Катастрофа! Google Corporation заявляет о конце света!

Буквально на днях экспертами в области программирования всемирно известной компании Google было сделано поистине шокирующее заявление о произошедшем в области информационных технологий глобальном катаклизме, жертвой которого пали сотни тысяч, а то и миллионы компьютеров по всему миру! Конец света неизбежен и поделил мир информационных технологий на «до» и «после». Единственная и уникальная возможность спасти свой компьютер от произошедшей катастрофы — это…
… обновление, в срочном порядке выпущенное под все операционные системы.
Многие программы во время своей работы обращаются к системному ядру много раз, полагаясь на его возможности, ускоряющие и упрощающие выполнение задач. Как следствие этого — постоянный обмен памятью между ядром и остальной системой. В этом-то и кроется вся загвоздка! Корпорация Google нашла в процессорах Intel критическую процессорную уязвимость, позволяющую получить доступ к защищённым данным в ядре системы, не имея на то пользовательских привилегий.
Подвержены этой неведомой фигне большинство процессоров Intel, выпущенных в последние 10 лет. Атака, которую таким способом можно провести, не оставляет в системе никаких следов или сообщений об ошибках.
Но как было сказано выше, уже существует панацея, защищающая от этого… ценой производительности процессора. Ведь лекарство являет собой щит, встающий между системным ядром и программами. Он закрывает уязвимость за счёт проверки всех данных, проходящих к системному ядру. Чем больше программе требуется таких данных — тем большим будет падение производительности. Точного процента падения нет, так как каждая программа написана по-разному. Наблюдаемый процент падения производительности составляет 5-34%. Также это затрагивает NVIDIA-видеокарты, так что падение производительности в играх тоже ожидается.
Всё это ждёт Ваш компьютер… Если только у Вас не AMD! Да-да, к счастью, архитектура AMD не страдает такой дуростью и не нуждается в обновлении! Она полностью имунна к вырвавшемуся на свободу стихийному бедствию! Разработчики лекарства предусмотрели, что если у Вас установлен процессор от AMD, лекарство просто не запустится у Вас, потому что оно не нужно! Производительность не упадёт ни на процессоре, ни на видеокарте!
Так, что, дорогие мои друзья, тестируйте свои компы на уязвимость к этой фигне, вот ссылка на утилиту: github.com/Eugnis/spectre-attack/
В случае наличия уязвимости программа успешно выполнится. В случае защищённости выругается на недопустимую инструкцию. Впрочем, есть ещё одна уязвимость, которой вроде бы подвержены вообще все, но теста к ней не существует, поэтому дать не могу.
Ну и совет тем, у кого припекло у происходящего: берите себе AMD! Желательно Ryzen! И спите спокойно!
У меня всё.
241 комментарий
К тому же устаревший: по последним данным от гугла, уязвимости Meltdown и Spectre есть на всех процессорах Intel с 1995(!) года и даже AMD и ARM64
Очень, ОЧЕНЬ громкое заявление…
С можем то логично, но зачем она будет рассказывать, или тем более показывать, свой нововыросший фут своим сыновьям?
(Пилят, терпеть ненавижу все эти «важные» обновления, о важности которых для меня никто не спрашивает. Винды последние, андройды, яблоки чёртовы (прости, Эплджек!) — все считают, что знают за меня, что мне нужно, а что нет. Меняют интерфейс, жрут траффик, требую, требуют, требуют. ИДИТЕ ЛЕСОМ!!! Я Всё спиратил!!!!)
Не говоря уже о том, что под соусом этой новости АМД решил впарить свои неликвидные процессоры уступающие по прежнему во всём что касается стойкости и теплоотвода стабильным Интеллам.
злой программе дают читать массив, а она, злюка, читает его и еще несколько байт за ним.
и? кто ей мешал вообще без спросу эти байты прочесть?
и это вообще как я понял глюк процессорного кеша, а не предиктора.
Ну и Интелы вроде честно признались, что с текущими процессорами они бессильны и перепрошивка микропрограммы тут не поможет. Оно конечно возмоооожно, что косяк, который жил чуть ли не со вторых Пентиумов, ВДРУГ разрешится, но, скорее всего им для этого придётся переделывать всю архитектуру.
Если вам не трудно, будьте добры привести образцы АМД и интел, и способ, которым вы их пытали.
Вполне можно допустить, что процы могут греться,
как амд, так и интел, тут в основном от техпроцесса зависит…
Но изначально речь шла про обычную работу. Да и то, «к слову».
В последние 2 года, тьфу-тьфу, все хорошо.
Ну еще я когда-то видяху угробил когда пытался на нее прикрутить водяное охлаждение от проца.
Самое плохое в говнорейде — это то, что он крутится вместе с остальной системой, и чисто теоретически любой вирусняк может выпилить всю инфу, при рабочем железе.
Ладно, я для себя выбор сделал.
ну и нефиг выло раскалять процы до максимума. говорят же, работа на повышенных температурах реально снижает срок службы проца.
(для тех у кого почему-то на компе не стоит компилятор си — вот странные люди, правда?).
Полтора года назад = недавно?
Про приложения под x86 знаю, да. Но операционку можно держать на ARM.
Silver Eagle сказал, мол...
в общем смысл такой:
-процессор подготавливает какое-то число для сравнения. это число прочитать нельзя.
-и вообще само сравнение не допускается (это обычная защита).
-но если потом в другом месте выполнить сравенение с этим числом, то это сравнение выполняется быстрее чем сравнение с другими числами.
-вот на разнице во времени можно понять, с тем числом мы сравниваем, или нет.
То есть если сравнение прошло в точности до самого минимального промежутка времени, как и в процессоре, то исходное число такое же?
ты там никогда не отловишь все операции чтения таймера.
А разработчики ОС сами придумают, что им делать.
А без обратной совместимости всё будет плохо с разработчиками — вот написал я проект на Delphi 5 в 2001-м году, он у меня до сих пор заводится, даже под Win10 на x64.
А представь, что под каждую ОС нужно заново делать ВЕСЬ софт?
У меня в офисе живет HP Compaq, сборка 2004 года, только вместо пиратской Win2000 поставил LinuxMint. В качестве файл-сервера, db-сервера и запасной машинки на черный день.
Когда ждать его обрушения?
Алсо, если там у тебя 32 бита, то нынче у линуксов есть тенденция по выпиливанию поддержки 32-битных машинок, и есть отличная от нуля вероятность, что в ближайшие несколько лет тенденция докатится и до минта, который превратит твой сервер в необновляемую тыкву)
Но это всё мелочи, я с попкорном ожидаю более эпичных песцов в ближайшие лет десять-двадцать (в 2038 году обязательно какой-нибудь песец случится, это вам не какая-то жалкая проблема 2000 :)
И зачем мне обновлять работающий сервер в интрасети? Один раз настроил и забыл.
К счастью, решает не народ, а крупный бизнес. Бизнесу же пофиг — пока работает, ничего не трогаем. У меня есть рабочие клиенты на FoxPro и Access 97.
А когда этот карточный домик на подпорках начинает трещать по швам, начинается поиск крайних.
Одна из реальных прелестей внутренних продуктов — то, что они реально могут работать вечно. Про Access 97 уже писал, да?
Сгорело железо? Покупаем новое, ставим эмулятор/виртуальную машину, работаем дальше.
По определению, любые затраты на поддержку старого будут меньше, чем затраты на создание нового. А по стабильности — так и вообще, старые проблемы уже известны, а что будет в новом?
Виртуальная TCP/IP сеть «VM<->Хост» решает эти проблемы после небольшого шаманства.
А новый софт пришлют ангелы с неба? Новый софт тоже будет самодельным, только с вероятностью 90% сделанный не бородатыми аксакалами, а бледными юношами с горящим взором.
Что касается знаний, то за десять с лишним лет эсплуатации у компании просто образуется священное руководство, где кровью десятков админов написаны строки вроде «если не открывается форма X5 — идем в каталог /X/Y/Z и удаляем файл magic.lock» и подобное.
Да, это выглядит кривовато, но много лучше, чем вбахнуть сотни нефти в разработку нового вместо старого, и потом еще десять лет собирать новое священное руководство.
Описанное не касается разработки дляновой задачи — если нет готовых продуктов, конечно, лучше брать и делать на самом современном средстве. Но когда есть работающая система — 9 из 10 IT-директоров выберут оставить, десятый подумает, но тоже выберет оставить, ибо расходы на поддержку уже заложены в бюджет компании.
Да нафиг надо, я лучше буду и дальше получать десятку за техподдержку старого хлама, чем рисковать оказаться с новой, чистой и шелковистой, но неработающей.
Согласен, айтишнику здесь лучше выбирать из двух зол наименее проблемное для него решение. О деньгах лучше пусть думает начальство)
Напомнить, после чего хакерская поделка Linux стала системой номер два в мире?
ОффтопНапример наследие богини — по главам 15 просмотров, а общих 11 просмотров — просто интересно стало как это просчитывается. Может уникальные-не уникальные?
Около 450 или 500 мб. у меня было в 1996 году. Вин 3.11.
СОРОК!
МЕТРОВ!!!
Когда выяснялось, что для игр требовалось морочиться с памятью в столько-то кб — я падал духом.
Перевести все свои сбережения на мой банковский счёт. И поторопитесь!
Верхняя голова защищает компьютер не меньше, чем антивирус, а осторожность при работе нужна не только в онлайн, но даже оффлайн :-)
Если же конкретно, то вот вам рекомендации:
1) Двухфакторная авторизация везде где возможно — хакер может усраться и грызть землю, но без SMS-кода не сможет выкрасть ваши триста баксов.
2) Вообще не держите крупные суммы в онлайн-системах — если вам покойный дядя-олигарх оставил пару лямов, заприте их в банке на срочный вклад, который не сможет снять ни вирус, ни хакер, ни даже великий и могучий утёс с ногой на небе.
3) Резервное копирование всего что можно на «холодные» носители — внешний винт + дешевое облако с отключаемым доступом подойдут.
4) Не храните Особо Важные Данные (от интимных фоток подруги до секретной переписки с ней же) в почтовом ящике или в открытом виде под каталогом «C:\Мои секреты и пароли». CD-R, шифрование, закатать, в ящик до особого случая.
5) Наконец, почаще медитируйте — от взлома не защитит, но будете спокойней относиться к последствиям.
UPD: Еще можно завести себе отдельную машину, какой-нибудь Pentium-4 за штуку рублей, БЕЗ интернета на простой ОС, где не будете ни читать почту, ни смотреть баннеры с голыми пони, ни запускать стремные программы — а только держать важнейшие и секретнейшие данные (что туда относить — уже каждый сам решает).
Как только твой комп впервые подключился к www ты уже обречён, во всех смыслах. Так чтоо… попытайся выжить и не принмиай близко к сердцу ^_^
введённую по приказу ФБР для слежки за пользователями и почти успешно следящую и выполняющую свою работу…
Ставьте его, и оно будет ещё эффективней стучать на Вас не только в ФБР, но ещё и в ФСБ! Чтоб жизнь малиной не казалась!
Проблем скорее актуальна для многопользовательских систем и серверов.
Ожидаю подешевения железа из-за всеобщей паники. Ммм.
А это скорее для готовых сборочек.
Проблема в том, что никакой патч не сможет устранить основную причину проблемы — разработчики процессоров гнались за скоростью, наплевав на безопасность, и в конечном итоге это аукнулось в реальный код работающих атак. Современные процессоры постоянно на всякий случай заранее выполняют вычисления, которые не должны выполнять по логике работы программы, параллельно с проверкой, должны ли они их выполнять, и сбрасывают результаты вычислений, если они оказались лишними. Но хоть результаты и сброшены, это выполнение всё равно имеет влияние на внутреннее состояние процессора, и все эти атаки успешно пользуются этим фактом.
Добро пожаловать в новый мир :-) с тех пор, как сайты стали выполнять программный код вместо простого отображения разметки, это было вопросом времени, когда они восстанут против людей.
Я еще думаю, что имеет смысл собрать маленький ПК без всего — только с сетью, одна внутрь, другая наружу. Подключаемся к нему по RDP или VNC, бродим по сети, найденный хлам скидываем сюда же, а потом с основного рабочего ПК забираем его через FTP.
Конечно, лишнее звено, и перед отправкой/приёмом файлов придется сделать лишнее движение, НО: это 100% изолирует вашу драгоценную основную машину от злого броузера.
Да, так и сделаю. Как раз интегрированная мамка лежит без дела, соберу на куске фанеры и запитаю от внешнего БП.
Тоже мне гениальное решение…
ИМХО, локальные сервера вообще не должны быть включены в Интернет напрямую — только через дополнительную машину/прокси. Это создает некоторые неудобства техподдержке, но и хакерам тоже.
Я боюсь, с нынешнеми неповоротливыми жирнобраузерами использование
это будет адской болью. Терпение ради безопасности. А вообще, хорошая идея.
Это понятно, конвеер и предсказатель ветвлений. Я примерно представляю как работает эта уязвимость и не верю, что всякие js могут успеть отработать. Однако, обновить firefox наверное решусь.
А вообще как-то странно, что такая до гениальности относительно простая уязвимость была открыта и обнародовано через дофига времени, как придумали все эти спекулятивные хитрости исполнения машинных инструкций.
Уповаю на силу неуловимого джо и свои процы AMD A4-5300 и Intel Atom N270