Včera jsme zde měli zprávu o různých aktualizacích Windows, které se vyřinuly z Microsoftu s cílem chránit počítače před zneužitím zranitelností Meltdown a Spectre v procesorech. Ty poslední podle některých zdrojů přinášejí ochranu před Meltdownem i na 32bitové edice Windows (neochráněné původní opravou). A trošku paradoxně pak poslední z nich – byť jen na vyžádání – odstraňuje ochranu před Spectre variantou 2, protože s ní byly procesory Intel nestabilní.
Tyto hardwarové díry jsou ale zdá se bezedné a stále nás zásobují novým „zprávovým materiálem“. Firmy, které se do této šlamastyky a jejího řešení namočily, čelí nyní kritice za způsob, jakým bylo před odhalením celého problému s těmito citlivými informacemi nakládáno.
Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google). Členové výboru pro obchod a energie je budou grilovat za to, že tyto informace drželi v tajnosti, aby měli dost času se připravit na jejich odhalení. Upřeli tuto možnost mnoha dalším americkým firmám, které tak mohli poškodit.
Mnoho těchto firem si stěžuje, že do problému spadly ze dne na den a musely přijímat protiopatření na rychlo a za vysokých nákladů. Pokud přitom například poskytovaly cloudové služby, byly pod stejným rizikem, jako třeba privilegovaný zasvěcený Amazon.
Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné.
Intel a spol. prý pustili informace do Číny, aniž by varovali úřady USA
Paralelně ale vyplynul problém, který asi bude ještě delikátnější a výbušnější. Wall Street Journal píše, že firmy, které o Meltdownu a Spectre pod embargem věděly, o nebezpečí v podstatě informovali dříve čínskou vládu než úřady Spojených Států (kde mají většinou sídlo). Toto asi nebylo až tak záměrem, jako spíš nedbalostí. Firmy totiž neinformovaly přímo úřady, ale vědomosti o potenciálně kritických „zero day“ zranitelnostech předaly svým čínským klientům, například provozovatelům cloudů. Mělo jít například o společnost Alibaba nebo Lenovo.
Má se však za to, že v případě čínských firem se takto citlivá komunikace pravděpodobně hned přímo nebo nepřímo dostala k tajným službám. Mohla nastat situace, kdy čínské kybernetické síly mohly tyto znalosti zneužít předtím, než na ně USA mohlo reagovat – buď k obchodní a technologické špionáži, nebo i přímo státní.
Že neměli předem žádné informace, uvádí zástupci Ministerstva vnitřní bezpečnosti Spojených států amerických. Vše se údajně začátkem ledna dozvídali až z médií. Podle Bílého domu nebyla o věci informována ani NSA, ačkoliv ochrana USA před podobnými hrozbami je v podstatě jejím smyslem.
Zda firmy při interním řešení těchto chyb nějak pochybily proti americkým zákonům, není v tuto chvíli jasné. Ale vzhledem k určité studené válce, která v kyberprostoru mezi USA a Čínou v některých ohledech doutná, to asi bylo přinejmenším neopatrné jednání.
Intel si krásne predal svoje skladové zásoby a teraz príde ako záchranca s novou generáciou ktorá bude opravená na HW úrovni. Vymyslené to mali skvelo.
O tomto koho informovali a koho nie, všetko je to o peniazoch.
Intel a spol. informovali svojich najväčších (čiže čínskych a amerických) zákazníkov. Nie čínsku a americkú vládu. Keďže čínska vláda svoje firmy špehuje, tak sa o tom nepriamo dozvedela tiež. Zatiaľ čo americká vláda svoje firmy nešpehuje takže o tom nevedela?? Chápem to správne? Lebo sa mi tomu nejak nechce veriť.
Skôr mám pocit, že nejaký „dôležitý“ úrad americkej vlády zistil, že ho tá informácia nejak obišla, a že je teda neschopný/bezcenný. A teraz sa snaží využiť negatívnu náladu voči IT firmám, ktoré o tom vedeli a preniesť vinu na ne.
asi tak … a kdy se začne řešit ta největší díra děr jménem „člověk“? Firmy vyskakují, mluví se o špionáži, přitom doteď nikdo konkrétně neřekl, jak cílěně se kdokoliv může dostat k jakému objemu dat … podle mého názoru je mnohem pravděpodobnější, že se najde další „snowden“, než že někdo zneužije data tímto způsobem …
Presne. 🙂 Ludia riesia obskurne technicke diery a potom veselo spustaju exace (idealne ako admin), co im pridu postou, pripadne si ich stiahnu z netu. 🙂 S kazdou hrou, co clovek kupi zo Steamu ma v kompe potencialne vsetko – od keyloggeru az po backdoor. 🙂 O updatoch priamo od Mrkvosoftu ani nehovoriac. 🙂
V Cine nieco ako sukromna firma neexistuje, aj ked navonok ako sukromna vyzera. Vsetko tam vlastnia kadejake statne fondy, takze staci informovat napriklad Lenovo, a o par hodin ide ta informacia na nejaky vladny urad.
Tohle je samozrejme nesmysl. V cine existuje lokalni i zahranicni soukromy kapital i podniky. Pouze je trzni prostredi regulovano statem o neco malo vice nez treba v EU. Statni podniky existuji predevsim ve strategickych odvetvich jako potravinarstvi nebo energetika.
+1
Proc tady lide jako dfx musi za kazdou cenu napsat neco k tematu, kteremu nerozumi?
V clanku se mluvi o Lenovu, coz je cinska firma. Kdo chce byt v cine v takove velikosti, musi nutne velmi dobre kooperovat se statni moci.
Takze ano, clanek popisuje skvely pruser a vubec se nedivim, ze se nekdo v USA chytil za nos…
kdo v americe z těch silných nekooperuje se státní mocí?
a když jsem napsal, že to v Intelu veděli půl roku dopředu a snažili se to ututlat, tak jsi mi napsal Honzo, že to tak určitě nebylo….
Tohle je samozrejme uplnej nesmysl.
Intel nic netutlal, proste mu byla Googlem sdelena chyba, tak zacal s odpovidajici prioritou pracovat na oprave. Nejprve opravil chybu v budoucich procesorech, ktere byly ve stadiu navrhu, potom zacal opravovat na uz vydanych procesorech. Kdyby se z toho nestalo medialni silenstvi, tak by byl Intelu postoj ocenovan. Bohuzel behem medialniho silenstvi zacal Intel zmatkovat a pripustil, aby se teto slabine priradila mnohem vyssi priorita nez bylo nutne, tim vlastne medialni silenstvi podporil a ted nese ovoce sve marketingove chyby.
Srovnejme s klidnou a vyrovnanou AMD, ktera na medialni hru nepristoupila. Za me AMD jednicka s hvezdickou, jak to dobre vyresili. Jiste take je potkali problemy, ale za ne mohli tvurci OS Microsoft a tvurci linuxu.
thumbs up
@Redmarx: a jak se říká tomu když se o objevené chybě neinformuje ? A o čem je vlastně tenhle článek ?
Ututlat by znamenalo, ze chybu v Intelu neresili a aktivne se zapojili do snahy to nesdelovat verejnosti.
Oni to s patricnou prioritou resili a meli i dany termin, kdy to verejnosti oznami.
To opravdu neni zadne tutlani. To bys mohl rict, ze se to AMD snazila ututlat. Nesnazila, nemeli ani duvod, slabina neni v jejich systemech minimalne zatim zneuzitelna.
ale já vubec nezpochybňuju to, jestli na opravě pracovali nebo ne, nicméně o té chybě v době kdy se o ní dozvěděli neinformovali a to těžko můžeš rozporovat.
A proc by meli informovat? Neni k tomu zadny duvod.
del42sa … s tebou jako poradcem by prohrál válku každý …
@Redmarx: pokud nevíš proč by o tom měli informovat, tak pak nemá cenu o tom dál dikutovat
Za problemy AMD nemuzou M$ a Linux. Za problemu AMD muze AMD.
To ze to AMD zvladla na jednicku s hvezdickou (s tim souhlasim!) je zpusobeno tim, ze se jim Meltdown vyhnul. U Spectre minimalne varianta 2 ale maji take maslo na hlave.
nevíš, jestli se jim Meltdown vyhnul, oni to řekli … zkus dokázat, že tomu tak je, není …
@de42sa
Napsal jsem ti, že se to nesnažili ututlat, ne že není pravda, že se to vědělo půl roku, ne snad? 🙁
jestli jsem to popletl, tak se ti omlouvám, možná to napsal Redmarx….
„Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné.“
To jsou dneska zprávy 😛
Vse je OK, chyba nebyla zneuzitelna, proto o ni nebylo treba informovat mimo tech, kterych se tykala ve smyslu budouci opravy.
A cetl jste ty papiry? Mluvim puvodni vedecke papiry reportujici o tech bugach? Pokud ano a pokud se v pocitacich vyznate, pak proste nemuzete prohlasit, ze chyba nebyla zneuzitelna! Specificky Meltdown je pro Intel hotove Waterloo a pro vsechny cloud providery nabizejici sdilene prostredky a pouzivajici Intel take.
Ano, cetl jsem vytahy a nerozumime si, asi jsem to sem nenapsal, protoze me to uz nebavi stale dokola opakovat. Nejsem data centrum, nejsem cloud provider, me to proste nezajima. Pro domaci pocitace a pro bezne firemni klienty je chyba nezneuzitelna. A o to mi jde. Vytvorila se panika, ze vsichni musi updatovat a instalovat Melta patche, kdyz pritom musi „jen“ provideri.
Je videt, ze nebezpeci interpretujeme jinak. Problem Meltdown/Spectre je v moznosti utoku, pokud na pocitaci bezi i jiny (cizi) kod. To se sice nejvice deje u cloudu, ale take se to deje pri prohlizeni dnesniho moderniho webu, kde jsou tuny javascript kodu. Takze bohuzel v nebezpeci je/byl i bezny naivni uzivatel.
Prohlizece jsou nebo budou opatchovane.
V podstate rikas, ze by uzivatel v dobe, kdy se prihlasuje na internetove bankovnictvi, nemel mit spusteniy jiny javaskriptovy kod. V pohode, toho se da docilit pomerne snadno a ja to tak delal vzdycky, takze pro me ok. Nicmene na prevody penez je stejne dvoufaktorova autentizace a ten nekdo by ti zaroven musel nabourat i mobil.
Netvrdim, ze bitcoinove penezenky nejsou v ohrozeni, ale zase stajna pisnicka, ja to nevedu, tudiz nezajem a podobne to furt ma vetsina uzivatelu.
přesně, každá normální banka žádá sms autorizaci už i při platbě kartou … ještě ke kgardas … odkud máš, že u problému Melta – spectre běží v počítači jiný (cizí) kód? To bude asi blábol roku …
redmaxi, „všeho schopni“ hackeři mají na salámě bc peněženku nějakého „nobody“ z čech, nebo odinud, když jsou evidentně schopni nabourat burzu a udělat cokoliv ve velkém …
gogo1963: prosim prectete si ty puvodni zpravy: https://meltdownattack.com/ — jedna se o side-channel attack (safra jak to prelozit) na jiste rysy (spekulativni vykonavani) modernich CPU.
Abyste mohl zautocit, potrebuje vas kod bezet na CPU. Ten kod pak pouzitim velmi zajimavych triku je schopen cist jakoukoli pamet daneho HW systemu. Cili je schopen nejen prekrocit hranice OS ktere klade OS mezi adresni prostory procesu, ale je schopen prekrocit i hranice hypervisoru, tj. dostat se do pameti jine virtualni masiny — to proto jsou oblacnici tak vyplaseni. Oni na tom maji zalozeny svuj business.
Jak rikam, prectete si ty papiry: https://meltdownattack.com/ a zhodnotte sam…
Muzu potvrdit kgardasuv posledni koment, opravdu je to tak. Taky je to ten duvod, proc se Melta netyka beznych uzivatelu, protoze nejaky zavadny kod by se jim do PC musel nejprve dostat a ve chvili, kdy maji sva PC tak spatne zabezpecena, ze tam neco chytnou, tak uz je zbytecne na to jit tak slozite pres Meltu.
Tohle je jak spravne kgardas poznamenal ciste problem cloud byznysu, nas bezne uzivatelew vubec nemusel zajimat kdyby to Microsoft tvrde neposral.
Pořád ingoruješ, že k tobě může přisvištět javascript na nějaký stránce, na kterou přijdeš, a už to máš.
Cizí kód mi běží v PC v jednom kuse, pokud nebrowsím s vypnutým javascriptem. Což rozbíjí půlku webu.
> Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google)
Přímo v tom odkazovaném PDF jde velice snadno vidět jednotlivé dopisy pro Apple, Amazon, AMD, ARM, Google, Intel, Microsoft. Málem se jim to i povedlo dát správně podle abecedy 🙂
Otázka znie inak. Kto zo zraniteľnosti ooo microarchitektúry ako takej môže profitovať na trhu, ktorý je už niekoľko rokov ťahúňom rastu a v globále tak stagnácie alebo mierneho poklesu PC segmentu ako takého.
Pozrite si vyhlásenie k Recent Vulnerability čínskeho domáceho výrobcu x86 CPU, GPU a chipsetov ako v domácej nateraz sebestačnej 28nm litografie naviac obsahujúcich inštrukcie resp. akceleráciu pre v Číne štandardizované kryptografické algoritmy SM3 (hashovacie funkcie) a SM4 (bloková šifra).
link: https://fuse.wikichip.org/news/733/zhaoxin-launches-their-highest-performance-chinese-x86-chips/
To sú tisícky a tisícky office PC do štátnej správy a korporácii a nielen office PC ale aj rôzne microserverové riešenia, embedded, digital signage atď.
A zrejme nezostalo len pri Číne môj najnovší úlovok, ktorý Lenovo zalistováva v (US, CA) rozm. ZhaoXin Blade Processor, a ThinkServer TS312Z Single Processor; ThinkServer RS312Z Single Processor; ThinkServer RS312Z-B Single Processor:
https://www3.lenovo.com/us/en/enterprise-product-group/thinkserver/c/77LS
https://canada.lenovo.com/sdwww3/ca/en/enterprise-product-group/thinkserver/c/77LS
Intel delal Management Engine s NSA bitem jen tak z dobreho srdce. Vubec neni pravda, ze NSA ma v Intelu sve lidi. Informovani tak nebyli maximalne nevyznamni senatori, jinak samozrejme na patricnych mistech meli informace jako prvni primo od zdroje.
z tebe se najednou stal samozvaný mluvčí Intelu ?
Doufám, že je jasný, že „NSA bit“ (ves kutečnosti High Assurance Programme) není o špehování, ale o zajištění citlivých počítačů? Tj. přesně pro paranoiky, ne proti nim 🙂
🙂