Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Live: io-techin pikkujoulu- ja hyväntekeväisyysstriimi tänään alkaen klo 19. Pelataan io-techin toimituksen kesken PUBGia ja tavoitteena saada 10000 euroa täyteen Pelastakaa Lapset ry:n joulukeräykseen! Tule mukaan katselemaan ja keskustelemaan! Linkki lähetykseen >>
Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen. Lisäksi minulle on nyt silti vähän epäselvää kuinka helppoa se syöte sieltä on saada luettua, jos otetaan ihan random järjestelmä. Ja jos joka tapauksessa suorittaa jokaisen epämääräisen sähköpostiliitteen mikä eteen tulee, niin nopeammin sinne koneelle saa varmasti pyörimään ihan perinteisen keyloggerin joka hoitaa saman asian.
Pätsääminen toki on silti hyvä idea.
Millä lailla viimeinen naula? Et kai meinaa että tämä veisi ne konkurssiin? Vai lopetetaanko prosessorien valmistus ja käyttö tykkänään mielestäsi?Tuollainen linkki tuli vastaan Meltdown and Spectre
Luulen että tästä tulee intelin ja muidenkin prosessori valmistajien arkkuun viimeinen naula.
Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen.
En tiedä onko vaivan arvoista, mutta nämähän on juuri niitä asioita mitkä ihmisiä kiinnostaa. Tai ainakin minua.Ei ole minullakaan, eikä monella muullakaan, eivätkä he ole velvollisia testaamaan kenelläkään. Siitä vain testailemaan itse, mielestäni tuo on hyvä idea :-D
Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.
Ongelman nimikin on Meltdown, ensimmäinen asia joka prosessorissa tarvitaan tietoturvan hankkimiseksi on kernelin eristäminen ohjelmilta. Tämä em. ongelma rikkoo tuon ensimmäisen säännön ja tuloksena on siis tietoturvan täydellinen sulaminen.
Ketään puolustelematta, mutta uutisointi kyllä tästä on ollut vähän sekavaa. Esim. pari tuntia sitten YLEn sivuilla otsikoidaan "Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus".Kaikki tämä tieto on ollut tiedossa jo kaksi päivää, jos vaivautuu lukemaan.
Ketään puolustelematta, mutta uutisointi kyllä tästä on ollut vähän sekavaa. Esim. pari tuntia sitten YLEn sivuilla otsikoidaan "Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus".
Demottu jo että onnistuu ihan webbisivulta Javascriptillä. Siis ikinä aikaisemmin ei ole ollut näin täydellistä kernelidatan vuotamista, tää on oikeasti vakava tietoturvaongelma, mikä vain on mahdollista.
Ongelman nimikin on Meltdown, ensimmäinen asia joka prosessorissa tarvitaan tietoturvan hankkimiseksi on kernelin eristäminen ohjelmilta. Tämä em. ongelma rikkoo tuon ensimmäisen säännön ja tuloksena on siis tietoturvan täydellinen sulaminen.
Tuntui etteivät ole sisäistäneet ongelmaa/bugiaKetään puolustelematta, mutta uutisointi kyllä tästä on ollut vähän sekavaa. Esim. pari tuntia sitten YLEn sivuilla otsikoidaan "Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus".
Salassapitoa tai ei, jos on haavoittuvuuksia prossussa (ihan mitä tahansa) silloin ei voi kehua että: "meidän prossut on turvattuja".
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?Kyllä voidaan kun kommentoidaan yksittäistä aukkoa tässä siis ensin kommentoitiin Meltdown aukkoa joka alkoi vuotaa julkisuuteen. Tässä vaiheessa ei edelleenkään suurella yleisöllä ollut tietoa kahdesta muusta aukosta.
Eli AMD:n kommentti on täysin validi.
Kuten täälläkin on n+1 kertaa sanottu, meltdown on se pahempi, amd on tältä turvassa, joten PR-vetona erittäin hyvä. Nyt tarvittaisiin vain lisää hehkutusta tämän osalta.NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Missä tämmöinen demo on? Minä ainakin näin vain twiitin, missä tämän bugin löytäjät demosivat sitä ajamalla (ilmeisesti macOS:ssä) ohjelmaa joka kaappasi näppäimistön merkit. Mitään tarkempia tietoja siitä, mitä tuo ohjelma tekee ei ole tietääkseni tietoturvasyistä julkaistu
Kaikenlaista spekulaatiota toki riittää niin paljon kuin Internettiin mahtuu.
Prosessoreiden maailmanlaajuinen haavoittuvuusongelma ei ole vaarallista tavallisille käyttäjille, kertoo Kyberturvallisuuskeskus
Nuo yllä siis YLEn uutisesta.Hiljattain havaitut tietokoneen prosessoreiden Meltdown- ja Spectre-haavoittuvuudet eivät aiheuta ongelmaa tavalliselle käyttäjälle, mutta ne saattavat haitata esimerkiksi pilvipalveluympäristöissä, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen.
No en tiedä mikä asiantuntija tälläistä väittää
Itsellekin vähän oudolta kuulostaa, että Viestintäviraston Kyberturvallisuuskeskuksen "johtava asiantuntija" (v näitä titteleitä, melkein yhtä naurettava kuin propagandamasiina UPIn henkilöstön tittelit) näin asian esittää.Tuntui etteivät ole sisäistäneet ongelmaa/bugia
Raspberry Pi 3 ainakin turvassa, ja monet muut jotka käyttää ARM A-53.Tuollainen linkki tuli vastaan Meltdown and Spectre
Luulen että tästä tulee intelin ja muidenkin prosessori valmistajien arkkuun viimeinen naula.
Tää oli ihan ensimmäisiä julkitulleita speksejä, eli javascriptissäkin päästään taulukon rajojen yli ja hyödyntämään haavoittuvuutta. Demo oli vähän huono sananvalinta, esitettiin vain miten haavoittuvuutta on mahdollista hyödyntää javascriptinkin kautta. Selaimiinhan tuli jo päitivyksiä tuota vastaan.
Siis mikä oli pointti on että tämä haavoittuvuus romuttaa kaiken tietoturvan, edes sandboksattu javascripti ei pysy alueellaan.
Ei lopu käyttö mutta kun sitä ruvetaan tutkimaan miksi tietoturva reikä sinne on jätetty se ei ole vahinko vaan tahallinen teko jokainen voi katso minne jäljet johtaa.Mutta tuokin vaatii toistaiseksi sen, että ajat taustalla ohjelmaa joka tuota tekee, mihin taas puree melko pitkälle normaalin tietoturvan noudattaminen.
Niin kuin, että ei aja ollenkaan Web-selainta, jossa on JavaScript-aktiivisena? Ostettuna bannerimainostilalla (sisältäen kutsutun .js koodin) tuo voi pyöriä vaikka ison mediajätin sivuilla. Näitä on olllu historiassa ennenkin (mm. Forbes.com:in ostettu banneri tuppasi malwarea 0-day exploitin kautta).
Kyllä tuo Meltdown on haavoittusvuuskategoriana (nyt siitä on pätsätty yksi variantti, joka on tiedossa) vakava.
Kaikki tämä tieto on ollut tiedossa jo kaksi päivää, jos vaivautuu lukemaan.
Spectre on vielä kertaluokkaa vaikeampi pätsätä ja joku voisi sanoa, että vakavampi. Sen käytännön pelastaja on, että tehokkaita, yleisessä jaossa olevia sovellutuksia (tyyliin JS koodi selaimen sisällä ajaa mielivaltaista koodia admin-oikeuksin), joka pystyisi hyödyntämään Spectren kategoriaa tehokkaasti, ei tiettävästi vielä ole tarjolla.
Mutta kun menetelmän perusmalli on nyt tiedossa, niin BlackHat-foorumit ovat täynnä ihmisiä, jotka kehittävät noihin nyt toimivia hyökkäyksiä ja myyvät niitä eniten tarjoaville.
Kyllä molemmat ovat vakavia haavoittuvuuskategorioita. Ja Spectre tullee muuttamaan jopa sitä miten prosessorit suunnitellaan (eikä vain mikrokooditoteutusta niiden sisällä).
Olen vähän skeptienen silti tuosta käytännön toteutuksesta jollain javascriptillä vaikka se olisi teoreettisesti mahdollista. Ymmärtääkseni tämän aukon hyödyntäminen vaatii kuitenkin hyvin tarkkaa liukuhihnan manipulointia, eikä javascriptillä tietääkseni (vai?) pääse ajamaan mitään assembly tai edes c-tason koodia. Toiseksi pitää pystyä lukemaan jotain oikeata muistialuetta ja saada ulos hyödynnettävää dataa.
Ei lopu käyttö mutta kun sitä ruvetaan tutkimaan miksi tietoturva reikä sinne on jätetty se ei ole vahinko vaan tahallinen teko jokainen voi katso minne jäljet johtaa.
Kurssi voi romahtaa kun totuus selviää jos selviää nyt mennään niin syvissä vesissä kalat on todella isoja.
F-Securen johtava tutkija: Pelottaa sähköverkkojen, kaupan ja sairaaloiden puolesta
Tässä toinen "johtava asiantuntija", melko samanlaisilla päätelmillä.
Juuri näin. Pertti saattaa kuitenkin pahimmassa kokea tämän ongelman karvaasti muuta kautta, vaikka näin:Näkisin edelleen, että tavallisen Pertin tietoturvan voi ainakin toistaiseksi murtaa helpommalla perinteisinkin keinoin.
Tämä on ennen kaikkea ongelma mahdollisten kybersodan, kyberhyökkäysten ja kyberterrorismin kannalta, enemmän kuin tavallisen kotikäyttäjän.
NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan.No eikös se ollut Intel joka ensin meni toitottamaan että koskee kaikkia prosessoreita? Työnsivät Meltdown patchin kerneliinkin oletuksena että koskee kaikkia? Jonka AMD sitten kuittasi myöhemmin.
Tottakai tuon kokoisella firmalla on välittömasti intressit kiillottaa oma kilpensä kun siihen alkaa rapaa roiskumaan ja koska edelleen oli vasta Meltdownista puhe, niin en näe mitään väärää AMD:n julkitulossa.
Ööh, tämähän on kuin jossakin ompeluseuran kahvipöydässä, mutta niinhän se tuntuu aina olevan kun AMD mainitaan.
Olenko jossakin sanonut sanallakaan mitään siihen suuntaan että Intelissä tai missään muussakaan aiheeseen liittyvässä toimijassa ei olisi vikaa? Kommentoin edellisessä AMD:n tekemisiä, mutta ei se poissulje millään tavalla muiden perseilyitä. Eri koostumuksella olevaa jätettä kaikki. Oletko nyt tyytyväinen?
Kyberturvallisuuskeskuksen.Kenen kanssa? Tässähän ei luoteta edes siihen että softtakorjatut Intelit toimisivat ja suositellaan normaalille käyttäjällekin kunnon foliohattusuojauksia.... toistaiseksi itse katsoisin että kriittisten päivitysten lataaminen riittää.
Ottaen huomioon että AMD:n tapauksessa ainut todistettu haavoittuvuus vaatii nimenomaan käyttöjärjestelmäpuolen päivitystä en näkisi sitä noin. Juu, variant 2 toimii myös teoriatasolla mutta kukaan ei ole onnistunut keksimään vielä tapaa millä se toimisi AMD:n prossuilla.NDA:n päättymiseen oli siinä tilanteessa viikko ja kaikille osapuolille oli kuitenkin 100% selvää että ei ole kuin tuntien kysymys koko paketin avautumisesta maailmalle, joten PR-vetona tuollainen touhu on melkein yhtä fiksua kuin Trumpin kommentit pressana. Ymmärrän ahneuden nautiskella tilanteella, mutta olisivat vaan olleet kokonaan hiljaa tai neuvotelleet taustalla kaikkien NDA-osapuolien kanssa että nyt jätkät osui näköjään kakkeli tuulettimeen vähän etuajassa, mitäs tehdään?
Tarkoitus oli antaa vanha sotajuhta i7 950 siskolle käyttöön mut nyt sit tiedä et uskaltaako laittaa jos jää osa ongelmista korjaamatta. Vaikka varmaan äärimmäisen pieni mahdollisuus et jotain tulis niin kyllähän siitä vastuun joutuis ottamaanIntel lupaa – Korjaus lähes kaikille alle viisi vuotta vanhoille prosessoreille tulossa
Kovia lupauksia, mutta saas nähdä miten näiden jalkautus onnistuu. Ja entäs sitten ne 5v vanhemmat laitteet, joita on melko varmasti prosentuaalisesti paljon enemmän kuin puolet kokonaismassasta?
Kiva kuitenkin jos sieltä jotain järkevällä tavalla toimivia taikatemppuja tulee jakoon ennemmin tai myöhemmin.
Juu mullakin on i7 4790K sen veran vanhalla emolla että sen emolevyn piirisarja taitaa olla julkaistu alunperin yli 5 vuotta sitten eli ei taida Intel julkaista päivitystä jonka edes teoriasa voisi saada sen emolevyn Bios päivityksen kautta.Intel lupaa – Korjaus lähes kaikille alle viisi vuotta vanhoille prosessoreille tulossa
Kovia lupauksia, mutta saas nähdä miten näiden jalkautus onnistuu. Ja entäs sitten ne 5v vanhemmat laitteet, joita on melko varmasti prosentuaalisesti paljon enemmän kuin puolet kokonaismassasta?
Kiva kuitenkin jos sieltä jotain järkevällä tavalla toimivia taikatemppuja tulee jakoon ennemmin tai myöhemmin.
Oliko tuota variant 2:sta saatu millään toimimaan?Ottaen huomioon että AMD:n tapauksessa ainut todistettu haavoittuvuus vaatii nimenomaan käyttöjärjestelmäpuolen päivitystä en näkisi sitä noin. Juu, variant 2 toimii myös teoriatasolla mutta kukaan ei ole onnistunut keksimään vielä tapaa millä se toimisi AMD:n prossuilla.
On ainakin IntelilläOliko tuota variant 2:sta saatu millään toimimaan?
Tulee ainakin hyvät boostit kun seuraava sukupolvi missä tämä on korjattu.
Jaa jaa. Kai 7600K @ 4.7 siltikin pyörittää kissavideot ja iotekkiä.
Juu pääsee Intel mainostamaan että uusi sukupolvi on 30% tehokkaampi.Tulee ainakin hyvät boostit kun seuraava sukupolvi missä tämä on korjattu.
Ovatko Core2 prossut tämän haavoittuvuuden piirissä? Löytyy tuosta kakkoskoneesta vielä moinen.