Уязвимость SPECTRE неустранима. Под ударом фактически весь интернет.

Цитата (zloybomj @ 17.01.2018 - 22:47)

"Как, интересно, их определить обычному пользователю? Яндексу, чтоль, верить?" Яндексу верить. Его трудно заразить. Гуглу, ютубу придётся поверить. Порнхабу и мелким сайтам (особенно неизвестным вам) не верить однозначно ;)

я вот блть дико извиняюсь, но порнхаб чем вам не угодил? рассадник вирусов по ярлыку повешенному "порносайт"? с чего вы взяли, что там вирусня? если б так было, на него б никто не заходил, скажу я вам по секрету. и эта корпорация, вполне уже давно легальная, приносит своим владельцам миллионы не просто так. вирусня на всяких левых порносайтах.
я, на самом деле, всю порнуху вк смотрю. пока ничем не болею и не заразился. и да, бывает и на других сайтах от скуки лезу смотреть. и даже на совсем каких-то левых.
объясните мне, пожалуйста, каким образом на компьютере, на котором последний раз стоял антивирус ровно 2 года назад, после чего снесён к чертям ебенячим, при таком использовании не присутствует вирусня? (как я догадался? качаю свежие CureIT и Kaspersky LiveCD да проверяю раз в пару месяцев. да и глазками тоже зырк-зырк, смотреть умею. мне не обязательно видеть посреди экрана огромную мигающую надпись У ВАС ВИРУС, чтобы это понять). может, меня вирусы боятся? как может комп жрать 550 метров оперативы после загрузки, при том, что там стоит куча-хуюча программ, а винда последний раз переставлялась 4 года назад или даже 5?
скажите мне, гуру вирусологии, в этот раз мне точно пиздец? прям готовиться уже? чем вы меня напугать хотите?
особенно поржал, когда читал это:

Цитата

1) Убегать на лиункс бесполезно. 2) Покупать новое железо бесполезно. 3) Обновлять операционку и антивирус бесполезно. 4) Лезть в инет через вирт.машину бесполезно. 5) Надяться на то, что вы нищий, а потому никому не нужны - бесполезно. 6) Замалчивать тему, в надежде что хакеры её заигнорят и забудут - бесполезно.

просто БЕЗЫСХОДНОСТЬ какая-то. хоть в петлю теперь лезь

Это сообщение отредактировал 12MGL - 17 янв. 2018 г. в 23:20

Цитата (Скальпель @ 17.01.2018 - 22:54)

Представляю бугурт хомяков, которые думали, что только Пакет Яровой нарушал их тайну личной жизни, а оказалось то, вон оно как)) Тушите пердаки, и уводите в сторону шуток. Что и так очевидно, просто сказали в слух. Надо быть полным дегродом, что бы думать, что ваши пароли, антивирусы, или заклеены пластырем камеры, никому не обойти. Просто подумайте, почему наше МО переходит на свои процессоры, пусть и слабые, включите голову, если еще остались остатки мозгов.

Сам то что собираешься делать, со своими включенными мозгами? Идти работать в МО, сидеть на Япе с защищённого компа? Чувствуешь себя защищённым? Или неизвестно откуда взявшаяся нечаянная радость заглушает тревогу?

И, кстати, хомяки на "закон яровой" не потому ополчились что "тайна переписки", это уже СОРМ давно делает, а потому что за счёт налогоплательщиков будут хранить где-то архив всего порно, пересмотренного мной за три года. Вот это было фиаско, братан. И оно уже отрыгнулось, цены на интернет выросли, и поищите сейчас у мобильных опсосов безлимитный интернет.

Это сообщение отредактировал Человечина - 17 янв. 2018 г. в 23:19

Цитата (BigHarry @ 17.01.2018 - 23:12)

Цитата (zloybomj @ 17.01.2018 - 21:59) Т.к. исполнение зараженного кода на JS ГАРАНТИРОВАННО приведёт к получению ПОЛНОГО контроля над вашей машиной. Причём не оставляя никаких следов. Хватит писать хуйню, никакого полного контроля не будет. Уязвимость позволяет любой программе прочитать данные из кэша проца, но, блядь, программа не сможет внедриться в ядро операционной системы и тем более - в ядро проца. И хули толку что прога сдампит чужие данные? С чего вы взяли что в этот момент в кэше будут пароли и номера ваших кредиток, ага, и в открытым текстом? БРЕД СИВОЙ КОБЫЛЫ!

Зашёл, чтобы написать то же самое
Но на этом юки не срубить, а на беготне и криках "ВСЕМ ПИЗДЕЦ" - можно. Вот тс и пытается. Может, конечно, искренне заблуждается, но слабо верится.
Кстати, если бы это было правдой, то хуле толку истерить.

p.s. Ну, кстати, ещё производители процессоров продадут хуеву тучу новых, "неподверженных атаке". Это как вакцина от свинского гриппа.

Это сообщение отредактировал omega42 - 17 янв. 2018 г. в 23:41

Антивирусные компании все подкуплены? И они все как одна исключили из своих сигнатур вредоносные скрипты?
Больше похоже на журналистский бред, уж извините.

Цитата (ixxxi @ 18.01.2018 - 01:13)

Мне, товарищи, не понятно за что вы на человека накинулись? Минусите... Разве он, что-то плохое сделал? Он просто передал информацию в массы. Может немного импульсивно, но как смог. Я, например, хоть буду знать от чего у меня комп навернулся. Спасибо ТС за инфу!

я уже в подобной теме писал- говно он в уши льёт, как и интел в конце 1999 года так же миллионы лохов развели на "ошибке 2000 года".

так же уверенно верещали, что будет полный пиздец и коллапс(всему миру!)

и...ПШИК!

поэтому почитайте ближайшие посты о вас, если не понимаете как это работает- просто поверьте специалистам- тема фейк.

Уязвимость SPECTRE увеличила количество невротиков на ЯПе на 5%.

Цитата (Jack2009 @ 18.01.2018 - 01:15)

Беспросветная паническая хуета. Аффтар должен выпить йаду и вздернуться на мотке витой пары за разжигание паники. Яповчанин, если ты не айтишнег - выпей пиффка и забей хуй, если айтишнег, вот интересная статья на сохабре Если немножечко быть в теме и при мозгах, то можно заметить что просто натренировать блок предсказания ветвлений нужными логическими конструкциями чтоб наебать процессор на выполнение спекулятивного запроса к памяти само по себе не достаточно, т.к. требуется хорошее знание исходников атакуемого ПО для реализации вредоносного кода в атакуемом процессе. В общем инфо про уязвимость можно подытожить следующим: "Была бы полной жопой, если бы не высокая сложность практической реализации, из-за которой хакеры на неё забьют"

Там еще и скорость считывания ячеек очень низкая, несколько байт в секунду если не вру, поэтому надо знать точные адреса нужных ячеек, что бы что то выкрасть. Довольно сложная уязвимость, но поюзать вроде как получилось у кого то на интел точно, на амд нет еще рабочего кода.

Цитата

мелким сайтам (особенно неизвестным вам) не верить однозначно

А меня (да и большинство, думаю) интересуют мелкие, неизвестные сайты. Мебель, аптеки, украшения, одежда, да мало ли что нужно узнать!
И в наше время есть вероятность, что Яндекс будет рекомендовать какие-то проплаченные сайты. Он, конечно, делает это и сейчас, но аппетит приходит...

Цитата (Boinov @ 17.01.2018 - 23:16)

Цитата (Toksus @ 17.01.2018 - 23:10) Я просто больше чем уверен, что данная новость является монетизацией проблемы. Бля, а это идея, это напоминает "эпидемии" свиного и птичьего гриппа, когда арбидол в10 раз вырос, и бараны жрали его и ходили в масках Кто в этот раз наварится?

У меня есть скромное предположение, что раз новость о компании "Intel", должна навариться не эта компания, а соседняя какая-нибудь...

Это сообщение отредактировал Toksus - 17 янв. 2018 г. в 23:23

"Была бы полной жопой, если бы не высокая сложность практической реализации, из-за которой хакеры на неё забьют"

Нет никакой высокой сложности. Спектр сложнее, но задача тривиальная и поддаётся автоматизации.

Цитата (zloybomj @ 17.01.2018 - 23:17)

"но, блядь, программа не сможет внедриться в ядро операционной системы и тем более - в ядро проца" ХАХАХА! Т.е. ты не понимаешь о чём речь, да? В том и дело, что внедряется именно в ядро ОС.

Чувак. Если начало поста хоть немного было информативным, то сейчас ты несёшь невероятнейшую херню.
Ты сам то читал те пруфы, на которые дал ссылки или просто хайпануть решил сильно не заморачиваясь ?

Это сообщение отредактировал elPHOBOS - 17 янв. 2018 г. в 23:27

Цитата (OldGarry @ 17.01.2018 - 23:01)

Цитата (Редуктор @ 17.01.2018 - 22:53) Цитата (OldGarry @ 17.01.2018 - 22:24) Имеющие мозг вместо киселя в голове- последние тридцать лет только об этом и кричали- о все возрастающей зависимости Человечества от исправной и предсказуемой работы электроники. О появлении, не только в фантастике, возможности отправить все человечество в глубокий анус, на пару сотен лет назад-  одним щелчком пальца. Но нам же похуй, пляшем. Ваши предложения? Не предсказуемая и не исправная работа электроники? С палкой- копалкой бегать? Я не собираюсь полемизировать с людьми- которые способны исключительно на шараханье между двух полярных состояний.

Я вам вопрос задал, ваши предложения, а вы что? Так идите лесом и полемизируйте там, до потери сознания.

"Уязвимость Spectre позволяет коду читать память сторонних программ и процессов если вредоносный скрипт запущен в виде исполняемого файла."

На линуксе нет исполняемых файлов а уязвимость есть. Из сего следует что ты выдумываешь на ходу.

шегельме бегельме ?

Закатил копию системы на внешний винт, и что? Я представляю интерес для когото? Не думаю...я начинал изучать и обучаться сетям еще в 93 году,большинство кулцхакеров тогда еще и сперматозоидами небыли))) самый безопастный комп,это тот который не подключен к сети))) у меня второй именно какой) для всяких извращений)

Отправлено с мобильного клиента YAPik+

У меня Linux на моем дистрибутиве нет Java,

Отправлено с мобильного клиента YAPik+

Короче. Если изнасилование неизбежно, расслабьтесь и получайте удовольствие.

Я не специалист в процессорах, поэтому ниже мое личное видение ситуации (как инженер электронщик - "чайникам"):
1) Уязвимость о которой идет речь, это АППАРАТНАЯ уязвимость ВСЕХ современных процессоров. Это значит, что ВСЕ процессора использующие этот самый "спектр", находятся в зоне риска.
2) Отключать JS бесполезно, поскольку уязвимость не в JS! Просто эксплойт (программа использующая эту уязвимость), может быть написан как на JS, так и на ассемблере, СИ итд... JS часто используется веб сайтами, для исполнения кода на стороне клиента - всякие авторизации, формы обратной связи, игры, интерактивные сервисы итд... поэтому для УДАЛЕННОГО взлома ВАШЕГО компьютера с использованием известной уязвимости процесссоров - JS наиболее удобен, поскольку у многих пользователей в настройках браузера стоит разрешение исполнения JS сценариев без подтверждения и предупреждения!
3) Вирусы попадают в ваш компьютер не только через зараженные сайты! Напомню ВАМ, что СЕРВЕРА ПРОВАЙДЕРОВ интернет - тоже построены на уязвимых процессорах! И даже (о ужас!!!) Ваш домашний роутер тоже построен на арм процессоре! И (кошмар!!!) "Фирменные" роутеры, используемые ПОВСЕМЕСТНО - ТОЖЕ УЯЗВИМЫ! Просто у хакеров еще не дошли руки...
4) Выходит, что хакерам даже не нужно взламывать конкретно ваш компьютер, достаточно получить управление одним из серверов провайдера, или даже одним из роутеров провайдера и вся сеть под угрозой! Вы даже не представляете, сколько СЛУЖЕБНОГО трафика гуляет по сети и какие протоколы исполняются на ВАШЕМ ПК абсолютно без вашего ведома!

Вот теперь чувствуете МАСШТАБ проблемы?
Теперь можно паниковать)))

Цитата (Toksus @ 17.01.2018 - 23:23)

Цитата (Boinov @ 17.01.2018 - 23:16) Цитата (Toksus @ 17.01.2018 - 23:10) Я просто больше чем уверен, что данная новость является монетизацией проблемы. Бля, а это идея, это напоминает "эпидемии" свиного и птичьего гриппа, когда арбидол в10 раз вырос, и бараны жрали его и ходили в масках Кто в этот раз наварится? У меня есть скромное предположение, что раз новость о компании "Intel", должна навариться не эта компания, а соседняя какая-нибудь...

Слабо в это верится,если докажут, то амд такой штраф въебут, что не оправится уже, тут мы скорей что нибудь новенькое увидим, посмотрим как истерия развиваться будет

Я вот тоже сначала перепугался и внепланово забэкапился.
Потом подумал. Вкратце.
Предсказания процессора заносятся в кэш и если предсказание ошибочно, то данные не стираются и становятся "ничьими". Вот их то и можно прочитать.
Дырка? - Да!
Страшная? - в теории Да!
Практическое применение? - ХЗ.
Т.е. считаны некие данные неизвестного процесса (их там килобайты в лучшем случае). Что с ними делать очень непонятная история.
Маркетинговый ход? - ...

З.Ы. Думайте сами, решайте сами ©

"то сейчас ты несёшь невероятнейшую херню."

Таким образом атакующий может прочитать все данные адресное пространство ядра используя особенность микроархитектуры. ©

Цитата (zloybomj @ 17.01.2018 - 21:59)

5) Надяться на то, что вы нищий, а потому никому не нужны - бесполезно. 6) Замалчивать тему, в надежде что хакеры её заигнорят и забудут - бесполезно.

ПОЛЕЗНО: выдернуть нах кабель из компа и никогда не юзать на важной машине инет. Шах и мат уроды

У меня один раз был опыт общения с хакером. Еще во времена диал-апа. Сидел на одном "интересном" форуме. И один чел говорит мне в аське- хочешь прямо щас тебя хакну? Я говорю -давай,чё. Не можешь ты ниху ничего в общем
Проходит реально минута наверное -у меня вылазит черное окно (терминал или еще что то типа). Где начинается показываться всякая хрень. Типа "пересылка пакетов, копирование, доступ и т.д."
Я в шоке. Взял и выдернул кабель из компа. Таким нехитрым образом, дети -восстание машин - было подавлено кувалдами

Ребят, мы все в матрице. Эт я вам, как Доктор Вася, говорю

"У меня Linux на моем дистрибутиве нет Java, "

У тебя есть JavaScript это два разных языка. А твой линкс... До лампочки. И у меня линукс. И что дальше?