Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

[DEMON IN AIR]

Tämmöseen törmäsin: https://melv1n.com/iphone-performance-benchmarks-after-spectre-update/

Asentelin iP7 plussaan iOS 11.2.2:n ja en huomaa mitään eroa edelliseen. Että perstuntuma sanoo, että melv1n.com voi tunkea benchmarkinsa takaluukkuunsa.

Ajoin tosin itse benchmarkmielessä vain futuremarkin 3DMark sling shotin.

Voihan se olla, että paperilla pudotus on paha, mutta ei se ainakaan omassa luurissa tunnu.

EDIT: Ja toki tuo tehtiin iP6:lla

 

[TML]

Noista tuloksista on muuallakin mainittu että olisi päin metsää.

 

[zepi]

Tämmöseen törmäsin: https://melv1n.com/iphone-performance-benchmarks-after-spectre-update/

Tässä testit omasta luurista ennen ja jälkeen. Kuten kuvasta näkyy, suorituskykyero pieni.

Iphone 6s

 

[akse]

Mjoo vähä vaikutti isoilta noi vaikutukset. Ehkei sittenkään..?

 

[Kizmo]

Tämmöseen törmäsin: https://melv1n.com/iphone-performance-benchmarks-after-spectre-update/

edit. huuhaata sittenkin?

Todettu huuhaaksi laajasti, todellisuudessa suorituskyky varsinkin uudemmilla puhelimilla hieman kasvoi.

 

[user9999]

AMD haavoittuvuus:
Haavoittuvuus 002/2018: Haavoittuvuus AMD Secure Processor:in fTPM-toteutuksessa

 

[Kizmo]

AMD haavoittuvuus:
Haavoittuvuus 002/2018: Haavoittuvuus AMD Secure Processor:in fTPM-toteutuksessa

Jos hyökkääjä pääsee fyysisesti koneeseen käsiksi ja/tai muuten ajamaan roottina koodia koneella niin se on game over oli tuollaista haavoittuvuutta tai ei.

 

[Kizmo]

Tämä oli myös erityisen hieno onnistuminen tietoturvassa:

F-Secure Press Room | Global

Helsinki, Finland – January 12, 2018: F-Secure reports a security issue affecting most corporate laptops that allows an attacker with physical access to backdoor a device in less than 30 seconds. The issue allows the attacker to bypass the need to enter credentials, including BIOS and Bitlocker passwords and TPM pins, and to gain remote access for later exploitation. It exists within Intel’s Active Management Technology (AMT) and potentially affects millions of laptops globally.

The security issue “is almost deceptively simple to exploit, but it has incredible destructive potential,” said Harry Sintonen, who investigated the issue in his role as Senior Security Consultant at F-Secure. “In practice, it can give an attacker complete control over an individual’s work laptop, despite even the most extensive security measures.”

Intel AMT is a solution for remote access monitoring and maintenance of corporate-grade personal computers, created to allow IT departments or managed service providers to better control their device fleets. The technology, which is commonly found in corporate laptops, has been called out for security weaknesses in the past, but the pure simplicity of exploiting this particular issue sets it apart from previous instances. The weakness can be exploited in mere seconds without a single line of code.

The essence of the security issue is that setting a BIOS password, which normally prevents an unauthorized user from booting up the device or making low-level changes to it, does not prevent unauthorized access to the AMT BIOS extension. This allows an attacker access to configure AMT and make remote exploitation possible.

To exploit this, all an attacker needs to do is reboot or power up the target machine and press CTRL-P during bootup. The attacker then may log into Intel Management Engine BIOS Extension (MEBx) using the default password, “admin,” as this default is most likely unchanged on most corporate laptops. The attacker then may change the default password, enable remote access and set AMT’s user opt-in to “None.” The attacker can now gain remote access to the system from both wireless and wired networks, as long as they’re able to insert themselves onto the same network segment with the victim. Access to the device may also be possible from outside the local network via an attacker-operated CIRA server.

Although the initial attack requires physical access, Sintonen explained that the speed with which it can be carried out makes it easily exploitable in a so-called “evil maid” scenario. “You leave your laptop in your hotel room while you go out for a drink. The attacker breaks into your room and configures your laptop in less than a minute, and now he or she can access your desktop when you use your laptop in the hotel WLAN. And since the computer connects to your company VPN, the attacker can access company resources.” Sintonen points out that even a minute of distracting a target from their laptop at an airport or coffee shop is enough to do the damage.

Sintonen stumbled upon the issue in July 2017, and notes that another researcher* also mentioned it in a more recent talk. For this reason, it’s especially important that organizations know about the unsafe default so they can fix it before it begins to be exploited. A similar vulnerability has also been previously pointed out by CERT-Bund but with regards to USB provisioning, Sintonen said.

The issue affects most, if not all laptops that support Intel Management Engine / Intel AMT. It is unrelated to the recently disclosed Spectre and Meltdown vulnerabilities.

Intel recommends that vendors require the BIOS password to provision Intel AMT. However, many device manufacturers do not follow this advice. For Intel’s December 2017 advisory regarding this topic, see “Security Best Practices of Intel Active Management Technology Q&A.”

Recommendations
To end users

• Never leave your laptop unwatched in an insecure location such as a public place.
• Contact your IT service desk to handle the device.
• If you’re an individual running your own device, change the AMT password to a strong one, even if you don’t plan on using AMT. If there’s an option to disable AMT, use it. If the password is already set to an unknown value, consider the device suspect.

To organizations

• Adjust the system provisioning process to include setting a strong AMT password, and disabling AMT if this option is available.
• Go through all currently deployed devices and configure the AMT password. If the password is already set to an unknown value consider the device suspect and initiate incident response procedure.

*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine”

Fyysinen tietoturva on tärkeä mut Intel kyllä teki tässä hyökkääjän toimet erityisen helpoiksi, voi luoja

 

[demu]

Tämä oli myös erityisen hieno onnistuminen tietoturvassa:

F-Secure Press Room | Global



Fyysinen tietoturva on tärkeä mut Intel kyllä teki tässä hyökkääjän toimet erityisen helpoiksi, voi luoja

Tämän on pakko olla suunnitelmallista, oli foliohattu päässä tai ei. Ei tuollaisia mokia voi vahingossa suunnitella, eihän?

 

[Kaotik]

AMD haavoittuvuus:
Haavoittuvuus 002/2018: Haavoittuvuus AMD Secure Processor:in fTPM-toteutuksessa

Eikä käsittääkseni liity spectreen mitenkään?

 

[selbi]

Myös AMD on julkaisemassa mikrokoodipäivityksiä vaikka prosessoreiden piti olla "turvallisia" AMD Processor Security | AMD

Tuleekohan näistä mitään perf hittiä?

 

[Kizmo]

Myös AMD on julkaisemassa mikrokoodipäivityksiä vaikka prosessoreiden piti olla "turvallisia" AMD Processor Security | AMD

Tuleekohan näistä mitään perf hittiä?

Missäs AMD on näin väittänyt?

 

[Kaotik]

Myös AMD on julkaisemassa mikrokoodipäivityksiä vaikka prosessoreiden piti olla "turvallisia" AMD Processor Security | AMD

Tuleekohan näistä mitään perf hittiä?

Ei pitänyt Spectren osalta olla turvallisia, vaan variant 1:lle haavoittuvia ja variant 2:lle teoriassa haavoittuvia mutta käytännössä kukaan ei ollut (vielä) keksinyt miten. Mikrokoodipäivitys varmistaa että variant 2 muuttuu teoriassa haavoittuvasta haavoittumattomaksi

 

[Tege]

Eikä käsittääkseni liity spectreen mitenkään?

Ei liity. Tämä on ihan omansa reikä.

 

[mRkukov]

Ei liity. Tämä on ihan omansa reikä.

Ja samalla AMD tarjoaa bioseissa mahdollisuuden disabloida koko härpäke. /OT

Ei pitänyt Spectren osalta olla turvallisia, vaan variant 1:lle haavoittuvia ja variant 2:lle teoriassa haavoittuvia mutta käytännössä kukaan ei ollut (vielä) keksinyt miten. Mikrokoodipäivitys varmistaa että variant 2 muuttuu teoriassa haavoittuvasta haavoittumattomaksi

Juuri näin. Meltdown ei koske AMD:tä ja spectret koskee hyvin vähän. Eli hyväksikäytöt lähes mahdottomia. Silti kannattaa korjata se edes teoreettisesti ongelmia aiheuttava virhe. Muistaakseni AMD jossain mainitsi ettei tuo korjaus vaikuttaisi nopeuteen mitenkään.

 

[Stunned]

Protecting our Google Cloud customers from new vulnerabilities without impacting performance
Kukaan ei ole huomannut suorituskyvyssä eroja

 

[Kaotik]

Siis aktivoiko Windowsin Meltdown pätsi sen Kernel page-table isolation (KPTI) vastaavan kernelin eristyksen myös AMD:n prossuilla?

Ei ainakaan tietääkseni.

 

[eretux]

Hmm, nyt kyllä kirjaimellisesti v****taa näin 6700k + win 10 -kokoonpanon omistajana. Ei voi intelistä muuta sanoa kuin että paskan myivät. Tuo jopa tiputus jopa 76% suorituskykyyn verrattaen 100% ennen päivitystä on kyllä järkyttävä. Ja kun itse laskeskelin tuossa vuosi sitten, että tällä koneella voisi mennä monta vuotta. No, nyt taisi tippua ainakin yksi vuosi pois käyttöiästä. Inteliin en kyllä koske seuraavan prossun osalta pitkällä tikullakaan, paras vain palata silloin vanhaan kunnon AMDhen...

 

[Kaotik]

Nyt kun näitä uutisia on tullut lisää taas niin pistetääs listaus:
KPTI arkistot - io-tech.fi

AMD päivitti tilannettaan Spectre-haavoittuvuuden osalta, päivitysten jako jo käynnissä - io-tech.fi
Intel julkaisi omat suorituskykytestinsä Spectre- ja Meltdown-päivitysten vaikutuksesta - io-tech.fi
Apple julkaisi Spectre-päivityksen iOS:lle ja macOS High Sierralle - io-tech.fi
https://www.io-tech.fi/uutinen/micr...wn-ja-spectre-paivitykset-amd-prosessoreille/
NVIDIA julkaisi uudet GeForce 390.65 -ajurit paikkaamaan Spectre-haavoittuvuutta - io-tech.fi
Intel kertoi edistymisestään Meltdown- ja Spectre-haavoittuvuuksien paikkaamisessa - io-tech.fi
https://www.io-tech.fi/uutinen/micr...dessa-meltdown-ja-spectre-paivityksen-kanssa/
https://www.io-tech.fi/uutinen/amd-...-koskien-meltdown-ja-spectre-tietoturvauhkia/
https://www.io-tech.fi/uutinen/prosessoreiden-tuoreet-haavoittuvuudet-julki-meltdown-ja-spectre/
https://www.io-tech.fi/uutinen/micr...prosessoreiden-tuoreeseen-tietoturva-aukkoon/
https://www.io-tech.fi/uutinen/intel-antoi-virallisen-lausunnon-prosessoreidensa-tietoturvauhasta/
https://www.io-tech.fi/uutinen/arm-...en-prosessoreiden-tuoretta-tietoturva-aukkoa/
https://www.io-tech.fi/uutinen/linus-torvalds-kommentoi-intelin-bugin-suorituskykyvaikutusta/
https://www.io-tech.fi/uutinen/inte...ikuttavia-kayttojarjestelmatason-paivityksen/

Suurimman osan kohdalla keskusteluketjuksi on valittu tämä yksi ja sama ketju, mutta muutamassa on oma ketjunsa.

 

[Griffin]

Hmm, nyt kyllä kirjaimellisesti v****taa näin 6700k + win 10 -kokoonpanon omistajana. Ei voi intelistä muuta sanoa kuin että paskan myivät. Tuo jopa tiputus jopa 76% suorituskykyyn verrattaen 100% ennen päivitystä on kyllä järkyttävä. Ja kun itse laskeskelin tuossa vuosi sitten, että tällä koneella voisi mennä monta vuotta. No, nyt taisi tippua ainakin yksi vuosi pois käyttöiästä. Inteliin en kyllä koske seuraavan prossun osalta pitkällä tikullakaan, paras vain palata silloin vanhaan kunnon AMDhen...

Tällä IO techissäkin on tuop myyntipalsta. Pistä sinne myyntiin.
Jos meinaa käyttää konetta monta vuotta, niin siinä ajassa voi helposti paljastua noita pahempiakin reikiä.

 

[Fenotype]

Hmm, nyt kyllä kirjaimellisesti v****taa näin 6700k + win 10 -kokoonpanon omistajana. Ei voi intelistä muuta sanoa kuin että paskan myivät. Tuo jopa tiputus jopa 76% suorituskykyyn verrattaen 100% ennen päivitystä on kyllä järkyttävä. Ja kun itse laskeskelin tuossa vuosi sitten, että tällä koneella voisi mennä monta vuotta. No, nyt taisi tippua ainakin yksi vuosi pois käyttöiästä. Inteliin en kyllä koske seuraavan prossun osalta pitkällä tikullakaan, paras vain palata silloin vanhaan kunnon AMDhen...

Vaihda ssd hdd:ksi niin itnelin omien testien mukaan ihmeprosessorin respo nousee 79% to 101%seksi

 

[Dygaza]

Suurimman osan kohdalla keskusteluketjuksi on valittu tämä yksi ja sama ketju, mutta muutamassa on oma ketjunsa.

Tämä onkin erittäin hyvä suuntaus, että pidetään kaikki keskustelu pääsääntöisesti yhden säikeen alla.

 

[svk]

Itse arvostaisin, jos tietäisi mihin kaikkiin uutisiin yksittäisen viestiketjun viestit on yhdistetty.

 

[Kaotik]

Itse arvostaisin, jos tietäisi mihin kaikkiin uutisiin yksittäisen viestiketjun viestit on yhdistetty.

Tähän ketjuun on yhdistetty nämä uutiset:
AMD päivitti tilannettaan Spectre-haavoittuvuuden osalta, päivitysten jako jo käynnissä - io-tech.fi
Intel julkaisi omat suorituskykytestinsä Spectre- ja Meltdown-päivitysten vaikutuksesta - io-tech.fi
Apple julkaisi Spectre-päivityksen iOS:lle ja macOS High Sierralle - io-tech.fi
Intel kertoi edistymisestään Meltdown- ja Spectre-haavoittuvuuksien paikkaamisessa - io-tech.fi
AMD julkaisi oman tiedotteensa koskien Meltdown- ja Spectre-tietoturvauhkia - io-tech.fi
Microsoft julkaisi KPTI-päivityksen prosessoreiden tuoreeseen tietoturva-aukkoon - io-tech.fi
Intel antoi virallisen lausunnon prosessoreidensa tietoturvauhasta - io-tech.fi
ARM julkaisi tiedotteensa koskien prosessoreiden tuoretta tietoturva-aukkoa - io-tech.fi
Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason päivityksen - io-tech.fi

Omat ketjunsa on näillä:
Microsoft keskeytti Meltdown- ja Spectre-päivitykset AMD-prosessoreille - io-tech.fi
NVIDIA julkaisi uudet GeForce 390.65 -ajurit paikkaamaan Spectre-haavoittuvuutta - io-tech.fi
Microsoft: Osa virustorjunnoista ei toimi yhdessä Meltdown ja Spectre -päivityksen kanssa - io-tech.fi
Prosessoreiden tuoreet haavoittuvuudet julki: Meltdown ja Spectre - io-tech.fi
Linus Torvalds kommentoi Intelin bugin suorituskykyvaikutusta - io-tech.fi

Ainut tapa millä tuon kai näkee kätevästi on etusivulta kurkata missä KPTI-tagin uutisessa on minkäkin verran kommentteja (näkyy lukematta itse kommentteja)
Ekaankin viestiin tuon listan kai voisi päivittää, mutta tuskin sitä moni kurkkii enää?

 

[svk]

Ton listan pistäminen ekaan viestiin kruunaisi tämän ajatuksen, että keskustelu on yhdessä paikassa useamman uutisen kohdalla, varsinkin kun uutisten löytäminen BBS puolelta menee tämän päätöksen vuoksi hankalaksi. Mutta tehkää toki miten parhaaksi näette

 

[Kaotik]

Ton listan pistäminen ekaan viestiin kruunaisi tämän ajatuksen, että keskustelu on yhdessä paikassa useamman uutisen kohdalla, varsinkin kun uutisten löytäminen BBS puolelta menee tämän päätöksen vuoksi hankalaksi. Mutta tehkää toki miten parhaaksi näette

Lisään ekaan viestiin, ei siitä haittaakaan ole.

 

[anidabi]

Eli siis käytännössä CPU sukupolvi takapaikkia tehoissa ja pahimmissa tapauksissa useampi. Way to go Intel. Ryzen houkuttelee päivä päivältä enemmän. Jos Ryzen 2 takaa nykyisin hasswell tason yhden säikeen tehon kelloineen päivineen niin menee varmaan nää intelin rojut vaihtoon. No eipä sillä vaikka vähän jäisikin yhden säikeen tehoista, nykypelit kun tuntuvat hyödyntävän enemmän kuin 4 säiettä muutenkin aika hyvin ja ero 4 coren ja 8 coren prossujen välillä vain kasvaa mitä uudempia pelit ovat.

 

[spastinen]

Muutaman kysymyksen haluaisin kysyä:

1. jos on windowsin päivitys intel-koneessa niin uskaltaako normi asioita tehdä verkossa kuten verkkopankki, OneDrive etc.?

2. Tuleeko tälläiselle 2 vuotta vanhalle acer-koneelle bios-päivitystä? jos ei tule niin pitääkö tämä heittää vatukkoon?

3. Onko mitään tietoa liikkunut että onkohan cannon lake:een korjattu ongelmat?

 

[Kaotik]

Muutaman kysymyksen haluaisin kysyä:

1. jos on windowsin päivitys intel-koneessa niin uskaltaako normi asioita tehdä verkossa kuten verkkopankki, OneDrive etc.?

2. Tuleeko tälläiselle 2 vuotta vanhalle acer-koneelle bios-päivitystä? jos ei tule niin pitääkö tämä heittää vatukkoon?

3. Onko mitään tietoa liikkunut että onkohan cannon lake:een korjattu ongelmat?

1. Eiköhän, ongelma on ollut olemassa kai pari kymmentä vuotta jo

2. En tiedä tuleeko, mutta tuskin tarvii heittää roskikseen (kts. kohta 1)

3. 99.999...% varmuudella ei, paitsi samoilla mikrokoodi- ja softapäivityksillä kuin nykyisetkin on paikattu

 

[spastinen]

Muutaman kysymyksen haluaisin kysyä:

1. jos on windowsin päivitys intel-koneessa niin uskaltaako normi asioita tehdä verkossa kuten verkkopankki, OneDrive etc.?

2. Tuleeko tälläiselle 2 vuotta vanhalle acer-koneelle bios-päivitystä? jos ei tule niin pitääkö tämä heittää vatukkoon?

3. Onko mitään tietoa liikkunut että onkohan cannon lake:een korjattu ongelmat?

1. Eiköhän, ongelma on ollut olemassa kai pari kymmentä vuotta jo

2. En tiedä tuleeko, mutta tuskin tarvii heittää roskikseen (kts. kohta 1)

3. 99.999...% varmuudella ei, paitsi samoilla mikrokoodi- ja softapäivityksillä kuin nykyisetkin on paikattu

Kiitos vastauksesta, nyt voi jo vähän hengittää, taitaa vaihtua vaan seuraavan koneen prossuvalmistaja...

 

[Obi-Lan]

Moniin vanhempiin järjestelmiin ei tule tämän korjaavaa BIOS päivitystä joten saatiin nyt näppärästi lisää kauppaa aikaiseksi?

 

[Kizmo]

Intel acknowledges Haswell and Broadwell reboots after patches

Ei se nyt oikein intelillä mene putkeen tuo pätsäily.

We reported yesterday on Microsoft's suspended patches for the Meltdown and Spectre speculative execution vulnerabilities on AMD systems. It seems that the Intel has also run into trouble with the update on some of its older CPUs. Desktop users and datacenters have reported "higher system reboots," which we take to mean more frequent spontaneous reboots.

Intel says the problems are limited to some its Haswell and Broadwell processors. The company says it'll work with the customers who reported the problem to "understand, diagnose, and address this reboot issue." The silicon giant is already discussing the issue with some of its large datacenter customers, and promises that it'll work with its partners in the event that a firmware update is needed.

Intel didn't say if the reboots were limited to any particular operating system. Executive VP and GM of Intel's Data Center Group Navin Shenoy concludes the update by saying that end-users should continue applying updates recommended by their system manufacturer and operating system makers.

 

[IcePen]

Muutaman kysymyksen haluaisin kysyä:

1. jos on windowsin päivitys intel-koneessa niin uskaltaako normi asioita tehdä verkossa kuten verkkopankki, OneDrive etc.?

2. Tuleeko tälläiselle 2 vuotta vanhalle acer-koneelle bios-päivitystä? jos ei tule niin pitääkö tämä heittää vatukkoon?

3. Onko mitään tietoa liikkunut että onkohan cannon lake:een korjattu ongelmat?

Kaikissa tietoturva-asioissa on sama tilanne.

Se kuinka turvalline tai turvaton käytetävä kone tai ohjelma on ei ole ratkaiseva tekijä.

Ratkaisevaa on se miten tietokoneen käyttäjä käyttää sitä konetta/ohjelmaa.

Ts jos konetta/ohjelmaa käyttää niin että mikään ulkopuolinen ei pääse sellaiseen tilanteeseen että pystyisi hyödyntämään niitä tietoturvapuutteita ei ongelmaa ole.


Ts jos käytät sitä konetta vain asiaoiden hoitoon turvallisilla sivuilla/ohjelmilla ja taatusti turvallisilla nettisuilla vierailuun ja se kone on muutoin turvallisen palomuurin takana ja et päästä sille koneelle ketään muuta (esim. kakaroitasi tai kummilasta, mummoasi tai pappaasi tms) on todennäköisyys sille että mitään ei toivottua tapahtuisi hyvin pieni.

Tuo yläpuolinen pätee muuhunkin kuin juuri tähän puheena olevaan turvariskiin
(esim. minulla on tuttu joila on käytössä Windows Vista kone ilman kunnollista virustorjuntaa mutta ongelmaa ei juuriole kun se käyttää konetta lähinnä vain pankkiasioiden hoitoon ja muulloin se kone on kiinni eli se ikkuna jolloin sille koneelle voisi päästä jotain on hyvin pieni (mutta todellinen)).

Pohjimmiltaanhan tietoturvassa on kyse riskien minimoinnista suhteessa siihen mikä on uhkakuva ja mihin on resursseja (tuossa tuttavantapauksessa tietotekniikka on iso mörkö joten sen uuden käyttöjärjestelmän käytön opettelu ja minkään asetuksen muuttaminen koneella aiheuttaa paniikin (esim. kun kuvake on eripaikassa kuin aikaisemmi)).

 

[IcePen]

Eikös seiskassa ollut vastaavasti Security Essentials oletuksena vai pitikö se hakea erikseen?

Security Essentials ei alunperin ollut oletuksena mutta myöhempi Windows Update pakotti sen käyttöön (kivasti minulla pamahti yhdessäkoneessa F-Securen rinnalle niin että kummatkin oli käynnissä yhtäaikaa arvannet kuinka hyvin kone toimi).

Seiskan oletus oli se Defender joka ajoi vain ajoittain tai erikseen käynnistettäessä testin (ts se ei ollut jatkuva suoja niin kuin MS:n markkinointi antoi olettaa).

 

[Tege]

Security Essentials ei alunperin ollut oletuksena mutta myöhempi Windows Update pakotti sen käyttöön (kivasti minulla pamahti yhdessäkoneessa F-Securen rinnalle niin että kummatkin oli käynnissä yhtäaikaa arvannet kuinka hyvin kone toimi).

Seiskan oletus oli se Defender joka ajoi vain ajoittain tai erikseen käynnistettäessä testin (ts se ei ollut jatkuva suoja niin kuin MS:n markkinointi antoi olettaa).

Ja essentials oli erikseen ladattavissa.

 

[Kautium]

Tämän on pakko olla suunnitelmallista, oli foliohattu päässä tai ei. Ei tuollaisia mokia voi vahingossa suunnitella, eihän?

No jaa, tuo AMT/MEBx:n oletussalasana on kuitenkin vaihdettavissa, joten ei se nyt mikään kovin dramaattinen aukko ole, vaikka asetus piilossa onkin. Ongelmallisinta tuossa tosiaan on, että se on erillään biosista ja monessa firmassa sitä ei yksinkertaisesti tajuta vaihtaa.

Muut AMT:n ongelmat tulevat sitten tähän päälle.

 

[TenderBeef]

2. Tuleeko tälläiselle 2 vuotta vanhalle acer-koneelle bios-päivitystä? jos ei tule niin pitääkö tämä heittää vatukkoon?

Meltdown and Spectre security vulnerabilities (huom, ei kait vielä lopullinen lista, päivittyy kai vielä)

Ts jos käytät sitä konetta vain asiaoiden hoitoon turvallisilla sivuilla/ohjelmilla ja taatusti turvallisilla nettisuilla vierailuun

Mutta eikös niitä tihulaisia ole todistetusti jo tullut "turvallisten" sivujen mainosten kautta?

 

[Kizmo]

No jaa, tuo AMT/MEBx:n oletussalasana on kuitenkin vaihdettavissa, joten ei se nyt mikään kovin dramaattinen aukko ole, vaikka asetus piilossa onkin. Ongelmallisinta tuossa tosiaan on, että se on erillään biosista ja monessa firmassa sitä ei yksinkertaisesti tajuta vaihtaa.

Muut AMT:n ongelmat tulevat sitten tähän päälle.

Sikäli aivan idioottimainen aukko ettei noin potentiaalisesti väärinkäytettävä ominaisuus saisi olla oletuksena edes päällä. Se pitäisi nyt vähintään olla salasanasuojatun uefi setupin alla omana vipusenaan.

Ja jos yrityksellä on tarve tuhansille koneille AMT:llä niin ne voisi kyllä ostaa koneen toimittajalta sitten esikonffattuina. Mutta joka tapauksessa tuollainen defaultti asetus on ihan älytön.

 

[Kaotik]

Meltdown and Spectre security vulnerabilities (huom, ei kait vielä lopullinen lista, päivittyy kai vielä)


Mutta eikös niitä tihulaisia ole todistetusti jo tullut "turvallisten" sivujen mainosten kautta?

Ei ainakaan Spectre/meltdown-pöpöjä

 

[TenderBeef]

Ei ainakaan Spectre/meltdown-pöpöjä

Joo ei niitä, IcePen kirjoittelikin ihan yleisesti ja siihen vastasin.

 

[mäsä-79]

Intel acknowledges Haswell and Broadwell reboots after patches

Ei se nyt oikein intelillä mene putkeen tuo pätsäily.

Omalla Ivy Bridgellä ei ainakaan ole ongelmia, onneksi. Hyvä niin

 

[leripe]

Meltdown and Spectre security vulnerabilities (huom, ei kait vielä lopullinen lista, päivittyy kai vielä)


Mutta eikös niitä tihulaisia ole todistetusti jo tullut "turvallisten" sivujen mainosten kautta?

Kuten olikin mainittu, niin ei näiden aukkojen pöpöjä, mutta juu turvallisia sivuja ei ole ollut olemassa pitkään aikaan.
Pankkisivuillakin pamahtaa kaiken maailman 3rd party tms analytiikkaa päälle eli siellä pelkästään pankin palvelimelta ladata dataa. Toki nekin saattavat joutua hyökkäksen alle jne.
Naurattaa aina nämä "surffaan vain turvallisilla sivuilla" heput.
Ja se että et ole havainnut koneella olevan mitään ei pois sulje sitä ettei siellä mitään olisi kuitenkin.

 

[Sepek]

Xeon 1231v3 (Haswell-ws) ei havaittavia ongelmia.

 

[user9999]

En tiedä onko tämä laitettu jo tänne:
Side-Channel Analysis Facts and Intel® Products
Intelin lista (operating system vendors and system manufacturers) ja linkit sivuille.

 

[Taneli-]

Kuten olikin mainittu, niin ei näiden aukkojen pöpöjä, mutta juu turvallisia sivuja ei ole ollut olemassa pitkään aikaan.
Pankkisivuillakin pamahtaa kaiken maailman 3rd party tms analytiikkaa päälle eli siellä pelkästään pankin palvelimelta ladata dataa. Toki nekin saattavat joutua hyökkäksen alle jne.
Naurattaa aina nämä "surffaan vain turvallisilla sivuilla" heput.
Ja se että et ole havainnut koneella olevan mitään ei pois sulje sitä ettei siellä mitään olisi kuitenkin.

Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.

Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.

 

[Kautium]

Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.

Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.

Silloin "aikoinaan" niiden käyttisten perussuojan taso oli olematon. Ja taisi olla niinkin, että olivat testausvaiheessa jo vanhentuneita ja reikäisiä käyttiksiä, mutta hyvät lööpithän sellaisesta tietenkin saa.

 

[Griffin]

Tämä on harvinaisen totta. Jo aikoinaan (en muista oliko XP vai Vista aikaa) tehtiin testi missä koneelle asennettiin käyttis ja se pidettiin netissä koko prosessin ajan. Sitten ajettiin käyttikseen kaikki päivitykset ja kas, kone oli jo ehtinyt saastua kun ehdittiin siihen vaiheeseen että sitä virusturvaa alettiin asentamaan.

Tässä testissä siis EI käyty missään porno tms. sivuilla surffailemassa tai vietetty viikkoa elämää missä naapurin lapset saivat lampsia sisälle ja asennella koneelle mitä tahtoivat.

Kyseessä oli täysin eritason reikä:
Käyttis käynnisti asennusvaiheessa reikäisen, nettiä kuuntelevan palvelun, jonka kautta koneelle voi asentaa netistä mitä sattuu.

Nämä tämänhetkiset aukot taas sallivat MUISTIN lukemisen vaivalloisesti, suojauksista riippumatta. Mitään ei siis saada sinänsä asennettua automaattisesti.

Lähinnä uhkakuva on se, että jos sinulla on auki juttuja, joissa on SALASANA, niin kun menet sivulle, jossa on saastutettu mainos, niin se saattaa ehkä mahdollisesti onnistua lukemaan sen toisen palvelun tms salasanan. Eli ei loppupelissä niin mahdoton ongelma...

Yleensäkin turvallisuutta varmasti lisää eniten, jos estät kaikki ylimääräiset scriptit ja mainokset, koska niissä voi olla myös tuntemattomia reikiä hyödyntäviä haitakkeita.. Sivuthan latailevat ulkopuolista sisältöä ympäri nettiä todella rajusti. Huomaa jo ihan siitä, miten lataus nopeutuu selkeästi, kun ylimääräinen paska pistetään blokkiin.

 

[mRkukov]

Kyseessä oli täysin eritason reikä:
Käyttis käynnisti asennusvaiheessa reikäisen, nettiä kuuntelevan palvelun, jonka kautta koneelle voi asentaa netistä mitä sattuu.

Nämä tämänhetkiset aukot taas sallivat MUISTIN lukemisen vaivalloisesti, suojauksista riippumatta. Mitään ei siis saada sinänsä asennettua automaattisesti.

Lähinnä uhkakuva on se, että jos sinulla on auki juttuja, joissa on SALASANA, niin kun menet sivulle, jossa on saastutettu mainos, niin se saattaa ehkä mahdollisesti onnistua lukemaan sen toisen palvelun tms salasanan. Eli ei loppupelissä niin mahdoton ongelma...

Yleensäkin turvallisuutta varmasti lisää eniten, jos estät kaikki ylimääräiset scriptit ja mainokset, koska niissä voi olla myös tuntemattomia reikiä hyödyntäviä haitakkeita.. Sivuthan latailevat ulkopuolista sisältöä ympäri nettiä todella rajusti. Huomaa jo ihan siitä, miten lataus nopeutuu selkeästi, kun ylimääräinen paska pistetään blokkiin.

Ero on siinä että toiselta voi suojautua (palomuuri ja virustorjunta), mutta toiselta ei. Bugi jonka kautta voi urkkia tietoa ilman että asiasta jää mitään jälkeä mihinkään. Pahinta se että onnistuu vaikka sen javascriptin kautta.

Kerrohan miksi oikein yrität vähätellä tätä bugia?

 

[Kautium]

Ero on siinä että toiselta voi suojautua (palomuuri ja virustorjunta), mutta toiselta ei. Bugi jonka kautta voi urkkia tietoa ilman että asiasta jää mitään jälkeä mihinkään. Pahinta se että onnistuu vaikka sen javascriptin kautta.

Kerrohan miksi oikein yrität vähätellä tätä bugia?

Ei sitä tarvitse vähätellä. Riittää ettei liioittele.

 

[J-Man]

Nyt on tullut omalle Asuksen emolle päivitys, olettaen "Updated Intel CPU microcode" on ko. päivitys.

MAXIMUS VIII HERO Driver & Tools | Emolevyt | ASUS Suomi

Huom! Päivitys on Hero Alpha emolle, ei "pelkälle" Herolle. Varmaan korjaantuu joskus, mutta tarkista ennen flässäystä.