Самый серьезный Fuck-Up в компьютерной сфере за 20 лет. Как защититься от Meltdown и Spectre
Наверное, все уже слышали о чрезвычайно серьезной уязвимости в процессорах. В любых. Выпущенных с 1995 года. Если кто-то еще лежит в новогоднем оливье и пока ничего не слышал, то вот:
Кратко суть: один процесс может читать всю системную память без ограничений. Кто это значит в практическом смысле? Любой сайт может украсть ваши номера кредиток, логины, пароли, любые данные. И атаку нельзя заметить.
Как защититься от Meltdown и Spectre?
Ждать заплатки к операционным системам и срочно устанавливать.
Ждать заплатку для Chrome. Обещают аж в конце января.
Пока заплатки для браузера нет срочно включить изоляцию процессов в Google Chrome.
Как включить изоляцию процессов в Google Chrome?
В адресной строке пишите chrome://flags#enable-site-per-process и жмите «Enable».
После установки заплатки всё будет хорошо?
Нет, не будет. Всё будет плохо, так как все существующие патчи приводят к потере производительности до 30% и более.
Поприетарный браузер, ещё с зондами от Google, сливающих инфу.Chromium тоже не без греха. Знаю, можно поставить ungoogled-chromium, ещё что-то с патчами, но нет, спасибо. Проще поставить Qupzilla (или другой свободный браузер без анальных зондов).
Тут как раз всё наоборот. В анальном Хроме есть экспериментальная фича изоляции процессов. До выхода заплатки ее можно активировать. Т.к. баг на уровне hardware, все другие браузеры, включая свободные, тоже окажутся уязвимыми. Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.
Но сам баг появился именно благодаря закрытости. 15 лет не могли найти. Будь инфа о процессоре в открытом доступе, такого бы просто не произошло. Пророчества Столлмана опять сбылись.
Потому, что новый баг обходит и jailkit. И в этом весь ужас. Он вообще всё обходит. Баг в процессоре, а не в софте. А заплатка срежет треть производительности процессора. Подарок от Intel на Новый год.
Кстати, оказывается, эти скоты, когда узнали о дыре в своих процах, сразу скинули крупный пакет акции Intel.
В статье написано: "в любых процессорах". Поправьте. Причем так на Opennet и сказано:
Компания AMD утверждает, что её процессоры уязвимости не подвержены.
Извиняюсь. По ссылке прочитал:
Which systems are affected by Spectre?
Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.
В нем вообще неизвестно сколько дыр. Я бы сказал, что пришло время услышать Столлмана и пересмотреть отношение к пропретарщине. Что, кстати, происходит в программной области — Docker, MySQL, Hadoop, PHP, Java, да что угодно... Везде стало хорошим тоном раскрывать исходный код, чтобы сообщество имело возможность проводить аудит. А процессоры как были черными ящиками, так и остались. И вот получили. А сколько в них еще глюков, преднамеренных закладок и зондов!
А ты, собираешь хромиум вручную, хэх. Писал, типо хромиум шибко хорош после допиливания. Из исходников, что не каждый осмелиться выкидывать оттуда гугловую хрень. Кому это надо, если всё уже сделано?
Акции скинул генеральный директор Intel, свои и все, что можно было. Оставил только обязательный минимум, который он обязан держать по трудовому договору, как руководящий работник Intel. Типичные и наглые инсайдерские дела.
Mozilla вчера выпустила пропатченую версию Firefox 57.0.4. Судя по описанию, из-за того, что этот тип атак включает точное измерение временных интервалов, разработчики "огрубили" возможность такого измерения с 5 микросекунд до 20 микросекунд. Заодно отключили SharedArrayBuffer, в котором могут создаваться таймеры для подобных измерений. Понятно, что это ну уж совсем временное решение, но альтернатив на данный момент практически нет. В версии Firefox 52.5 ESR вышеупомянутый массив был отключен еще в конце декабря.
Читал, что огрублять надо минимум на 150-200 мс, а это уже отразится на работоспособности сайтов. Типа, как work-around на время сгодится, но далеко не панацея.
Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.
Нашёл браузер, на основе chromium, но настроек больше.
Фичу проверил, есть.
на официальном сайте говорят:
Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь. Slimjet — это переработанный проект Chromium с открытым исходным кодом, который не отправляет любые данные об использовании обратно в Google, как это делает Chrome. Кроме того, Slimjet снабжен самыми передовыми технологиями противодействия отслеживанию, которые предотвращают любые попытки вторжения в вашу личную жизнь (например, отслеживание вашей личности или профилирование вашего поведения) со стороны докучливых компаний.
А какие есть основания верить этому заявлению? Например, я беру исходники Chromium, запиливаю туда троян и выкладываю со скромным описанием: «Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь». Я к тому, что проверить безопасность браузера могут только спецы высокого уровня и они очень заняты, поэтому проверяют только топовые браузеры. Почему бы им вдруг захотелось тратить тысячи человекочасов на проверки каждой любительской поделки? Неужели мы так много хорошего знаем о Smiljet, чтобы 1) без сомнений доверять им свои данные без всякой проверки, на слово; 2) верить, что Intel не может справиться с дырой, а Slimjet уже закрыл ее? ;)
Да, я школьнег, можете мне не верить. Но я читаю статьи на Либератуме, потому что сижу на GNU/Linux, и мне это интересно.
Если нужен приватный браузер, то определённо links подойдёт. Например, прямо сейчас с него на Либератуме сижу.
Как говорится, возраст не самое главное, главное — разумность человека.
Ждем процессоров на архитектуре RISC V — а потом можно будет переходить на новое, и забыть х86,ARM! А так это все лечение зубов, через анальное зондирование пациентов:)
а смысл в переустановке ос? снова прилетит ведь. Думаю, удалить этот microcode, заблокировать его в synaptice, и пользоваться vivaldi с изоляцией процессов, до лучших времен.
Это не пиар vivaldi, а лишь мое личное предпочтение, если выбирать из хромовых. Вообще я предпочитаю palemoon, vivaldi же имеет тестовую фичу хрома для изоляции процессов,и не грузит все вкладки одновременно, как хром и хромиум, а интерфейс же очень похож на лиса, прожорлив правда. Насчет патча, для тех, кто пока не разобрался, уточняю, если разработчики вашего дистра не включили в обновление пропатченное ядро (linux kernel),его необходимо найти в репах по наводке из новостной странице на сайте дистра, и обновиться. Обновление же intel microcode тоже необходимо ставить,но только сначала обновив ядро, поскольку без него микропрограмма загрузит проц на полную катушку. Дата microcode должна быть 08012018.
Поприетарный браузер, ещё с зондами от Google, сливающих инфу.Chromium тоже не без греха. Знаю, можно поставить ungoogled-chromium, ещё что-то с патчами, но нет, спасибо. Проще поставить Qupzilla (или другой свободный браузер без анальных зондов).
Тут как раз всё наоборот. В анальном Хроме есть экспериментальная фича изоляции процессов. До выхода заплатки ее можно активировать. Т.к. баг на уровне hardware, все другие браузеры, включая свободные, тоже окажутся уязвимыми. Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.
Но сам баг появился именно благодаря закрытости. 15 лет не могли найти. Будь инфа о процессоре в открытом доступе, такого бы просто не произошло. Пророчества Столлмана опять сбылись.
Почему бы jailkit не попробовать?
Или firejail, и через него запускать браузер?
Потому, что новый баг обходит и jailkit. И в этом весь ужас. Он вообще всё обходит. Баг в процессоре, а не в софте. А заплатка срежет треть производительности процессора. Подарок от Intel на Новый год.
Кстати, оказывается, эти скоты, когда узнали о дыре в своих процах, сразу скинули крупный пакет акции Intel.
В статье написано: "в любых процессорах". Поправьте. Причем так на Opennet и сказано:Извиняюсь. По ссылке прочитал:
Пришло время покупать "Эльбрус"? :)
В нем вообще неизвестно сколько дыр. Я бы сказал, что пришло время услышать Столлмана и пересмотреть отношение к пропретарщине. Что, кстати, происходит в программной области — Docker, MySQL, Hadoop, PHP, Java, да что угодно... Везде стало хорошим тоном раскрывать исходный код, чтобы сообщество имело возможность проводить аудит. А процессоры как были черными ящиками, так и остались. И вот получили. А сколько в них еще глюков, преднамеренных закладок и зондов!
Пора переходить на Эльбрусы!
Гавно мамонта — из начала нулевых, VLIW- мертворожденный эмбрион 70-х годов прошлого века, прямо смотрит с укором на тебя!:)
А ты, собираешь хромиум вручную, хэх. Писал, типо хромиум шибко хорош после допиливания. Из исходников, что не каждый осмелиться выкидывать оттуда гугловую хрень. Кому это надо, если всё уже сделано?
А что, команды уже так сложны в терминале? Что и собрать нельзя?
Ну лан, собираю. Попробовал по этой инструкции
там инфа протухла, что теперь у меня ошибки вылазиют.
Есть один изъян — стоит он в разы больше, чем зарубежные аналоги — 200 тыс р.
Акции скинул генеральный директор Intel, свои и все, что можно было. Оставил только обязательный минимум, который он обязан держать по трудовому договору, как руководящий работник Intel. Типичные и наглые инсайдерские дела.
А толку, все дело в железе а не в софте:)
Mozilla вчера выпустила пропатченую версию Firefox 57.0.4. Судя по описанию, из-за того, что этот тип атак включает точное измерение временных интервалов, разработчики "огрубили" возможность такого измерения с 5 микросекунд до 20 микросекунд. Заодно отключили SharedArrayBuffer, в котором могут создаваться таймеры для подобных измерений. Понятно, что это ну уж совсем временное решение, но альтернатив на данный момент практически нет. В версии Firefox 52.5 ESR вышеупомянутый массив был отключен еще в конце декабря.
Репозитории еще не обновили, так что ждем-с.
Читал, что огрублять надо минимум на 150-200 мс, а это уже отразится на работоспособности сайтов. Типа, как work-around на время сгодится, но далеко не панацея.
Нашёл браузер, на основе chromium, но настроек больше.
Фичу проверил, есть.
на официальном сайте говорят:
А какие есть основания верить этому заявлению? Например, я беру исходники Chromium, запиливаю туда троян и выкладываю со скромным описанием: «Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь». Я к тому, что проверить безопасность браузера могут только спецы высокого уровня и они очень заняты, поэтому проверяют только топовые браузеры. Почему бы им вдруг захотелось тратить тысячи человекочасов на проверки каждой любительской поделки? Неужели мы так много хорошего знаем о Smiljet, чтобы 1) без сомнений доверять им свои данные без всякой проверки, на слово; 2) верить, что Intel не может справиться с дырой, а Slimjet уже закрыл ее? ;)
ну, анонимус же так сказал!? Прямо ОРТ — эксперт, если сказали в тырнете, то так оно и есть...
Да, я школьнег, можете мне не верить. Но я читаю статьи на Либератуме, потому что сижу на GNU/Linux, и мне это интересно.
Если нужен приватный браузер, то определённо links подойдёт. Например, прямо сейчас с него на Либератуме сижу.
Ждем процессоров на архитектуре RISC V — а потом можно будет переходить на новое, и забыть х86,ARM! А так это все лечение зубов, через анальное зондирование пациентов:)
Господа, заплатка прилетела в виде intel microcode. Проц шмалюет на холостом 100%. Cижу в шоке, не знаю,как быть О_О
Переустановите ОС.
а смысл в переустановке ос? снова прилетит ведь. Думаю, удалить этот microcode, заблокировать его в synaptice, и пользоваться vivaldi с изоляцией процессов, до лучших времен.
опять пиар Vivaldi? и где, там изоляция и на чем оно реализовано?
Это не пиар vivaldi, а лишь мое личное предпочтение, если выбирать из хромовых. Вообще я предпочитаю palemoon, vivaldi же имеет тестовую фичу хрома для изоляции процессов,и не грузит все вкладки одновременно, как хром и хромиум, а интерфейс же очень похож на лиса, прожорлив правда. Насчет патча, для тех, кто пока не разобрался, уточняю, если разработчики вашего дистра не включили в обновление пропатченное ядро (linux kernel),его необходимо найти в репах по наводке из новостной странице на сайте дистра, и обновиться. Обновление же intel microcode тоже необходимо ставить,но только сначала обновив ядро, поскольку без него микропрограмма загрузит проц на полную катушку. Дата microcode должна быть 08012018.
На днях патч ядра и фирмвейр, прилетела для стабильной ветки Debian 9.2.1, дуплетом:)
не быть, а что делать! Точнее, напишите? Телепаты катаются на горках...:)