Масштабная хакерская атака поразила десятки тысяч компьютеров по всему миру

  • Автор темы Автор темы MaxNs
  • Дата начала Дата начала
ну какую конфиденциальную инфу можно накопать на наших рабочих компах

Пароли клиент-банк например. И гора прочего облачного.

Ждем ещё тестов, ну когда же, когда же уже будут эти обещанные 30% потерь???

На базах данных, как рапортуют после появления первых патчей - достаточно серьёзное падение (поскольку эти самые спекулятивные запросы процессоров "в будущее" как раз себя на таких задачах показывают), на игрушках - не незаметно)

А далее - мощные рекламные кампании в духе "наш новый чип не подвержен "уязвимости 2018" - покупайте у авторизованных реселлеров"

У интела (и остальных) во-первых нет нового процессора и нескоро появится, во-вторых - склады по всему миру забиты отгруженным новым поколением, слить это всё сейчас = самоубийству. Так что год минимум)


* * *

Но в целом шухера ТАКОГО масштаба не припомню что-то. Однако.
 
не хотелось бы утратить файлы важные
Я свои важные файлы бэкаплю ежесуточно на сетевой диск (автоматически), а также через облако на дачу и на работу (другая географическая локация, как доктор Бэкап прописал :), чего и всем желаю.
Пишут, что кодировщики шифруют все диски, до которых смогут дотянуться. Надеюсь, что до облаков и дачи они не дотянутся :)
Насчет кражи персональных данных - я вообще не парюсь. Ну, украдут мою адресную книгу с телефонами тётушки и дядюшки - не велика проблема. Монетизировать они это не смогут по любому.
Банковские данные - банковским спец. приложениям не доверяю, храню отдельно под Blowfish 256. Пусть попробуют украсть.
Как-то так
[DOUBLEPOST=1515198307][/DOUBLEPOST]
Так что год минимум)
Да, где-то так
 
@tarzan, похоже вы неплохо разбираетесь в безопасности)
а когда на форуме rmmedia появится https? как вариант - бесплатный let's encrypt
 
Производительность, по всей видимости, упадет из-за отказа от спекулятивного выполнения кода, да.
Пока единственный патч - это отказ не от "спекулятивного" выполнения кода (от него никто не откажется - ибо это краеугольный камень высокой производительности всех ныне существующих процессоров), а от маппинга ядра ОС в память каждого пользовательского процесса (на процессорах Intel).

Первый вопрос:
- Зачем этот маппинг делался?
- Для увеличения быстродействия, т.к. на каждый "чих" в пользовательском процессе требующий обращение к ядру (прерывание, системный вызов) - нужно было полностью менять контекст (TLB, содержимое памяти), а с этим трюком контекст нужно менять только при переключении от одного приложения к другому. При интенсивных запросах к ядру - очень прибавляло скорости переключения.

Второй вопрос:
- Как так маппить в адресное пространство пользовательского процесса данные ядра? А как же безопасность? Ведь непривилегированный процесс тогда будет иметь доступ к памяти ядра?
- На этот случай существует механизм АППАРАТНОЙ (на более низком уровне) защиты памяти, что не позволит обратиться к защищенной памяти - просто напросто при такой попытке выполнение остановится и сработает исключение, всё защищено АППАРАТНО, никакой софт не сможет обойти АППАРАТНУЮ защиту в железе.

И наконец вся мякотка:
- Так в чём проблема?
- Как оказалось дело в том, что процессор НЕ ВСЕГДА проверяет, а имеет ли исполняемый в данное время код обращаться к определенной ячейке памяти. Например - при "спекулятивном" (out-of-order) выполнении, рассчитывая на то, что проверка будет выполнена позже. Делается это я не знаю для чего, но предполагаю - для того чтобы было "дёшево и сердито", нужно быстрее забить свободные блоки, чтобы не простаивали и повысить производительность. В итоге "дооптимизировались" до того, что может возникнуть (в обычном коде крайне маловероятная) ситуация, когда проверка ВООБЩЕ не осуществляется ни на одном из этапов. Это случай Meltdown - суть уязвимости максимально упрощённо: на первой стадии при "спекулятивном" выполнении кода, происходит чтение из ячейки памяти ("защищенной") и данные оказываются в кэше процессора, на второй стадии эти данные ловким трюком из кэша вытаскиваются. Это ошибка конкретно Intel, для AMD во вчерашнем обновлении ядра linux этот фикс отключен по умолчанию.
Со Spectre (два типа атаки) всё сложнее - там действительно придётся совать палки в колёса "спекулятивного" исполнения (см. ниже)

поскольку эти самые спекулятивные запросы процессоров "в будущее" как раз себя на таких задачах показывают
На будущее планируется (на текущий день единственный существующий план) внести изменения в код всех критических приложений и компиляторов, а также в микрокод процессоров, для того чтобы максимально уменьшить утечку данных при "спекулятивном" выполнении, будут вставляться ложные циклы для "загрязнения" кэша и т.д. Планы космического масштаба прямо... А пока единственное исправление - это отказ от маппинга ядра в память пользовательских процессов (только для Intel, см. выше). Теперь постепенно будут менять весь софт, вносить новые изменения в ядро ОС и микрокод процессора, ну и конечно перелопачивать архитектуру будущих процессоров.

P.S. И да, эти конкретные ошибки позволяют только ЧИТАТЬ защищенную память, но не изменять её, выполнять произвольный код и т.д.
 
Последнее редактирование:
  • Like
Реакции: alexpen и Dmitry Stepin
У вас ссылка сломалась...
А вот собственно слова Google:
In response to the vulnerabilities that were discovered we developed a novel mitigation called Retpoline -- a binary modification technique that protects against “branch target injection” attacks. We shared Retpoline with our industry partners and have deployed it on Google’s systems, where we have observed negligible impact on performance.

In addition, we have deployed Kernel Page Table Isolation (KPTI) -- a general purpose technique for better protecting sensitive information in memory from other software running on a machine -- to the entire fleet of Google Linux production servers that support all of our products, including Search, Gmail, YouTube, and Google Cloud Platform.
There has been speculation that the deployment of KPTI causes significant performance slowdowns. Performance can vary, as the impact of the KPTI mitigations depends on the rate of system calls made by an application. On most of our workloads, including our cloud infrastructure, we see negligible impact on performance.

А всё потому, что реальные приложения пишутся для того, чтобы оптимальным образом решать поставленную задачу, а синтетические тесты - для выявления бутылочного горлышка в какой-либо подсистеме при пиковой нагрузке.
 
Но это ж лишь в случае, если пароли хранятся в тырнет-браузере? Не?
Нет. (а вот сам вредонос мог бы спокойно запуститься хоть из браузера, но в браузеры уже стали вносить обновления с отключением "левого" функционала) Можно будет читать память ядра или другого приложения (с разной степенью успешности, скорости чтения и сложности реализации). В первую очередь пароли хранятся в памяти, а весь существующий софт написан исходя из аксиомы, что память аппаратно защищена и без получения соответствующих привилегий никто не сможет её прочитать. Если аксиома изначально неверна - то и вся существующая система защиты рассыпается как карточный домик. Но лучше один раз увидеть, чем сто раз услышать (сразу предупреждаю - это proof of concept, "синтетический" эксплойт )))

Как-то так примерно будет выглядеть суть работы "гипотетического" вредоноса
 
Последнее редактирование:
Камрады, а можно по-простому (для тех, кто в танке)? Вот меня, например, интересует вопрос: свежие обновления для Win7 устанавливать или ну его на фиг?)
 
больше страшно за гос.учреждения - университеты, библиотеки, поликлиники и т.д., как правило там забивают на обновления, поэтому возможны массовые утечки персональных данных.
 
В первую очередь пароли хранятся в памяти
Я при входе в онлайн-банк набираю логин и пароль каждый раз с нуля. Т.е. это чисто нечто текстовое - так? Как оно в памяти хранится? Там же должно быть уймы хлама в виде букафф... ))) Туплю? Или имеется в виду, что меня пасут как раз на момент входа в банк?
Ну, ламер я в этих делах... )))) Проститя! ))
 
Последнее редактирование:
  • Like
Реакции: Long и alexei56
Вот когда через пару месяцев выкатят готовый эксплойт "в дикой природе", тогда и узнаем. А пока выявлена принципиальная возможность этого. Пока первая попытка реализации исследователей действовала "в лоб" - тупо пыталась сканировать всю память (а это полный мрак, уйти на это может и пара часов), но вкладки в браузере могут быть открыты сутками (если это не мобила, у неё быстрее аккумулятор сдохнет, чем память просканируется)... Но нет предела совершенству и человеческой смекалке - дайте немного времени и обязательно появится что-то реально серъёзное. В этом деле лучше перебдеть, чем недобдеть. И подстелить соломки загодя.
 
  • Like
Реакции: CakeWorker
Я при входе в онлайн-банк набираю логин и пароль каждый раз с нуля. Т.е. это чисто нечто текстовое - так? Как оно в памяти хранится? Там же должно быть уймы хлама в виде букафф... ))) Туплю? Или имеется в виду, что меня пасут как раз на момент входа в банк?
...
И плюсом к этому SMS-подтверждение...
"они" дожидаются, когда ты отправил код, полученный эсэмэской, и только после этого "выбрасывают тебя из-за штурвала" и дальше "едут вместо тебя"...

Понятно лишь одно: с фантазией у авторов новой страшилки напряжёнка - идею сказки придумали наспех, а вот линию поведения персонажей не прописали ещё)))
 
@alexei56, ну смс подтверждения далеко не везде, покупая на зарубежных сайтах, практически никогда на запрашивает дополнительных подтверждений.
 
Понятно лишь одно: с фантазией у авторов новой страшилки напряжёнка - идею сказки придумали наспех, а вот линию поведения персонажей не прописали ещё)))
То есть, вы считаете, что свободно читать память ядра - это страшилка? Просто интересно.
 
поэтому возможны массовые утечки персональных данных.
Да все уже и так давно утекло. Только 99% утекшего не представляет для злоумышленников никакого интереса )))
В преступном мире тоже важна рентабельность.
 
  • Like
Реакции: Spartak и alexei56
... достаточно уткнуть ее глазом в стол
:mad:, последовал блин, Вашему совету. Не рабочий он...
При таком положении камеры - ни монитора не видать, ни до клавиатуры не добраться...

P.S.
забыл я уточнить - у меня вебка встроенная ноутбучная...
 
  • Like
Реакции: fakeitback
Главу Intel заподозрили в продаже акций компании на $24 млн из-за уязвимости процессоров
https://habrahabr.ru/company/itinvest/blog/346152/


Кстати) а на чём у нас сидит всё Министерство обороны, ФСБ и тд?
Эльбрусов вроде так много не выпустили...
Ракеты-то понятно, что не на Интелах) а основная масса чиновников?
 
@Spartak:
".......а на чём у нас сидит всё Министерство обороны, ФСБ и тд...."
Судя по кол-ву недвижимости , что скуплена в болотах загнившего запада - на чемоданах/контейнерах/караванах трейлеров
( с отключенными ПлатонамЫ )... Нет?:eek:
 
Эээ... Вынужден повторить свой вопрос:
Товарищчи, каким образом сейчас можно минимизировать риски тем, кто половину из вышеизложенного тупо не понимает?))
Просто установить свежие обновления для Win_7 и фсёёё?) Или тихо-молча бояться?)) Или разорвать на груди тельник с криком: "всех не перевешаете!"?))
 
Да! Нелегкий выбор...
В случае с "Буридановым ослом" одним из решений было объединение двух вариантов выбора в один, так что предлагаю:
Установить свежее обновление*, тихо-молча боясь перезагрузиться, после чего разорвать на груди тельник с криком: "всех не перевешаете!" :p

* предварительно схоронив куда-нибудь образ системного раздела
 
Карен, главное - пока отставить панику, никто толком нихрена не знает. Но @Novation дело говорит.

Да и вообще, я искренне не принимаю граждан не устанавливающих апдейты )
 
Установить свежее обновление*, тихо-молча боясь перезагрузиться, после чего разорвать на груди тельник с криком: "всех не перевешаете!" :p
Спасибо, други, так и сделаю (вот только тельник найду!))
 
Товарищчи, каким образом сейчас можно минимизировать риски тем, кто половину из вышеизложенного тупо не понимает?))
Доступ к "чужой" памяти должен быть ограничен аппаратно. Если это условие не соблюдается, что в данном случае и происходит, можно помешать выполнению злонамеренных действий на уровне ОС. Для этого необходимо установить обновления операционной системы, а лучше заодно и обновления браузеров, поскольку браузеры ежедневно исполняют чужой код на наших компьютерах, а именно чужой код является источником опасности.
 
  • Like
Реакции: Novation и NoStyle

Сейчас просматривают