• Как уязвимости Meltdown и Spectre влияют на ваш смартфон

      «Чипокалипсис» 2018 года затронул не только Windows и Linux, как кое-где говорилось вначале. Устройства с iOS и Android тоже под угрозой. И если сисадмины и грамотные пользователи ПК хоть как-то готовятся к атаке, пусть даже морально, владельцы смартфонов, кажется, не задумываются, что к их паролям и другой информации может быть получен доступ. Как Apple и Google реагируют на самую серьезную уязвимость процессоров за все десятилетия их существования, и что мы можем сделать?




      Читать дальше →
    • Новогодние подарки, часть третья: хорошо ли мы себя вели

        Часть первая: Meltdown
        Часть вторая: Spectre

        Одним из самых интересных вопросов, возникших в дискуссиях об аппаратных уязвимостях Meltdown и Spectre (см. ссылки выше) был вопрос о том, сделал ли нам Дед Мороз этот подарок в связи с тем, что в 2017 году мы вели себя плохо — или, наоборот, хорошо.



        Попробую обосновать тезис о том, что мы вели себя хорошо, иначе Дед Мороз сделал бы нам этот подарок года через три-четыре.
        Читать дальше →
      • Новогодние подарки, часть вторая: Spectre

          Часть первая: Meltdown.

          Несмотря на всю мощь уязвимости Meltdown, принесённое этим Новым годом счастье не было бы полным, если бы не вторая часть открытия, не ограничивающаяся процессорами Intel — Spectre.

          Если говорить очень-очень коротко, то Spectre — принципиально схожая с Meltdown уязвимость процессоров в том смысле, что она тоже представляет собой аппаратную особенность и эксплуатирует непрямые каналы утечки данных. Spectre сложнее в практической реализации, но зато она не ограничивается процессорами Intel, а распространяется — хоть и с нюансами — на все современные процессоры, имеющие кэш и механизм предсказания переходов. То есть, на все современные процессоры.

          Строго говоря, Spectre не является одной уязвимостью — уже на старте заявлены два различных механизма (CVE-2017-5753 и CVE-2017-5715), а авторы отмечают, что может быть ещё и много менее очевидных вариантов.

          В основе своей Spectre похожа на Meltdown, так как также базируется на том факте, что в ходе спекулятивного выполнения кода процессор может выполнить инструкции, которые он не стал бы выполнять при условии строго последовательного (неспекулятивного) вычисления, и, хотя в дальнейшем результат их выполнения отбрасывается, его отпечаток остаётся в процессорном кэше и может быть использован.
          Читать дальше →
        • Новогодние подарки, часть первая: Meltdown

            Да, я знаю, что это уже третий материал на GT/HH по данной проблеме.

            Однако, к сожалению, до сих пор я не встречал хорошего русскоязычного материала — да в общем и с англоязычными, чего уж тут греха таить, та же проблема, там тоже многих журналистов изнасиловали учёные — в котором внятно раскладывалось бы по полочкам, что именно произошло 3 января 2018 года, и как мы будем с этим жить дальше.

            Попробую восполнить пробел, при этом и не слишком влезая в глубины работы процессоров (ассемблера не будет, тонких подробностей постараюсь избегать там, где они не нужны для понимания), и описывая проблему максимально полно.

            Тезисно: в прошлом году нашли, а в этом опубликовали информацию о самой серьёзной ошибке в процессорах за все десятилетия их существования. В той или иной степени ей подвержены все процессоры, используемые в настоящее время в настольных компьютерах, серверах, планшетах, смартфонах, автомобилях, самолётах, поездах, почте, телефоне и телеграфе. То есть — вообще все процессоры, кроме микроконтроллеров.

            К счастью, подвержены они ей в разной степени. К несчастью, самый серьёзный удар пришёлся на самые распространённые процессоры — Intel, причём затронул он абсолютно все выпускающиеся и практически все эксплуатируемые (единственным исключением являются старые Atom, выпущенные до 2013 года) процессоры этой компании.
            Читать дальше →
          • Интернет-провайдер Aruba и его амбициозные проекты

              Aruba, основанная в 1994 году, является ведущим хостинг-провайдером в Италии. Компания работает в четырех направлениях: центры обработки данных, облачные услуги, хостинг и продажа доменов, e-Security и предоставление услуг сертифицирования. Компания принимает активное участие в развитии ключевых европейских рынков, включая Францию, Великобританию и Германию, занимает лидирующие позиции в Чехии и Словакии, присутствует в Польше и Венгрии.


              Читать дальше →
            • Уязвимость в ЦП Intel: затронуты Windows и Linux, закрытие уязвимости приведёт к падению производительности до 30%

              • Перевод
              Если сообщения верны, Intel допустила весьма серьёзную уязвимость в своих центральных процессорах, и её нельзя исправить обновлением микрокода. Уязвимость затрагивает все процессоры Intel за последние лет десять как минимум.

              Закрытие уязвимости требует обновления ОС, патчи для Linux уже вышли, Microsoft планирует закрыть её в рамках традиционного ежемесячного «вторника патчей». На данный момент детали уязвимости не разглашаются, но некоторые подробности всё-таки выплыли наружу благодаря Python Sweetness и The Register.

              image
              Читать дальше →
            • Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

              Зачем оно вам?
              Реклама
            • Финалисты конкурса: самые красивые дата-центры мира 2017



                Красота — вещь субъективная. В последнее время при возведении новых серверных хранилищ наблюдается такая тенденция: создаются не просто современные функциональные здания, а выстраиваются настоящие произведения искусства. Необычная архитектура сооружений завораживает и притягивает взгляды и не только взгляды (возможно в какой-то мере удачный маркетинговый ход по привлечению клиентов). Оказывается, существует даже конкурс на звание самого красивого дата-центра в мире. Какой критерий основной при выборе фаворита: функциональность, декоративное оформление, неординарный подход при строительстве и т.д.? Было проведено публичное онлайн голосование при поддержке Quality Uptime Services, в итоге определены 15 серверных хранилищ, каждое из которых может называться самым красивым.

                1. Switch Pyramid (Мичиган, США)



                Читать дальше →
                • +11
                • 10,8k
                • 7
              • Британская разведка не может нанять технических специалистов, потому что Google и Facebook платят в 4-5 раз больше


                  Штаб-квартира GCHQ в Челтенхеме, графство Глостершир

                  Британская спецслужба GCHQ (Government Communications Headquarters, Центр правительственной связи) испытывает серьёзные проблемы с наймом и удержанием персонала — а именно, специалистов по компьютерной безопасности. Сейчас спрос на таких сотрудников особенно высок. В отчёте GCHQ за последний фискальный год (pdf) указано, что в 2015-2016 годах спецслужба потратила на кибероперации 24% своего бюджета — это самая большая статья расходов у разведчиков. За ней следует борьба с терроризмом (контртеррористические операции) — 23% бюджета. То есть на информационную безопасность тратится больше ресурсов, чем на борьбу с терроризмом. Таковы реалии 21 века.

                  На 40-й странице отчёта говорится о том, что в последние годы GCHQ «не справляется с наймом и удержанием подходящего и достаточного кадрового состава для заполнения штатных вакансий технических специалистов, поскольку ведомству неизбежно приходится конкурировать с крупными технологическими компаниями, которые платят гораздо больше».
                  Читать дальше →
                • В чем сила IoT, брат? В Blockchain

                    Активное внедрение Интернета вещей (IoT) в повседневную жизнь наталкивается на ряд проблем, от успешного решения которых будет зависеть массовость и доступность этой перспективной концепции. Прежде всего, это обеспечение глобального и безопасного масштабирования IoT-системы и быстроты взаимодействия входящих в нее устройств. Решить их способна не менее прорывная технология — Blockchain.


                    Читать дальше →
                    • –7
                    • 3,1k
                    • 4
                  • Майнинг криптовалют в браузере неожиданно восстал из мёртвых

                    • Перевод

                    Считалось, что майнинг крипты в браузере мёртв, но теперь он неожиданно возвращается, чтобы вновь преследовать веб-сайты и их посетителей




                    За последние несколько месяцев 2017 года майнинг криптовалют испытал взрывной рост. После многих лет гробового молчания катализатором этого, судя по всему, стал запуск в сентябре нового сервиса для майнинга в браузере Coinhive. Сервис поставляет аккуратный пакет программ для владельцев веб-сайтов, и дал жизнь новой идее, которую давно уже считали мёртвой.

                    Попробовали, проверили и похоронили


                    Майнинг в браузере, как ясно из названия, это метод майнинга криптовалют, происходящего внутри браузера при помощи скриптового языка. Он отличается от более известной системы майнинга криптовалют, когда пользователь скачивает и запускает специальный исполняемый файл.
                    Читать дальше →
                  Самое читаемое