Poważna dziura w procesorach Intela

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12585
Rejestracja: 16 kwietnia 2012
Reputacja: 1523
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » piątek, 5 stycznia 2018, 15:35

Nie przeczytałeś pierwszych postów?
Portfele podpisujące są bezpieczne.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

pm7
Moderator
Posty: 7853
Rejestracja: 20 maja 2012
Reputacja: 926
Reputacja postu: 
1
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pm7 » piątek, 5 stycznia 2018, 17:08

https://www.dobreprogramy.pl/Firefox-i- ... 85249.html

http://www.amd.com/en/corporate/speculative-execution
Obrazek

Dodano po 1 minucie 43 sekundach:
Homer691888 pisze:Przejdź do cytowanego posta I jak zrobię np folder z hasłami i spakuje go jakimś zipem z hasłem i prześlę sobie na maila taki plik to jest to bezpieczne czy raczej głupie posunięcie?
Hasło ZIP można szybko łamać. Polecam Keepass i ustawić długi czas obliczeń. Skutecznie utrudnia złamanie hasła. Do tego dobre hasło (np. metodą Diceware) i powinno być w miarę bezpieczne. Oczywiście, seed nie powinien nigdy trafić do komputera.
https://doc.satoshilabs.com/trezor-user ... overy-seed
Where NOT to keep your recovery seed

  • Dropbox
  • Email
  • Online backup
  • Offline backup
  • Secure encrypted folder


Bardzo Zły Moderator
Awatar użytkownika
Posty: 12585
Rejestracja: 16 kwietnia 2012
Reputacja: 1523
Reputacja postu: 
2
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » piątek, 5 stycznia 2018, 21:15

Fajny opis po polsku
https://nfsec.pl/security/6043

Nazwa poprawki pięknie zrobiona... XD
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

rha
Weteran
Posty: 1561
Rejestracja: 8 lipca 2012
Reputacja: 600
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rha » niedziela, 7 stycznia 2018, 01:11

W tym fajnym opisie po polsku jest subtelny problem z tłumaczeniem opisu dla instrukcji "and rax, 1":
"Zmień A na 0 jeśli jest równe lub na 1 jeśli jest nie równe"
Nie chodzi przy tym o odstęp w "nierówne". Powinno być:
"Zmień A na 0 jeśli jest parzyste lub na 1 jeśli jest nieparzyste".

A sam opis jest głębszy od innych artykułów, choć ostatecznie nie wskazuje metody (i w sumie dobrze).

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12585
Rejestracja: 16 kwietnia 2012
Reputacja: 1523
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » niedziela, 7 stycznia 2018, 14:41

Bezpieczny komputer do krypto?
RASPI!
https://www.raspberrypi.org/blog/why-ra ... -meltdown/
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

pm7
Moderator
Posty: 7853
Rejestracja: 20 maja 2012
Reputacja: 926
Reputacja postu: 
5
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pm7 » niedziela, 7 stycznia 2018, 14:57

miso20 pisze:Przejdź do cytowanego posta 2. Łopatologicznie: Pełny portfel bitcoin jest narażony? Electrum?
Tak. Bezpieczne są wyłącznie portfele nie trzymające kluczy w pamięci RAM komputera (paper wallet, offline/cold wallet, portfel sprzętowy jak Trezor/Ledger).

miso20 pisze:Przejdź do cytowanego posta 4. Jak najlepiej zabezpieczyć sie w związku z tą luką?
Zainstalować aktualizacje systemu i przeglądarki internetowej.
Dałem wcześniej link: https://www.dobreprogramy.pl/Firefox-i- ... 85249.html
Windows: https://www.dobreprogramy.pl/Obawiasz-s ... 85246.html


To powiedziawszy, zastanawiam się, czy panika nie jest niepotrzebna.

Luka możliwa do wykorzystania przez js w przeglądarce ponoć pozwala tylko na odczyt danych i chyba tylko z przeglądarki (bądź z innych procesów uruchomionych na tym samym rdzeniu CPU, jak mamy pecha, ale tylko małe fragmenty pamięci). Jest trudna do wykorzystania, a po aktualizacja Firefox jeszcze trudniejsza.

Meltdown dotyczy "tylko" CPU Intel, ale są już dostępne na to łatki w Linux i Windows. Ponadto, wymaga uruchomienia wirusa, żeby mógł skorzystać z tej dziury. To nie jest atak zdalny. Jeżeli uruchomimy wirusa, nasze portfele i tak mają bardzo kiepskie szanse, nie potrzeba do tego takiej skomplikowanej metody prze wyciąganie danych z kernela.

Meltdown jest najgorszy w chmurach, bo klienci mogliby wyciągać dane cudzych klientów.

Moderator
Awatar użytkownika
Posty: 9644
Rejestracja: 16 lutego 2013
Reputacja: 2244
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Bit-els » niedziela, 7 stycznia 2018, 15:07

@pm7, a czy "coś" w kompie linuxowym trzyma jakies info o kluczach wygenerowanych offline na stronie typu bitaddress org? To znaczy- kiedys wszedłem na stronę, okno prywatne, wyłączyłem net. Generowanie paper walleta, druk. Wyłączenie kompa i drukarkj
Polski operator płatności btc
https://inpay.pl/

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12585
Rejestracja: 16 kwietnia 2012
Reputacja: 1523
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » niedziela, 7 stycznia 2018, 15:10

Reset czyści pamięć.
Atak jest możliwy tylko dla aktualnych danych - czyli musiałby trwać w momencie generowania kluczy.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

pm7
Moderator
Posty: 7853
Rejestracja: 20 maja 2012
Reputacja: 926
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pm7 » niedziela, 7 stycznia 2018, 15:15

@Bit-els, niestety, nie ma żadnych gwarancji jeżeli chodzi o kasowanie RAM, czy cache procesora. Trzeba założyć, że dane istnieją aż do wyłączenia komputera.

rav3n_pl pisze:Przejdź do cytowanego posta Reset czyści pamięć.
Obawiam się, że nie. Trzeba wyłączyć i odczekać moment. Patrz ataki typu "zamrażanie RAM".

Dodano po 1 minucie 20 sekundach:
rav3n_pl pisze:Przejdź do cytowanego posta Atak jest możliwy tylko dla aktualnych danych - czyli musiałby trwać w momencie generowania kluczy.
Na pewno? Nie umożliwia odczytania całej przestrzeni RAM, gdzie może być nienadpisany klucz prywatny wygenerowany w BitAddress?

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12585
Rejestracja: 16 kwietnia 2012
Reputacja: 1523
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: MELTDOWN i SPECTRE - mamy prze...ne

Postautor: rav3n_pl » niedziela, 7 stycznia 2018, 15:17

Zgadza się.
Ale odpalenie kompa powoduje zerowanie rejestrów i kolejki, a atak polega na dostępie do używanej pamięci.
Jeżeli mamy inne procesy to i inną kolejkę i zawartość cache.
Nie wydaje mi się, żeby po reboocie jakąkolwiek część cache nie została napisana.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

Początkujący
Posty: 676
Rejestracja: 18 września 2016
Reputacja: 89
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: WitoldC » niedziela, 7 stycznia 2018, 15:20

Cache raczej wyczyści (jest za mały).

Moderator
Awatar użytkownika
Posty: 9644
Rejestracja: 16 lutego 2013
Reputacja: 2244
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Bit-els » niedziela, 7 stycznia 2018, 15:51

Dzieki. Czyli po wyłączeniu linuxowego kompa i generowaniu bez netu all ok.

Dla pewności osobny, nigdy nie podłączany do netu komp
Polski operator płatności btc
https://inpay.pl/

Początkujący
Posty: 16
Rejestracja: 17 września 2017
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pablo12 » niedziela, 7 stycznia 2018, 16:14

Panowie a jak to wyglądaw win7? Polecenie Install-Module SpeculationControl daje bład o tym że polecenie nie jest znane.

Weteran
Posty: 1456
Rejestracja: 21 marca 2014
Reputacja: 748
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: The Real McCoin » niedziela, 7 stycznia 2018, 16:31

@Bit-els, jeszcze masz plik/partycję wymiany. Tam dane leją się strumieniami :)

pm7
Moderator
Posty: 7853
Rejestracja: 20 maja 2012
Reputacja: 926
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pm7 » niedziela, 7 stycznia 2018, 16:40

pablo12 pisze:Przejdź do cytowanego posta Panowie a jak to wyglądaw win7? Polecenie Install-Module SpeculationControl daje bład o tym że polecenie nie jest znane.
W komentarzu na dobrepogramy.pl masz linki do dwóch aktualizacji, które trzeba zainstalować, żeby działało "Install-Module" w PowerShell na Windows.

@The Real McCoin, no tak, ale dlatego swap powinien mieć uprawnienia uniemożliwiające odczyt przez użytkownika :)

Weteran
Posty: 1456
Rejestracja: 21 marca 2014
Reputacja: 748
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: The Real McCoin » niedziela, 7 stycznia 2018, 16:56

@pm7, chodzi o to, żeby @Bit-els sobie nie myślał, że wyłączy kompa, poczeka aż kości RAM ostygną i na kompie nie pozostanie żaden ślad po tym co było wcześniej w RAM.

pm7
Moderator
Posty: 7853
Rejestracja: 20 maja 2012
Reputacja: 926
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: pm7 » niedziela, 7 stycznia 2018, 16:58

Też prawda, niestety. Dobrze, że o tym wspominasz.

Bit-els pisze:Przejdź do cytowanego posta Dzieki. Czyli po wyłączeniu linuxowego kompa i generowaniu bez netu all ok.
Dodaj jeszcze, że Linux Live z CD/DVD i komputer najlepiej bez dysku :)

Początkujący
Posty: 21
Rejestracja: 8 listopada 2017
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: SKinw » poniedziałek, 8 stycznia 2018, 11:57

Czyli podsumowując co trzeba zrobić, bo niektórzy nie znają się na tej terminologii tak dobrze ?

Początkujący
Posty: 34
Rejestracja: 13 maja 2017
Reputacja: 12
Reputacja postu: 
0
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Lokales » poniedziałek, 8 stycznia 2018, 19:35


Weteran
Awatar użytkownika
Posty: 1050
Rejestracja: 19 września 2017
Reputacja: 758
Reputacja postu: 
1
Napiwki za post: 0 BTC

MELTDOWN i SPECTRE - mamy prze...ne

Postautor: Canis Lupus » poniedziałek, 8 stycznia 2018, 20:09

tak sobie czytam starsze artykułu na niebezpieczniku i zwróciłem uwagę na to

Plany NSA na 2012-2016
Dodatkowo, z dokumentu “Sigint Strategy 2012-2016“, upublicznionego przez Snowdena planu rozwoju teleinormatycznego szpiegostwa NSA na kolejne lata, możemy dowiedzieć się że NSA planuje:

Zidentyfikować nowe metody dostępu, zbioru i ataku poprzez wykorzystanie wpływów na globalne trendy biznesowe w dziedzinie komunikacji i danych. (Czyżby chodziło o naciski, jakie NSA może wywierać np. przy pracach projektowych nad algorytmami kryptograficznymi, aby celowo umieszczać w nich słabości?)

Walczyć z krajowymi programami kryptograficznymi poprzez wszelkie działania, zarówno typu SigInt (działania teleinformatyczne) jak i HumInt (klasyczni szpiedzy). W Polsce celem NSA będzie więc nowopowstałe Narodowe Centrum Kryptologii, które tworzy narodowe szyfry. Na świecie celem pewnie będzie każda firma produkująca oprogramowanie do szyfrowania danych — wiadomo np., że NSA chciała namówić m.in. twórcę Bitlockera do wstrzyknięcia backdoora w swój kod.

https://niebezpiecznik.pl/post/nsa-zainfekowala-50-000-komputerow-na-swiecie-i-jest-obecna-w-serwerowni-w-polsce/
A następna bańka będzie jeszcze fajniejsza.

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: maras59 i 4 gości