• Новогодние подарки, часть вторая: Spectre

      Часть первая: Meltdown.

      Несмотря на всю мощь уязвимости Meltdown, принесённое этим Новым годом счастье не было бы полным, если бы не вторая часть открытия, не ограничивающаяся процессорами Intel — Spectre.

      Если говорить очень-очень коротко, то Spectre — принципиально схожая с Meltdown уязвимость процессоров в том смысле, что она тоже представляет собой аппаратную особенность и эксплуатирует непрямые каналы утечки данных. Spectre сложнее в практической реализации, но зато она не ограничивается процессорами Intel, а распространяется — хоть и с нюансами — на все современные процессоры, имеющие кэш и механизм предсказания переходов. То есть, на все современные процессоры.

      Строго говоря, Spectre не является одной уязвимостью — уже на старте заявлены два различных механизма (CVE-2017-5753 и CVE-2017-5715), а авторы отмечают, что может быть ещё и много менее очевидных вариантов.

      В основе своей Spectre похожа на Meltdown, так как также базируется на том факте, что в ходе спекулятивного выполнения кода процессор может выполнить инструкции, которые он не стал бы выполнять при условии строго последовательного (неспекулятивного) вычисления, и, хотя в дальнейшем результат их выполнения отбрасывается, его отпечаток остаётся в процессорном кэше и может быть использован.
      Читать дальше →
    • Новогодние подарки, часть первая: Meltdown

        Да, я знаю, что это уже третий материал на GT/HH по данной проблеме.

        Однако, к сожалению, до сих пор я не встречал хорошего русскоязычного материала — да в общем и с англоязычными, чего уж тут греха таить, та же проблема, там тоже многих журналистов изнасиловали учёные — в котором внятно раскладывалось бы по полочкам, что именно произошло 3 января 2018 года, и как мы будем с этим жить дальше.

        Попробую восполнить пробел, при этом и не слишком влезая в глубины работы процессоров (ассемблера не будет, тонких подробностей постараюсь избегать там, где они не нужны для понимания), и описывая проблему максимально полно.

        Тезисно: в прошлом году нашли, а в этом опубликовали информацию о самой серьёзной ошибке в процессорах за все десятилетия их существования. В той или иной степени ей подвержены все процессоры, используемые в настоящее время в настольных компьютерах, серверах, планшетах, смартфонах, автомобилях, самолётах, поездах, почте, телефоне и телеграфе. То есть — вообще все процессоры, кроме микроконтроллеров.

        К счастью, подвержены они ей в разной степени. К несчастью, самый серьёзный удар пришёлся на самые распространённые процессоры — Intel, причём затронул он абсолютно все выпускающиеся и практически все эксплуатируемые (единственным исключением являются старые Atom, выпущенные до 2013 года) процессоры этой компании.
        Читать дальше →
      • Интернет-провайдер Aruba и его амбициозные проекты

          Aruba, основанная в 1994 году, является ведущим хостинг-провайдером в Италии. Компания работает в четырех направлениях: центры обработки данных, облачные услуги, хостинг и продажа доменов, e-Security и предоставление услуг сертифицирования. Компания принимает активное участие в развитии ключевых европейских рынков, включая Францию, Великобританию и Германию, занимает лидирующие позиции в Чехии и Словакии, присутствует в Польше и Венгрии.


          Читать дальше →
        • Уязвимость в ЦП Intel: затронуты Windows и Linux, закрытие уязвимости приведёт к падению производительности до 30%

          • Перевод
          Если сообщения верны, Intel допустила весьма серьёзную уязвимость в своих центральных процессорах, и её нельзя исправить обновлением микрокода. Уязвимость затрагивает все процессоры Intel за последние лет десять как минимум.

          Закрытие уязвимости требует обновления ОС, патчи для Linux уже вышли, Microsoft планирует закрыть её в рамках традиционного ежемесячного «вторника патчей». На данный момент детали уязвимости не разглашаются, но некоторые подробности всё-таки выплыли наружу благодаря Python Sweetness и The Register.

          image
          Читать дальше →
        • Финалисты конкурса: самые красивые дата-центры мира 2017



            Красота — вещь субъективная. В последнее время при возведении новых серверных хранилищ наблюдается такая тенденция: создаются не просто современные функциональные здания, а выстраиваются настоящие произведения искусства. Необычная архитектура сооружений завораживает и притягивает взгляды и не только взгляды (возможно в какой-то мере удачный маркетинговый ход по привлечению клиентов). Оказывается, существует даже конкурс на звание самого красивого дата-центра в мире. Какой критерий основной при выборе фаворита: функциональность, декоративное оформление, неординарный подход при строительстве и т.д.? Было проведено публичное онлайн голосование при поддержке Quality Uptime Services, в итоге определены 15 серверных хранилищ, каждое из которых может называться самым красивым.

            1. Switch Pyramid (Мичиган, США)



            Читать дальше →
            • +11
            • 10,3k
            • 7
          • Британская разведка не может нанять технических специалистов, потому что Google и Facebook платят в 4-5 раз больше


              Штаб-квартира GCHQ в Челтенхеме, графство Глостершир

              Британская спецслужба GCHQ (Government Communications Headquarters, Центр правительственной связи) испытывает серьёзные проблемы с наймом и удержанием персонала — а именно, специалистов по компьютерной безопасности. Сейчас спрос на таких сотрудников особенно высок. В отчёте GCHQ за последний фискальный год (pdf) указано, что в 2015-2016 годах спецслужба потратила на кибероперации 24% своего бюджета — это самая большая статья расходов у разведчиков. За ней следует борьба с терроризмом (контртеррористические операции) — 23% бюджета. То есть на информационную безопасность тратится больше ресурсов, чем на борьбу с терроризмом. Таковы реалии 21 века.

              На 40-й странице отчёта говорится о том, что в последние годы GCHQ «не справляется с наймом и удержанием подходящего и достаточного кадрового состава для заполнения штатных вакансий технических специалистов, поскольку ведомству неизбежно приходится конкурировать с крупными технологическими компаниями, которые платят гораздо больше».
              Читать дальше →
            • Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

              Зачем оно вам?
              Реклама
            • В чем сила IoT, брат? В Blockchain

                Активное внедрение Интернета вещей (IoT) в повседневную жизнь наталкивается на ряд проблем, от успешного решения которых будет зависеть массовость и доступность этой перспективной концепции. Прежде всего, это обеспечение глобального и безопасного масштабирования IoT-системы и быстроты взаимодействия входящих в нее устройств. Решить их способна не менее прорывная технология — Blockchain.


                Читать дальше →
                • –7
                • 2,7k
                • 4
              • Майнинг криптовалют в браузере неожиданно восстал из мёртвых

                • Перевод

                Считалось, что майнинг крипты в браузере мёртв, но теперь он неожиданно возвращается, чтобы вновь преследовать веб-сайты и их посетителей




                За последние несколько месяцев 2017 года майнинг криптовалют испытал взрывной рост. После многих лет гробового молчания катализатором этого, судя по всему, стал запуск в сентябре нового сервиса для майнинга в браузере Coinhive. Сервис поставляет аккуратный пакет программ для владельцев веб-сайтов, и дал жизнь новой идее, которую давно уже считали мёртвой.

                Попробовали, проверили и похоронили


                Майнинг в браузере, как ясно из названия, это метод майнинга криптовалют, происходящего внутри браузера при помощи скриптового языка. Он отличается от более известной системы майнинга криптовалют, когда пользователь скачивает и запускает специальный исполняемый файл.
                Читать дальше →
              • Android-приложение Haven от Эдварда Сноудена охраняет физические объекты

                  В рамках проекта Guardian при участии Фонда свободы прессы и Эдварда Сноудена разработано очень полезное мобильное приложение Haven (исходный код). Haven — программа для настоящих параноиков, в хорошем смысле этого слова. Приложение задействует различные сенсоры смартфона (вибрация, движение, звук, детектор освещённости) для определения, что в вашу комнату проникли незваные гости.

                  Насколько бы хорошо вы ни защищали свой компьютер или ноутбук, но если злоумышленник получил к нему физический доступ, то защиту можно считать скомпрометированной (например, он может снять копию HDD и установить простой жучок, чтобы узнать мастер-пароль для снятия криптозащиты). Приложение Haven на Android-смартфоне будет лежать в одной комнате с компьютером и гарантирует, что туда никто не заходил. А если кто-то зайдёт — программа сделает фотографии и запишет звук.

                  Приложение Haven работает как охранная система для ноутбуков, сейфов, других вещей, а также для целых помещений — номеров в гостинице или комнат в доме.
                  Читать дальше →
                • Китаец получил 5,5 лет и $76 тыс. штрафа за продажу доступа к VPN

                    Мужчина на юге Китая приговорён к тюремному заключению 5,5 лет за продажу аккаунтов к VPN. Cервис позволяет обходить цензуру и получать доступ к заблокированным сайтам, таким как Facebook, Google и Gmail. В Китае работа сервисов VPN для обхода цензуры частично запрещена, как и в России, поэтому данный случай весьма показателен в плане перспектив обмена опытом.

                    Тюремный срок получил некий Ву Сянян (Wu Xiangyang), житель Гуанси-Чжуанского автономного района. Вдобавок на него наложен штраф 500 000 юаней (примерно $76 010) за отсутствие лицензии на ведение бизнеса, сообщает информационное агентство Xinhua.

                    Мужчина подозревается в том, что с 2013 года по июнь 2017 года поддерживал работу своего незарегистрированного нелегального VPN-сервиса, который перенаправлял трафик пользователя через другие регионы. Преступник также предоставлял пользователям программное обеспечение и продавал модифицированные маршрутизаторы, с помощью которых можно было открыть запрещённые сайты.
                    Читать дальше →
                  Самое читаемое