Истеричный визг журнализдов по всему интернету: "Мы пропали, мы пропали: все процессоры, оказывается, уязвимы: нам всем конец, конец!!!"
Википедия сдержанно подтверждает. Вроде-бы да: один процесс может получить доступ к памяти, используемой другим процессом. Хотелось-бы послушать по этому вопросу не только пишущих профанов, но и грамотных людей.
1. Насколько следует озадачиваться проблемой среднестатистическому обывателю? Ну, у которого государственных секретов на компе нет, но номера кредиток вводить приходится.
Как я понимаю, кроме получения доступа к той памяти, требуется еще и знать, что, где и в какой момент в ней хранится - а это дело далеко нетривиальное. Будет ли иметь смысл хакеру заморачиваться?
2. Журнализды утверждают, что читать данные из другого процесса можно даже из java-script'а: с ним дел никогда не имел, но что-то сомнительно мне это: лазить по физической памяти из какой-то фигни, работающей через кучу виртуальный надстроек?
3. Что по данному поводу предпринимать (если, конечно, стОит что-то предпринимать)? Журнализды советуют ставить последние патчи на ОС - но и это мне сомнительно: исправлять аппаратные ошибки на уровне системы?! Тем более, что Википедия говорит, что решения пока не найдено.
4. Распространяется ли проблема на виртуальные машины? Вроде там, как я понимаю, процессор эмулируется программно, так что, наверное, там-то все будет нормально? Или все-таки нет?
Spectre-уязвимость
Насколько понимаю - это совсем не известно. Только надежда, что где-то там лежит номер+cvv кредитки или ключ от биткойна.требуется еще и знать, что, где и в какой момент в ней хранится
И вместо тупого брутфорса хакеры будут перебирать эти байты.
Шансов напороться на пиксели порнушного кина неизмеримо больше.
А учитывая то, что в бытовом софте вообще не заморачиваются безопасностью данных - шанс других утечек неизмеримо больше
Имхо забить.
ЗЫ Мне вообще нравится подход армейских особистов - комната, где стоит например телефон ЗАС, считается секретной, и никаких других проводов связи там быть не должно.
То есть вы полагаете что всё впорядке?Истеричный визг журнализдов по всему интернету
Может и инфа от Сноудена и викиликс тоже лишь истеричные визги?
А где вы тусуетесь? Читайте Хабру, инфы там и ссылок полно. Или там такие профаны сплошные, что совета на ганзу пришли искать?Хотелось-бы послушать по этому вопросу не только пишущих профанов, но и грамотных людей.
https://habrahabr.ru/hub/infosecurity/
Насколько это возможно. Лично мне не наплевать что кто-то ради прикола исполнит вредоносный код который снесёт мне всю систему, при этом похитив на прощанье все пароли. Если такое случится я думаю мало утешит то, что вы не политик.1. Насколько следует озадачиваться проблемой среднестатистическому обывателю?
Дело в том что сначала мега-крутые хакеры пишут очень умные эксплоиты, которые автоматизируют все процессы взлома и анализа. А потом эти эксплоиты попадают в руки десяткам тысяч скрипт-кидди, которые не понимая что они делают просто запускают их и вредят как могут.Будет ли иметь смысл хакеру заморачиваться?
Начнут тыкать эту дрянь во все сайты. Так что ваннакрай цветочками покажется.
js это всего-лишь язык программирования. Просто так оцениваются риски, он есть в каждом браузере. А вредоноса который порвет ваш процессор можно подцепить в любой программе, хоть на питоне, хоть на перле или си или ещё чем... Но вот постоянно вы контактируете с js. Если сайт заражен (а многие сайты заражены, и их владельцы этого не знают) то пипец.читать данные из другого процесса можно даже из java-script'а
Раньше это мало что давало. Сейчас это уже становится критично.
Стоит поставить. Решения о выпуске патчей принимают достаточно умные люди. Если были принято решение затормозить систему на треть, значит это нужно. Винда регулярно тянет тонны бесполезных патчей. А это тот случай когда патч действительно нужен. Мелтдаун проще в реализации и он фиксится.советуют ставить последние патчи на ОС - но и это мне сомнительно: исправлять аппаратные ошибки на уровне системы
Для Спектра нет решения. Для Мелтдауна патч. Видимо логикая такая что это лучше чем ничего.Википедия говорит, что решения пока не найдено.
Это очень хороший вопрос!Распространяется ли проблема на виртуальные машины?
Могу сказать сразу что распространяется на машины с паравиртуализацией.
И однозначно распространяется на гостевые машины при заражении хостовой.
Таким образом остаётся вопрос один - безопасно ли заражать гостевую ОС и может ли из неё быть скомпрометирована хостовая.
update: очевидно зараженная гостевая машина получает доступ к адресному пространству физической машины. разделение процессов в памяти проихсодит благодаря биту гипервизора и системным прерываниям. как раз это вредонос и обойдёт.
Таким образом - ни один вид виртуализации не защищает хостовую систему
А это значит что уязвимость не просто критическая, а суперкритическая.
На данный момент придётся.Имхо забить.
А от него тоже нет провода?комната, где стоит например телефон ЗАС, считается секретной, и никаких других проводов связи там быть не должно.
Секретной комната будет если в ней не будет самого телефона с проводами. Да и то... Не факт.Все эти уязвимости это просто выплываение на поверхность вложенной философии скотства. В данный момент спецслужбами эксплуатируются уязвимости которые позволяют пробить "до дна" любого. И всплывут они ещё лет через 5 или 10.
При этом постоянно идёт сговор с производителями о новых закладках. И китайцы эти закладки делают, причём когда их просят пофиксить они просто молчат. Типа "а зачем мы их тогда делали?".
Тут уже нужно наконец или запретить приватность и поставить камеру в туалете+ванне каждой квартиры. Что РЕАЛЬНО не снизит уровень приватности сегодня ни капли (я не шучу, смартфон есть у каждого). Уже дошли давно и перешли эту грань. Про спальню даже речи нет. Она под контролем круглые сутки. Иное дело просто времени нет смотреть на вас и слушать.
Или второй вариант. Наконец ввести законодательно анальные кары за все эти закладки и подслушки. И тогда может производитель пять раз подумает прежде чем сознательно делать гамно и сговариваться с кем-то. Но это вариант сюрриалистичный. Ибо закладки в железе и ПО инициируются на уровне правительств, дабы распространять это по планете и держаться на плаву в информационной войне, которая щас идёт. Кто в ней проиграет - тому и пи...ц. Как понимаете. Если электроника ляжет автоматом уже не спасёшься. Вот и фигачатся своими закладками, иногда прогорая.
Обратите внимание что истинно безопасные сервисы принудительно и в судебном порядке закрываются! И я не про дырявый телеграм. Причём закрываются/пичкаются закладками так, что производитель обязан молчать об этом под угрозой тюрьмы (в США -письма нац.безопасности).
Вот так я вижу себе ситуацию. Т.е. затыкать эти дырки это как в сите. Пока эту заткнут уже 10 новых будет. Ещё пуще прежней.
При этом постоянно идёт сговор с производителями о новых закладках. И китайцы эти закладки делают, причём когда их просят пофиксить они просто молчат. Типа "а зачем мы их тогда делали?".
Тут уже нужно наконец или запретить приватность и поставить камеру в туалете+ванне каждой квартиры. Что РЕАЛЬНО не снизит уровень приватности сегодня ни капли (я не шучу, смартфон есть у каждого). Уже дошли давно и перешли эту грань. Про спальню даже речи нет. Она под контролем круглые сутки. Иное дело просто времени нет смотреть на вас и слушать.
Или второй вариант. Наконец ввести законодательно анальные кары за все эти закладки и подслушки. И тогда может производитель пять раз подумает прежде чем сознательно делать гамно и сговариваться с кем-то. Но это вариант сюрриалистичный. Ибо закладки в железе и ПО инициируются на уровне правительств, дабы распространять это по планете и держаться на плаву в информационной войне, которая щас идёт. Кто в ней проиграет - тому и пи...ц. Как понимаете. Если электроника ляжет автоматом уже не спасёшься. Вот и фигачатся своими закладками, иногда прогорая.
Обратите внимание что истинно безопасные сервисы принудительно и в судебном порядке закрываются! И я не про дырявый телеграм. Причём закрываются/пичкаются закладками так, что производитель обязан молчать об этом под угрозой тюрьмы (в США -письма нац.безопасности).
Вот так я вижу себе ситуацию. Т.е. затыкать эти дырки это как в сите. Пока эту заткнут уже 10 новых будет. Ещё пуще прежней.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость
