Обратите внимание на чувака справа. У него в руках -глушилка дронов
Так, парочка советов по поводу Meltdown/Spectre.
Рекламные движки на сайтах часто используют JavaScript, и уже есть proof of concept для Spectre на базе JS, позволяющий из браузера получать данные. Если пользуетесь браузером Chrome, то лучше включить Site Isolation (http://www.chromium.org/Home/chromium-security/site-isolation), или же установить adblocker, если вы до этого момента это не сделали. https://www.chromium.org/Home/chromium-security/ssca
в Firefox разработчики пока что сделали все за вас https://blog.mozilla.org/security/
про Сафари пока непонятно, но апдейт 10.13.2 вроде как включает в себя фикс Meltdown, а вот про Spectre непонятно. Список фиксов безопасности в 10.13.2 включает в себя уязвимости, обнаруженные экспертами Google Project Zero, но CVE номера уязвимостей не совпадают, поэтому точно сказать сложно (хотя они и относятся к ядру и говорят о доступе к защищенной памяти). https://support.apple.com/en-us/HT208331
Ждем официального ответа Apple
Рекламные движки на сайтах часто используют JavaScript, и уже есть proof of concept для Spectre на базе JS, позволяющий из браузера получать данные. Если пользуетесь браузером Chrome, то лучше включить Site Isolation (http://www.chromium.org/Home/chromium-security/site-isolation), или же установить adblocker, если вы до этого момента это не сделали. https://www.chromium.org/Home/chromium-security/ssca
в Firefox разработчики пока что сделали все за вас https://blog.mozilla.org/security/
про Сафари пока непонятно, но апдейт 10.13.2 вроде как включает в себя фикс Meltdown, а вот про Spectre непонятно. Список фиксов безопасности в 10.13.2 включает в себя уязвимости, обнаруженные экспертами Google Project Zero, но CVE номера уязвимостей не совпадают, поэтому точно сказать сложно (хотя они и относятся к ядру и говорят о доступе к защищенной памяти). https://support.apple.com/en-us/HT208331
Ждем официального ответа Apple
отвлечемся немного от истории с процессорами, а то она даже меня уже утомила. если вы еще не опасаетесь, что ваши данные фигурируют в различных государственных базах, то зря. Например, вот в Индии, похоже, утекла база данных ВСЕХ граждан страны — 1,2 млрд (МИЛЛИАРДА) человек. В базе можно найти имя, адрес, почтовый индекс, фото, номер телефона, адрес, и, похоже, скан сетчатки глаза и отпечатки пальцев. Госорганы пока опровергают, но вообще выглядит все плохо (для граждан Индии).
https://www.buzzfeed.com/pranavdixit/indias-national-id-database-with-private-information-of?utm_term=.kwXBB8aq2#.xcn99JnVk
https://www.buzzfeed.com/pranavdixit/indias-national-id-database-with-private-information-of?utm_term=.kwXBB8aq2#.xcn99JnVk
BuzzFeed News
India's National ID Database With Private Information Of Nearly 1.2 Billion People Was Reportedly Breached
A local Indian newspaper was able to access the private data of nearly 1.2 billion Indians for just $8.
После апдейтов Azure, которые должны были исправить проблему Meltdown, некоторые пользователи сообщают о проблемах с виртуальными машинами https://www.theregister.co.uk/2018/01/04/azure_vms_down_following_meltdown_patch/
www.theregister.co.uk
Azure VMs borked following Meltdown patch, er, meltdown
No ETA yet for West Europe machines
Ссылки от читателя:
https://www.youtube.com/watch?v=6bCdFmehMSY&feature=youtu.be
https://www.youtube.com/watch?v=yPZmiRi_c-o
эпичный проброс данных между виртуалками AWS
https://www.youtube.com/watch?v=6bCdFmehMSY&feature=youtu.be
https://www.youtube.com/watch?v=yPZmiRi_c-o
эпичный проброс данных между виртуалками AWS
YouTube
Hello From the Other Side: SSH Over Robust Cache Covert Channels in the Cloud
In this talk, we present the first practical cache covert channel in the cloud. The goal is to secretly exfiltrate sensitive data from one fully isolated vir...
Intel тут уже сегодня пишет, что у них существенный прогресс по патчам для Meltdown и Spectre (хотя вчера для Spectre вроде как не было патчей вообще). Глядишь, такими темпами, может, и обойдется, и удастся избежать апокалипсиса, если все, кто надо, апдейты поставят
https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/
https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/
Intel Newsroom
Intel Issues Updates to Protect Systems from Security Exploits | Intel Newsroom
SANTA CLARA, Calif., Jan. 4, 2018 -- Intel has developed and is rapidly issuing updates for all types of Intel-based computer systems -- including
а вот и Google подтверждает, что новые патчи, которые были сегодня выкачены на инфраструктуру, имеют минимальный эффект на производительность
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
Google Online Security Blog
More details about mitigations for the CPU Speculative Execution issue
Posted by Matt Linton, Senior Security Engineer and Pat Parseghian, Technical Program Manager Yesterday, Google’s Project Zero team posted...
Microsoft выпустила обновления для устройств Surface, защищающее от уязвимостей Meltdown/Spectre
https://support.microsoft.com/en-us/help/4073065/surface-guidance-for-customers-and-partners-protect-your-devices-again
https://support.microsoft.com/en-us/help/4073065/surface-guidance-for-customers-and-partners-protect-your-devices-again
А вот подъехал ответ от Apple по поводу Meltdown/Spectre: https://support.apple.com/en-us/HT208394
iOS 11.2, macOS 10.13.2 и tvOS 11.2 включают в себя фиксы против Meltdown, Apple Watch этой уязвимостью не затронуты (АПД — все четыре операционные системы затронуты уязвимостью Spectre). Через несколько дней выйдет апдейт для Safari, чтобы защититься против Spectre. Ведется дополнительная разработка для улучшения защиты против этих уязвимостей.
iOS 11.2, macOS 10.13.2 и tvOS 11.2 включают в себя фиксы против Meltdown, Apple Watch этой уязвимостью не затронуты (АПД — все четыре операционные системы затронуты уязвимостью Spectre). Через несколько дней выйдет апдейт для Safari, чтобы защититься против Spectre. Ведется дополнительная разработка для улучшения защиты против этих уязвимостей.
Apple Support
About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple has released security updates for macOS Sierra and El Capitan with mitigations for Meltdown. Apple has released updates for iOS, macOS High Sierra, and Safari on Sierra and El Capitan to help defend against Spectre. Apple Watch is unaffected by both…
Кстати, интересный момент про производительность у Apple. В случае с фиксами про Meltdown — "no measurable reduction in the performance of macOS and iOS", то есть сколько-нибудь заметной потери производительности не заметно. В случае с фиксом для Spectre потеря производительности составляет "an impact of less than 2.5% on the JetStream benchmark", то есть не более 2,5%.
Хорошие новости! US-CERT изменила рекомендацию по решению проблемы с Meltdown/Spectre. Раньше у них был совет “заменить процессор” (см картинку выше вчера), теперь — “установить апдейты”. Таки рассасывается истерика, и, глядишь, обойдется.
https://www.kb.cert.org/vuls/id/584653
https://www.kb.cert.org/vuls/id/584653
www.kb.cert.org
Vulnerability Note VU#584653 - CPU hardware vulnerable to side-channel attacks
CPU hardware implementations are vulnerable to cache side-channel attacks. These vulnerabilities are referred to as Meltdown and Spectre.