 15 назад.

Так чего акции Intel падают, это же золотые горы! Кого мотивирует покупать проц, стоимостью больше в 2 раза, а по производительности выше на 10% (условно)? А угроза от хакеров это серьезно.
Напоминает криптобиржи которые страдают от хакеров, а владелец потом покупает недвижимость на островах.

К сожалению это не фейк и, благодаря тому что раструбили на весь мир об этом, куча народа уже ринулась искать инструменты для использования этой уязвимости и даже нашли их.

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

Насколько я помню там не нужен девиртуализатор, потому как под вируталку задействуются те же области памяти и в таком же порядке что и для операционной системы.

Скупайте процы AMD, глупцы! :)

На волне этой новости они гарантированно подскочат в цене и уменьшатся в доступности.

Похоже на то как огрызки режут производительность своих устройств, чтобы зомбогрызки покупали самые новые айфоны, только Intel нашли более менее приличный довод в пользу этого)

Ждём патча от VMware

С блэкджеком и шлюхами (зачёркнуто) шифрованием памяти и переадресацией (если, конечно, там действительно всё так печально с памятью). В общем я зашёл на сайт AMD и там написано, что для AMD-шных процев актуален только один тип уязвимости из трёх вариантов, который устраняется установкой патча, при пренебрежимо малой потере производительности, а именно "Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected". Кто знает, Линус уже запилил обновление для ядра?

Поиск по сигнатурам может найти вполне определённые последовательности, после которых начинаются данные, или сами данные, когда они имеют определенные структуры. Или выйти на структуры данных, в которых хранятся адреса памяти, по которым можно вытащить sensetive-информацию.

В общем, представьте, что у вас на компе запущен чей-то ArtMoney. И ищет он по определенным характерным паттернам ваши секреты - документы, закрытые ключи и т.п. Так как все это хранится в структурах, которые крайне редко меняются, то найти можно много чего интересного с большой вероятностью. Переписать этот ArtMoney ничего не может, но скопировать злоумышленнику - легко. А тот уже со своего компа сможет инициировать то, что нужно, например перекинуть крипту с вашего кошелька на свой.

Это если в лоб по-быстрому делать для общего случая. А можно и похитрее - лазить в таблицы процессов, смотреть там определенные ячейки памяти... Многое из того, что вы делаете со своим компьютером - находится в памяти. И кейлоггер клавиатуры тоже, да. Особенно в Windows 10. Телеметрия же. Ради вашей же собственной "безопасности"!

Я думаю, пока детали не раскрываются, и Intel не делает официальных заявлений, нам остаётся только ждать, когда можно будет полностью оценить серьёзность озвученной проблемы.
А пока что, новость больше похожа на заявление от представителей жёлтой прессы.

Особенно обидно за Linux, понятно дело что не сообщества косяк, а аппаратная лажа, но все равно не хочется терять треть мощностей из-за ошибки недоразработчиков, недоинженеров и недопрограммистов.

Ага, а выпущенные патчи для всех систем со статусом "критические", которые замедляют в том числе корпоративные системы - это так, поссать выйти?

На форумах хостеров и облачных провайдеров уже вой. Лёгким движением руки их бизнес теряет 20-30% ресурсов.
С СУБД (например Postgres) и виртуализацией вообще жопа - там просадки заходят за 50%, т.к. активно используется кеш процессора.

С heartbleed так же было. Сначала народ не верил, а потом, когда раскрыли все детали и появились рабочие эксплоиты, дампящие память любых серверов - стало сильно не смешно.

В общем, сегодня очередной день, когда жизнь разделилась на "до" и "после".

Интересно, а менеджеры паролей типа от Касперского и прочие, которые пароли сами подставляют могут помочь от подобных зловредов, там же они в криптопамяти хранятся и ручками не вводятся.

А если не Виндовс 10 то что делать?

А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7

Если макось - дождаться и накатить апдейт.
Если линух - накатить апдейт уже сейчас.


Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.

как всегда - такая себе борьба добра со злом, но за бабки. Еще этого не хватало, теперь сиди и думай что с этим всем делать, и когда выпустят новый процессор.

Каким образом, Карл?

Или на серверах биржи хранятся монеты (т.е. приватные ключи) клиентов? На любой нормальной бирже на сервере только движок крутится, а котлеты (зачёркнуто) кошельки отдельно, особенно если речь идёт о чём-то типа VPS, откуда даже без всяких зловредов можно умыкнуть что угодно. Помнится, несколько лет назад таким образом спёрли базу пользователей этого форума. Некто с помощью социальной инженерии получил физический доступ к серверу в стойке и стырил бекап форума, проказник, ахахах. Потом здесь был полный ахтунг (зачёркнуто) аншлаг по смене паролей

По хорошему то косяк производителей благодаря которому заявленной производительности теперь не будет, соответственно товар бракованный и производитель должен понести ответственность перед покупателями, интересно кто то добьется скидки на новые процы взамен старых?

Если хакнуть биржу то зачем заморачиваться со зловредом, когда внутренний счет биржи уже в руках??? Понятно если это децентрализованная биржа типа дельты, а в других случаях заморачиваться не будут.

ну можно ещё дальше зайти. допустим комп только для кошельков и комп для бирж. на биржах всё таки 2fa есть

Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе.

Какая вероятность, что пользователи криптовалютных бирж имеют у себя на компе какой-нибудь кошелёк с криптой, которую можно украсть, вытащив приватный ключ из памяти?
Или пароль от почты, не защищённый двухфакторной авторизацией, на которую завязано куча всего? А какая вероятность, что у некоторых есть бизнесы/проекты, по которым можно тоже много интересного нарыть?

А что такое патч извините за компьютерную несведомость и где его взять

присоединяюсь. запилитите подробнейший лайфхак для танкистов

p s а вот на площадках где крутится баблишко типо stemmit и golos всё наверное сложнее. им тоже надо 2fa вводить

Как быть с теми, кто торгует через API?

Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька. Кроме того, даже если теоретически допустить такую схему, то она вряд ли реализуема на практике, особенно та её часть, где "на страницы биржи инжектится вредоносный JS-ниндзя"

Тут на форуме много слезливых историй было про "я был идиотом и все свои деньги держал на MGox/BTC-E, надо было часть в холодные кошельки с биржи выводить". Так что думаю, даже среди тех, кто на биржах торгует дураков мало все средства на бирже держать. Лопаются они на раз. Под любым предлогом. В любой момент.

С теми, кто торгует через API посложнее. Они молодцы. :)

Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
Там приватный ключ можно было стырить.

Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?

Эта проблема заложена в самом подходе

Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое

интересно эта новость повлияет на поток капитала в крипту?

Ну а если на компе только MEW и телега для передачи адресов,как то поможет обезопасить?

Интересный способ решения проблемы, думаю что-то в этом роде и придумают.

С другой стороны гугл уже мог давно все себе скопировать и подготовить патчи со скрытым майнером, якобы замедляющие вашу систему, двойной профит  ;D

Этой уязвимости подвержена не только крипта, но и банковские и государственные службы и структуры. Сокрушительный удар для интел. Уже 2-ой по счету за 3 месяца. Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера. Это позволит свести риск подцепить этот трипер к минимуму.

Акции AMD и цены на их процы думаю скоро пойдут в гору. Интел, наоборот, просядет значительно.

установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа))

Напишите плизз развёрнуто лайфхак. многие будут вам благодарны

за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники

Только что вышло обновление (https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/?utm_campaign=whatsnew&utm_medium=firefox-browser&utm_source=firefox-browser) для Моциллы

Самая свежая версия - 57.0.4. Всем рекомендую срочно обновится, особенно тем, кто пользуется этим браузером. Данное обновление содержит исправления безопасности для упомянутых ранее уязвимостей Meltdown и Spectre. Обновление доступно как для Linux, так и для Windows. Более подробную информацию про данные уязвимости можно почитать здесь (https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/). Сейчас пойду ещё Оперу посмотрю. Дополнено: опера пока не шевелятся

про то как выкинуть интел??? легко... смотри если у тебя ноутбук то это будет сложнее, хотя можно просто вытащить от туда винт с инфой а все остальное в окно, а если у тебя большой гроб то в окно конечно не вариант выкидывать, но можно также дернуть от туда винт а комп загрузить в багажник и отвезти в лес и закопать, если нет машины то это конечно же усугубляет ситуацию, придется тогда его расчленять и паковать в черные пакеты и выкидывать на помойку частями не за один раз конечно  
З.Ы. ну а по факту если то что никто не знает как ставить ???

https://twitter.com/Snowden/status/949047283357806593 (https://twitter.com/Snowden/status/949047283357806593)
Сноуден демонстрирует.

А если Виндовс 7?

я только что ноут купил дорогой))) только под крипту...про патч что за алгоритм установки чего? немного погуглил не понял.

каким браузером лучше пользоваться?

Браузер хром мозила, отключить скрипты. включать по необходимости.
Кошельки с оффсайта, mew скачать архивом и запускать локально.
Биржи все в закладки.
Не сидеть под админом.
Лучше линукс. Еще лучше линукс с флешки. Но гемор и требует дисциплины.
К левым сетям не подключаться.
Левые флешки не вставлять. Флешка вставленная в другой комп, даже чистый - потенциально с трипером.
Левых прог не ставить. Браузер + адблок + гостшелл(но без js не работают), антивирь,
Апаратные кошельки тоже спасают.
По левым сайтам не ходить, вообще. Даже на форум.
Левых людей за комп не пускать(ремонтников всяких, натройщиков и тп), близких если не шарят в крипте и ИБ тоже.
Все в одном месте не держать. Разные кошельки для разных токенов и монет.
Даже если что-то сопрут, то не все.
ноут держать в сейфе.

каждый сам себе банк. За безопасность сам отвечаешь перед собой

спасибо. хорошая инструкция.
ява скрипт на что влияет? биржи будут с отключённым работать?
что значит не сидеть под админом?
флэшка боль...я тут купил себе флэшку ёмкую sony дорогую. а мне на днях подарили ещё одну в упаковке...сунул в комп, комп пишет драйвер установлен. смотрю на флэшке 2 файла....чуть вместе со столом не подпрыгнул испугался. антивирусом её проверил вроде не видит угроз, флэшку выкинул.
Что с мастерами делать? я с этой техникой не дружу, у меня другая специальность, завтра вызвал одного, убунту ставить, боюсь к компу подпускать, а сам врят-ли справлюсь.

Как минимум отключить в браузерах скрипты.
Самый лучший вариант, это снести семерку и поставить линукс.
Безопасность превыше всего.

У тех кто не обновился, компьютер может в любой момент превратиться в ядерную бомбу шпиона который сольет всю вашу информацию третьим лицам.

ага, такие вещи только самоубийца может вытворять

в любом случае безнаказанно такое не проходить и вернуть утерянное доверие уже не получится

Без js половина сайтов работать не будет нормально в наше время. Новость жесткая, конечно.

Это не баги, это они специально 8)  Просто обнаружили раньше времени  ;D Интересно этот баг только на новых процах или на старых такая же фигня, если на старых все ок то для заходы в кошелки и биржи пользуйте антиквариат  ;D

Для проведения атаки требуется прямой доступ к аппаратному кошельку.

Не пойдут акции АМД, у них подобая уязвимость, вот только патча нет, и в ближайшем будущем не предвидится.

Да ладно: http://www.amd.com/en/corporate/speculative-execution

Должны, акции и так на 3% просели, а если не выкатят будет еще больший спад. Думаю будут оперативно суетиться латать.

Насколько я понимаю,  скомпрометированы и интел и Ява,  а означает это будущее снижение производительности компов на 20 процентов, что для крипты дает значительное замедление майнинга,  а как следствие - относительное  увеличение ценности ранее намайненных битков.

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?


АМД считает иначе

Как-то не тему. Во-первых, речь идёт об конкретной аппаратной уязвимости, которая позволяет получить и сиид и пин и, соответственно, доступ к средствам.
Во-вторых, без сида средства на утерянном трезоре не восстановить. А если речь про восстановление с сидом, то какой же это бэкдор?

Уже обновил все обновления на 10 виндовс, поясните кто разбирается в сути уязвимости. Злоумышленники могут только украсть данные из оперативной памяти и желательно ничего важного сейчас не запускать (не вводить пароли, не загружать приватные ключи) или в опасности все что лежит физически на винте? Если сейчас сделать новый кошелек например в МЕВ то сид который он покажет для записи тоже может быть скомпрометирован и лучше ничего нового пока не делать или все же создать новый кошелек и перевести туда часть средств это относительно безопасно?

очередная страшилка для взрослых из серии  "квантовый компьютер поломает блокчейн".
Хотя обычную осторожность никто не отменял, если дело касается крупных сумм  - например холодный кошелек на холодном ноутбуке на шкафу + шифрованый бекап в разных местах..

Это ссылка на текущее обновление для сборки windows 16299.192, отношение к "вот так и новости подкатили!" похоже не имеющее

как в интел могли бы такое допустить, я не понимаю столь серьезная компания с таким опытом.))) но я не доверяю таким сообщением, нужны доказательства и факты, есть люди, которые пострадали от такой схемы воровства ???

Как говаривал один хороший человек
"Если бы города, стоили таким же образом, как пишут программы и делают компьютеры, то любой залетевший дятел, разрушил бы все строения".

Сразу отпишусь, что не имел дела с аппаратными ошельками, и возможно я что-то упускаю из внимания или просто не до конца понимаю. Тем не менее, как я понял, речь идёт об этой уязвимости (https://blog.trezor.io/fixing-physical-memory-access-issue-in-trezor-2b9b46bb4522):


Но ничто не мешает хакеру считывать seed не из оперативной памяти, а напрямую из флеш-памяти, правильно? Для того, чтобы избежать такой возможности, Trezor использует пароль, которым шифруется этот рандомизатор:


А теперь следим за руками

Trezor утверждает, что пароль нигде не хранится (ну кроме как в голове пользователя, конечно), но в тоже время можно восстановить кошелёк зная оригинальный seed, который раньше можно было считать из оперативной памяти устройства (в чём собственно и состоит описанная ранее уязвимость). Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor

Вы правы :) Зная сид и даже не зная пина к аппаратному кошельку и не имея его, можно легко восстановить все ключи ко всем монетам на кошельке - например через https://iancoleman.io/bip39/

Поэтому они и настаивают на записи сида на бумажку или в голову  ;D, а не в комп

Вроде с 1995, когда эти самые кеши начали вводить. Загадочно другое - почему все 20 лет о такой откровенной дыре не было инфы в общественном поле? Раз предсказатель ветвления читает любую память без проверок - по крайней мере Intel об этом знала с самого начала.

К счастью, нет ) Ledger и Trezor сообщили, что обнаруженная уязвимость процессоров Intel, AMD и ARM (Meltdown и Spectre) не угрожает безопасности средств на аппаратных кошельках пользователей.
1.https://twitter.com/pavolrusnak/status/948863100194836480
2.https://twitter.com/LedgerHQ/status/948984148596875264

Тут чуть выше Эдвард Сноуден наглядную демонстрацию подкатил:
https://twitter.com/Snowden/status/949047283357806593 (https://twitter.com/Snowden/status/949047283357806593)

Достаточно достоверно? Или нужно, чтобы выложили в открытый доступ конструктор троянов? Желательно бесплатно. :)

Ссылка из оригинальной статьи.

Я уже предвидел подобный расклад

Но в этом случае неизбежно встаёт вопрос, зачем платить 100 баксов за девайс, когда можно точно также распечатать на бумажку приватный ключ и пользоваться обычной флешкой за пару баксов (ну или сколько там сейчас стоит самая дешёвая) для отправки подписанных транзакций в сеть? И при этом быть на 100% уверенным, что никто и никогда не сможет взломать твой аппаратный кошелёк в силу отсутствия оного, ахахах

Потому что используя флешку, вы попадаете под вышеописанную в топике уязвимость. А используя апп. кошелек нет :)

И каким же образом я под неё попадаю?

Вы подписываете транзакцию на каком-нибудь древнем девайсе, которое не имеет прямого доступа к внешнему миру. Затем скидываете транзакцию на флешку и спокойно отправляете её в сеть хоть через публичный вайфай в Макдаке. И никакие уязвимости, уже известные или ещё только будущие вам не страшны в принципе. А вирусов способных встраиваться в транзакцию пока ещё не придумали. Параноики могут посчитать хеш транзакции на калькуляторе, счётах или в столбик. Как вариант, на пальцах, ахахах

Я правильно понимаю, что бэкдором названа возможность получить средства по сиду?
Если да, то это норма для крипты. Сид/приватный ключ - это ключ, который даёт доступ к средствам в блокчейне.
С тем же трезором поставляются "Two little booklets where you’ll write down your recovery seed".
И главная задача трезора - безопасное использование сида.
А задача хранения сида - это отдельная задача, которая решается с помощью бумажки в сейфе, менеджера паролей и т. д.


Аппаратный кошелёк удобнее.

В таком случае да. Но вот именно за отсутствие такого геморроя я готов отдать 100 баксов ;)

у меня все пароли и сииды на бумаге. но некоторые сайты сами генерируют пароль допустим golos steemit вчера 2 раза пытался вбить пароль из 52 символов в ручную оба раза не получилось. видимо из-за путаницы в символах с использованием капслока.

с отключённым яваскриптом не все сайты работают полноценно. битсмедиа не даёт комментировать и тд. хорошо хоть здесь все как было после отключения

Не знаю насчет скидок на новые процы, но то что крупные компании использующие процессоры Intel могут подать судебные иски на огромные суммы это точно. Долго придется им все это разгребать.

Я думал что с потерей аппаратного кошелька его содержимое теряется навсегда. Но если можно восстановить через производителя то найдутся хакеры которые будут ломать производителя. Про аппаратный кошелек надо забыть и пользоваться только бумажным.

Подать в суд могут, но процесс будет не простой. Архитектура была известна, так что производители процов ничего не скрывали, просто не знали об этом, как бы в этом их обвинить будет сложно, а то что после патчей на Интеле упадет производительность, ну так патчи не от Интела, не хотите не ставьте... но репутацию это пошатнет, тем более на фоне неплохих Райзенов.

Это, конечно же, не так

Причём не так в глобальном, концептуальном смысле, поэтому можно сказать, что всё в точности до наоборот. Вся идея крипты именно и состоит в децентрализованной модели, существующей в бестрастовом окружении (trustless environment), где никто никому по умолчанию не доверяет. А когда вы пользуетесь аппаратным кошельком, вы уже по сути безусловно доверяете свои сальдо производителю кошелька. Откуда вы знаете, что в один прекрасный момент он их не украдёт? Вы видели код, который управляет этим устройством? Ну и какая же это норма для крипты? Норма - это бумажный кошелёк и подписывание транзакций вручную, остальное от лукавого (и производителей кошельков, ахахах)

Насколько вижу, отсутствует понимание. Речь идёт о стандарте формирования приватных и публичных ключей из сида:
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki

Причём здесь доверие производителю?

У производителя трезора нет возможности вернуть ваши средства, если вы забыли сид. Нету никакого бэкдора.
Есть стандартная процедура формирования ключей. Есть сид - есть ключи. И не важно трезор это, электрум или другой кошелёк.

Вопросы оффлайн-подписи и доверия кошелькам лежат в другой плоскости.
Да и с помощью трезора, насколько знаю, можно подписать транзакцию оффлайн.
Но ещё раз - это совсем другая тема и никак не касается формирования криптографических ключей.

При том, что вопрос стоит о существовании backdoor'ов

И речь идёт не о том, что из сида можно сформировать публичный или приватный ключ. Ничто не мешает производителю кошелька запилить туда blackjack'а (зачёркнуто) backdoor'а, который в нужный момент отправит ваши ключи (точнее seed), куда нужно. Другими словами, не надо перекладывать с больной головы на здоровую, ибо не об этом речь. Да и насчёт удобства, тоже есть сомнения. Это надо ставить дополнительное программное обеспечение (даже если это всего лишь плагин к браузеру), которое само по себе может нести риски, без привязки к крипте как таковой. А флешку придётся теребонькать в обоих случаях

Зря смеетесь, человек дело говорит, и при взломе базы данных производителя обчистят все кошельки. Зачем ломать одну сейфовую дверь, когда можно отжать связку ключей у консьержа и спокойно открыть все двери?!

я читал на харбаре подробно про это, единственное что пугает то, что это затрагивает очень много девайсов, чуть ли не 70% всех устройств на земле!!! все что старше 10 лет не уязвимо! НО, использовать эту уязвимость не так легко как кажется, должно срастись вместе много условий

Вот как вариант, тоже о таком ходе компании подумал
Ведь нужно же тоже как-то курс расшатывать и акции отжимать
в общем решили как в крипте в плохие-хорошие новости сыграть, хотя конечно может и есть реально уязвимость.

https://github.com/LedgerHQ


https://ledger.zendesk.com/hc/en-us/articles/115005214709-Is-Ledger-an-open-source-project-


ЛОЛ!  ;D

Советую самому сходить по указанной ссылке (я таки сходил) и прочитать следующее:


Добавил выделение, чтобы было понятнее. По факту мы имеем утверждение производителя, что он туда ничего лишнего не прикрутил, но при отсутствующем исходном коде, всё в конечном счёте сводится к доверию пользователя по отношению к производителю сего девайса, поскольку проверить его утверждения невозможно. Но даже наличие исходного кода ничего на самом деле не гарантирует. Например, если там существует возможность обновления, то всё опять возвращается к вопросу доверия. А это в корне отлично от понятия "нормальности" в крипте. В крипте нормально не доверять

Благодарю вас, я там был и читал еще задолго до этого диалога, равно как и разборы-обзоры тех. спецов по этому кошельку

Используйте флешку + древний комп и живите счастливо со своей паранойей, но что-то мне подсказывает, что в течении пары лет вы достанете аппаратный кошелек и приобретете заодно пару часов лишнего времени

а как же двухфакторная защита? по идее без неё сейчас даже контактик не стоит у меня))

А у нас что например на Myetherwallet появилась двухфакторная аутентификация? или на Etherdelta? Что то такого нигде не наблюдал, поделитесь если знаете где это?

Да, действительно, но  безопасность все таки прежде всего. Как раз идет обновление системы, лучше уж пожертвовать производительностью чем деньгами.

Только было хотел порадоваться, что у меня АМД стоит, а тут такой облом. Но все же с ними ситуация получше. А как с Квалкомм? На смартах и части планшетов процы ихние стоят.
А еще  - я так мыслю, Интел не случайно такую дыру сделало, а намеренно. По просьбе всем известных пиндосских контор глубокого бурения. Посему Интел фтопку! Следует объявить им всемирный бойкот!

Ну раз читали, чего тогда постите ерунду про открытый код?

Баламут, я считаю деньги, потраченные на аппаратный кошелёк, выкинутыми на ветер. Ну поднял человек хорошо на битке, чего бы ему не поделиться баблишком с производителем флешек? У меня есть mp3 плеер (https://www.ozon.ru/context/detail/id/29701784/) от Transcend, который может использоваться как диктофон, радиоприёмник и даже просто как флешка на 8 гигабайт, и в 2015 году он стоил 1300 рублей вместе с наушниками (сейчас специально все цифры проверил). У меня в настоящий момент времени четыре валюты, не считая рублей и долларов, и что мне теперь на каждую отдельный кошелёк покупать?


Я вас умоляю, что АМД, что Интел, это одного поля ягодки

Вернемся к разговору через определенное время, когда весь их код будет открыт, они планируют это сделать. А сейчас код частично открыт, кошельки разбирали и проверяли  не одна сотня людей, поэтому параноидальную ерунду пишите вы, а я лишь привел ссылки, спасибо, что их почитали


А я уважаю свое время, выкинутое на танцы с бубном, у меня его мало, у вас, видимо, много :) В этом вся разница

Я уже отвечал на эту часть

Но могу повториться для слоупоков, что открытый код в данном вопросе ничего сам по себе не решает. Если в нём, например, предусмотрена возможность обновления, то разницы между открытым и закрытым кодом на практике не будет, поскольку ничто не мешает этому коду взять и обновиться соответствующим образом. И это только самое простое, что мне моментально пришло в голову. Какие бывают члены винтом - смотреть первый пост этой темы


Почему вы проигнорировали остальной мой пост и вырвали из него только ту часть, которая вас видимо больше всего устраивает? Как насчёт танцев с десятком аппаратных кошельков, из которых две трети даже не существует в природе? Монеты с которыми я когда-либо имел дело:

1. Bitcoin
2. Bitcoin Cash
3. Litecoin
4. Ethereum
5. Dogecoin
6. Dash
7. DarkNote
8. Monero

Писал по памяти и список далеко неполный

Может это просто вброс AMD с целью укрепить свои позиции, а?) Подумайте, кому еще может быть выгодна такая информация... Вот, кстати, браузерные кошельки - большой вопрос, оставляют ли чего из информации, аль нет. + то, что мы печатаем вручную - это же тоже наверняка проходит через процессор....

Нехилый такой вброс если Мелкомягкие и Линукс обновления критические уже выпустила, оставьте свои теории заговоров, проблема реальная и никем не выдуманная.

подскажите как установить линукс что б актуальная версия была для защиты от этих атак?

Скачайте дистрибутив с офсайта, к примеру Линукс Минт, можно кинуть на диск либо на флешку Руфусом, как только установите система сама обновится до актуальной версии. Во время установки советую включить шифрование.

спасибо. зашёл на линукс минт инфо. там серьёзный такой ликбез. сейчас почитаю о нюансах. а почему на комп нельзя и как потом кошельки на линукс ставить если он на флэшке? у меня винда 10, только что из лабаза и пара кошелей стоит. переносить придётся. ещё раз спасибо за ответ

Я бы не стал хранить кошельки на как вы говорите "старом" ноутбуке

Начало нового года нас порадовало. Т.е. фактически вся моя память со всеми паролями и сертификатами лежит  в открытом виде для хакеров

Для десятой винды заплатка есть, можете поставить, ссылка на заплатку есть в стартпосте.
Но переход на линукс, это правильный выбор. Надеюсь я вас не сбил с праведного пути.

Напротив помогли. Со вчерашнего дня мечусь что делать)))? пока отключил везде яваскрипты и не работал за основным компом. Дело в том, что у меня не хватает знаний для установки Линукса, стал читать форум об установке и не осилил пока. решил обновить винду 10 зашел на комп предложили обновить до версии 1709. скачал, комп готов к запуску обновлений. ну что ещё браузер обновлю потом ту заплатку поставлю. а вот с линуксом как то разбираться надо.
 Вопрос 1709 это нормальная версия? что то отзывы не очень

Судя по статье от Майкрософт 1709 это не защищенная версия. По крайней мере, я так понимаю.

Источник: https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Перед табличкой есть пердложение об этом: Windows-based machines (physical or virtual) should install the Microsoft security updates that were released on January 3, 2018. See Microsoft Security Advisory ADV180002 for updates for the following versions of Windows. И далее таблица с версиями ОС (с Win10 1709 в частности)

Там же есть рекомендация с возможностью скачать патчи:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Заплатку выпустили оперативно, но при этом очень корявую, что производительность процессоров теперь упадет. В зависимости от доли системных вызовов в конкретном приложении падение может составить от 1-2 до нескольких десятков процентов. Например, на PostgreSQL продемонстрировано падение более 20 %, в то время как в игрушках разницы практически нет.

дошёл до выбора обновления из каталога не могу определить что моё. по типу процесора в купе с 1709 несколько версий  ???их там 8 штук некоторые похожи. как выбрать? у меня проц AMD A-12 9720P   оказывается. комп hp

Дело не в куках. Память других процессов можно сливать. А ключи и прочее какраз в памяти находятся в момент разблокировки кошелька например, подписывания транзакция. Слава богу у меня trezor =)

Т.е. надо теперь все кошельки новые делать и переводить туда средства, т.к. старые сделанные до патча приватные ключи/сиды могли быть украдены?

открыл окно характеристик компа, но по каталогу было трудно выбрать один из 8 вариантов. обратился в майкрософт, заказал звонок, но звонили англоязычные. тогда в чате списался  с  агентом и через гугл транслейт пообщался. Разобрались, перешёл по ссылке и вот тут мне уведомление сообщило что данному компу обновление не нужно и как ни странно эти обновления у них катируются декабрём прошлого года? они что уже в том году знали об уязвимостях, создали обновления а заявили об том сейчас в январе? или я что то не понимаю?хороший вопрос. присоединяюсь. пока так вопрос не стоял

блин как же мошенничество настолько развито, что теперь не зная о процессоре можно подозревать его в краже своих сбережений.

Теоретически да. На практике, наверняка рабочих зловредов юзающих уязвимости подобного характера  скорей всего нет. Но опять же, внутрений параноик может быть не согласен с этим мнением.

параноика теперь убедит только ещё один комп. теперь уже только под кошельки без всяких бирж. ибо заплатки могут тоже выясниться уязвимыми

Вот инструкции защиты для хромоводов:

Получается, что так... мда уж, беда пришла, откуда не ждали. Хз теперь, как избавиться от паранойи ) холодный кошель вроде, как вариант, но и то уверенности в надежности маловато.

Вроде аппаратные кошельки не подтверждены данной уязвимости.

Развитие технологий подразумевает и новые неприятности с этим связанные, особенно когда вопрос касается прибыли. Нельзя быть уверенным ни в чем.

Насколько я понимаю данный баг крайне сложно использовать, и готовый способов нет. Думаю универсальный совет не лазить по левым сайтам.

Сложно, но реально. Особенно когда речь заходит о потенциальной возможности урвать огромные суммы.

Больше похоже на пиар и рекламу аппаратных кошельков

Да, так "похоже", что мелкомягкие в экстренном порядке патч на мастдай выкатили. Сколько же им заплатили? ;D

Я за свой ПК вообще не волнуюсь. кому вообще я сдался. никогда не боялся что меня кто-то взломает. ведь этого никогда не случится.

Именно вас искать хакеры не стану. Просто зараженный сайт сам считает все что надо и все дела.
Только осенью апгрейдил комп... Взяд интела проц

а какая разница? вроде все процы уязвимы.у меня проц AMD но от этого не легче

На мак это распространяется?

Да и даже на IOS ;)

А что такое "левые сайты" с текущем развитием интернета? Если я ищу рецепт яичницы и посещаю многие сайты в первый раз и не знаю опасны они или нет, это левые сайты? Такой совет подходил раньше, когда интернет был менее развит. Сейчас было бы актуальнее порекомендовать не заходить по ссылкам которые Вы получаете из незнакомых источников т.к. понятно, что если захотят украсть крипту, то будут пытаться впарить вредоносные ссылки как раз на крипто-ресурсах.

подвержены все. менее рискованные агрегаты можем выявить? пришло время видимо парк пополнять, надо понять что покупать. и время свободного сёрфинга похоже заканчивается.

Глава Intel знал об уязвимости в процессорах, когда в прошлом году продал почти все принадлежащие ему акции компании (https://itc.ua/news/glava-intel-znal-ob-uyazvimosti-v-protsessorah-kogda-v-proshlom-godu-prodal-pochti-vse-prinadlezhashhie-emu-aktsii-kompanii/)

Надеюсь комитет по этике (если он есть в сфере бизнеса США) проест не одну плешь на его голове за то что он не сообщил об этом раньше. Надо завести второй ноут только для крипты.

Время свободного майнинга и бездумного участия в аирдропах, потому как они просят пройти на разные сайты на которых можно легко подхватить какое нибудь чудо.

1 сайт-1 девайс. дифференцирование рисков. как вы себя чувствуете, не боитесь на крипторесурсы выходить? может я один параноик старый)))

а что уже есть информация о новых процесорах без уязвимости?

Скиньте ссылки на обновления от этой заразы. Windows 7 и Windows 10, кому не сложно. Заранее благодарю.

Тут в начале топика писали что виртуалка не спасает конкретно от это уязвимости проца.

ютуб в помощь, легко можно найти мануал как поставить тот же VirtualBox и ОС на него, ничего сложного.

Это не патч корявый. Это настолько принципиальная проблема в подсистеме упреждающего выполнения, что патч, по сути, чистит контексты при каждом syscall'е - т.е. мы получаем проц, в котором выигрыш от упреждающего чтения не такой заметный, а где-то (в операциях с большим количеством ввода-вывода) сводится на нет.

Инфа больше похожа на лажу
Уже реально были прецеденты с пруфами?

https://support.microsoft.com/en-ca/help/4056892/windows-10-update-kb4056892

Ну проест и что? все-равно факт остается фактом. Нам придется каждый раз дергаться от страха быть обворованными, ну или само собой переходить на холодные кошельки.

Интересно подешевеет ли техника на процессорах Интел (backdoor Inside) в ближайшее время или компания тупо сделает новые процы в разв дороже ?

Хе-хе... проблема в том, что такие компании как Интел имеют план выпуска новых процов на года вперед. Это не происходит типа сегодня сделали новый проц, в через неделю он на прилавках. Они постепенно делают процы лучше и лучше и распродают их и пока хорошо не продадут текущие, новые мы не увидим, хотя они уже и существуют. Не выпускать уже разработанные процы огромные потери, так что как многие говорят, ближайший 1-2 года мы можем не увидеть новых процов с закрытой дырой, тем более что еще нужно понять как правильно ее закрыть.

Я с этим не согласен

Выпускать дырявые процы - это заранее подписать себя на убыток, особенно в свете того, что есть более безопасная альтернатива. И разработанность планов на года вперёд здесь не будет играть никакой роли, чай не при Советах мы живём. Сколько стоит топовый проц - баксов 300-500? А сколько стоит нормальная тачила? На порядок, а то и два побольше, однако это не мешает производителям отзывать уже выпущенные тачки, если всплывает какой-то дефект. И чем, спрашивается, Интел лучше автопроизводителей? Я вас спрашиваю!

Да уж новости, если темная сторона реализует доступный бакдор на этой схеме будет очень кисло. Особенно в связке с джавой (кошмар для баунтистов)
и ведь не вычистишь как обычный вирус из системы юзера.
Одно радует, что для онлайн кошелей у меня железка на атомD2500

Если кошелек лежит на флешке, но им пользовался в тот момент, когда он был подключен к компьютеру с инетом, то кошель уязвим?

Забавно, что даже на данный сайт не зайти без включенных Js - скриптов, благодаря капче от самого гугла. А заражение через JavaScript наиболее вероятный вектор атаки.

я захожу через мозилу с отключенным яваскриптом

Серьезный баг, и даже очень. Давно такого не встречал. Уже боевые сплоиты гуляют по сети.
Там еще много интересных вещей по ходу дебага всплывает, не только у интела такая трабла скорее всего.

Не один презерватив не защитит от ВИЧ, пользуйтесь руками. Вашим кошельком заинтересуются хакеры если там будет не менее 100 BTC

Года через 1,5-2 будет. :)
Уязвимость принципиальная, у инженеров Intel и ARM будет затяжной секс с переделкой проца так, чтобы закрыть эту дыру и производительность не пострадала. Возможно, внесут серьёзные изменения в архитектуру, сделают ее иной, выпустят компилятор под нее. Старый софт будет тормозить, новый работать быстро. В любом случае, это тысячилетия челолвекочасов при разработке, тестах, адаптации. Быстрого прорыва ждать не стоит.

так речь же не идет о целенаправленной атаке на мой компьютер

Ну новый сделают нескоро, но патчи обещали же, правда не очень понятно, насколько подлатать удастся такую дыру.

а как же двухфакторная защита? или все равно на защиту?

Есть вариант - поставить двухфакторную от самого себя, чтоб смс приходило при каждом входе в собственную систему

Значит надо 10 кошелей иметь на такую сумму. Как сделали братья, которым фейсбук 65 лимонов выплатил, раздробили весь капитал на мелкие части

Надеюсь, это ушлого паренька посадят надолго. Вроде за такое ему хорошенько прилагается и отмазаться не удастся. Этот фейл покруче дизельного скандала Volkswagen.

Тоже подумалось, что на фоне всеобщей криптоистерии это неплохой рекламный ход для интел. Своими монетами уже никого не зацепишь, а тут под страхом быть обворованными люди побегут закупать новые камни.

Вообще-то это серьёзный удар по репутации Интел

Мне даже интересно, как люди могут рассуждать подобным образом, неплохой рекламный ход, ага. Люди может и побегут закупать новые камни, только это будет не Интел. Приведу пример, у меня была топовая электрическая зубная щетка от Oral-B, я пользовался ей без малого семь лет, пока аккумулятор не перестал держать заряд. Потом я купил (https://www.shop.philips.ru/jelektricheskaja-zubnaja-schetka-philips-sonicare-hx6902.html) щётку от Phillips, тоже из топовых. Через пару месяцев после окончания гарантии (2 года) у неё, падлы, сломался вал. Теперь эта фирма для меня не существует

Ведь хорошие процессоры были... Зачем нам подрезки и новые линейки...

=) а какие камни побегут покупать? выкатят релиз что вот новый камень все исправлено, и люди пойдут обновляться...

Вечные вещи делать невыгодно для производителя, вспомните неубиваемые 140 мерсы, которые до сих пор без единого пятнышка ржавчины гоняют и какой они они вызвали эффект, также и тут. Но это наверняка не рекламный ход, так рисковать никто не будет.

Кому сейчас вообще важна репутация? Прям очень там интел переживает за свою репутацию, ага. А если учесть, что на рынке они монополисты практически. Вполне себе ожидаемый рекламный ход. Не то уже время, чтобы переживать за свою репутацию, да и народ щас схавает все. Скажут - ой, на самом деле мы ошиблись и круче наших процессоров ничего нет для вашей крипты. Средства массовой информации это великий рычаг, с помощью которого управляют нашими умами, нашими жизнями. Репутация - прошлый век.

В прошлом году купила топовый процессор 6700K. Столько денег отвалила за него, нарадоваться не могла своей покупке.... Вопрос, так и остается спорным, доверятся аппаратным кошелькам или нет.

Да не особо они монополисты, AMD прижимает их в последнее время, кстати, они практически решили вопрос с перегревом процов и выглядят на фоне последних новостей предпочтительней.

Здесь есть патологический нюанс

Который заключается в том, что люди сейчас живут долго, и будут жить ещё дольше. А вечным людям будут нужны вечные ценности (зачёркнуто) вещи. Ну по крайней мере такие, которые прослужат столь долго, что человек сам захочет их поменять на новую модель. Желательно того же производителя. Например, сейчас у меня опять зубная щётка от Oral-B. Поэтому делать шлак, который выходит из строя сразу после истечения гарантийного срока - это вредить себе в долгосрочной перспективе. Так что это палка о двух концах


Вам не приходило в голову, что вы сами стали жертвой средств массовой (дез)информации?

Да нет, Intel по прежнему имеет огромную долю рынка, вот график, свежее не нашел, но картина ясна:
https://s.4pda.to/mnMKG7nyuvkbdX72Rd8wQly5X00xat.png

Десктопную часть рынка AMD чуток отожмет, а вот их серверные процессоры по прежнему не впечатляют, а это огромная часть рынка. Лично я, хотел бы что-бы AMD оторвал половину рынка и смог создать хорошую конкуренцию, мы бы только выиграли.

AMD менее уязвимы?

Ошибка, как утверждается, обнаружена и в чипах производства AMD, хотя, возможно, они подвержены уязвимости в меньшей степени.
Так что хрен редьки не слаще, получается. :-[

Там 2 типа ошибки, Spectre и Meltdown.

AMD подвержена только первой (полегче) и только под линуксом с дефолтной настройкой ядра. Intel "поддерживает" обе в любых ОС (вот где полный треш).

http://i103.fastpic.ru/big/2018/0108/ed/1e47d58f843869119d0c841e78739eed.png

Вообще-то там написано обратное

А именно, что указанная ошибка (Spectre) проявляется в недефолтных конфигурациях ядра. Как я понимаю, речь идёт о каких-то специфических опциях (возможно чисто AMD-шные оптимизации), до которых простому пользователю ещё нужно добраться. Если до них, конечно, раньше не добрались разработчики конкретного дистрибутива. Но ничего страшного, выкатят обновления, где они будут отключены. Как говорится, AMD рулит. При этом стремительный рост популярности камней AMD во второй половине 2017 года выглядит весьма подозрительным. Они знали!!!

мне важна. И еще нескольким миллиардам людей - если они, конечно, не полные дебилы. Вот просто смешно читать такие заявления, что "кому важна репутация". Если человек у вас однажды украл что-нибудь, или сделал еще какую пакость - его не обязательно сажать в тюрьму. С таким человеком просто никто не будет иметь никаких дел - не разговаривать с ним, не покупать ничего у него, ни продавать ничего ему, даже стоять рядом не будут, и даже в туалете гадить рядом не присядут по поговорке. Так же будет и с интел. Ибо нефиг!

Просто нужно пользоваться нормальным браузером. Почти сразу с новостями, вышел Firefox 57.0.4, где был патч на такую лазейку через сайты. Потом и Chrome подоспел. Системные обновления прилетают. Да и готовых эксплойтов по сети - так и нет пока. Бояться особо нечего.

https://d.radikal.ru/d32/1801/89/0e9971835cfc.jpg

Проверяйтесь на здоровье. На самом деле каждый день множество интересных вещей всплывает.

Сейчас, наверно, хакеры уже пишут новые вирусы под этот баг. Учитывая распространённость процессоров Intel, готовимся к громким кибер-атакам.

это правда, репутация сейчас очень важна. так что говорить, что это не так - это не очень разумно)

Под мак вышло обновление. Советуют скорее поставить 

Проверил последний Firefox :

https://d.radikal.ru/d23/1801/85/fbb28b750838.jpg

Потом проверил последнюю Оперу:

https://d.radikal.ru/d13/1801/3c/198da4bd9970.jpg

Операсты явно не хотят шевелится, поэтому фанатам данного бренда (зачёркнуто) браузера следует переехать на что-то более продвинутое, по крайней мере, пока они не зашевелятся и не выпустят пропатченную версию. Но в целом неудивительно, что они с таким подходом потеряли значительную часть рынка браузеров. Кто знает, под Хромом есть возможность пользоваться бесплатным VPN, как под Оперой? Полезная штука, однако

Нифига не ликуют, эту уязвимость демонстрировали как раз на амд процессорах (что не отрицает уязвимости других). Вот кто ликует - это производители hardware wallets. Если кто покупать собирался - то поспешите, пока цену не догодались поднять.

Интел в последнее время конечно скурвился. То вместо припоя под крышкой термопаста, то вот теперь уязвимости из-за которых могут украсть важные данные. Хорошо что у меня проц амд, можно спать спокойно

где-то уже подобное происходило?!!

Да опера уже давно умерла. Сейчас пользуюсь только из-за бесплатного VPN, но он очень медленный, но надо отдать должное - стабильный.
Под хромом встроенного нет, есть расширения, например Hola не плохое.

Хорошо я пароли явки на папирус записываю, а то фиг знает что с этой обычной бумагой может случиться через пару лет в сейфе. А папирус уже веками испытан, так что открываю компанию по продаже папируса ;D ;D

Лучше скупайте AMD'шные процы, пока они ещё есть на рынке. В течение месяца исчезнут как и видеокарты. Зато будет много дешёвого интела. :)

а мне повезло я себе комп перед нг брал дорогой. амд попался. надо ещё парочку недорогих взять. а чо если у ни цена как комиссия в криптообменнике

Гуглите "free vpn google chrome" множество вариантов, только незнаю какие рабочие и актуальные так как не юзаю бесплатные. Да насчет оперы уже было замечено что у них косяки. Тестировали разные варианты ноутбуков с разными браузерами как с патчами так и без, там множество проблем вылезает на разных этапах.

Помогло обновление?

Chrome (далеко не последняя версия):
The most dangerous threat of the recent Spectre Attack(CVE-2017-5753、CVE-2017-5715) for individual users is attacking from web browser to steal your personal accounts and information, such as your emails, dropbox, etc.

This tool can detect whether your browser is vulnerable to Spectre Attack and can be easily exploited.

If the result is VULNERABLE, it is definitely true. However, if the result is NOT VULNERABLE, it doesn't mean your browser is absolutely not vulnerable because there might be other unknown attacking methods.

This tool is still in developing, stay tuned...

ВПН впном, но только как впн может противодействовать ошибке интела? Я замечаю что после каждого выхода новых процессоров интел постоянно возникают какие то проблемы с процессорами и постоянно выпускают обновления для ОС по вине интела.

Все таки не стоит сильно лить грязь на Intel, частично обложилась все, кто-то больше, кто-то меньше, но все таки... Intel сделал очень многое для развития индустрии и их процы хороши, так что не стоит закапывать их раньше времени, хотя надеюсь, они усвоят этот урок.

VPN сам по себе здесь не при чём

При чём здесь то, что многие люди (включая меня) пользуются Оперой именно по причине наличия этого самого бесплатного VPN, работающего из коробки. Вроде должно быть понятно из обсуждения, о чём идёт речь, не? Это, можно сказать, киллер-фича Оперы, которой нет у других браузеров. И лично у меня нет никакого желания ставить левые дополнения обеспечивающие сходный функционал. Кто его знает, что они там на самом деле делают?

1. Что нужно знать пользователям Android и Chrome о Meltdown/Spectre
https://www.androidcentral.com/meltdown-spectre
если вкратце: да, вас это, скорей всего, затрагивает. да, надо ставить апдейты. нужно больше осторожности.

2. Что Meltdown/Spectre значат для WebKit
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
Это относится к iOS, macOS и Safari. Соответствующие апдейты, минимизирующие риски, уже выпущены. Потеря производительности незначительна.

3. CEO Intel пообещал, что апдейты для 90+% затронутых процессоров выйдут в течение следующей (то есть этой) недели
https://techcrunch.com/2018/01/08/intel-ces/

4. Microsoft временно приостановила раздачу апдейтов, защищающих от Meltdown/Spectre в связи с тем, что многие пользователи жалуются на проблемы после апдейтов. В частности, пользователи жалуются на такую мелочь, как то, что компьютеры перестают загружаться. Подумаешь!
https://www.theverge.com/2018/1/9/16867068/microsoft-meltdown-spectre-security-updates-amd-pcs-issues

Берегите там себя!

Многие эти дополнения к примеру в хроме или в мозиле реально потенциально опасны и уже неоднократно и встраивали свою рекламу и собирали статистику, так что доверия нет.

Главное даже и не в том чтобы они усвоили урок а в том чтобы они оперативно исправили свою ошибку, ведь реально многие на них работают с достаточно важными сведениями.

На iPhone и iPad скачиваю в AppStore программы, которые настраивают vpn и работаю с ними. Очень удобно. В магазине множетсво как платных так и бесплатных программ для этого.

Вобще то VPN никак не спасет вас от уязвимости в процессоре, да Эппл одна из первых пропатчила систему, но опасность до сих пор остается, spectre и те кто его использует не спят.

ВОбще то AMD тоже подвержены подобной атаке, только ее провести намного труднее чем Meltdown, многие факторы должны сойтись, поэтому безопасных процессоров пока нет.

По поводу впн, так как комментировать всех нет желания напишу проще. Все что не openvpn априори не есть хорошо, все эти приложения для браузера помогают только браузеру и все. Если уж хотите бесплатный впн то проще искать сервисы с openvpn которые предоставляют тестовые периоды, таких чуть больше чем много.

Ну так это надо заморачиваться

Метаться от одного сервиса к другому, выискивать места с тестовыми периодами, настраивать сетку под это дело. А в Опере уже всё из коробки работает, только галочку осталось поставить. В принципе, для меня не составит труда в этом разобраться, но это надо время тратить, тогда как VPN мне нужен только сёрфинга, поэтому смысла поднимать отдельную сеть нет. К тому же что плохого в оперовском VPN, если не принимать во внимание текущую уязвимость браузера? Конечно, если её не устранят в ближайшее время, то тогда, надо думать, как дальше жить. Есть ли жизнь после Оперы?

Да врядли цена сильно упадет, жадность интела не даст дешую цену, даже если продажи упадут. Но если все же произойдет чудо то хоть кто-то выиграет от этого, любители игр, которых безопасность данных волнует не сильно.

В таком случае можно поставить расширение scriptsafe (для всех браузеров, аналог noscript для firefox) которое режет js и множество других интересных вещей таких как например "цифровые отпечатки" и забыть о проблемах. Там довольно тонкая настройка, но при желании разобраться можно за полчаса. Это все в случае если вам по каким то причинам опера роднее и удобнее чем любой другой браузер. Патч все равно должен выйти в ближайшее время который фиксит spectre. Ну а насчет впн я уже писал, все что не openvpn интереса не представляет так как работает только в браузере. Здесь у каждого свои предпочтения.

По сути, современные процессоры Intel включают ошибку проектирования, которая может позволить вредоносным программам читать защищённые области памяти ядра (область ОЗУ, выделенная для наиболее важных основных компонентов операционной системы и их взаимодействия с системным оборудованием). Этот недостаток может потенциально открыть защищённую информацию, такую как пароли. Поскольку ошибка внесена на аппаратном уровне 64-битных чипов Intel, она требует исправления на базовом уровне в каждой популярной операционной системе, включая Windows, Linux и macOS. :(

Для Spectre, говорят, придётся каждую прогу патчить, в которой возможно исполнение пользовательского кода. В основном это браузеры, игрушки, и штуки вроде PHP. Но это все равно фейспалм...

мозг цепляется за соломинку)))на 32-х битные угроза не распространяется?)))

Вот так новость, уязвимость то просто колоссальная по своему масштабу и вреду который может нанести, повезло же что комп пару месяцев назад сменил и повезло что не интел сейчас, и так за кошельки трясусь постоянно.

С этой безопасностью совсем уже беда. От всех этих файерволов, антивирусов, брандмауров комп уже еле шевелится. Так теперь еще уязвимость обнаружилась в процессоре. И чтоб ее залатать, нужно ставить обновление, которое замедляет процессор. Замечательно!

у меня уже нервный стресс)) сначала процы и браузеры латал на двух компах. теперь кошель электрум уязвимостью обрадовал. с ним разбираюсь там тоже нюансов море... прям подарки новогодние)))

кста...касается не только интел. ставьте патч

Безопасность она такая, никогда не может быть абсолютной. Это нужно помнить всегда, даже в "спокойные времена", это может спасти и не один раз. Но надеюсь нам всем повезет и мало кто из нас столкнется с трудностями.

Мне кажется нужно меньше заморачиваться на всяких уязвимостях, кому нужно и так обчистят вас до нитки если захотятт))

что странно, при такой серьёзной уязвимости, нет статистики по взломам. Хотя я знаю, что очень многие пользователи в лучшем случае проигнорировали предупреждение, а в худшем даже не знали о нём.

Я вижу на форуме предупреждение о уязвимости в электруме и не запускаю его. А какой смысл запускать электрум если транзакции дорогие?
Думаю что когда электрум не запущен то моему кошельку ничего не угрожает, а когда битки понадобятся тогда достану приватный ключ и через блокчейн инфо отправлю их если новый электрум не выйдет к тому времени.

Я не эксперт и может глупость скажу, но может просто быстро нашли и прикрыли дыру, хакеры не успели написать прогу для изъятия данных? Это логично, раз нет целой волны жертв.

Ходят слухи, что закрытый эксплоит ходил по форумам давно. Не знаю, насколько этому можно верить - скорее всего тогда было бы куча троянов и скриптов, эксплуатирующих дыру давным давно.

Эта новость звучит как реклама процессоров AMD. Возможно конечно есть уязвимость у интеловских процов но всё же как-то не верится. У кого-то что-то украли? Отзовитесь!

Электруму, всё что до версии 3.0.5, угроза появляется при включённом браузере. Как я понял, через ява скрип появляется доступ. Уязвимость обнародована сравнительно недавно, и велика вероятность, что под неё ещё даже не написали вирусы. Новая безопасная версия уже есть, иначе уязвимость не стали бы публиковать. рекомендовано обновиться до версии 3.0.5. При этом, рекомендуют скачивая файл, пройти проверку подписи разработчика. я эту процедуру не осилил, просто обновился до актуальной версии. Пока полёт нормальный.

По этому и нужно хранить все на флешках

Флешку ты куда подключаешь? Система может быть скомпрометирована за то время пока ей пользовались. При подключении увести могут ключи.

К сожалению пользуюсь Intel,по мне так к этому разработчики примут меры и всё норм будет. Боятся можно всего,вот только смысл?!

да тут не надо быть экспертом. спросите своих знакомых человек 5. кто из них знает об этой проблеме. я так ночь не спал после публикации.утром у меня стоял патч и все браузеры обновил. хотя для меня это в новинку. сейчас сижу чуть ли не на 3 сайтах)). мало кто обновлялся и почему то никого пока не хакнули. при этом все по прежнему порнуху смотрят кино и тд.))))

ну что в итоге? какие процессоры безопасны? буду комп собирать.

Похоже на рекламную компанию, не более.
А топикстартер и его поведение лишь дискредитирует саму новость.
С чего бы ему так сильно переживать за нашу безопасность?
Почему так усердно заставляет скачать тот софт?

ну это невозможно,ибо все скрыто и они не смогут получить доступа никакого

так и появились ли готовые сплоиты? или все уязвимости только на бумаге так сказать?

Для хранения кошельков надо использовать отдельную машинку

Которая не должна иметь выход в Интернет, ну а на флешке можно переносить уже подписанную транзакцию, и в этом случае никакие вирусы и дыры уже не страшны (естественно, должны быть отключены всякие автозапуски). Кстати, вышло обновление Оперы до версии 51.0.2830.2, раньше была 50.0.2762.42 (у меня по крайней мере). Теперь при проверке получается результат "Your browser is NOT VULNERABLE to Spectre". Советую всем пользователям Оперы срочно обновиться!

ничего, что эта новость прошла по всем мировым новостным ресурсам, в т.ч. и российским?

Сноуден, например, показал: https://twitter.com/Snowden/status/949047283357806593

Я не думаю, что хакеры бесплатно на гитхаб выложат. Но по закрытым форумам уже гуляет кое-какой любопытный софт. Массовое поражение дело нескольких дней-недель, думаю.

Новость действительно правдивая. Есть друзья в этой теме - реально озаботились своими сбережениями.
Надо заказывать леджер - вот решение проблемы.

Ошибка, обнаруженная в процессорах Intel, позволяет хакерам заглянуть во все приложения на компьютере: все конфиденциальные данные, переписки, логины, пароли, платежные карты могут в один момент попасть в руки злоумышленников.
Ну трындец, по ходу все пароли сегодня нужно хранить в обычных бумажных блокнотах.

Скажем так что все это пока на уровне новости(простых обычных разговоров),до реальности пока дело ,как я понял ,не дошло.А вот предлагаемые обновления как раз и могут содержать в себе уязвимые места которые вы сами на свой комп и поставите.

Не поможет, тут проблема не в хранении. Если Вы введет этот пароль на ПК с вредоносным ПО, то он может утечь. Активного использования уязвимости мы пока не замечаем т.к. это требует подготовки, злоумышленник должен за ранее знать что именно он хочет получить от жертвы, так что через какое-то время, думаю, будет волна таких атак, вот так и увидим на сколько реально мы готовы.

А Intel не подтвердили еще правдивость этой информации?

Исходя из новостей - скоро появится куча новых вирусов на нашу голову, или компы. Похоже проблемы в этом году с безопасностью только усложняются. 

Уже есть готовые сплоиты и во всю масс сканинг идет, множество случаев атак зафиксировано.

парни, так какие процы безопасны на данный момент из существующих? спасибо.

Или наговнокодили, потому что надо быстрее, выше, сильнее, а сохранять обратную совместимость приходится. Тут точно неизвестно. Сложно обвинять в злом умысле людей, которые проектируют штуки, все устройство которых не помещается в одной голове, несмотря на обилие слоев абстракций.

1. Тут Google рассказывает, что их исправления уязвимостей M/S не приводит к потере производительности их облачных сервисов
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/

2. Вчера AMD созрело на новое заявление касательно того, как M/S влияет на продукты, использующие процессоры AMD. Там они подтвердили, что оба варианта Spectre затрагивают процессоры AMD, а вот Meltdown все-таки не затрагивает
http://www.amd.com/en/corporate/speculative-execution

На выставке AMD продвигает свои новые процы вот и выбросили черный пиар.Обычная конкуренция и обывателю нечего беспокоится.

Воры эти все только и хотят стырыть криптовалюту ее стало тяжело прятать от их!!

Не аругмент. Суть новостей - спекулировать на мнении обывателей. Особенно, если новость глобальная.
Пример: недавний запрет на криптовалюту в одной из стран Азии (я даже не помню, где) и на след день опровержение. Просто кто-то перезакупиться захотел)

можно пруфы на ваших экспертов?

Вот я о том же.

Тем не менее, про безопасность никогда не стоит забывать. И нужно быть бдительным, особенно когда дело касается денег.

Вы всерьез думаете что информация не настоящая? Пруфы еще какие то на экспертов просите. Я сам за последнии несколько дней через свои руки пропустил около 100 устройств различных от телефонов до серверов и почти везде проблема существовала. Так что если вы фома неверующий, вами любое мнение экспертное всегда будет ставиться под сомнение.

Как проверить своё устройство на уязвимость? Браузерами (Я, Сhrome, Opera12) прошелся по ссылке выше - не подвержены.

Мошенников везде хватает Ну так чего же теперь...и карточки банковские тоже потрошат.. Волков бояться в лес не ходить лучше вообще без денег нищим сидеть

Об этой уязвимости эксперты знали ещё с лета. Думаю, что эту самую уязвимость обнаружили в процессе расследования последних крупных взломов.
Другое дело, как разработчики "проглядели" такую дыру в безопасности?

Там всё запутано донельзя

К тому же наверняка разработчики и те, кто анализирует и проверяет те или иные подходы и решения на безопасность - разные люди. Которые, возможно, даже сидят в разных кабинетах на разных этажах. С другой стороны, я согласен, что резкий рост продаж процессоров АМД летом уже прошлого года даёт немалую почву для подозрений. Что эта новость далеко не новость для определённого круга людей. Как говорится, не так тесен мир, как узок круг

Возможно об этом знали люди и раньше лета прошлого года, да и разработчики как мне кажется знали уже давно, просто не хотели срывать продаж.

Хотите сказать что уязвимость была найдена в действии? Не думаю что такое возможно, если только кто то из взломщиков проговорился, что маловероятно.

ну если уж быть приверженным конспирологии до конца, следует сделать логический вывод. значит нашли свежую уязвимость, а старую слили.  ;D

Дауж.. дауж.. Хоть у меня и AMD, но как-то стремновато стало.. Думаю, и AMD - не "Форт Нокс", дело времени.. Пячаль..

Производитель процессоров начал в спешке выпускать патчи, которые исправляют уязвимость, однако такой подход работает лишь с некоторыми моделями. Если брать в целом, программные заплатки должны выпускать непосредственные производители системных плат или устройств, чего не удастся добиться в кратчайшие сроки.
Надеюсь, что у меня "некоторая модель" ) А то не хочется каждый раз дергаться.

После нового года не дергаться уже не получится, да и новые процессоры выпустят совсем не скоро, хотя даже в этом случае неизвестно, может и в них что то есть, о чем мы не знаем.

кто знает, последнее обновление оперы закрыла дыру?

Радуются только производители АМД. А нам остается самим беспокоиться о безопасности. Я решил с криптой работать только на ноуте теперь, там все ок

Там все еще интереснее. Об уязвимости известно давно, и кому надо, её вовсю использовали. Полгода назад о ней знали в Intel и AMD. AMD залила палевный патч ядра linux. Независимые исследователи обратили на это внимание, полезли ковыряться и нашли то, о чем все сейчас шумят.

Печально что так долго обновляли, больше недели с анонса уязвимости. Только я так и не понял обновления браузера достаточно или патч-заплатка на ОС тоже нужна обязательно?

Ребят, Mozilla 57.0.4 вроде последняя версия пишет, в этой версии дырку прикрыли, кто знает отпишитесь плз. Не ожидал я такого подвоха от мелкомягких, если все что написано в анонсе это правда. Догадывался что везде есть дыры для спецслужб, но что они попадут в паблик, это плохо.

На правах конспирологической теории

Я не знаю, о каком патче идёт речь, но, на мой взгляд, вполне возможно, что на это и был расчёт, т.е. AMD специально сделала так, чтобы хакеры, любящие поковыряться в потрошках ядра, обнаружили эту уязвимость. Грубо говоря, это был грамотный вброс, который по сути подставляет заклятого друга AMD. Полагаю, что теперь масса народу ломанётся анализировать архитектуру современных процессоров на предмет наличия подобных уязвимостей


Дырку прикрыли (в Опере на Линуксе тоже)

Да уже ломанулись, с нового года сидят, раньше это направление считалось малоперспективным, но все же рабочим, одиночке трудно было найти то чего не нашла целая корпорация. А щас на удачу работают ребята.

В общем, все, кто следят за безопасностью и вовремя обновляют софт можно отставить паранойю. А вот тем, кто после установки ОСи сразу же отключает центр обновлений никто не поможет. Так им и надо. :)

Простое объяснение уязвимостей "для чайников":

http://img.youtube.com/vi/Xfb8ht4UwOw/hqdefault.jpg (https://www.youtube.com/watch?v=Xfb8ht4UwOw)
https://www.youtube.com/watch?v=Xfb8ht4UwOw

Паранойя часто хороший инструмент... этот дыре больше 10 лет, а патчи, и то только на meltdown, вышли только сейчас, Вы так уверены, что все это время о ней никто не знал? Я бы сказал так, паранойте! защищайте свои данные как и себя! Это может Вам помочь в дальнейшем, весь мы не знаем, о какой еще дыре расскажут завтра.

Насчет паранойи согласен - "береженого - бог бережет", главное, чтобы паранойя была в здоровом русле, а то чего только я не повидал - даже конденсатор прикрепленный через датчик наклона к катушке вокруг жестака. Не знаю насколько действенна система но выглядела внушительно.

Собирался покупать для работы новый ноут на процессоре Intel, теперь из-за таких новостей передумал, так как крипту теперь могут увести в любом случае. Немного обидно.  :-\

Да обновитесь и живите почти спокойно... не надо поддаваться общей панике, соблюдайте при работе в интернете основные правила безопасности и ничего плохого не случится.

поэтому лучше тупо забить у купить леджер)))

Получается что с Mozilla 57.0.4 можно не бояться подцепить через JavaScript что то типа Meltdown или Spectre? Нужно ли для этого установленное обновление или мозилы достаточно?

Леджер разве поможет если его код обрабатывается также в памяти процессора и также передает туда шифрпары? Может я и не прав, если да то поправьте.

А что слышно по поводу браузеров на основе хрома  ? Холодные кошельки я так понимаю тоже попадают в зону риска , если действительно есть способ считывая с памяти.

тогда плохо блин, скоро появятся наверно первые цифры о масштабах от антивирусных контор 

Уязвимость не шуточная и такую новость хакеры не проморгают, тем более далеко не все закроют дыру обновой, а значит даже сейчас полно тез на ком они поживятся.

Друзья а в Яндекс Браузере 17.11.1.988 уязвимость уже закрыта? Что то не смог найти инфу.

Лучше скорее перейти на нормальные браузеры. Хром и мозила дырки уже прикрыли.

Самая большая проблема за время существования развития компьютеров, это же надо. Ужасная новость просто.

 

На вопрос " Как проверить своё устройство на уязвимость", наверное, долго ответа не будет, да? :)

От Spectre обновляется софт типа браузеров, от Meltdown нужно обновить ОС.


Тему пролистайте. Кучу раз ссылку скидывали.

Или в гуггле забанили?

https://react-etc.net/entry/javascript-spectre-meltdown-vulnerability-check-for-browsers
https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker
https://www.ghacks.net/2018/01/11/find-out-if-your-browser-is-vulnerable-to-spectre-attacks/
https://www.cyberciti.biz/faq/check-linux-server-for-spectre-meltdown-vulnerability/
https://betanews.com/2018/01/11/spectre-and-meltdown-checker/


А хакеры и до этого особо не моргали. Проблема в другом, сейчас толпы скрипт-киддисов подтянутся.

Казалось бы - такая серьезная корпорация.. а сколько миллионов людей подставила.. После таких новостей, наверно Intel уйдет в небытие?

не уйдет. Контора не позволит. От государства деньжат подкинут и инфоволну погасят. Иначе те, кто для конторы эту дыру оставлял, раскроют свой рот, и вот тогда мало никому не покажется.

Самое главное успеть вовремя обновиться, и все будет в полной сохранности.

Да не оставлял никто эту дырку ни для кого, ошибка архитектуры, если бы они реально для кого то что то оставили то это было бы сделано так что никто никогда не нашел бы, а если бы и нашел то не смог воспользоваться.

ерунда какая. Не нужно считать конторских прям такими гениями ниибацца. Такое только в кино бывает. Тупизма там хватает. И  случайно найти можно, и пользуются вовсю конторскими дырами, но гораздо вероятнее - слив сознательных челов вроде Сноудена. Были же уже сливы в викиликс эксплойтов, бекдоров и прочего совсем недавно. И эта сабжевая уязвимость вполне могла быть сливом, замаскированным под "случайно нашли".

Что значит "если"?! Об уязвимости уже все профильные и непрофильные ресурсы написали, называют крупнейшей уязвимостью со времен ошибки с FDIV в процессорах Pentium в 1994, все разработчики ОС и актуального софта выпустили критического уровня заплатки для своих продуктов... а для многих здесь до сих пор "если это правда". Вы вообще новости читаете?

Знаю, что многие любят по каким-то странным соображениям отключать обновления ОС сразу после установки. Этот пост - предостережение для них.

Эти ребятки не просто так отключают обновления

Поскольку при включенном обновлении, ихняя система будет моментально распознана как пиратская и после апдейта просто не загрузится. Да, её потом можно опять наставить на путь истинный. До следующего обновления, ага. Есть, конечно, варианты кумулятивных обновлений с варезных ресурсов, где уже выпилен весь нехороший функционал, но кто знает, что туда ещё могли понапихать из не имеющего отношения к обновлениям. Ну и для полноты картины не будем лишним напомнить про печальный опыт официальных обновлений, после которых система напрочь переставала грузиться

Так какое лучше иметь железо и программное обеспечение чтоб продолжать нормально работать?

Тоже интересует такой вопрос.
Получается что нужно какой то другой процессор на комп устанавливать? Какой тогда? И где гарантия что и в нем не окажется дыры?

Блин, это же просто решается. Как-то купил Win 7 Pro за копейки по акции. Потом также официально обновился.
Важна безопасность - винда стоит дешевле потерь (обычно). Тем более можно купить на знакомого студента, там вообще копейки.
Ну или Linux/MacOS тогда.

Но сидеть на дырявой пиратке (ещё какой-нибудь ZverCD с вшитыми троянами), когда имеешь дело с криптой - вот решительно этого не понимаю. Эти люди добровольно участвуют в программе поддержки талантливых хакеров, голосуют рублем, так сказать? :)

Если важна безопасность, на Винде лучше вообще не сидеть

Понятно, что в кривых руках можно и член сломать, но при прочих равных условиях Винда вообще доверия не внушает. Я вот до сих пор не могу понять, что они понапихали в неё такого, что установленная система (я про Windows 7 здесь) занимает на диске целых 20 гигабайт, хотя от Windows XP она по сути отличается только графическим интерфейсом? Ну и как я уже написал в предыдущем посте, обновления, которые приводят к необходимости аварийно восстанавливать систему, далеко не редкость (практически данность)

Согласен. Вообще для крипты рекомендую всем знакомым отдельный комп на Linux, который только для крипты - без фильмов, "для работы" и игр.

Но ведь многие совмещают, и есть много софта, который нормально работает только под виндой. А если человек майнер и любит погамать на своей 1070, то других вариантов и нет.


Их ждать года 2. И то не факт, что нормальную аппаратную заплатку вообще сделают. Природа бага такова, что там либо заплатка либо производительность. Теперь все владельцам крипты придется жить с медленными компами... :(

Ну ничего удивительного. Нужно ждать новых процессоров с гарантией безопасности.

Я сомневаюсь в этом

Признаюсь сразу, что я не очень большой знаток архитектуры современных процессоров (да и несовременных тоже, чего греха таить), но поскольку процессоры AMD по заверениям самой AMD не подпадают под действие уязвимости Meltdown, а уязвимость Spectre проявляется только в линухе при недефолтных конфигурациях ядра (т.е. при включении каких-то сугубо специфических оптимизаций), и при этом процессоры AMD явно не на десятки процентов медленнее аналогичных процессоров от Intel (та же частота, те же generic tests), то из сказанного можно сделать однозначный вывод, что это именно косяк от Intel (как вариант, backdoor), а не какая там пресловутая природа

Некоторые производители (такие как lenovo) уже выпустили обновление прошивки для биоса, другие обещают сделать это к концу месяца. Лишь малая часть (LG если не ошибаюсь) никак не прокомментировала ситуацию.

Практически не сомневаюсь, что это именно бекдур. Об этом говорит множество признаков.
Кстати, тот факт, что уязвимость обнаружили спецы Гугла, говорит о том, что это может быть выстрелом по интел и затем транзитом - по микрософту. Известно, что микрософт и интел сотрудничают очень плотно, и все такие закладки и бекдуры однозначно делают вместе - иначе они работать не будут. И так как микромягкие постоянно делают гуглу потихой всякие мелкие заподлянки, и не очень мелкие тоже - гугл решил врубить ответочку.

Такую брешь уже давно закрыли, не в их интересах такой большой скандал из-за данной уязвимости.

Intel уже отписался что это фейк.Обычная конкуренция.

http://i99.fastpic.ru/big/2018/0120/40/d4355847f32ac3f26cf1a09d0f079640.jpg

?!

Фейк? А то, что все кинулись критические секьюрити патчи лепить, которые отключают кеш процессора, из-за чего IO-операции в 2-3 раза замедляются - это тоже фейк?

Intel уже отписался что это фейк.Обычная конкуренция.
да ладно? )) все так просто? Интел отписался и все поверили, что фейк? ) я, кстати, не встречал этого опровержения. Ну хотя в принципе ожидаемо, если так и было. Что им стоит поднять муть со дна и самим же успокоить всех.

Думаю мне это не грозит. Да и многим тут тоже. Пострадают лишь крупные компании и единицы простых людей.

Где пруфы, Билл? Мы хотим пруфы!

Да какие пруфы? Внимания не обращайте, человек явно далек от понимания этого всего.

Почему вы так думаете что пострадают единицы?

Как вариант можно было чистить кэш, но это довольно проблематично. Только обновление и спасает.

Получается что: достаточно установить обновления ОС (Винда, Линух), и всё, ты в шоколаде? И не надо думать про эту ошибку?

После обновлений не видно какого-то падения производительности компа. Один старый с Убунтой (Пень с четырьмя гигами памяти), второй - Винда на  i5/16G. Не прочувствовал.

Вот именно поэтому, компьютеры от Apple считаются самыми надежными. Там не бывает ошибок такого рода.

эту уязвимость уже устранили как я понял.

Как говорится, с добрым утром!

В компьютерах Apple, если что, уже лет 10 как используются точно такие же процессоры от Intel, как и в самых обычных, собранных на коленке компах. Это 20 лет назад Макинтоши использовали айбиэмовские процы, но те времена уже безвозвратно прошли и едва ли когда-нибудь вернутся. Поэтому "компьютеры от Apple" неожиданно оказываются уязвимыми абсолютно в той же степени, что и все остальные, где установлены десктопные интеловские камни. Но видимо свидетелям (зачёркнуто) фанатам Аппле очень тяжело распрощаться со своими иллюзиями

Эта ошибка исправляется если поставить патчь. Но скорость процессора уменьшается на 10%

Нет, это вряд ли. Производственный процесс CPU растянут на многие месяцы - боюсь банально не успеют. Там не просто в кристалле что-то поменять, там ещё надо придумать, что именно менять. А это может обернуться изменением всей архитектуры проца. Да ещё и не факт, что менеджмент сразу одобрит такие расходы.

Но большАя часть актуального софта поставила временные (Chrome и Firefox точно) заплатки от Spectre, так что по крайней мере серфить через них не так страшно.


Я запускал sysbench до и после. Падение на дефолтном наборе тестов 30%.

И зачем только фейки распространять ???

Фейки? Это вы о чем сейчас?

Поэтому нужно как можно быстрее все данные на жесткий диск сбрасывать, и прятать его.

Вкратце, проблема в том, что в аппаратном блоке упреждающего выполнения читается память без проверок прав доступа. Собственно, оно и было сделано так (без проверок), чтобы было быстро. Аппаратный фикс, которые эту проверку включает уязвимость закроет. Но будет это ценой замедления процессора, т.е. упреждающий блок выполнения перестанет давать то преимущество, что давал 20 лет. Да, этот патч можно сделать быстро и за 5 месяцев форы конечно не проблема.

Я о том, что проблема - исправить уязвимость И сохранить производительность И сохранить архитектуру и совместимость по софту, в которые вложено немеряно бабла. Вот тут, пожалуй, и пары лет не хватит.

И вот совсем недавно опять новая уязвимость появилась, ситуация совсем серьезная, похоже.

а в патч этот майнер случайно не вшит, который и снижает можность процессора?)

Топик уже вроде не сегодняшний, но чет пока не слышно пострадавших, дцмаю если это правда тогда под прицел попадут "жирные" крипто кошельки

Вполне возможно, их уже было много, но просто никто не понял, как это случилось - я о многочисленных случаях воровства биткоинов за последние годы. При этом все меры безопасности большинство обворованных соблюдали, но битки все равно уплыли. С высокой степенью вероятности это значит - воры использовали сабжевую уязвимость.

Это было бы крайне смешно. :)
Но все же это большие корпорации (Apple, Microsoft, Google), репутационные потери от вшивания майнера будут намного выше, чем прибыль. Да у них и так деньги есть, если не хватит - "простимулируют" - сделают то, что сейчас бесплатно платным.

Лучше всего на Линукс все данные переносить, так безопаснее будет.

Не порите чушь уважаемый если вы не понимаете о чем здесь люди разговор вели.

Лучше всего делать резервное копирование, и всю информацию оставшуюся сбрасывать на жесткий диск.

Лучше, как можно быстрее обновляться, чтобы вся крипта была в сохранности.

Перешел на МАК совсем недавно, и очень рад, что меня миновала данная проблема.

С этой (https://habrahabr.ru/company/dsec/blog/278549) уязвимостью, поверьте мне, вы ничего не заметите (ну если конечно у вас не миллион на счету, то нечего волноватся) ... И Линукс тут увы не поможет...

В таким моменты я начиная радоваться от того, что совсем недавно обновил свою систему, где была устранена такая уязвимость.

Если постоянно обновлять свою систему, и если на компьютер имеется антивирус, то вообще переживать не стоит.