Рубрика «spectre» - 3

Security Week 16: Twitter, пароли, страдания - 13 мая Twitter попросил всех своих пользователей сменить пароль (новость). Причиной тому была не хакерская атака, как это обычно бывает, а некий глюк в системе регистрации событий. Снаружи пароли были не видны, но из-за неправильной настройки в лог они записывались в открытом виде.

Проведенное компанией внутреннее расследование исключило возможность неправомерного использования открыто хранящихся паролей кем-либо — неважно, сотрудником компании или третьим лицом. По данным Reuters, во внутренние логи в течение нескольких месяцев успели записать пароли более чем 330 миллионов пользователей.
Читать полностью »

На прошлой неделе компания Intel объявила, что продолжает работать над защитой от Meltdown и Spectre. Помимо выпущенных программных «заплаток» для существующих процессоров, компания намеревается переработать последующие модели на «кремниевом уровне».

Подробности далее.

«Без Meltdown и Spectre»: Intel перепроектирует свои процессоры - 1Читать полностью »

Часть первая: Meltdown.

Несмотря на всю мощь уязвимости Meltdown, принесённое этим Новым годом счастье не было бы полным, если бы не вторая часть открытия, не ограничивающаяся процессорами Intel — Spectre.

Если говорить очень-очень коротко, то Spectre — принципиально схожая с Meltdown уязвимость процессоров в том смысле, что она тоже представляет собой аппаратную особенность и эксплуатирует непрямые каналы утечки данных. Spectre сложнее в практической реализации, но зато она не ограничивается процессорами Intel, а распространяется — хоть и с нюансами — на все современные процессоры, имеющие кэш и механизм предсказания переходов. То есть, на все современные процессоры.

Строго говоря, Spectre не является одной уязвимостью — уже на старте заявлены два различных механизма (CVE-2017-5753 и CVE-2017-5715), а авторы отмечают, что может быть ещё и много менее очевидных вариантов.

В основе своей Spectre похожа на Meltdown, так как также базируется на том факте, что в ходе спекулятивного выполнения кода процессор может выполнить инструкции, которые он не стал бы выполнять при условии строго последовательного (неспекулятивного) вычисления, и, хотя в дальнейшем результат их выполнения отбрасывается, его отпечаток остаётся в процессорном кэше и может быть использован.
Читать полностью »

Обновления безопасности

Компания Microsoft выпустила обновления безопасности для операционных систем Windows, исправляющие критические уязвимости в процессорах Intel, AMD и ARM, которые исправляют раскрытые на днях уязвимости Meltdown и Spectre. Патчи могут привести к снижению производительности на затронутых системах и не только. Ниже будут приведены 2 скриншота и пояснения к ним.

Экспресс-тест на примере 7-Zip

До установки обновления безопасности KB4056890 (версия 1607)

image

После установки обновления безопасности KB4056890 (версия 1607)

image

Читать полностью »

Что случилось?

Исследователи Google опубликовали исследование «Reading privileged memory with a side-channel», в котором они описывают найденную ими аппаратную уязвимость, которая затрагивает практически все современные и устаревшие процессоры вне зависимости от операционной системы. Строго говоря, уязвимостей целых две. Одной подвержены многие процессоры Intel (на них проводилось исследование). AMD с ARM также уязвимы, но атаку реализовать сложнее.

Атака позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.

Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.

Другой интересный вариант — эскалация прав чтения памяти из виртуальной машины. Как вам VPS, который ворует данные из других машин хостера?

Эксплуатация уязвимости не оставляет следов.

Насколько это серьезно?

Это очень серьезно. Мир разделится на «до» и «после». Даже если у вас вообще нет компьютера, отдельные последствия косвенно могут догнать вас в офлайне.

Как защититься?

Установить последние обновления системы и браузера. Если вы не уверены в том что дыра точно закрыта и ваша система совершенно точно в безопасности, лучше отключите JavaScript даже при посещении безопасных сайтов — они могут быть скомпроментированы. Некоторые эксперты считают, что программным образом полностью обезопаситься нельзя и единственный способ решить проблему — сменить процессор на вариант без асбеста заведомо безопасный.

Прекрасные новости, это всё?

Не все. Судя по тестам, патчи сильно повлияют на производительность существующих систем. Тесты показывают падение на 10-30% в некоторых задачах. Да-да, вы все правильно поняли, ваш мак может навсегда стать медленнее, а AWS заметно дороже.

Дополнительные данные

Читать полностью »

Goldman Sachs заменила 600 трейдеров на 200 программистов - 1
Здание штаб-квартиры Goldman Sachs в Нижнем Манхэттене

Инвестиционный банк Goldman Sachs (в финансовых кругах этот гигантский агломерат называют просто «Фирма», российское представительство — ООО «Голдман Сакс») занимается инвестиционным банкингом, инвестиционным менеджментом, андеррайтингом и огромным количеством других услуг. Сложно найти область, в которой «Фирма» не имеет доли: она занималась первичным размещением акций «Роснефти», владеет почти миллионом акций Tesla и т.д.

В США нет выгодных валютных депозитов и высокодоходных валютных гособлигаций, как у нас, так что население обычно пытается сохранить сбережения от инфляции, покупая ценные бумаги. Как вариант, можно отдать деньги в управление инвестиционному или пенсионному фонду. Теоретически, профессиональное управление финансовыми активами позволяет быстрее приумножить капитал или сберечь деньги, смотря какая задача ставится перед управляющим. Проблема только в том, что эта «прокладка» между инвестором и финансовым рынком не гарантирует никакой прибыли, но сама в убытке никогда не останется.

На пике своего успеха в 2000-е годы трейдерский отдел нью-йоркской штаб-квартиры Goldman Sachs (на фото) вмещал 600 трейдеров. Каждый обслуживал крупных клиентов. Сегодня их работа практически полностью автоматизирована: на работе осталось всего два трейдера по ценным бумагам. Всю работу делают программы алгоритмического трейдинга, которые обслуживаются силами 200 высококвалифицированных программистов.
Читать полностью »

Технологии и дизайн в одном устройстве. Ноутбук HP Spectre 13 / Geektimes

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js