Poważna dziura w procesorach Intela

Moderator
Awatar użytkownika
Posty: 6298
Rejestracja: 27 lipca 2011
Reputacja: 1667
Reputacja postu: 
3
Napiwki za post: 0 BTC

Poważna dziura w procesorach Intela

Postautor: maxi82 » środa, 3 stycznia 2018, 13:25

"Odkryto błąd w architekturze procesorów (nie tylko tych produkowanych przez Intela). Rezultatem jest dziura, która objawia się bardzo groźnym wyciekiem informacji przechowywanych w pamięci jądra..."

https://niebezpiecznik.pl/post/powazna- ... nisz-o-30/

Trochę szerzej opisane na

https://www.dobreprogramy.pl/Czas-przej ... 85199.html

"Pod koniec 2017 roku w grupach dyskusyjnych poświęconych bezpieczeństwu mówiło się o jakimś poważnym błędzie w popularnych hiperwizorach, związanym z nieuprawnionym dostępem do pamięci. Wszystko wskazuje na to, że to nie jest żaden poważny błąd w hiperwizorach. Mamy do czynienia z jedną z najgorszych katastrof w historii IT, sprzętowym błędem w procesorach Intela, a możliwe że i innych. Spodziewajcie się, że już niebawem Wasze komputery będą pracowały znacznie wolniej – taka jest bowiem cena software’owej łatki, przygotowanej dla Linuksa i Windowsa.."
Pomogłem, chcesz się odwdzięczyć: 1GjJuynG6TiuKVoyg3JwGy2ePA6VUfGbCx

Weteran
Awatar użytkownika
Posty: 2592
Rejestracja: 26 września 2017
Reputacja: 932
Reputacja postu: 
0
Napiwki za post: 0 BTC

Poważna dziura w procesorach Intela

Postautor: KryptoBanita » środa, 3 stycznia 2018, 13:34

Gdzieś już była opublikowana teoria, że skoro tylko Chińczycy produkują proce, to gdzieś tam, zostawiają furtkę :mrgreen:

Weteran
Awatar użytkownika
Posty: 2160
Rejestracja: 1 czerwca 2016
Reputacja: 1042
Reputacja postu: 
0
Napiwki za post: 0 BTC

Poważna dziura w procesorach Intela

Postautor: wrip » środa, 3 stycznia 2018, 13:35

Nie dziwi więc, że rosjanie już od wielu lat prowadzili prace nad własnym procesorem.
NANO - zdecentralizowana i ultraskalowalna kryptowaluta z błyskawicznymi i darmowymi przelewami.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14327
Rejestracja: 16 kwietnia 2012
Reputacja: 2636
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » czwartek, 4 stycznia 2018, 09:56

Dziura na poziomie SPRZĘTU umożliwiająca odczyt pamięci dowolnego procesu w komputerze.
Boisz się, że klucze mogą być wykradzione?
MOGĄ.
I to na KAŻDYM sprzęcie.

https://niebezpiecznik.pl/post/szczegol ... i-spectre/

Co nam pozostaje?
Bezpieczne są tylko portfele sprzętowe (przy pracy online) lub portfele programowe (podpisujące) offline.



Dodano po 6 minutach 45 sekundach:
Kolejne opisy
https://www.spidersweb.pl/2018/01/intel ... ectre.html

Dodano po 14 sekundach:
https://meltdownattack.com/

Dodano po 1 minucie 15 sekundach:
http://antyweb.pl/blad-intela-to-tez-problem-amd/
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Moderator
Awatar użytkownika
Posty: 6298
Rejestracja: 27 lipca 2011
Reputacja: 1667
Reputacja postu: 
0
Napiwki za post: 0 BTC

Poważna dziura w procesorach Intela

Postautor: maxi82 » czwartek, 4 stycznia 2018, 10:02

Sytuacja zaczyna się rozjaśniać:

"Szczegóły techniczne dziury w procesorach Intela, AMD i ARM, czyli ataki Meltdown i Spectre" - https://niebezpiecznik.pl/post/szczegol ... i-spectre/

"Intel, AMD, Google i inni reagują na wykrytą niebezpieczną lukę" - http://www.frazpc.pl/aktualnosci/935800 ... -luke.html

W skrócie; jest ŹLE a dla krypciarzy wręcz TRAGICZNIE.
Pomogłem, chcesz się odwdzięczyć: 1GjJuynG6TiuKVoyg3JwGy2ePA6VUfGbCx

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14327
Rejestracja: 16 kwietnia 2012
Reputacja: 2636
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » czwartek, 4 stycznia 2018, 10:09

@maxi82, Połączyłem nasze wątki, swój dałem jako ogłoszenie globalne, Twojego nie zauważyłem.
To jest BARDZO poważne...
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Weteran
Awatar użytkownika
Posty: 4608
Rejestracja: 14 kwietnia 2016
Reputacja: 2677
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: mecenas » czwartek, 4 stycznia 2018, 10:16

Czyli co? Do czasów łatek na linuxach nie używać kluczy prywatnych?
:arrow: Zdecentralizowane kontrakty: https://bchbull.com
:arrow: Bitcoin Is Cash: https://read.cash/@Pantera

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14327
Rejestracja: 16 kwietnia 2012
Reputacja: 2636
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » czwartek, 4 stycznia 2018, 10:22

https://zaufanatrzeciastrona.pl/post/zn ... ocesorach/

Dodano po 2 minutach 8 sekundach:
@mecenas, Jeżeli komp który ma klucze nie jest do niczego innego - nie ma problemu.
Ale teoretycznie wystarczy wejść na "nieodpowiednią" stronę przy odpalonym i odblokowanym wallecie, żeby klucze poszły w świat.
Oczywiście musiałby być szkodnik celujacy w wallety i szukający kluczy. Ale z drugiej strony może być coś co zrzuca i wysyła wszystko...
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Weteran
Awatar użytkownika
Posty: 4608
Rejestracja: 14 kwietnia 2016
Reputacja: 2677
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: mecenas » czwartek, 4 stycznia 2018, 10:27

@rav3n_pl, oczywiście chodziło mi o działania online, dzięki za info.
Środowisko crypto powinno się skupić na poradnikach jak prawidłowo podpisywać transakcje na maszynach offline i jak rozgłaszać na maszynach online. Taki poradnik powinien być dostępny dla głównych crypto i w PL. Inaczej jak widać to ryzyko z tymi intelami.
:arrow: Zdecentralizowane kontrakty: https://bchbull.com
:arrow: Bitcoin Is Cash: https://read.cash/@Pantera

Weteran
Posty: 7379
Rejestracja: 1 września 2015
Reputacja: 2730
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pael » czwartek, 4 stycznia 2018, 10:27

Backdoor wszechczasow. Przy obecnej popularnosci BTC/krypto polowanie na klucze nie byloby szczegolnie zaskakujace.

Weteran
Awatar użytkownika
Posty: 1237
Rejestracja: 19 września 2017
Reputacja: 918
Reputacja postu: 
3
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Canis Lupus » czwartek, 4 stycznia 2018, 10:32

"To, co możecie zrobić już dzisiaj, to przynajmniej skonfigurować Google Chrome, by działanie każdej strony izolowała w osobnym fragmencie pamięci."

można to zrobić w sposób następujący.
Wrzucamy w chrome adres: chrome://flags/#enable-site-per-process

i włączamy Strict site isolation
restartujemy chroma

@rav3n_pl, rzuć okiem na to co napisałem, bo nie chcę niechcący komuś zaszkodzić.
stówka nie padła ale i tak było zajebiście.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14327
Rejestracja: 16 kwietnia 2012
Reputacja: 2636
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » czwartek, 4 stycznia 2018, 11:21

@Canis Lupus, Chyba ok, na stronie googla którą linkowałem wcześniej jest to podane.

Wszystko wskazuje że najgorzej z Intelami - Meltdown pozwala odczyt CAŁEJ pamięci komputera. Spectre "tylko" cache procesora.
Mam nadzieję, że szybko pojawią się łatki...
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Weteran
Awatar użytkownika
Posty: 3807
Rejestracja: 26 lipca 2017
Reputacja: 5091
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: benq » czwartek, 4 stycznia 2018, 12:06

Przy takich wyciekach zawsze zastanawia mnie czy producenci procków, dysków, portfeli nie zostawiają sobie jakiejś takiej genialnej furtki. Potem tylko czekać na wzrost wartości i stopniowo, żeby nie wywoływać paniki mogliby czyścić wybrane konta.

Weteran
Awatar użytkownika
Posty: 2602
Rejestracja: 11 października 2017
Reputacja: 2732
Reputacja postu: 
3
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: janku66 » czwartek, 4 stycznia 2018, 12:18

Co za świat.

Gorzej niż za czasów maczugi i ognia jako najnowszego wynalazku. Należy się ciągle oglądać przez ramię, bo inaczej zostaniemy bezlitośnie pożarci przez konspirację.

Kiedyś gościłem Chińczyków przez dwa tygodnie na szkoleniu w swojej fabryce. Transferowalem jeden produkt do nich.
Te skośne maniaki filmowali nawet nasze spotkania na produkcji, które z operatorami prowadziliśmy po polsku! Jestem przekonany, że po kilku godzinach cała nasza fabryka nie miała przed tymi kukiełkami tajemnic.

Myślę, że ich natura do kopiowania technologii nie pozostawia złudzeń w temacie tego na ile ich produkty badają resztę świata w stylu zatroskanego rodzica wkładającego kamerę w oko pluszowego misiaka w celu sprawdzenia jak pracuje opiekunka ich dziecka.
Ostatnio zmieniony czwartek, 4 stycznia 2018, 12:21 przez janku66, łącznie zmieniany 1 raz.

Weteran
Posty: 1602
Rejestracja: 7 listopada 2013
Reputacja: 775
Reputacja postu: 
7
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: redbog » czwartek, 4 stycznia 2018, 12:20

mecenas pisze: Środowisko crypto powinno się skupić na poradnikach jak prawidłowo podpisywać transakcje na maszynach offline i jak rozgłaszać na maszynach online. Taki poradnik powinien być dostępny dla głównych crypto i w PL. Inaczej jak widać to ryzyko z tymi intelami.
Trochę offtop ale skoro pytasz a ja mam akurat taki przygotowany to wkleję.
Poradnik dotyczy portfela Electrum.
=======================
Musisz mieć dwa komputery z kamerką. Jeden będzie offline drugi online.

Najpierw instalujesz electrum na offline. Tworzysz seed i robisz jego kopie np. na kartce. Później klikasz Wallet -> Master public keys i tą ikonkę żeby wyświetliło qr code.

Teraz idziesz do komputera online. Instalujesz electrum. Tylko zaznaczasz "Use public or private keys", klikasz na ikonkę z qrcode. Uruchomi się kamerka, musisz na z czytać ten qrcode który masz wyświetlony na kompie offline.

Teraz powinieneś posiadać zsynchronizowane electrum miedzy online a offline.
=======================

WYSYŁANIE TRANSAKCJI
(on=electrum na kompie online, off=electrum na kompie offline)
Śledź tez ten artykuł od "Create an unsigned transaction"to będziesz widział obrazki https://freedomnode.com/blog/73/how-to- ... h-electrum


Create an unsigned transaction- Tworzenie niepodpisanej transakcji na online:
1. Na on klikasz "wyślij"
2.Ustalasz kwotę i fee(opłatę transakcyjną)
3.Klikasz "preview"(Przygotowałeś niepodpisaną transakcje, nie mogłeś jej podpisać ponieważ klucze prywatne są tylko na off, Wiec musisz ją tam przenieść).
4.Wyświetli się okienko i klikasz na ikonkę qrcode (lub klikasz zapisz i zapisujesz plik na usb)

Sign the transaction- Podpisanie transakcji na offline:
5.Na off klikasz "narzędzia>wczytaj transakcje>Z QR code"(lub narzędzia>wczytaj transakcje>Z pliku)
6.Uruchomi się kamerka i musisz zeskanować ten qr code który wcześniej przygotowałeś na on(lub wkładasz to usb na którym zapisałeś ten plik przygotowany na on, musisz wczytać ten plik).
7.Klikasz "podpisz" (transakcja jest gotowa tylko że siec btc o tym nie wie, wiec teraz musisz z powrotem tą już podpisaną transakcje przenieść na on)
8.Klikasz na qr code(lub "Zapisz" i zapisujesz na usb)

Broadcast the signed transaction- Wysłanie podpisanej transakcji na online:
9.Na on klikasz "narzędzia>wczytaj transakcje>Z QR code"(lub narzędzia>wczytaj transakcje>Z pliku)
10.Uruchomi się kamerka i musisz zeskanować ten qr code który wcześniej przygotowałeś na off(lub wkładasz to usb na którym zapisałeś ten plik przygotowany na off, musisz wczytać ten plik).
11.Klikasz "Broadcast" czyli puszczasz tą transakcje do sieci bitcoin (rozgłaszasz transakcje).
12.Koniec czekasz aż siec potwierdzi transakcje.

Polecam korzystać z qrcode ale jak bardzo chcesz to korzystaj z usb tylko tym sposobem lekko zmniejszasz bezpieczeństwo. Ale dalej pozostaje ono na bardzo wysokim poziomie.

Zamiast kompa online można używać smartfona i to na nim zainstalować electrum ale osobiście nie testowałem.

Weteran
Awatar użytkownika
Posty: 4608
Rejestracja: 14 kwietnia 2016
Reputacja: 2677
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: mecenas » czwartek, 4 stycznia 2018, 12:32

@edbog, dzięki, nie wiem, czy offtop, bo temat dotyczy bezpieczeństwa kluczy prywatnych w obecnej sytuacji zagrożenia atakiem.
Co do portfela electrum to faktycznie da się to zrobić, ale co z innymi crypto? BCH, DASH itp?
:arrow: Zdecentralizowane kontrakty: https://bchbull.com
:arrow: Bitcoin Is Cash: https://read.cash/@Pantera

Weteran
Posty: 1602
Rejestracja: 7 listopada 2013
Reputacja: 775
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: redbog » czwartek, 4 stycznia 2018, 12:46

@mecenas, Dla ltc masz electrum-ltc i działa tak samo jak z btc, jest też Electrum-Dash ale nie wiem czy działa tak samo jak z btc.
Dla innych crypto nie znam rozwiązania chyba że np. za pomocą tej stronki offline wygenerować seeda poprzelewać środki partiami na coraz to kolejny adres a priv key ujawniać online tylko pojedynczo tym sposobem w razie czego ograniczysz ewentualna stratę https://coinomi.com/recovery-phrase-tool.html

Wygadany
Posty: 562
Rejestracja: 4 listopada 2013
Reputacja: 89
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: S.O.S » czwartek, 4 stycznia 2018, 13:21

Canis Lupus pisze: i włączamy Strict site isolation
FF ma coś takiego ?

Weteran
Awatar użytkownika
Posty: 1237
Rejestracja: 19 września 2017
Reputacja: 918
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Canis Lupus » czwartek, 4 stycznia 2018, 13:45

@S.O.S, na niebezpieczniku jest link do bloga. Nic więcej na ten temat nie widziałem.
https://blog.mozilla.org/security/2018/ ... ng-attack/
stówka nie padła ale i tak było zajebiście.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14327
Rejestracja: 16 kwietnia 2012
Reputacja: 2636
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » czwartek, 4 stycznia 2018, 13:55

To chyba dom.mapped_arraybuffer.enabled w about:config, nic innego nie znalazłem.
Dałem na disable ;]
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości