Ошибка в процах Intel украдет вашу крипту!

[chimk]

какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?

установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа))

Напишите плизз развёрнуто лайфхак. многие будут вам благодарны

за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники

про то как выкинуть интел легко... смотри если у тебя ноутбук то это будет сложнее, хотя можно просто вытащить от туда винт с инфой а все остальное в окно, а если у тебя большой гроб то в окно конечно не вариант выкидывать, но можно также дернуть от туда винт а комп загрузить в багажник и отвезти в лес и закопать, если нет машины то это конечно же усугубляет ситуацию, придется тогда его расчленять и паковать в черные пакеты и выкидывать на помойку частями не за один раз конечно  
З.Ы. ну а по факту если то что никто не знает как ставить

я только что ноут купил дорогой))) только под крипту...про патч что за алгоритм установки чего? немного погуглил не понял.

каким браузером лучше пользоваться?

[klint.on]

какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?

установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа))

Напишите плизз развёрнуто лайфхак. многие будут вам благодарны

за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники

про то как выкинуть интел легко... смотри если у тебя ноутбук то это будет сложнее, хотя можно просто вытащить от туда винт с инфой а все остальное в окно, а если у тебя большой гроб то в окно конечно не вариант выкидывать, но можно также дернуть от туда винт а комп загрузить в багажник и отвезти в лес и закопать, если нет машины то это конечно же усугубляет ситуацию, придется тогда его расчленять и паковать в черные пакеты и выкидывать на помойку частями не за один раз конечно  
З.Ы. ну а по факту если то что никто не знает как ставить

я только что ноут купил дорогой))) только под крипту...про патч что за алгоритм установки чего? немного погуглил не понял.

каким браузером лучше пользоваться?

Браузер хром мозила, отключить скрипты. включать по необходимости.
Кошельки с оффсайта, mew скачать архивом и запускать локально.
Биржи все в закладки.
Не сидеть под админом.
Лучше линукс. Еще лучше линукс с флешки. Но гемор и требует дисциплины.
К левым сетям не подключаться.
Левые флешки не вставлять. Флешка вставленная в другой комп, даже чистый - потенциально с трипером.
Левых прог не ставить. Браузер + адблок + гостшелл(но без js не работают), антивирь,
Апаратные кошельки тоже спасают.
По левым сайтам не ходить, вообще. Даже на форум.
Левых людей за комп не пускать(ремонтников всяких, натройщиков и тп), близких если не шарят в крипте и ИБ тоже.
Все в одном месте не держать. Разные кошельки для разных токенов и монет.
Даже если что-то сопрут, то не все.
ноут держать в сейфе.

каждый сам себе банк. За безопасность сам отвечаешь перед собой

[chimk]

какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?

установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа))

Напишите плизз развёрнуто лайфхак. многие будут вам благодарны

за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники

про то как выкинуть интел легко... смотри если у тебя ноутбук то это будет сложнее, хотя можно просто вытащить от туда винт с инфой а все остальное в окно, а если у тебя большой гроб то в окно конечно не вариант выкидывать, но можно также дернуть от туда винт а комп загрузить в багажник и отвезти в лес и закопать, если нет машины то это конечно же усугубляет ситуацию, придется тогда его расчленять и паковать в черные пакеты и выкидывать на помойку частями не за один раз конечно  
З.Ы. ну а по факту если то что никто не знает как ставить

я только что ноут купил дорогой))) только под крипту...про патч что за алгоритм установки чего? немного погуглил не понял.


каким браузером лучше пользоваться?

Браузер хром мозила, отключить скрипты. включать по необходимости.
Кошельки с оффсайта, mew скачать архивом и запускать локально.
Биржи все в закладки.
Не сидеть под админом.
Лучше линукс. Еще лучше линукс с флешки. Но гемор и требует дисциплины.
К левым сетям не подключаться.
Левые флешки не вставлять. Флешка вставленная в другой комп, даже чистый - потенциально с трипером.
Левых прог не ставить. Браузер + адблок + гостшелл(но без js не работают), антивирь,
Апаратные кошельки тоже спасают.
По левым сайтам не ходить, вообще. Даже на форум.
Левых людей за комп не пускать(ремонтников всяких, натройщиков и тп), близких если не шарят в крипте и ИБ тоже.
Все в одном месте не держать. Разные кошельки для разных токенов и монет.
Даже если что-то сопрут, то не все.
ноут держать в сейфе.

каждый сам себе банк. За безопасность сам отвечаешь перед собой

спасибо. хорошая инструкция.
ява скрипт на что влияет? биржи будут с отключённым работать?
что значит не сидеть под админом?
флэшка боль...я тут купил себе флэшку ёмкую sony дорогую. а мне на днях подарили ещё одну в упаковке...сунул в комп, комп пишет драйвер установлен. смотрю на флэшке 2 файла....чуть вместе со столом не подпрыгнул испугался. антивирусом её проверил вроде не видит угроз, флэшку выкинул.
Что с мастерами делать? я с этой техникой не дружу, у меня другая специальность, завтра вызвал одного, убунту ставить, боюсь к компу подпускать, а сам врят-ли справлюсь.

[Cepamon]

А если не Виндовс 10 то что делать?

Если макось - дождаться и накатить апдейт.
Если линух - накатить апдейт уже сейчас.

А если Виндовс 7?

Как минимум отключить в браузерах скрипты.
Самый лучший вариант, это снести семерку и поставить линукс.
Безопасность превыше всего.

У тех кто не обновился, компьютер может в любой момент превратиться в ядерную бомбу шпиона который сольет всю вашу информацию третьим лицам.

[SuRuEu]

Intel спецом выпустила данную новость, чтобы ее акции упали. Сейчас перезакупится и все исправят. Скажут - обычный глюк.

ага, такие вещи только самоубийца может вытворять

в любом случае безнаказанно такое не проходить и вернуть утерянное доверие уже не получится

[CryptoNewbie18]

Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера.

Без js половина сайтов работать не будет нормально в наше время. Новость жесткая, конечно.

[AltMoses]

Это не баги, это они специально   Просто обнаружили раньше времени  Интересно этот баг только на новых процах или на старых такая же фигня, если на старых все ок то для заходы в кошелки и биржи пользуйте антиквариат 

[SpaceRunner]

Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
Там приватный ключ можно было стырить.

Для проведения атаки требуется прямой доступ к аппаратному кошельку.

[discourage]

Этой уязвимости подвержена не только крипта, но и банковские и государственные службы и структуры. Сокрушительный удар для интел. Уже 2-ой по счету за 3 месяца. Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера. Это позволит свести риск подцепить этот трипер к минимуму.

Акции AMD и цены на их процы думаю скоро пойдут в гору. Интел, наоборот, просядет значительно.

Не пойдут акции АМД, у них подобая уязвимость, вот только патча нет, и в ближайшем будущем не предвидится.

[SpaceRunner]

Этой уязвимости подвержена не только крипта, но и банковские и государственные службы и структуры. Сокрушительный удар для интел. Уже 2-ой по счету за 3 месяца. Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера. Это позволит свести риск подцепить этот трипер к минимуму.

Акции AMD и цены на их процы думаю скоро пойдут в гору. Интел, наоборот, просядет значительно.

Не пойдут акции АМД, у них подобая уязвимость, вот только патча нет, и в ближайшем будущем не предвидится.

Да ладно: http://www.amd.com/en/corporate/speculative-execution

[movsky]

Какие неприятные новости! Спасибо! Надеюсь под мак выкатят обновление быстро

Должны, акции и так на 3% просели, а если не выкатят будет еще больший спад. Думаю будут оперативно суетиться латать.

[MatveyBlack]

Насколько я понимаю,  скомпрометированы и интел и Ява,  а означает это будущее снижение производительности компов на 20 процентов, что для крипты дает значительное замедление майнинга,  а как следствие - относительное  увеличение ценности ранее намайненных битков.

[deisik]

Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
Там приватный ключ можно было стырить.

Для проведения атаки требуется прямой доступ к аппаратному кошельку.

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?

Не пойдут акции АМД, у них подобая уязвимость, вот только патча нет, и в ближайшем будущем не предвидится.

АМД считает иначе

[SpaceRunner]

Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
Там приватный ключ можно было стырить.

Для проведения атаки требуется прямой доступ к аппаратному кошельку.

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?

Как-то не тему. Во-первых, речь идёт об конкретной аппаратной уязвимости, которая позволяет получить и сиид и пин и, соответственно, доступ к средствам.
Во-вторых, без сида средства на утерянном трезоре не восстановить. А если речь про восстановление с сидом, то какой же это бэкдор?

[pachino1]

Уже обновил все обновления на 10 виндовс, поясните кто разбирается в сути уязвимости. Злоумышленники могут только украсть данные из оперативной памяти и желательно ничего важного сейчас не запускать (не вводить пароли, не загружать приватные ключи) или в опасности все что лежит физически на винте? Если сейчас сделать новый кошелек например в МЕВ то сид который он покажет для записи тоже может быть скомпрометирован и лучше ничего нового пока не делать или все же создать новый кошелек и перевести туда часть средств это относительно безопасно?

[bizlim]

очередная страшилка для взрослых из серии  "квантовый компьютер поломает блокчейн".
Хотя обычную осторожность никто не отменял, если дело касается крупных сумм  - например холодный кошелек на холодном ноутбуке на шкафу + шифрованый бекап в разных местах..

[Dells]

Вот так и новости подкатили!

Экстренное обновление для Win 10
Для линуксов тоже выпущены патчи - срочно обновитесь через менеджер обновлений/пересборку ядра, если суровые гентушники.

Это ссылка на текущее обновление для сборки windows 16299.192, отношение к "вот так и новости подкатили!" похоже не имеющее

[vasil777]

как в интел могли бы такое допустить, я не понимаю столь серьезная компания с таким опытом.))) но я не доверяю таким сообщением, нужны доказательства и факты, есть люди, которые пострадали от такой схемы воровства

[Tututura]

Как говаривал один хороший человек
"Если бы города, стоили таким же образом, как пишут программы и делают компьютеры, то любой залетевший дятел, разрушил бы все строения".

[deisik]

Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
Там приватный ключ можно было стырить.

Для проведения атаки требуется прямой доступ к аппаратному кошельку.

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?

Как-то не тему. Во-первых, речь идёт об конкретной аппаратной уязвимости, которая позволяет получить и сиид и пин и, соответственно, доступ к средствам.
Во-вторых, без сида средства на утерянном трезоре не восстановить. А если речь про восстановление с сидом, то какой же это бэкдор?

Сразу отпишусь, что не имел дела с аппаратными ошельками, и возможно я что-то упускаю из внимания или просто не до конца понимаю. Тем не менее, как я понял, речь идёт об этой уязвимости:

The seed is saved in the flash memory (storage that does survive restart) of the device, but when it is used, it is copied to its RAM (Random Access Memory, memory that does not survive restart). This vulnerability affects the latter — an attacker with physical access to a TREZOR device could have created a custom firmware which extracts the seed from the the RAM of the device

Но ничто не мешает хакеру считывать seed не из оперативной памяти, а напрямую из флеш-памяти, правильно? Для того, чтобы избежать такой возможности, Trezor использует пароль, которым шифруется этот рандомизатор:

We are talking about the passphrase feature, which is defined as a part of BIP39 standard. It uses the same logic, but rather than combining the serial number of TREZOR and your PIN, it mixes the seed stored in the device with the passphrase that you have to remember. And this passphrase is stored nowhere! Moreover, it is not limited to numbers, making it much harder to brute-force. Every passphrase is valid, and each, in combination with the seed, creates a completely different wallet

А теперь следим за руками

Trezor утверждает, что пароль нигде не хранится (ну кроме как в голове пользователя, конечно), но в тоже время можно восстановить кошелёк зная оригинальный seed, который раньше можно было считать из оперативной памяти устройства (в чём собственно и состоит описанная ранее уязвимость). Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor