Jump to content

Jaco

V.I.P.
  • Δημοσιευσεις

    6.732
  • Εγγραφή

  • Τελευταια επισκεψη

  • Days Won

    33

Σχετικά με το μέλος Jaco

  • Τίτλος
    Señor Membre
  • Γενέθλια 01/01/1945

Πληροφορίες Προφίλ

  • Φύλο
    Μή ορισμένο
  • Ενδιαφέροντα
    Eating at the Restaurant at the End of the Universe...
  • Επάγγελμα
    Αστρολόγος

Πρόσφατοι επισκέπτες

8.270 εμφανίσεις προφίλ
  1. x86_64 bug (X86_BUG_CPU_INSECURE)

    Μια αγωγή θα είχε νόημα αν η εταιρία εσκεμμένα συνέχιζε να παράγει το προϊόν της γνωρίζοντας το πρόβλημα. Οπότε πρέπει να αποδείξεις ότι ήξεραν και το κάλυπταν ή δεν ενημέρωναν τους χρήστες. Ακόμα και τότε είναι γκρίζα περιοχή. Είναι σα να κάνεις αγωγή στην coca cola επειδή αποδείχτηκε ότι ασπαρτάμη είναι καρκινογόνος ουσία. Δεν βγάζεις άκρη.
  2. x86_64 bug (X86_BUG_CPU_INSECURE)

    Γενικά κρατήστε τα πρώτα benchmarks που έχετε κάνει όλοι και ονομάστε τα προ-spectre/meltdown. Ξανακάντε τα ίδια benchmarks κάθε 1 μήνα περίπου και για μερικούς μήνες.
  3. x86_64 bug (X86_BUG_CPU_INSECURE)

    Btw, τα raspberry-pi για όσους τα χρησιμοποιούν, δεν τα πιάνουν τα Spectre & meltdown.
  4. x86_64 bug (X86_BUG_CPU_INSECURE)

    @gdp77 καμία υπερβολή. Απεναντίας. Σουρωτήρι δεν είσαι όταν το μάθει και ο τελευταίος 15χρονος ότι υπάρχει η τρύπα. Είσαι από την στιγμή που κάποιος το αναφέρει δημόσια στους κύκλους που ασχολούνται με την ασφάλεια. Αυτοί που εκμεταλλεύονται τα exploits δεν διαβάζουν σούπερ Κατερίνα, αλλά όλα αυτά τα papers και τις έρευνες που δημοσιεύονται στους κύκλους αυτούς.
  5. x86_64 bug (X86_BUG_CPU_INSECURE)

    Λογικά θα ασχολούμαστε με το συγκεκριμένο πρόβλημα για αρκετούς μήνες. Πιστεύω θα πάρει 9-12 μήνες να έρθει πάλι ισορροπία. Αυτό που μου έχει μείνει απ' όλη την κατάσταση είναι ότι όλες οι πληροφορίες υπάρχουν στο ιντερνετ εδώ και χρόνια. Δηλαδή οι καμπάνες χτυπάνε καιρό, απλά τις άκουγαν μόνο λίγοι και κυρίως αυτοί που ανήκουν στον ακαδημαϊκό τομέα και στο βαθύ security. Εγώ προσωπικά δεν είχα ιδέα. Τώρα είδα ότι όλες αυτές οι έρευνες γίνονται εδώ και χρόνια, οπότε υποθέτω ότι αρκετοί που ασχολούνται πιο βαθιά με το αντικείμενο της ασφάλειας γνωρίζουν τις τρύπες εδώ και χρόνια και κάποιοι μπορεί να τις έχουν εκμεταλλευτεί. Το ερώτημα είναι, γνώριζαν οι εταιρίες; Τι γνώριζαν; Από πότε το γνώριζαν; Τι έκαναν; Η πιο άσχημη γεύση που μου έχει μείνει είναι το γεγονός ότι ο CEO της Intel πούλησε τις μισές του μετοχές και κράτησε μόνο όσες ακριβώς απαιτείται για να παραμείνει στην θέση του. Και αυτό μερικές μέρες πριν σκάσει η μπόμπα. Απορώ που δεν έγινε χαμός με το γεγονός αυτό. Κανονικά θα έπρεπε να φάει πόδι και τον λιώσουν. Μου θυμίζει την περίοδο που έγινε το κούρεμα των καταθέσεων στην Κύπρο και ένα μήνα πριν κάποιοι όλως τυχαίως άρχισαν να βγάζουν τα λεφτά τους από τις Κυπριακές τράπεζες και να τα στέλνουν εξωτερικό. Και εκεί δεν άνοιξε ρουθούνι ενώ αποτελεί το μεγαλύτερο σκάνδαλο της χώρας μετά την κατοχή της. Τέλος πάντων, το θέμα έχει πολλές πτυχές. Είναι σκάνδαλο. Θα πρέπει να γίνει έρευνα και να υπάρξουν επιπτώσεις. Για αυτούς που νομίζουν ότι το θέμα είναι φούσκα, κάνουν λάθος και αν δεν το έχουν καταλάβει θα το καταλάβουν με τον καιρό. Δεν είναι 2Κ, είναι όντως το μεγαλύτερο θέμα ασφαλείας που υπήρξε ποτέ στο τομέα της τεχνολογίας. Αυτή τη στιγμή είναι όλα σουρωτήρι. Βασικά, τώρα μάθαμε ότι τόσα χρόνια όσοι έχουμε intel, είμαστε σουρωτήρι.
  6. x86_64 bug (X86_BUG_CPU_INSECURE)

    Εγώ όταν κλάνω λάθος με παίρνουν μυρωδιά. Είναι τέχνη να κλάνεις σωστά και λίγοι μπορούν να την τελειοποιήσουν. Άσχετα με αυτό, έχω ένα script για updates του kernel εδώ. Μπορείς να το κάνεις update για όποιον θες αν ανοίξεις το script και βάλεις τα αντίστοιχα urls από την έκδοση του kernel που είναι εδώ. Θα περιμένω να καταλήξουν πρώτα κάπου και μετά θα το κάνω update για την έκδοση 4.15 Edit: Το μόνο που πρέπει να αλλάξεις είναι τα links μέσα στο script πχ στην έκδοση 4.15rc7 και να τρέξεις το script. wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc7/linux-headers-4.15.0-041500rc7_4.15.0-041500rc7.201801072330_all.deb wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc7/linux-headers-4.15.0-041500rc7-generic_4.15.0-041500rc7.201801072330_amd64.deb wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc7/linux-image-4.15.0-041500rc7-generic_4.15.0-041500rc7.201801072330_amd64.deb και το KERN_VERSION KERN_VERSION="4.15-rc7"
  7. x86_64 bug (X86_BUG_CPU_INSECURE)

    H Lenovo από την άλλη έχει πάθει κοκομπλόκο. Μόνο τα τελευταία thinkpad έχουν bios updates, τώρα δίαβαζα κάτι posts από ΙΤ managers στα πρόθυρα αυτοκτονίας καθώς υπάρχουν εταιρίες με 1000άδες laptops που πρέπει να γίνουν update και δεν υπάρχουν updates. Και δεν θα υπάρξουν updates. Και τα laptop αυτά έχουν επαγγελματικά "μυστικά", κωδικούς VPN κλπ και είναι ξεβράκωτα. Νομίζω η έκταση της οικονομικής ζημιάς είναι πολύ μεγαλύτερη από αυτή που φαντάζεται ο απλός χρήστης. Πρώτον, δεν υπάρχουν οι διαθέσιμοι πόροι να γίνουν update τα πάντα, για να γίνουν update έστω κάποια χρειάζονται λεφτά και αν όσα δεν μπορέσουν να γίνουν update θα πρέπει να αλλαχτούν. Αλλά να αλλαχτούν με τι; Δηλαδή με τι αλλάζεις σήμερα ένα intel laptop; Θα πρέπει να αλλαχθούν πάλι με κάποιο καινούργιο intel με την προοπτική ότι θα γίνει patch και πάλι θα ξέρουν ότι μπορεί να είναι ξεβράκωτο. Πανικός και χρυσές δουλειές η AMD.
  8. x86_64 bug (X86_BUG_CPU_INSECURE)

    Βασικά το έχω κάνει ξεκάθαρο ότι προσωπικά δεν είναι οπαδός κανενός, ούτε intel ούτε AMD, ούτε κανενός. Με βάση αυτό, δεν μπορώ να κάνω πρόβλεψη τι θα γίνει με την Intel, γιατί θεωρώ δεδομένο ότι θα κάνει υπέρμετρη χρήση του fan-base της και θα χώσει πολύ χρήμα για να κάνει μην είναι τελικά τόσο σοβαρό το πρόβλημα, όσο θέλουν κάποιοι "κακοπροαίρετοι" να λένε. Αλλά εννοείται, φυσικά, ότι αυτό δεν γίνεται. Εννοείται ότι θα κάνουν τα πάντα να το μαζέψουν όπως μπορούν, αλλά η αλήθεια είναι το πρόβλημα δεν θα φύγει, θα είναι εκεί μέχρι να αλλάξει το die της CPU. Εννοείται ότι αν έπαιρνα τώρα υπολογιστή θα πήγαινα σε AMD, αλλά όταν λύσει το πρόβλημα η Intel δεν θα είχα πρόβλημα να πάρω Intel ξανά. Με νοιάζει να κάνω την δουλειά μου όσο καλύτερα γίνεται και όχι να τιμωρώ. Δεν περιμένω ούτως ή άλλως η Intel ή η AMD να είναι εταιρίες βασισμένες στην εμπιστοσύνη, στην αγάπη για τους ανθρώπους και το ήθος τους. Αυτό σημαίνει ότι δεν θέλω να πάθει να μεγάλη ζημιά η intel και να μην φτάσουν στο σημείο να κλείσουν, γιατί σημαίνει ότι πεθαίνει ο ανταγωνισμός. Αν και δεν θα φτάσουμε στο σημείο αυτό, όλα σε λίγες μέρες, πιστεύω, θα είναι μια χαρά και καλύτερα από πριν. Τουλάχιστον αυτό θα μας κάνουν να πιστέψουμε και ας μην είναι αλήθεια. Για την ώρα, έχω ξεμείνει με ένα intel laptop. Ξέρω ότι είμαι ξεβράκωτος και απλά δεν μπαίνω σε ιστιοσελίδες που δεν εμπιστεύομαι και δεν εγκαθιστώ εφαρμογές που δεν ξέρω. Δεν υπάρχει άλλος τρόπος προστασίας. Απλά νιώθω ότι γύρισα 15 χρόνια πίσω, που προστάτευα τον εαυτό μου μόνος μου, χωρίς να βασίζομαι σε anti-virus, firewalls κλπ. Όσον αφορά το πόσο εύκολο είναι patch-αριστεί το Spectre, δεν είμαι τόσο σίγουρος. Περιμένουμε να δούμε. Έτσι έλεγαν στην αρχή, αλλά από μια μικρή αλλαγή στον kernel, φτάσαμε στο BIOS update, στους browsers και ποιος ξέρει τι άλλο ακόμα. Είναι πολύ νωρίς ακόμα για οποιοδήποτε συμπέρασμα.
  9. x86_64 bug (X86_BUG_CPU_INSECURE)

    Για νούμερα μην βγάζετε ακόμα συμπεράσματα. Πχ όταν βλέπω ίδια ή καλύτερα νούμερα από πριν, ειδικά σε ssd ή processes που έχουν βαριά Ι/Ο, κάτι μου "βρωμάει". Θεωρητικά (και πρακτικά) ένα σωστό patch για το Meltdown, θα πρέπει να καθυστερεί τα Ι/Ο και όχι να γίνεται πιο γρήγορο.
  10. x86_64 bug (X86_BUG_CPU_INSECURE)

    Ακόμα νομίζω είναι νωρίς να κάνω υποθέσεις για το spectre. Λέγεται ότι είναι πολύ πιο δύσκολο σε σχέση με το Meldown. Η κύρια διαφορά του S με το M, είναι ότι στην περίπτωση του πρώτου θα πρέπει να έχεις πρόσβαση στην cache μέσω της ίδιας της εφαρμογής που θες να "υποκλέψεις", είτε χακεύοντας την ίδια την εφαρμογή ή μέσω κάποιου API που μπορεί να παρέχει η εφαρμογή. Αυτό συνεπάγεται ότι περιορίζονται κατ' αρχήν οι εφαρμογές που μπορούν να χτυπηθούν και -μάλλον- η ζημιά είναι ακόμα μικρότερη για τους απλούς χρήστες, γιατί δεν είναι και κανένα IT να έχουν εφαρμογές που απαιτούν ασφάλεια και να έχουν κάποιο API κλπ. Το πραγματικά μεγάλο πρόβλημα είναι το M, το οποίο είναι πολύ εύκολο να υλοποιηθεί και μπορεί να έχει πρόσβαση στα πάντα από παντού. Όποιος νομίζει ότι δεν είναι το πρόβλημα του αιώνα, κάνει λάθος. Μιλάμε τα πάντα είναι ξεβράκωτα στο Μ, μπορεί κάποιος ακόμα και μέσω ενός javascript σε μια ιστιοσελίδα να έχει πρόσβαση στο password του υπολογιστή σου, στο crypto-currency wallet σου, σε όλους τους κωδικούς πχ του LastPass σου κλπ κλπ. Μιλάμε total ξεβράκωμα και πολύ εύκολα. Ήδη έχουν κυκλοφορήσει διάφορα script-άκια και code-snippets που το κάνουν. Η ζημιά για την Intel φαίνεται να είναι υπέρμετρη και ανυπολόγιστη, σε τέτοιο βαθμό, που νιώθω τελείως ξεβράκωτος τώρα που γράφω από ένα laptop με Intel. Η AMD δεν επηρεάζεται από αυτό, όπως φαίνεται. Ακόμα, όπως είπα, περιμένω να περάσει καιρός, γιατί δεν ξέρουμε ακόμα πολλά για το S. Ξέρουμε περισσότερα για το M, βασικά και για την ώρα πρέπει να δούμε τι θα γίνει με αυτό, γιατί είναι το πιο σημαντικό να λυθεί. Ένα άρθρο που τα εξηγεί κάπως καλύτερα. https://linuxaria.com/article/spectre-and-meltdown-explained
  11. x86_64 bug (X86_BUG_CPU_INSECURE)

    Δυσκολεύομαι να κάνω update το αρχικό ποστ από το κινητό καθώς δεν έχω πρόσβαση σε υπολογιστή. Αν μπορεί κάποιος mod αλλιώς θα το κάνω μεθαύριο. Κάτι το οποίο δεν έχει αναφερθεί και θα έχει αντίκτυπο σε εκατομμύρια χρήστες είναι τα laptops. Άντε κάνε αναβάθμιση bios σε laptop και άντε βρες κατασκευαστή που θα υποστηρίξει laptop 2 ετιας και πίσω. Αυτο τον καιρό έχω μένει μόνο με ένα Lenovo laptop με έναν i5 4 ετιας και ξέρω ότι κατά πάσα πιθανότητα δεν θα πάρει ποτέ firmware update. Doomed. Και όσοι ξέρω συνήθως έχουν laptop 3ετιας που απλά σε κάποια φάση έκαναν upgrade με έναν SSD. Τέλος πάντων, περιμένω ακόμα να αποκαλυφθεί η πραγματική εικόνα γιατί ακόμα δεν τα έχουμε μάθει όλα και το κουβάρι θα πάρει μήνες να ξετυλιχθει. Πάντως αν ισχύει αυτό που έχω στο μυαλό μου η ζημιά είναι μεγαλύτερη από αυτή που φαντάζεται κανείς αυτή τη στιγμή. Δεν έχω λόγια να περιγράψω το μέγεθος της ζημιάς. Αλλά περιμένω μπας και δεν είναι έτσι τα πράγματα Για την ώρα υπομονή και μακριά από πορνο-site, torrents και γενικά οτιδήποτε site δεν έχει καλό reputation. Τσόντες μόνο από backup
  12. x86_64 bug (X86_BUG_CPU_INSECURE)

    Μπορώ τώρα να σβήσω από το αρχικό ποστ ότι είναι θεωρία συνωμοσίας, ότι ο CEO της intel πούλησε τις μετοχές του, λίγο πριν σκάσει η καταιγίδα επειδή ήξερε τι θα έρθει. Ο καπετάνιος ήξερε καλά τι έκανε και πήδηξε νωρίς από το καράβι.
  13. x86_64 bug (X86_BUG_CPU_INSECURE)

    Για παλιές συσκευές android μην περιμένετε να γίνει κάτι. Όσο πιο παλιός kernel τόσο πιο "αδύνατο" να γίνει update γιατί θέλει πολύ δουλειά και καμία εταιρεία δεν έχει όφελος από αυτό. Ίσως κάποιες συσκευές με custom OS όπως Xiaomi γίνουν update και ας είναι 2-3 ετών, αλλά και αυτό με ερωτηματικό. Πιστεύω μόνο συσκευές 1 (άντε 2) ετών θα γίνουν update. Τυχεροί όσοι έχουν iPhone. Πάντως και η Intel και η AMD είναι απαράδεκτες για τον τρόπο που χειρίστηκαν το θέμα. Και εδώ δεν χωρούν οπαδικα.
  14. x86_64 bug (X86_BUG_CPU_INSECURE)

    Μην εμπιστεύεστε μετρήσεις ή patch releases που δεν έχουν performance hit. Αν γίνει σωστό patch θα πρέπει να υπάρχει μείωση επιδόσεων της τάξης του 5-50% ανάλογα την εφαρμογή. Οι εφαρμογές που έχουν πολλά I/O στην μνήμη θα φάνε μείωση μέχρι 50%, όπως βάσεις δεδομένων κλπ. Και όπως προείπα θα υπάρξει μείωση και στους intel και στους amd. Πρέπει να πατσαριστουν όλοι για ασφάλεια και ας λέει η AMD ότι δεν την επηρεάζει το πρόβλημα. Την επηρεάζει απλά σε μικρότερο βαθμό, όμως η λύση είναι να πατσαριστουν όλοι μελλοντικά ή να αλλάξει τελείως η αρχιτεκτονική του caching των επεξεργαστών. Επίσης εάν δεν βγει patch για τα windows XP τότε μιλάμε για επίσημη απόσυρση του λειτουργικού από την αγορά και εκατομμύρια συσκευές θα πρέπει να αντικατασταθούν ή να βγουν από το δίκτυο. Υπάρχουν πολλά εκατομμύρια συσκευών που τρέχουν ακόμα XP και κάποιες πρέπει να έχουν πρόσβαση στο internet. Χαμουλης.
  15. x86_64 bug (X86_BUG_CPU_INSECURE)

    H Google με την ανακοίνωσή της χθες, υποστηρίζει ότι και κάποιοι επεξεργαστές της AMD επηρεάζονται από το πρόβλημα. Σήμερα έβγαλε και την ανακοίνωσή της η AMD, η οποία σε ένα σημείο αναφέρει: Κοινώς, μην ανησυχείτε γιατί δεν μπορεί να σας χακέψει ο παγωτατζής της γειτονιάς σας, γιατί δεν είναι highly knowledgeable. Οπότε μόνο από highly knowledgeable τύπους να φοβάστε, αλλά αυτοί δεν είναι χάκερ, είναι με την ομάδα του spiderman. Τέλος πάντων, όπως είπα και πιο πριν το κουβάρι θα ξετυλιχτεί σιγά-σιγά, αλλά φαίνεται ότι επηρεάζει όλους τους κατασκευαστές λίγο ή πολύ. Το CNX έβγαλε ένα ωραίο άρθρο σήμερα που τα εξηγεί κάπως καλύτερα.
×