Inteliä vastaan nostettu jo useita joukkokanteita

[Sampsa]

Tähän mennessä ainakin kolme joukokannetta vireillä Yhdysvalloissa liittyen aiemmin tällä viikolla paljastettuihin Meltdown- ja Spectre-haavoittuvuuksiin.

Korvausta hakevat joukkokanteet on nostettu Kaliforniassa, Oregonissa ja Indiananassa ja lisää on odotettavissa niin kuluttajilta kuin yrityksiltä.

Juuri tästä syystä Intel on omissa lausoinnoissaan valinnut sanamuodot tarkkaan ja se onkin esimerkiksi alleviivannut, että kyseessä ei ole virhe suunnittelussa, vaan prosessorit toimivat spesifikaatioiden mukaan.

Intel facing class-action lawsuits over Meltdown and Spectre bugs

 

[runboy93]

Nonii, nyt sitä mennää

CES 2018... sitä odotellessa.

 

[Mane]

No, onneksi se toimari ehti kuitenkin legitisti ja sattumalta muuttamaan pari osaketta kahisevaksi sopivasti ennen tätä skenaariota ja joukkokanteita.

 

[Stephen Elop]

Juuri tästä syystä Intel on omissa lausoinnoissaan valinnut sanamuodot tarkkaan ja se onkin esimerkiksi alleviivannut, että kyseessä ei ole virhe suunnittelussa, vaan prosessorit toimivat spesifikaatioiden mukaan.

Intel facing class-action lawsuits over Meltdown and Spectre bugs

Mutta entäs se Atom prossu jossa ei ole OoOE:tä? Onko se toteutettu vastaamaan eri spesifikaatiota?

 

[runboy93]

Mutta entäs se Atom prossu jossa ei ole OoOE:tä? Onko se toteutettu vastaamaan eri spesifikaatiota?

Ai vanhempaa settiä kuin?
Intel Takes on ARM with Silvermont Microarchitecture for Low Power SoCs

 

[EnterSandman]

Jos toi menee läpi, intel nostaa hintoja niin saadaa sakot kuitattua Maksava asiakas häviää aina

 

[pagus]

Jos toi menee läpi, intel nostaa hintoja niin saadaa sakot kuitattua Maksava asiakas häviää aina

Hintojen nostaminen on aina mahdollista, mutta tällä hetkellä tilanne on aika paljon parempi kuin esimerkiksi aika ennen Ryzen/EPYC. Nyt markkinoilla on oikeasti hyviä vaihtoehtoja Intelille.

 

[EnterSandman]

Hintojen nostaminen on aina mahdollista, mutta tällä hetkellä tilanne on aika paljon parempi kuin esimerkiksi aika ennen Ryzen/EPYC. Nyt markkinoilla on oikeasti hyviä vaihtoehtoja Intelille.

Niin, ja aika iso korvaussumma pitäs lätkiä että tuntuis missää intelin kassassa

 

[rlame]

Nyt on hyvä sauma AMD:llä iskeä ryzen refreshin kanssa. Ei taida vain tähän äläkkään vielä keretä.
Tuskinpa Intel tuosta joutuu maksumieheksi.
Tietysti onhan tuo kolaus firman imagoon, joka sitten voi sataa AMD:n laariin serveri puolella.

 

[looz]

Näinköhän etenee mihinkään, kun prosessorien toteutus ei poikkea specistä.

 

[antero]

Eihän se olekkaa suunnitteluvirhe. Se on suunniteltu toimimaan noin, nyt vain on todettu että tapa toimia ei olekkaa turvallinen.
Aika vaikea on korvauksia hakea.

Intelin olisi pitäny saada markkinoille korjattu versio, silloin se olisi voinu todeta että ne ovat vanhentuneita tuotteita eikä ole niin turvallisia kuin uudet.

Microsofthan käyttää tätä taktiikkaa kokoajan, jos tuottessa on virhe se mainitsee että ne on vanhentuneita tuotteita ja turvattomia.
Ei kukaan ole tehnyt xp tai 7 turva aukkojen takia joukkokannetta.

 

[Stephen Elop]

Eihän se olekkaa suunnitteluvirhe. Se on suunniteltu toimimaan noin, nyt vain on todettu että tapa toimia ei olekkaa turvallinen.
Aika vaikea on korvauksia hakea.

Tää meneekin näin päin että se Atom prossu jossa ongelmaa ei ole onkin tehty speksien vastaisesti. Kyseisen vermeen omistajat voi hakea korvauksia/korvaavan tuotteen

 

[MadMax]

Ja sitä kun aikanaan luuli että tapaus GTX 970:n muistikusetus olisi paha skenaario..

Mitään todellista muistikusetusta ei edes ollut, kun käytännössä mitään eroa ei peleissä huomannut menipä muistin käyttö 3,4Gb->3,6 tai yli.

Se oli enemmänkin median luoma juttu.

 

[looz]

Tää meneekin näin päin että se Atom prossu jossa ongelmaa ei ole onkin tehty speksien vastaisesti. Kyseisen vermeen omistajat voi hakea korvauksia/korvaavan tuotteen

Nämä ei sulje toisiaan pois.

 

[zepi]

No, onneksi se toimari ehti kuitenkin legitisti ja sattumalta muuttamaan pari osaketta kahisevaksi sopivasti ennen tätä skenaariota ja joukkokanteita.

Sinänsä olen samaa mieltä että myynnit ovat aika omistajien kintuille kusemista, mutta pitää myös huomioida se, että Intelin kurssi ei ole juurikaan kärsinyt tästä.

Tässä Intelin osakekurssin kehitys viimeisen viikon ajalta. Käytännössä kurssi on laskenut n. 3.3% viikon aikana jolloin lähihistorian pahin tietoturvahössötys on ollut käynnissä.

Ts. jos toimari olisi odottanut tämän sotkun jälkeiseen aikaan, niin hän olisi saanut myynneistä vain about 24 miltsiä n. 25 miltsin sijaan...

 

[Sothis]

Huoh, amerikkalaiset opportunistit siellä heti valmiina kuppaamaan toisten rahoja. "Me halutaa $10 korvauksia per prosessori".

 

[Stephen Elop]

Nämä ei sulje toisiaan pois.

Voi kyllä sulkea, koska toisella prossulla voi tehdä ohjelman jossa ei sallitusta muistiosoitteesta luetaan dataa, jota sitten käytettäisiin parametrinä jossakin metodin kutsussa. Toisella prossulla sitä dataa ei saa, jolloin metodia kutsutaan väärällä datalla.

 

[antero]

Tää meneekin näin päin että se Atom prossu jossa ongelmaa ei ole onkin tehty speksien vastaisesti. Kyseisen vermeen omistajat voi hakea korvauksia/korvaavan tuotteen

Mistäs sinä tiedät intelin suunnittelu speksit. Taitaa olla salaisia juttuja, lisäksi tuotteet on aivan eri käyttöön tarkoitettuja.
Hiukan kuin valittaisi diesel päästöskandaalissa bensamoottorin diesel päästöistä.

 

[Stephen Elop]

Mistäs sinä tiedät intelin suunnittelu speksit. Taitaa olla salaisia juttuja, lisäksi tuotteet on aivan eri käyttöön tarkoitettuja.
Hiukan kuin valittaisi diesel päästöskandaalissa bensamoottorin diesel päästöistä.

On siellä speksit miten tuotteiden tulisi toimia, tuolta voi kattoo Intel® Product Specifications

En oikein ymmärrä mistä tuon salaisia juttuja reveit. Tai no osa on salaisia juttuja, mutta suurin osa näistä myytävistä PC keskusyksiköiden asioista ei ole. Piirisarjat ja muut erikoisprossut sitten asia erikseen.

 

[pjoot]

Joo, taas hirveä älämölö, mutta osakekurssi on laskenut vain muutaman prosentin. Intelin toimarin myynneillä ei ole tuolla laskulla kärpäsenpaskankaan väliä, mutta suurin osa porukasta ei vain tajua näistä mitään. Aika näyttää, että kuinka pahasti tuo tulee kustantamaan Intelille. En kuitenkaan usko, että nykyinen hegemonia tulee mihinkään muuttumaan ja kaikki jatkavat pian tavalliseen tapaan päiviään.

 

[WaspPike]

Noh, SLI:näkään en kyllä tuota huomannut.

Lähinnä vaan se paskamyrsky joka siitä seurasi, jäänyt Mieleen.

Oli kyllä ihan turha paskamyrsy pelkästään paskamyrskyn luomisen ilosta. 970 on hinta/laatu-suhteeltaan parhaimpia kortteja mitä varmaan about 8 vuoteen tehty. Oikea jeesuskorttihan se on, ja ei sitä 3.5 vs 4 käytössä huomaa (ainakaan 1080p, huom).

 

[FireFly Renaissance]

Eihän se olekkaa suunnitteluvirhe. Se on suunniteltu toimimaan noin, nyt vain on todettu että tapa toimia ei olekkaa turvallinen.
Aika vaikea on korvauksia hakea.

Intelin olisi pitäny saada markkinoille korjattu versio, silloin se olisi voinu todeta että ne ovat vanhentuneita tuotteita eikä ole niin turvallisia kuin uudet.

Microsofthan käyttää tätä taktiikkaa kokoajan, jos tuottessa on virhe se mainitsee että ne on vanhentuneita tuotteita ja turvattomia.
Ei kukaan ole tehnyt xp tai 7 turva aukkojen takia joukkokannetta.

Se on suunnitteluvirhe kun suunnitellaan toimimaan väärin. Implementaatiovirhe (toteutusvirhe, koodausvirhe) on sitten kyseessä kun ei toimi niinkuin on suunniteltu (bugi).

Mutta juu, eiköhän tuo ole aika turhaa. Mutta jenkkilässä kannattaa näitä aina yrittää johtuen kyseisen maan kulttuurista ja lainsäädännöstä. Lakimiehet todennäköisesti ajavat näitä ihan provikkapalkalla eteenpäin.

 

[L2K2]

Se on suunnitteluvirhe kun suunnitellaan toimimaan väärin. Implementaatiovirhe (toteutusvirhe, koodausvirhe) on sitten kyseessä kun ei toimi niinkuin on suunniteltu (bugi).

Mutta juu, eiköhän tuo ole aika turhaa. Mutta jenkkilässä kannattaa näitä aina yrittää johtuen kyseisen maan kulttuurista ja lainsäädännöstä. Lakimiehet todennäköisesti ajavat näitä ihan provikkapalkalla eteenpäin.

Määrittele väärin. Prosessori ei siis näissä tapauksissa taida ”varsinaisesti” vuotaa dataa. (Ongelmana on se, että sopivan koodin suoritusaika saadaan riippumaan yksittäisen bitin* arvosta vaikka kyseisen bitin sisältävän tavun muistiosoiteesta ei voida lukea. Tämä toki mahdollistaa sen ”verrattain hitaan” muistin sisällön päättelemisen.)

 

[FireFly Renaissance]

Määrittele väärin. Prosessori ei siis näissä tapauksissa taida ”varsinaisesti” vuotaa dataa. (Ongelmana on se, että sopivan koodin suoritusaika saadaan riippumaan yksittäisen bitin* arvosta vaikka kyseisen bitin sisältävän tavun muistiosoiteesta ei voida lukea. Tämä toki mahdollistaa sen ”verrattain hitaan” muistin sisällön päättelemisen.)

Ei tuo vaikuta terminologiaan.

Suunnittelu kuvataan design specificationiin ja, jos suunnittelu on jo lähtkökohtaisesti virheellinen (mahdollistaa vaarallisen koodin ajamisen) suunnittelussa on virhe.

Sampsa lainasi aiemmin termiä errata, ja errata taas tarkoittaa, että tuote ei toimikaan siten kuin sen suunnittelun mukaan pitäisi toimia. Eli Intel korosti, että kyseessä ei ole toteutusvirhe ja toiminta on Intelin julkaisemien spesifikaatioiden mukaista.

Suomeksi näiden kääntäminen on toki aina vähän sellaista ja tälläistä kun koko ala pyörii englanninkielisin termein.

 

[Cirrus]

Ei tuo vaikuta terminologiaan.

Suunnittelu kuvataan design specificationiin ja, jos suunnittelu on jo lähtkökohtaisesti virheellinen (mahdollistaa vaarallisen koodin ajamisen) suunnittelussa on virhe.

Se että tuotteessa on jollakin tavalla käytettäessä havainnoitavissa joku ongelma ei ole vielä suunnitteluvirhe.

Se että tuotteeseen ei osata suunnitella kaikkia mahdollisia turvaestoja ei tee suunnitteluvirhettä.

Jos auton ratissa kuolee joku, siinä ei välttämättä ole suunittelu- eikä toteutusvirhettä.

 

[L2K2]

Ei tuo vaikuta terminologiaan.

Suunnittelu kuvataan design specificationiin ja, jos suunnittelu on jo lähtkökohtaisesti virheellinen (mahdollistaa vaarallisen koodin ajamisen) suunnittelussa on virhe.

Sampsa lainasi aiemmin termiä errata, ja errata taas tarkoittaa, että tuote ei toimikaan siten kuin sen suunnittelun mukaan pitäisi toimia. Eli Intel korosti, että kyseessä ei ole toteutusvirhe ja toiminta on Intelin julkaisemien spesifikaatioiden mukaista.

Suomeksi näiden kääntäminen on toki aina vähän sellaista ja tälläistä kun koko ala pyörii englanninkielisin termein.

Määrittele ”vaarallinen koodi”. Kaikki prosessorit suostuvat ajamaan sen annetun koodin, koska se on määritelmällisesti aivan normaalia koodia. Koodi myös tekee täsmälleen sen mitä sen kuuluu tehdä – eikä siis koskaan oikeasti lue sitä arvoa.

Niille jotka eivät ole vielä tietoisia, niin se kikka on siis tehdä aivan normaalin näköinen ”out-of-bounds” tarkastus ehtolausekkeella – mutta tahallaan ihan väärälle muistiosoitteelle. Sitten vaan siellä ei-koskaan ajettavan ehtolausekkeen sisällä saadaan aikaan se, että siitä tutkittavan bitin* tilasta riippuen johonkin toiseen muuttujaan ladattaisiin jompikumpi kahdesta mahdollisesta arvosta (jotka sopivan kaukana toisistaan muistissa). Tämä arvo ei toki koskaan ilmesty siihen muuttujaan, koska koodia ei ”varsinaisesti” ajata (eli prosessori toimii teknisesti aivan oikein).

No, sitten vaan sen ehtolauseen jälkeen mitataan kauanko kestää oikeasti laskea sillä ykkösbitillä valittavalla arvolla jotain pientä. Jos kesto on ”pieni”**, niin bitti oli 1 jos ”suuri”*** niin 0. [Tässä kohtaa pitää myöntää, että en ole ihan 100 % varma ymmärsinkö oikein miten tuo tarkalleen toimii, mutta kuvittelisin niin tehneeni.] Tätä sitten toistetaan kunnes koko haluttu muistiavaruuden osa on ”luettu”.

* Bittimaskilla vaikka ”ja”-operaatio, sopiva ”shift-right” ja sitten vaikka kertolaskulla se valinta kahdesta muistiosoitteesta.

** Spekuloiva suorittaminen oli ehtinyt kuitenkin siirtää sen ohjelman oman datan välimuistiin. Joten lasku ei tarvitse pääsyä keskusmuistiin ja tapahtuu alle kymmenessä kellojaksossa (~10 ns).

*** Spekuloiva suorittaminen oli siirtänyt sen toisen datan välimuistiin, ja koska nämä datat olivat liian kaukana mahtuakseen molemmat samalla sinne, saatiin ”cache miss” joka maksaa sen joku 200 kellojaksoa (~100 ns).

 

[FireFly Renaissance]

Se että tuotteessa on jollakin tavalla käytettäessä havainnoitavissa joku ongelma ei ole vielä suunnitteluvirhe.

Se että tuotteeseen ei osata suunnitella kaikkia mahdollisia turvaestoja ei tee suunnitteluvirhettä.

Jos auton ratissa kuolee joku, siinä ei välttämättä ole suunittelu- eikä toteutusvirhettä.

Tässä nyt ei ole kyse mistään ratin kääntämisestä vaan siitä, että turvalaitteet eivät toimi niinkuin pitäisi. Jos turvatyyny ei laukea siksi, että lämpötila on 3,6 astetta ja taivaalla on puolipilvistä ei sitä voi selitellä miksikään suunnitelluksi toiminnallisuudeksi.

 

[Cirrus]

Tässä nyt ei ole kyse mistään ratin kääntämisestä vaan siitä, että turvalaitteet eivät toimi niinkuin pitäisi. Jos turvatyyny ei laukea siksi, että lämpötila on 3,6 astetta ja taivaalla on puolipilvistä ei sitä voi selitellä miksikään suunnitelluksi toiminnallisuudeksi.

Edelleenkin vehkeesen olisi pitänyt ensin siinä tapaukessa suunnitella se turvatyyny, jonka toiminta epäonnistuu. Nyt sitä ei ollut tehty.

Tai no emmehän me aivan piirun tarkasti tiedä asiaa.

 

[FireFly Renaissance]

Määrittele ”vaarallinen koodi”. Kaikki prosessorit suostuvat ajamaan sen annetun koodin, koska se on määritelmällisesti aivan normaalia koodia. Koodi myös tekee täsmälleen sen mitä sen kuuluu tehdä – eikä siis koskaan oikeasti lue sitä arvoa.

Älkää nyt aikuiset ihmiset...

Koodi jolla voi ohittaa prosessorin turvallisuustarkistukset ja turvallisuusmenettelyt. Jos niiden ohittaminen on suunniteltua toiminnaillisuutta, niin miksi ihmeessä niitä turvallisuusominaisuuksia olisi viitsitty sinne tehdä alunperinkään kun tiedetään, että ne eivät toimi?

 

[FireFly Renaissance]

Edelleenkin vehkeesen olisi pitänyt ensin siinä tapaukessa suunnitella se turvatyyny, jonka toiminta epäonnistuu. Nyt sitä ei ollut tehty.

Tai no emmehän me aivan piirun tarkasti tiedä asiaa.

Siellä on se turvatyyny, minkä tarkoitus on estää pääsemästä suojatulle muistialueelle lukemaan käyttöjärjestelmädataa.

 

[L2K2]

Tässä nyt ei ole kyse mistään ratin kääntämisestä vaan siitä, että turvalaitteet eivät toimi niinkuin pitäisi. Jos turvatyyny ei laukea siksi, että lämpötila on 3,6 astetta ja taivaalla on puolipilvistä ei sitä voi selitellä miksikään suunnitelluksi toiminnallisuudeksi.

Määrittele ”oikein”. Turvalaite toimii oikein, ja jos yrittäisit oikeasti lukea sitä dataa, niin se kyllä estyisi. Ongelma on paljon hienovaraisempi... eikä oikein toimi turvatyynyanalogialla...

Jos siellä ei olisi sitä ”turvatyynyä”, niin sitten kyllä ymmärtäisin kaiken mahdollisen oikeusjuttutoiminnan ja pitäisin sitä ihan asianmukaisena.

Edelleenkin vehkeesen olisi pitänyt ensin siinä tapaukessa suunnitella se turvatyyny. Nyt sitä ei ollut tehty.

Tai no emmehän me aivan piirun tarkasti tiedä asiaa.

On siellä se turvatyyny... (se olisi paljon, paljon vakavampi virhe, jos sen datan voisi vaan lukea).

Sillä huonolla turvatyynyanalogialla tämä on, että mitataan kauanko se turvatyynyä ohjaava piiri käyttää pohdiskeluun tilanteessa, jossa sitä tyynyä ei tarvitsekkaan laukaista (vaikka hetken näytti siltä).

 

[Robin113]

Open Source emoja ja prossuja löytyy jo.

 

[FireFly Renaissance]

Määrittele ”oikein”. Turvalaite toimii oikein, ja jos yrittäisit oikeasti lukea sitä dataa, niin se kyllä estyisi. Ongelma on paljon hienovaraisempi... eikä oikein toimi turvatyynyanalogialla...

Jos siellä ei olisi sitä ”turvatyynyä”, niin sitten kyllä ymmärtäisin kaiken mahdollisen oikeusjuttutoiminnan ja pitäisin sitä ihan asianmukaisena.

On siellä se turvatyyny... (se olisi paljon, paljon vakavampi virhe, jos sen datan voisi vaan lukea).

Sillä huonolla turvatyynyanalogialla tämä on, että mitataan kauanko se turvatyynyä ohjaava piiri käyttää pohdiskeluun tilanteessa, jossa sitä tyynyä ei tarvitsekkaan laukaista (vaikka hetken näytti siltä).

En ymmärrä mitä edes yrität selittää. Jos nyt lähdetään siitä, että onko mielestäsi tuon prosessorin tarkoitus estää suojatun datan lukeminen vai ei?

Sen jälkeen voit vastata kysymykseen estääkö se sen vai ei?

En minäkään näe tässä mitään oikeusjutun paikkaa, mutta sekään nyt ei liity mitenkään siihen onko suunnittelussa virhe. (no itsestäänselvästi on)

Jos suunnittelussa ei ole virhettä, sitten oikeusjutulle kyllä on paikka, koska se tarkoittaa, että Intel on tehnyt tuon tahallaan, mutta jättänyt kertomatta.

 

[Cirrus]

Siellä on se turvatyyny, minkä tarkoitus on estää pääsemästä suojatulle muistialueelle.

Tämä on kuin sanoisi että ralliautojen turvakaarien tarkoitus on pitää ihmiset hengissä. Kuitenkaan niissä ei ole suunniteluvirhettä vaikka joku kuolee. Tai vielä paremmin, prosessorin kuuluu toimia.

Tuollaisella yleisellä kommentilla ei perustella yhtään mitään.

Siellä voi olla suunniteluvirhekin. Se ei sinne kuitenkaan sinun perusteluilla synny. Aika iso osa puhuu sillä nimellä. Joku pressi puhuu kuitenkin esim, tietoturvavirheestä juuri sen takia että suunniteluvirhettä ei ole todistettu ja intel sanoo ettei sitä ole.

 

[FireFly Renaissance]

Tämä on kuin sanoisi että ralliautojen turvakaarien tarkoitus on pitää ihmiset hengissä. Kuitenkaan niissä ei ole suunniteluvirhettä vaikka joku kuolee. Tai vielä paremmin, prosessorin kuuluu toimia.

Tuollaisella yleisellä kommentilla ei perustella yhtään mitään.

Siellä voi olla suunniteluvirhekin. Se ei sinne kuitenkaan sinun perusteluilla synny. Aika iso osa puhuu sillä nimellä. Joku pressi puhuu kuitenkin esim, tietoturvavirheestä juuri sen takia että suunniteluvirhettä ei ole todistettu ja intel sanoo ettei sitä ole.

Luetko ollenkaan mitä minä kirjoitan. Intel ei ole sanonut missään, että suunnittelussa ei ole virhettä. Intel on sanonut, että se toimii niinkuin on suunniteltu. Valitettavasti suunnittelivat vain perseelleen.

 

[Cirrus]

Luetko ollenkaan mitä minä kirjoitan. Intel ei ole sanonut missään, että suunnittelussa ei ole virhettä. Intel on sanonut, että se toimii niinkuin on suunniteltu. Valitettavasti suunnittelivat vain perseelleen.

En tiedä mitä höpiset muuten, mutta intel on sanonut että ei ole virhettä.

”Recent reports that these exploits are caused by a “bug” or a “flaw” and are unique to Intel products are incorrect.”

Ei ole flawia. Ei ole virhettä.

 

[FireFly Renaissance]

En tiedä mitä höpiset muuten, mutta intel on sanonut että ei ole virhettä.

”Recent reports that these exploits are caused by a “bug” or a “flaw” and are unique to Intel products are incorrect.”

Ei ole flawia. Ei ole virhettä.

Selvä, aikaisemmassa tiedonannossa puhuttiin specificaatiosta ja erratasta. Se, että väittävät ettei kyseessä ole flaw on toki ihan tuubaa, koska ovat itse julkaisseet mikrokoodipäivityksenkin joka korjaa ongelman jota ei siis ole olemassa (ehkä tuollaista voisi vielä jotenkin pokerinaamalla väittää, jos korjaus tehtäisiin pelkästään käyttöjärjestelmätasolla).

 

[Cirrus]

Selvä, aikaisemmassa tiedonannossa puhuttiin specificaatiosta ja erratasta. Se, että väittävät ettei kyseessä ole flaw on toki ihan tuubaa, koska ovat itse julkaisseet mikrokoodipäivityksenkin joka korjaa ongelman jota ei siis ole olemassa.

Argumentointisi lähtee aivan naurettavuuksiin.

Tuotteita voidaan parantaa päivityksillä ilman että niissä on suunniteluvirheitä. Nyt on identifioitu tilanne joka vaatii tietoturvan parantamista.

 

[FireFly Renaissance]

Argumentointisi lähtee aivan naurettavuuksiin.

Tuotteita voidaan parantaa päivityksillä ilman että niissä on suunniteluvirheitä. Nyt on identifioitu tilanne joka vaatii tietoturvan parantamista.

Jos tuote ei ole turvallinen käyttää, siinä on virhe. Tuotteen hidastaminen tuon virheen korjauksen yhteydessä ei ole tuotteen parantamista missään universumissa.

 

[Cirrus]

Jos tuote ei ole turvallinen käyttää, siinä on virhe. Tuotteen hidastaminen tuon virheen korjauksen yhteydessä ei ole tuotteen parantamista missään universumissa.

Tietoturvaa se parantaa.

Yhä vain naurettavampaa sontaa suollat. Virhe seuraa tästä yleisestyksestä vain siinä tapauksessa että joku on luvannut 100% turvallisuuden. Kukaan ei maailmassa lupaa sellaista mihinkään tuotteeseen. Vai onko intel luvannut?

 

[L2K2]

Selvä, aikaisemmassa tiedonannossa puhuttiin specificaatiosta ja erratasta. Se, että väittävät ettei kyseessä ole flaw on toki ihan tuubaa, koska ovat itse julkaisseet mikrokoodipäivityksenkin joka korjaa ongelman jota ei siis ole olemassa (ehkä tuollaista voisi vielä jotenkin pokerinaamalla väittää, jos korjaus tehtäisiin pelkästään käyttöjärjestelmätasolla).

Se, että tehdään tietoturvapäivitys ei mitenkään vaadi, että siellä olisi oikea vika. Nyt siis vaan löydettiin ovela suoritusaikaan perustuva ”side-channel attack”, jonka avulla täysin oikein toimivan prosessorin toiminnasta on mahdollista päätellä sellaisen datan arvoja, joita sillä hetkellä ajettava ohjelmakoodi ei voi lukea.

Jos tuote ei ole turvallinen käyttää, siinä on virhe. Tuotteen hidastaminen tuon virheen korjauksen yhteydessä ei ole tuotteen parantamista missään universumissa.

Edelleen määrittele virhe... tuote toimii tuossa suhteessa täsmälleen niin kuin x86-64 (ja tähän se iso litania lisämääreitä) -prosessorin kuuluu toimia – se hyökkäyksessä käytettävä esimerkkikoodi laskee täysin oikein eikä missään vaiheessa anna ohjelmalle mitään dataa mihin sillä ohjelmalla ei ole oikeutta mennä. (Siellä prosessorissa on myös lista ihan oikeita virheitä, joissa se toimii väärin. Niitä on paljon – kaikissa prosessoreissa. Näitä on listattuna siellä erratassa, mutta tämä ei ole sellainen.)

Nyt ongelmana on se, että täysin oikein toimivan prosessorin toiminnan nopeus mahdollistaa ei-luettavissa olevan datan arvojen päättelemisen.

 

[Hans Niskatuki]

Moni n. vuonna 2010 kasattu tehokas PC saattaa olla aivan toimiva peli vielä tänä päivänäkin. Mikäli ei kiinanpaskaelkoja emolla ja emon bios patskukin kenties vaihdettu toissavuonna. Siinä on mahdollisesti jopa 16 gigaa rammia ja usbi kolmonen ja eSatakin. Ja pari 2-teraista limppua.

Melko surullista mikäli rauta jäisi serriksi ihan vain tietoturvasyistä koska ei enää bios-päivityksiä ym. tarjolla. Muutenhan tuo rauta wörkkisi aivan buenosti nettisurffailussa ja toimistokäytössä.

 

[FireFly Renaissance]

Se, että tehdään tietoturvapäivitys ei mitenkään vaadi, että siellä olisi oikea vika. Nyt siis vaan löydettiin ovela suoritusaikaan perustuva ”side-channel attack”, jonka avulla täysin oikein toimivan prosessorin toiminnasta on mahdollista päätellä sellaisen datan arvoja, joita sillä hetkellä ajettava ohjelmakoodi ei voi lukea.

Edelleen määrittele virhe... tuote toimii tuossa suhteessa täsmälleen niin kuin x86-64 (ja tähän se iso litania lisämääreitä) -prosessorin kuuluu toimia – se hyökkäyksessä käytettävä esimerkkikoodi laskee täysin oikein eikä missään vaiheessa anna ohjelmalle mitään dataa mihin sillä ohjelmalla ei ole oikeutta mennä. (Siellä prosessorissa on myös lista ihan oikeita virheitä, joissa se toimii väärin. Niitä on paljon – kaikissa prosessoreissa. Näitä on listattuna siellä erratassa, mutta tämä ei ole sellainen.)

Nyt ongelmana on se, että täysin oikein toimivan prosessorin toiminnan nopeus mahdollistaa ei-luettavissa olevan datan arvojen päättelemisen.

Virhe on helppo määritellä. Ohjelma pääsee käsiksi sellaiseen dataan, jolle sillä ei ole oikeuksia.

Missä on määritelty miten x86-54 prosessorin kuuluu toimia? Kyseessä ei ole mikään yleinen standardi. Voidaan kuitenkin olettaa, että x86-64 prosessorissa kuuluu päästä käsiksi vain niihin muistialeusiin joihin on oikeus.

Niin erratassa listataan ne kohdat, joissa prosessori ei toimi niinkuin se on suunniteltu (ts. niinkuin spesifikaatiossa väitetään). Errataan ei kirjata niitä asioita, missä prosessorin suunnittelu on jo lähtökohtaisesti väärin.

Nyt ongelmana on se, että täysin oikein toimivan prosessorin väärä toiminta mahdollistaa ei-luettavissa olevan datan arvojen päättelemisen.

Sillä onko väärä toiminta mistä johtuvaa on ihan yhdentekevää lopputuloksen kannalta.

 

[FireFly Renaissance]

Tietoturvaa se parantaa.

Yhä vain naurettavampaa sontaa suollat. Virhe seuraa tästä yleisestyksestä vain siinä tapauksessa että joku on luvannut 100% turvallisuuden. Kukaan ei maailmassa lupaa sellaista mihinkään tuotteeseen. Vai onko intel luvannut?

Hekottele vain itsellesi . Kuten hyvin tiedät, Intel on toteuttanut tietoturvaominaisuuksia jotka eivät toimi. Jos se sinun mielestäsi ei ole virhe niin sitten ei voi kuin toivottaa onnea valitulla tiellä.

 

[Cirrus]

Hekottele vain itsellesi . Kuten hyvin tiedät, Intel on toteuttanut tietoturvaominaisuuksia jotka eivät toimi. Jos se sinun mielestäsi ei ole virhe niin sitten ei voi kuin toivottaa onnea valitulla tiellä.

Näillä todisteilla se ei ole virhe. Ikävä ongelma se kyllä on, mutta se ei liity keskusteluun suunniteluvirheestä.

 

[FireFly Renaissance]

Näillä todisteilla se ei ole virhe. Ikävä ongelma se kyllä on, mutta se ei liity keskusteluun suunniteluvirheestä.

Niin mikä se sitten on? Tarkoituksellako se suunniteltiin tolleen, että se ei toimi?

Joko on virhe, tai ei ole. Ei ole olemassa mitään vähän niinkuin virhettä, joka ei vähänniinkuin ole virhe.

Virhe se on pienikin virhe, ja valhe se on pienikin valhe. Ja valhe se on se muunneltu totuuskin, ja virhe se on se "ongelmakin".

 

[Cirrus]

Niin mikä se sitten on? Tarkoituksellako se suunniteltiin tolleen, että se ei toimi?

On kolmaskin vaihtehto. Kukaan ei ole huomannut koko asiaa.

Sinun logiikallasi jokaisessa maailman tuotteessa on suunniteluvirhe, koska kukaan ei ole voinut ottaa huomioon ääretöntä määrää turvaskenaarioita.

 

[FireFly Renaissance]

On kolmaskin vaihtehto. Kukaan ei ole huomannut koko asiaa.

Sinun logiikallasi jokaisessa maailman tuotteessa on suunniteluvirhe.

Virhe ei katoa vaikka sitä ei huomata. Mitä tällä semanttisella kikkailulla nyt kuvitellaan saavuttavan?

Todennäköisesti onkin. Harva ihminen osaa tehdä virheettömiä suunnitelmia. Yleensä yrityksissä nähdäänkin huomattava määrä vaivaa niiden virheiden havaitsemiseen.

 

[Cirrus]

Virhe ei katoa, vaikka sitä ei huomata.

Todennäköisesti onkin. Harva ihminen osaa tehdä virheettömiä suunnitelmia.

Nyt pääsimmekin maaliin.

Jokaisessa tuotteessa maailmassa on logiikkasi mukaan suunniteluvirhe. Tällöin termistä tulee arvoton, koska se ei tarkoita mitään. Se vain on.

Tästä seuraa että kaikki keskustelu siitä on hyödytöntä.

 

[FireFly Renaissance]

Tästä seuraa että kaikki keskustelu siitä on hyödytöntä.

Siitä voidaan toki aina keskustella kuinka vakava tämä kyseinen virhe on ja onko se sellainen, mitä ei olisi pitänyt olla mahdollista päästää tuotteeseen asti. Kaikkia virheitä ei suinkaan tarvi korjata, eivätkä kaikki virheet aiheuta vakavia tietoturvaongelmia.