Самый серьезный Fuck-Up в компьютерной сфере за 20 лет. Как защититься от Meltdown и Spectre
4 Jan, 2018 pomodor 28
Наверное, все уже слышали о чрезвычайно серьезной уязвимости в процессорах. В любых. Выпущенных с 1995 года. Если кто-то еще лежит в новогоднем оливье и пока ничего не слышал, то вот: «Meltdown and Spectre: bugs in modern computers leak passwords and sensitive data».
Кратко суть: один процесс может читать всю системную память без ограничений. Кто это значит в практическом смысле? Любой сайт может украсть ваши номера кредиток, логины, пароли, любые данные. И атаку нельзя заметить.
Как защититься от Meltdown и Spectre?
- Ждать заплатки к операционным системам и срочно устанавливать.
- Ждать заплатку для Chrome. Обещают аж в конце января.
- Пока заплатки для браузера нет срочно включить изоляцию процессов в Google Chrome.
Как включить изоляцию процессов в Google Chrome?
В адресной строке пишите chrome://flags#enable-site-per-process и жмите «Enable».
После установки заплатки всё будет хорошо?
Нет, не будет. Всё будет плохо, так как все существующие патчи приводят к потере производительности до 30% и более.
field_vote:
Главная тема:
Пользовательские теги:
Комментарии
leserf50
4 января, 2018 - 17:51
Поприетарный браузер, ещё с зондами от Google, сливающих инфу.Chromium тоже не без греха. Знаю, можно поставить ungoogled-chromium, ещё что-то с патчами, но нет, спасибо. Проще поставить Qupzilla (или другой свободный браузер без анальных зондов).
pomodor
4 января, 2018 - 18:20
Тут как раз всё наоборот. В анальном Хроме есть экспериментальная фича изоляции процессов. До выхода заплатки ее можно активировать. Т.к. баг на уровне hardware, все другие браузеры, включая свободные, тоже окажутся уязвимыми. Но в Хроме фича есть, а есть ли она в других браузерах — это еще вопрос.
Но сам баг появился именно благодаря закрытости. 15 лет не могли найти. Будь инфа о процессоре в открытом доступе, такого бы просто не произошло. Пророчества Столлмана опять сбылись.
leserf50
4 января, 2018 - 19:08
Почему бы jailkit не попробовать?
Или firejail, и через него запускать браузер?
pomodor
4 января, 2018 - 19:09
Потому, что новый баг обходит и jailkit. И в этом весь ужас. Он вообще всё обходит. Баг в процессоре, а не в софте. А заплатка срежет треть производительности процессора. Подарок от Intel на Новый год.
Кстати, оказывается, эти скоты, когда узнали о дыре в своих процах, сразу скинули крупный пакет акции Intel.
leserf50
4 января, 2018 - 21:50
В статье написано: "в любых процессорах". Поправьте. Причем так на Opennet и сказано:Извиняюсь. По ссылке прочитал:
Пришло время покупать "Эльбрус"? :)
pomodor
4 января, 2018 - 23:47
В нем вообще неизвестно сколько дыр. Я бы сказал, что пришло время услышать Столлмана и пересмотреть отношение к пропретарщине. Что, кстати, происходит в программной области — Docker, MySQL, Hadoop, PHP, Java, да что угодно... Везде стало хорошим тоном раскрывать исходный код, чтобы сообщество имело возможность проводить аудит. А процессоры как были черными ящиками, так и остались. И вот получили. А сколько в них еще глюков, преднамеренных закладок и зондов!
Чингачгук
5 января, 2018 - 12:33
Пора переходить на Эльбрусы!
Texnoline
5 января, 2018 - 13:17
Гавно мамонта — из начала нулевых, VLIW- мертворожденный эмбрион 70-х годов прошлого века, прямо смотрит с укором на тебя!:)
leserf50
7 января, 2018 - 15:32
А ты, собираешь хромиум вручную, хэх. Писал, типо хромиум шибко хорош после допиливания. Из исходников, что не каждый осмелиться выкидывать оттуда гугловую хрень. Кому это надо, если всё уже сделано?
Texnoline
8 января, 2018 - 15:03
А что, команды уже так сложны в терминале? Что и собрать нельзя?
leserf50
9 января, 2018 - 16:12
Ну лан, собираю. Попробовал по этой инструкции
https://www.altlinux.org/Chromium
http://www.chromium.org/developers/how-tos/get-the-code
там инфа протухла, что теперь у меня ошибки вылазиют.
leserf50
7 января, 2018 - 15:36
Есть один изъян — стоит он в разы больше, чем зарубежные аналоги — 200 тыс р.
reflexius
6 января, 2018 - 05:21
Акции скинул генеральный директор Intel, свои и все, что можно было. Оставил только обязательный минимум, который он обязан держать по трудовому договору, как руководящий работник Intel. Типичные и наглые инсайдерские дела.
Texnoline
5 января, 2018 - 09:45
А толку, все дело в железе а не в софте:)
reflexius
6 января, 2018 - 05:16
Mozilla вчера выпустила пропатченую версию Firefox 57.0.4. Судя по описанию, из-за того, что этот тип атак включает точное измерение временных интервалов, разработчики "огрубили" возможность такого измерения с 5 микросекунд до 20 микросекунд. Заодно отключили SharedArrayBuffer, в котором могут создаваться таймеры для подобных измерений. Понятно, что это ну уж совсем временное решение, но альтернатив на данный момент практически нет. В версии Firefox 52.5 ESR вышеупомянутый массив был отключен еще в конце декабря.
Репозитории еще не обновили, так что ждем-с.
pomodor
7 января, 2018 - 22:40
Читал, что огрублять надо минимум на 150-200 мс, а это уже отразится на работоспособности сайтов. Типа, как work-around на время сгодится, но далеко не панацея.
leserf50
7 января, 2018 - 15:27
Нашёл браузер, на основе chromium, но настроек больше.
Фичу проверил, есть.
на официальном сайте говорят:
pomodor
7 января, 2018 - 22:48
А какие есть основания верить этому заявлению? Например, я беру исходники Chromium, запиливаю туда троян и выкладываю со скромным описанием: «Устали от того, что за вами все время следят крупные компании, такие как Facebook или Google, независимо от того, куда вы направляетесь в Интернете? Вы можете спокойно себя чувствовать здесь». Я к тому, что проверить безопасность браузера могут только спецы высокого уровня и они очень заняты, поэтому проверяют только топовые браузеры. Почему бы им вдруг захотелось тратить тысячи человекочасов на проверки каждой любительской поделки? Неужели мы так много хорошего знаем о Smiljet, чтобы 1) без сомнений доверять им свои данные без всякой проверки, на слово; 2) верить, что Intel не может справиться с дырой, а Slimjet уже закрыл ее? ;)
Texnoline
8 января, 2018 - 15:01
ну, анонимус же так сказал!? Прямо ОРТ — эксперт, если сказали в тырнете, то так оно и есть...
leserf50
9 января, 2018 - 19:33
Да, я школьнег, можете мне не верить. Но я читаю статьи на Либератуме, потому что сижу на GNU/Linux, и мне это интересно.
Если нужен приватный браузер, то определённо links подойдёт. Например, прямо сейчас с него на Либератуме сижу.
Texnoline
5 января, 2018 - 09:44
Ждем процессоров на архитектуре RISC V — а потом можно будет переходить на новое, и забыть х86,ARM! А так это все лечение зубов, через анальное зондирование пациентов:)
Чингачгук
12 января, 2018 - 15:06
Господа, заплатка прилетела в виде intel microcode. Проц шмалюет на холостом 100%. Cижу в шоке, не знаю,как быть О_О
Чингачгук
12 января, 2018 - 15:35
Переустановите ОС.
Чингачгук
12 января, 2018 - 15:48
а смысл в переустановке ос? снова прилетит ведь. Думаю, удалить этот microcode, заблокировать его в synaptice, и пользоваться vivaldi с изоляцией процессов, до лучших времен.
Texnoline
12 января, 2018 - 22:22
опять пиар Vivaldi? и где, там изоляция и на чем оно реализовано?
Чингачгук
14 января, 2018 - 19:48
Это не пиар vivaldi, а лишь мое личное предпочтение, если выбирать из хромовых. Вообще я предпочитаю palemoon, vivaldi же имеет тестовую фичу хрома для изоляции процессов,и не грузит все вкладки одновременно, как хром и хромиум, а интерфейс же очень похож на лиса, прожорлив правда. Насчет патча, для тех, кто пока не разобрался, уточняю, если разработчики вашего дистра не включили в обновление пропатченное ядро (linux kernel),его необходимо найти в репах по наводке из новостной странице на сайте дистра, и обновиться. Обновление же intel microcode тоже необходимо ставить,но только сначала обновив ядро, поскольку без него микропрограмма загрузит проц на полную катушку. Дата microcode должна быть 08012018.
Texnoline
14 января, 2018 - 21:47
На днях патч ядра и фирмвейр, прилетела для стабильной ветки Debian 9.2.1, дуплетом:)
Texnoline
12 января, 2018 - 22:21
не быть, а что делать! Точнее, напишите? Телепаты катаются на горках...:)
Комментировать