Форум движения за возрождение отечественной науки
19 Июля 2018, 14:26:55 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум движения за возрождение отечественной науки
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]   Вниз
  Печать  
Автор Тема: Беззащитное сердце компа  (Прочитано 138 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Николай Сафошин
Активисты форума
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 45


« : 05 Января 2018, 20:54:59 »

Алексей Поликовский
У процессоров Intel обнаружили уязвимость: кто угодно может войти в ваш дом и утащить из него что угодно со скоростью 2000 байт/сек

3 января, когда в новогодних новостных лентах еще шли сообщения о самых высоких елках и самых красивых подарках, в блоге Project Zero появилось сообщение о том, что обнаружены уязвимости Spectre и Meltdown. О группе Project Zero известно только то, что это подразделение Google, ищущее уязвимости в чужих, не гугловских продуктах. Уязвимости в программах находятся ежедневно, уязвимости бывают у браузеров, мессенджеров, операционных систем, к ним выпускаются «патчи», или заплатки, и это рутина. Но тут речь шла о том, что обнаружены дыры в процессорах.
Сердце системы, источник ее жизни ― вот что такое процессор. Недаром его называют «камень». На этом камне стоит весь хай-тек, весь компьютерный мир. И не только компьютерный. На надежности и мощности процессора основана современная человеческая цивилизация безграничных контактов и свободных потоков информации. Процессор в хай-теке первичен, как камень Эвен-ха Штия, на котором Господь создал наш мир. ОС, программы, протоколы, интерфейсы живут только потому, что под ними, в глубине компьютера, работает процессор. Без него нет ничего.
Коллективный гений тысяч инженеров спрессован в маленьком кремниевом прямоугольнике, гений, каждый день и час находящий решения, позволяющие ускорить работу процессора и компьютера. Одним из таких решений была опережающая работа процессора, который не ждет решений пользователя, а предугадывает их, забрасывая в определенные области своей памяти данные, которые может запросить пользователь. Если процессор не угадал и данные не понадобились, то происходит откат назад, инструкции отменяются, процессор переходит к выполнению правильных инструкций. Тут, в этом механизме, который производители процессоров используют много лет, и открылась дыра.
Данные, запрошенные процессором, как оказалось, сбрасываются не всегда. Они остаются в кэше процессора. Уязвимость Meltdown позволяет получить доступ к памяти компьютера, в том числе к памяти ядра процессора. Уязвимость Spectre открывает доступ к памяти приложений. Это ― самое короткое, самое простое и даже примитивное описание ситуации, которая наиболее полно изложена на 32 страницах двух инженерно-научных статей, написанных компьютерными гуру высшего разряда, работающими в университетах Пенсильвании, Мэриленда, Аделаиды, Граца, а также в компаниях Rambus и Cyberus. Project Zero ссылается на эти статьи, которые явно не представляют из себя легкого чтения; чтобы показать всем сведущим и особенно несведущим, о кошмаре какого рода идет речь, Михаэль Шварц из Технологического университета Граца сделал видео.
Это демонстрация атаки Meltdown, в результате которой Шварц двумя кликами мыши крадет пароль. На это уходит 13 секунд.
Итак, мы окружали себя стенами, ковали броню, возводили заграждения, строили редуты, а некоторые маньяки, вроде меня, даже вручную перебирали файл config браузера Firefox, чтобы закрыть в нем все дыры ― и теперь оказывается, что все это чепуха и впустую, потому что внизу, под браузером, под программами, под ОС, зияет и скалится дыра, через которую кто угодно может вытащить из компьютера что угодно.
Это катастрофа, но мы тут даже еще не начали описывать ее масштабы и последствия. Потому что трудно себе их представить. Дыра в сердце системы! Все мы вдруг, в одночасье, стали голыми. Нас можно обворовать в любой момент. Как еще это объяснить? Маленькая дверца в задней стене, через которую кто угодно может войти в ваш дом и утащить из него что угодно со скоростью 2000 байт в секунду. На такой скорости работает прототип Meltdown, созданный в лаборатории. Невысокая скорость, но ее вполне хватит, чтобы забрать все ваши пароли и всю вашу личную переписку.
Это кошмар и обвал. Уязвимости есть во всех процессорах Intel, выпущенных с 1995 года, за исключением Intel Itanium и Intel Atom, выпущенных до 2013 года. Процессоры AMD подвержены только уязвимости Spectre. Под ударом все, абсолютно все компьютеры: настольные, ноутбуки, нетбуки, планшеты, но еще и смартфоны, потому что в них стоят процессоры ARM, а они тоже подвержены атакам через Meltdown и Spectre. Миллиарды устройств, которые стоят у нас на столах, которые мы держим в руках и носим в карманах, с которыми мы ложимся в кровать, чтобы почитать перед сном, и в которые мы смотрим, едва проснувшись, чтобы узнать новости и время ― все они оказались ущербными, во всех них есть дыра, через которую может смотреть ― или уже смотрит? ― глаз соглядатая и шарит рука в резиновой перчатке.
Дело еще в том, что в случае с Meltdown и Spectre  мы не можем знать, что за нами следят и нас грабят. Вы сидите за компьютером, переписываясь в чате, а в это время некто безликий шарит у вас под клавиатурой. Но вы этого никогда не узнаете, потому что никаких следов в log-файлах не остается.
 Сотрудник МВД изымает жесткий диск компьютера во время обыска. Фото: РИА Новости
Виртуальные машины, которыми мы так гордились, ставя их на наши компьютеры, оказываются мыльным пузырем, потому что сладкая парочка гадов Meltdown и Spectre делают возможным проникновение из одной виртуальной машины в другую, а также в хост-машину.
С каждым часом увеличивается список компаний, которые выпускают заявления по поводу катастрофы. Intel, AMD, ARM, Microsoft, Google, Apple, Amazon, VMWare, Ubuntu, Mozilla и так далее ―  все они предупреждают и предлагают в спешном порядке сделанные патчи. Но ни один патч не закрывает дыры полностью. Спасительного решения нет.
И теперь все выглядит по-другому, не так, как выглядело четыре дня назад, в последний день прошлого года. Теперь по-другому выглядят странные люди, которые спрашивали, а зачем нужна гонка за тактовыми частотами, которая приводит к утяжелению и усложнению софта, что, в свою очередь, опять приводит к гонке процессоров? Ведь старого Пентиума и Windows XP вполне достаточно для жизни и работы, не говоря уж о Core 2 и Убунту. Но если бы все мы остались на старых, десятилетия исправно работающих компьютерах, то как бы тогда могла существовать экономика беспрерывных продаж и безудержного потребления? Теперь по-другому выглядит обросший, бородатый, нелепый толстяк Столмен, который призывал не пользоваться процессорами Intel новее, чем Core 2, потому что в них есть умышленно сделанная дыра, которую невозможно закрыть. Да, но чем же нам тогда пользоваться, дорогой гуру Столмен? Где взять процессор без дыры?
Алексей Поликовский
Обозреватель «Новой»

Источник
https://www.novayagazeta.ru/articles/2018/01/05/75079-bezzaschitnoe-serdtse?utm_source=push

« Последнее редактирование: 08 Января 2018, 19:40:48 от admin » Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.11 | SMF © 2006-2009, Simple Machines LLC Valid XHTML 1.0! Valid CSS!