Microsoft поделилась информацией о том, как исправления для уязвимости Spectre повлияют на производительность компьютеров с Windows:
– Windows 10 running on Skylake, Kaby Lake or newer CPU show benchmarks show “single-digit slowdowns”, but most users shouldn’t expect to see noticeable slowdowns
– Windows 10 running on Haswell or older CPUs “show more significant slowdowns” and “some users will notice a decrease in system performance”
– Windows 7 or Windows 8 running on Haswell or older CPUs means “most users will notice a decrease in system performance
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
– Windows 10 running on Skylake, Kaby Lake or newer CPU show benchmarks show “single-digit slowdowns”, but most users shouldn’t expect to see noticeable slowdowns
– Windows 10 running on Haswell or older CPUs “show more significant slowdowns” and “some users will notice a decrease in system performance”
– Windows 7 or Windows 8 running on Haswell or older CPUs means “most users will notice a decrease in system performance
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
Microsoft News
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
Currently three exploits have been demonstrated as technically possible. In partnership with our silicon partners, we have mitigated those through changes to Windows and silicon microcode.
и об утечках. наверно, самая маленькая утечка, о которой когда либо сообщалось в этом канале. Есть такой сервис — Wag, это для владельцев собак, которые через сервис находят желающих прогулять их собачку. Так вот, этот сервис случайно опубликовал данные на 100 пользователей, включая коды домофонов. Причем там какая-то хитрая история о том, что вроде как подобные данные публиковались каждый день, и поэтому утечка может быть гораздо больше. Компания утверждает, что, по их мнению, этими данными никто не успел воспользоваться. "по крайней мере, никого пока не ограбили", говорит компания. ссылка на WSJ, но там paywall
https://www.wsj.com/articles/dog-walking-app-exposed-home-addresses-and-lockbox-codes-1515524881
https://www.wsj.com/articles/dog-walking-app-exposed-home-addresses-and-lockbox-codes-1515524881
WSJ
Dog-Walking App Exposed Home Addresses and Lockbox Codes
Wag Labs, the company behind a popular dog-walking smartphone app, inadvertently exposed webpages showing customer information including addresses and lockbox codes that could have enabled thieves to break into homes.
Эпичная история про чувака, который сделал пакет, включенный в зависмости многих других пакетов для веба, и распространялся через nmp. На первый взгляд пакет обладал полезной функциональностью, но также умел воровать пользовательские данные из форм на страницах — в частности, юзернеймы, пароли, данные банковских карточек. Демонстрирует, насколько легко взять и распространить свой код на тысячи вебсайтов.
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Hackernoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Очередной привет от Apple своим пользователям в плане безопасности. Если зайти в системные настройки macOS, раздел App Store, то на 10.13.2 разблокировать доступ к настройкам можно любым паролем. Я у себя на бете 10.13.3 воспроизвести не смог, так что, похоже, что в бете это уже исправили. В статье пишут, что на 10.12.6 тоже не воспроизводится, так что проблема характерна только для High Sierra. Знаете, как шутят, что жизнь как зебра, где белая полоса, черная полоса, белая полоса, черная полоса... Так вот, что-то в последнее время у Apple с темой безопасности мало того, что какая-то черная зебра попалась, так, чувствую, мы еще и к жопе подбираемся.
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
MacRumors
macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password [Updated]
A bug report submitted on Open Radar this week has revealed a security flaw in the current version of macOS High Sierra that allows the App Store...
так, пользователей Windows с глюками апдейтов для Spectre/Meltdown я сегодня уже обрадовал. Пользователей Маков с дырой в системных настройках — тоже. Кто там у нас остался? Пользователи Linux! Ну, у них-то все должно быть в порядке, правда? А вот и нет! патчи против Meltdown/Spectre "кирпичат" Ubuntu 16.04. Ой!
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-bricking-ubuntu-16-04-computers/
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-bricking-ubuntu-16-04-computers/
BleepingComputer
Meltdown & Spectre Patches Causing Boot Issues for Ubuntu 16.04 Computers
Ubuntu Xenial 16.04 users who updated to receive the Meltdown and Spectre patches are reporting they are unable to boot their systems and have been forced to roll back to an earlier Linux kernel image.
умный сейф, говорили они... https://twitter.com/BBCClick/status/951057832060780544/video/1
АПД ссылка на статью на BBC http://www.bbc.com/news/av/technology-42634501/ces-2018-ikeyp-smart-safe-proves-easy-to-crack-open
АПД ссылка на статью на BBC http://www.bbc.com/news/av/technology-42634501/ces-2018-ikeyp-smart-safe-proves-easy-to-crack-open
Подъехали результаты тестирования macOS с апдейтом против Meltdown. Есть хорошие новости и плохие. В частности, в среднем потерей производительности после апдейтов можно пренебречь, если смотреть на результаты тестирования с помощью Geekbench, особенно если учесть существенный прирост производительности между 10.13.0 и 10.13.2 в некоторых тестах. На задачах типа компилирования потеря производительности составила от 2 до 9%. На задаче типа разархивирования большого файла падение производительности от 6 до 12%, если сравнивать 10.13.0 против 10.13.2, и более 40%, если сравнивать машину 10.12.6 против 10.13.2 (там, похоже, накладываются проблемы производительности APFS против HFS+).
Также замеряли производительность на системных функциях — getpid, read, write, lseek, gettimeofday — и там начинается самая жопа, с потерей производительности до 300% в некоторых случаях. В реальных условиях, конечно, большинство пользователей этого не заметит, но когда это останавливало журналистов от статей вроде "ЭПОЛ ЗАМЕДЛИЛА СВОИ КОМПЬЮТЕРЫ ПРОЦЕНТОВ НА ТРИСТА" (хаха, шутки про тракториста)
много деталей по ссылке https://reverse.put.as/2018/01/07/measuring-osx-meltdown-patches-performance/
Также замеряли производительность на системных функциях — getpid, read, write, lseek, gettimeofday — и там начинается самая жопа, с потерей производительности до 300% в некоторых случаях. В реальных условиях, конечно, большинство пользователей этого не заметит, но когда это останавливало журналистов от статей вроде "ЭПОЛ ЗАМЕДЛИЛА СВОИ КОМПЬЮТЕРЫ ПРОЦЕНТОВ НА ТРИСТА" (хаха, шутки про тракториста)
много деталей по ссылке https://reverse.put.as/2018/01/07/measuring-osx-meltdown-patches-performance/
Reverse Engineering
Measuring OS X Meltdown Patches Performance
Happy New Year and happy ten year anniversary to this blog, which I totally forgot back in October :-/.
Blogging activity here has been so slow that I almost forgot how to work with Hugo.
We started 2018 with heavy speculation on critical CPU bugs that were…
Blogging activity here has been so slow that I almost forgot how to work with Hugo.
We started 2018 with heavy speculation on critical CPU bugs that were…
Мне тут ребята из хостинга Inferno Solutions (отличное название, кстати) подогнали картинку с показателями на хостах после накатывания апдейта против Meltdown/Spectre. Процитирую автора: "Этот сервер был почти пустой и тестировали патчи на нем, на боевых машинах даже страшно патчить.." Характеристики хоста — CentOS 7, виртуализация KVM, 2x Xeon E5 2650v4 в качестве CPU.
Если тут есть еще представители хостингов, присылайте мне вашу статистику, будем её тут собирать понемножку
Если тут есть еще представители хостингов, присылайте мне вашу статистику, будем её тут собирать понемножку
Safari Technology Preview Release 47 is now available for download for macOS Sierra and macOS High Sierra. If you already have Safari Technology Preview installed, you can update from the Mac App Store’s Updates tab. This release covers WebKit revisions 225841-226459.
This release contains the Spectre mitigations released in iOS 11.2.2, the High Sierra 10.13.2 supplemental update, and Safari 11.0.2 reissue released on Monday, January 8. For more information about Spectre, see What Spectre and Meltdown Mean For WebKit.
https://webkit.org/blog/8060/release-notes-for-safari-technology-preview-47/
This release contains the Spectre mitigations released in iOS 11.2.2, the High Sierra 10.13.2 supplemental update, and Safari 11.0.2 reissue released on Monday, January 8. For more information about Spectre, see What Spectre and Meltdown Mean For WebKit.
https://webkit.org/blog/8060/release-notes-for-safari-technology-preview-47/
WebKit
Release Notes for Safari Technology Preview 47
Safari Technology Preview Release 47 is now available for download for macOS Sierra and macOS High Sierra.
Реалии современного веба:
- Open website
- Click Cancel on "Allow notifications"
- Close mailing list overlay
- Close cookies banner
- Pause autoplaying video with sound
😠
- Close "Disable adblock" overlay
- Pause adblock
- 80% of screen is ads
- JS crypto miner trashes CPU
😡
- Article was crap
😤
- Open website
- Click Cancel on "Allow notifications"
- Close mailing list overlay
- Close cookies banner
- Pause autoplaying video with sound
😠
- Close "Disable adblock" overlay
- Pause adblock
- 80% of screen is ads
- JS crypto miner trashes CPU
😡
- Article was crap
😤
кажется, возвращаются времена, когда ФБР опять будет требовать бэкдор в iPhone и других устройствах. Директор ФБР пожаловался, что в прошлом году они не смогли получить доступ к 7775 устройствам, и назвал это существенной проблемой для общественной безопасности
https://www.washingtonpost.com/world/national-security/fbi-chief-calls-encryption-a-major-public-safety-issue/2018/01/09/29a04166-f555-11e7-b34a-b85626af34ef_story.html?utm_term=.6538ab0012a7
а эксперт ФБР назвал Apple "козлами" и "гениями зла" за то, что компания усложняет работу ему и его коллегам
https://motherboard.vice.com/en_us/article/59wkkk/fbi-hacker-says-apple-are-jerks-and-evil-geniuses-for-encrypting-iphones
https://www.washingtonpost.com/world/national-security/fbi-chief-calls-encryption-a-major-public-safety-issue/2018/01/09/29a04166-f555-11e7-b34a-b85626af34ef_story.html?utm_term=.6538ab0012a7
а эксперт ФБР назвал Apple "козлами" и "гениями зла" за то, что компания усложняет работу ему и его коллегам
https://motherboard.vice.com/en_us/article/59wkkk/fbi-hacker-says-apple-are-jerks-and-evil-geniuses-for-encrypting-iphones
Washington Post
- The Washington Post
Тут продолжает развиваться история с вредоносным ПО для Маков под названием FruitFly (его обнаружили в прошлом году https://www.cyberscoop.com/fruit-fly-mac-malware-synack-patrick-wardle/).
История такая, что некий хрен на протяжении 13 лет заражал Маки приложунькой, которая должна была подслушивать микрофон, записывать камерой видео, а также воровать персональные данные жертв (скриншоты, кейлоггинг, и тд). Также обвиняемый занимался созданием детской порнографии. Количество жертв якобы измеряется в тысячах, хотя при обнаружении речь шла о 400 случаях заражения). Самое странное, что механизм распространения этого вредоносного ПО не раскрывается. Короче, автору этого всего вчера выдвинули обвинение, дальше будет суд, и, возможно, во время суда выяснятся какие-то детали этой мутной истории
https://www.justice.gov/usao-ndoh/pr/north-royalton-man-charged-16-count-indictment-creating-and-installing-malware
История такая, что некий хрен на протяжении 13 лет заражал Маки приложунькой, которая должна была подслушивать микрофон, записывать камерой видео, а также воровать персональные данные жертв (скриншоты, кейлоггинг, и тд). Также обвиняемый занимался созданием детской порнографии. Количество жертв якобы измеряется в тысячах, хотя при обнаружении речь шла о 400 случаях заражения). Самое странное, что механизм распространения этого вредоносного ПО не раскрывается. Короче, автору этого всего вчера выдвинули обвинение, дальше будет суд, и, возможно, во время суда выяснятся какие-то детали этой мутной истории
https://www.justice.gov/usao-ndoh/pr/north-royalton-man-charged-16-count-indictment-creating-and-installing-malware
И еще о потере производительности после установки апдейтов против Meltdown и Spectre — теперь официальные результаты Intel
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/
В зависимости от процессоров, задач и тестов, падение от 1% до 21%. Чтобы не пересказывать все результаты — вот прямая ссылка на ПДФ с табличкой
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/
В зависимости от процессоров, задач и тестов, падение от 1% до 21%. Чтобы не пересказывать все результаты — вот прямая ссылка на ПДФ с табличкой
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf
Intel Newsroom
Intel Security Issue Update: Initial Performance Data Results for Client Systems
Testing Intel Core Processor platforms and a variety of computing workloads.
И снова здравствуйте! В окончание этой короткой рабочей недели (для большинства из вас) еще парочка новостей про Meltdown/Spectre и потом кое-что интересное.
1. Тут Google рассказывает, что их исправления уязвимостей M/S не приводит к потере производительности их облачных сервисов
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
2. Вчера AMD созрело на новое заявление касательно того, как M/S влияет на продукты, использующие процессоры AMD. Там они подтвердили, что оба варианта Spectre затрагивают процессоры AMD, а вот Meltdown все-таки не затрагивает
http://www.amd.com/en/corporate/speculative-execution
1. Тут Google рассказывает, что их исправления уязвимостей M/S не приводит к потере производительности их облачных сервисов
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
2. Вчера AMD созрело на новое заявление касательно того, как M/S влияет на продукты, использующие процессоры AMD. Там они подтвердили, что оба варианта Spectre затрагивают процессоры AMD, а вот Meltdown все-таки не затрагивает
http://www.amd.com/en/corporate/speculative-execution
Google
Protecting our Google Cloud customers from new vulnerabilities without impacting performance
If you’ve been keeping up on the latest tech news, you’ve undoubtedly heard about the CPU security flaw that Google’s Project Zero disclosed last Wednesday. On Friday, we answered some of your questions and detailed how we are protecting Cloud customers.…
А тем временем F-Secure обнаружили новую уязвимость в процессорах Intel, точнее, в AMT (Active Management Technology) процессоров, позволяющей получить управление над устройством (при наличии физического доступа к устройству). Проблема митигируется заменой дефолтного пароля у AMT. Этот год у Intel пока не задался
https://business.f-secure.com/intel-amt-security-issue
https://business.f-secure.com/intel-amt-security-issue
Пользователям браузера Chrome может оказаться интересным это расширение для браузера, показывающее, кто и как следит за вами на любом вебсайте
https://chrome.google.com/webstore/detail/kimetrak/calbcnenngoldabnjpmjionopmijimpa
страница этого проекта тут https://github.com/david-legrand/kimetrak
https://chrome.google.com/webstore/detail/kimetrak/calbcnenngoldabnjpmjionopmijimpa
страница этого проекта тут https://github.com/david-legrand/kimetrak
Google
Kimetrak
This extension analyse who tracks you !
А вот пятничный бонус #1. История-триллер о том, как данные, полученные с iPhone, позволили получить подтверждение виновности в убийстве. Там, в частности, с iPhone подозреваемого добыли данные Health, которые регистрируют количество пройденных лестничных пролетов, и сравнили эти данные с информацией с телефона жертвы (когда убийца по ступенькам отнес тело жертвы вниз к реке, а потом вернулся обратно). Во время следственного эксперимента данные совпали, так что это послужило достаточным доказательством.
Там есть не очень понятный момент с тем, как эти данные с телефона были получены — якобы некая компания добыла данные с телефона, так как владелец отказался предоставить пароль к телефону, так что это мог быть какой-то взлом в обход TouchID, о котором мы пока не знаем. Но сам факт использования данных Health - интересен.
https://motherboard.vice.com/en_us/article/43q7qq/apple-health-data-is-being-used-as-evidence-in-a-rape-and-murder-investigation-germany
Там есть не очень понятный момент с тем, как эти данные с телефона были получены — якобы некая компания добыла данные с телефона, так как владелец отказался предоставить пароль к телефону, так что это мог быть какой-то взлом в обход TouchID, о котором мы пока не знаем. Но сам факт использования данных Health - интересен.
https://motherboard.vice.com/en_us/article/43q7qq/apple-health-data-is-being-used-as-evidence-in-a-rape-and-murder-investigation-germany
Vice
Apple Health Data Is Being Used as Evidence in a Rape and Murder Investigation
German authorities cracked a man's iPhone and found out what he was up to.