Самый серьезный Fuck-Up в компьютерной сфере за 20 лет. Как защититься от Meltdown и Spectre

Наверное, все уже слышали о чрезвычайно серьезной уязвимости в процессорах. В любых. Выпущенных с 1995 года. Если кто-то еще лежит в новогоднем оливье и пока ничего не слышал, то вот: «Meltdown and Spectre: bugs in modern computers leak passwords and sensitive data».

Intel bug protection

Кратко суть: один процесс может читать всю системную память без ограничений. Кто это значит в практическом смысле? Любой сайт может украсть ваши номера кредиток, логины, пароли, любые данные. И атаку нельзя заметить.

Как защититься от Meltdown и Spectre?

  1. Ждать заплатки к операционным системам и срочно устанавливать.
  2. Ждать заплатку для Chrome. Обещают аж в конце января.
  3. Пока заплатки для браузера нет срочно включить изоляцию процессов в Google Chrome.

Как включить изоляцию процессов в Google Chrome?

В адресной строке пишите chrome://flags#enable-site-per-process и жмите «Enable».

После установки заплатки всё будет хорошо?

Нет, не будет. Всё будет плохо, так как все существующие патчи приводят к потере производительности до 30% и более.

Ваша оценка: Нет Средняя оценка: 4.8 (5 votes)

Chrome

Поприетарный браузер, ещё с зондами от Google, сливающих инфу.Chromium тоже не без греха. Знаю, можно поставить ungoogled-chromium, ещё что-то с патчами, но нет, спасибо. Проще поставить Qupzilla (или другой свободный браузер без анальных зондов).

Ваша оценка: Нет Средняя оценка: 3.5 (2 votes)
pomodor

Тут как раз всё наоборот. В анальном Хроме есть экспериментальная фича изоляции процессов. До выхода заплатки ее можно активировать. Т.к. баг на уровне hardware, все другие браузеры, включая свободные, тоже окажутся уязвимыми. Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.

Но сам баг появился именно благодаря закрытости. 15 лет не могли найти. Будь инфа о процессоре в открытом доступе, такого бы просто не произошло. Пророчества Столлмана опять сбылись.

Ваша оценка: Нет Средняя оценка: 5 (5 votes)

фича изоляции процессов

Почему бы jailkit не попробовать?
Или firejail, и через него запускать браузер?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
pomodor

Потому, что новый баг обходит и jailkit. И в этом весь ужас. Он вообще всё обходит. Баг в процессоре, а не в софте. А заплатка срежет треть производительности процессора. Подарок от Intel на Новый год.

Кстати, оказывается, эти скоты, когда узнали о дыре в своих процах, сразу скинули крупный пакет акции Intel.

Ваша оценка: Нет Средняя оценка: 5 (5 votes)

В статье написано: "в любых процессорах". Поправьте. Причем так на Opennet и сказано:

Компания AMD утверждает, что её процессоры уязвимости не подвержены.


Извиняюсь. По ссылке прочитал:

Which systems are affected by Spectre?
Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.

Пришло время покупать "Эльбрус"? :)

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
pomodor

В нем вообще неизвестно сколько дыр. Я бы сказал, что пришло время услышать Столлмана и пересмотреть отношение к пропретарщине. Что, кстати, происходит в программной области — Docker, MySQL, Hadoop, PHP, Java, да что угодно... Везде стало хорошим тоном раскрывать исходный код, чтобы сообщество имело возможность проводить аудит. А процессоры как были черными ящиками, так и остались. И вот получили. А сколько в них еще глюков, преднамеренных закладок и зондов!

Ваша оценка: Нет Средняя оценка: 4.4 (5 votes)

Пора переходить на Эльбрусы!

Ваша оценка: Нет Средняя оценка: 3.3 (3 votes)
Texnoline

Гавно мамонта — из начала нулевых, VLIW- мертворожденный эмбрион 70-х годов прошлого века, прямо смотрит с укором на тебя!:)

Ваша оценка: Нет Средняя оценка: 2.3 (6 votes)

А ты, собираешь хромиум вручную, хэх. Писал, типо хромиум шибко хорош после допиливания. Из исходников, что не каждый осмелиться выкидывать оттуда гугловую хрень. Кому это надо, если всё уже сделано?

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
Texnoline

А что, команды уже так сложны в терминале? Что и собрать нельзя?

Ваша оценка: Нет Средняя оценка: 3 (1 vote)

Ну лан, собираю. Попробовал по этой инструкции
https://www.altlinux.org/Chromium
http://www.chromium.org/developers/how-tos/get-the-code
там инфа протухла, что теперь у меня ошибки вылазиют.

Ваша оценка: Нет

Есть один изъян — стоит он в разы больше, чем зарубежные аналоги — 200 тыс р.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
reflexius

Акции скинул генеральный директор Intel, свои и все, что можно было. Оставил только обязательный минимум, который он обязан держать по трудовому договору, как руководящий работник Intel. Типичные и наглые инсайдерские дела.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Texnoline

А толку, все дело в железе а не в софте:)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
reflexius

Mozilla вчера выпустила пропатченую версию Firefox 57.0.4. Судя по описанию, из-за того, что этот тип атак включает точное измерение временных интервалов, разработчики "огрубили" возможность такого измерения с 5 микросекунд до 20 микросекунд. Заодно отключили SharedArrayBuffer, в котором могут создаваться таймеры для подобных измерений. Понятно, что это ну уж совсем временное решение, но альтернатив на данный момент практически нет. В версии Firefox 52.5 ESR вышеупомянутый массив был отключен еще в конце декабря.

Репозитории еще не обновили, так что ждем-с.

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
pomodor

Читал, что огрублять надо минимум на 150-200 мс, а это уже отразится на работоспособности сайтов. Типа, как work-around на время сгодится, но далеко не панацея.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)

Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.

Нашёл браузер, на основе chromium, но настроек больше.
Фичу проверил, есть.
на официальном сайте говорят:

Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь. Slimjet — это переработанный проект Chromium с открытым исходным кодом, который не отправляет любые данные об использовании обратно в Google, как это делает Chrome. Кроме того, Slimjet снабжен самыми передовыми технологиями противодействия отслеживанию, которые предотвращают любые попытки вторжения в вашу личную жизнь (например, отслеживание вашей личности или профилирование вашего поведения) со стороны докучливых компаний.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
pomodor

А какие есть основания верить этому заявлению? Например, я беру исходники Chromium, запиливаю туда троян и выкладываю со скромным описанием: «Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь». Я к тому, что проверить безопасность браузера могут только спецы высокого уровня и они очень заняты, поэтому проверяют только топовые браузеры. Почему бы им вдруг захотелось тратить тысячи человекочасов на проверки каждой любительской поделки? Неужели мы так много хорошего знаем о Smiljet, чтобы 1) без сомнений доверять им свои данные без всякой проверки, на слово; 2) верить, что Intel не может справиться с дырой, а Slimjet уже закрыл ее? ;)

Ваша оценка: Нет Средняя оценка: 5 (6 votes)
Texnoline

Slimjet уже закрыл ее?

ну, анонимус же так сказал!? Прямо ОРТ — эксперт, если сказали в тырнете, то так оно и есть...

Ваша оценка: Нет

Да, я школьнег, можете мне не верить. Но я читаю статьи на Либератуме, потому что сижу на GNU/Linux, и мне это интересно.
Если нужен приватный браузер, то определённо links подойдёт. Например, прямо сейчас с него на Либератуме сижу.

Как говорится, возраст не самое главное, главное — разумность человека.

Ваша оценка: Нет Средняя оценка: 4.3 (4 votes)
Texnoline

Ждем процессоров на архитектуре RISC V — а потом можно будет переходить на новое, и забыть х86,ARM! А так это все лечение зубов, через анальное зондирование пациентов:)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)

Господа, заплатка прилетела в виде intel microcode. Проц шмалюет на холостом 100%. Cижу в шоке, не знаю,как быть О_О

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Переустановите ОС.

Ваша оценка: Нет

а смысл в переустановке ос? снова прилетит ведь. Думаю, удалить этот microcode, заблокировать его в synaptice, и пользоваться vivaldi с изоляцией процессов, до лучших времен.

Ваша оценка: Нет Средняя оценка: 2 (1 vote)
Texnoline

опять пиар Vivaldi? и где, там изоляция и на чем оно реализовано?

Ваша оценка: Нет

Это не пиар vivaldi, а лишь мое личное предпочтение, если выбирать из хромовых. Вообще я предпочитаю palemoon, vivaldi же имеет тестовую фичу хрома для изоляции процессов,и не грузит все вкладки одновременно, как хром и хромиум, а интерфейс же очень похож на лиса, прожорлив правда. Насчет патча, для тех, кто пока не разобрался, уточняю, если разработчики вашего дистра не включили в обновление пропатченное ядро (linux kernel),его необходимо найти в репах по наводке из новостной странице на сайте дистра, и обновиться. Обновление же intel microcode тоже необходимо ставить,но только сначала обновив ядро, поскольку без него микропрограмма загрузит проц на полную катушку. Дата microcode должна быть 08012018.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline

На днях патч ядра и фирмвейр, прилетела для стабильной ветки Debian 9.2.1, дуплетом:)

Ваша оценка: Нет
Texnoline

не быть, а что делать! Точнее, напишите? Телепаты катаются на горках...:)

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.