Google a descoperit ca miliarde de calculatoare si smartphone-uri sunt afectate de vulnerabilitati
Cercetatorii Google au descoperit recent ca o vulnerabilitate, prezenta in aproape toate cele cateva miliarde de procesoare din computerele si telefoanele din lume, ar putea permite atacatorilor cibernetici acces la date importante.
Repararea vulnerabilitatii poate afecta performanta respectivelor dispozitive.
Marti seara, Intel, Microsoft, Google si alte mari companii au emis comunicate de presa pentru a linisti clientii si actionarii.
Intel spune ca cipurile sale nu sunt singurele afectate si a sustinut ca afacerile nu ii vor fi afectate, iar Microsoft, cel mai mare producator de software din lume a informat ca va efectua un update pentru a proteja utilizatorii care folosesc dispozitive cu cipuri produse de Intel sau alte companii.
Google, care afirma ca problema afecteaza cipurile Intel, AMD si ARM, a adaugat ca a realizat update-uri contra atacurilor la majoritatea sistemelor si produselor sale.
Amazon, a carui divizie AWS este lider mondial in cloud computing, a transmis ca cea mai mare parte a serverelor afectate au fost deja puse la adapost.
Hackerii exploateaza de decenii “gaurile” din software, dar slabiciunea descoperita de Google, prin contrast, subliniaza potentialele pagube ce pot fi generate de vulnerabilitatile din partea hardware.
Componentele complexe, precum microprocesoarele, pot fi mai dificil de reparat si dureaza mai mult sa fie reproiectate de la zero daca au probleme.
“E (o vulnerabilitate) mare si este una severa. Ea ii permite atacatorului sa evite masurile de securitate ale sistemului de operare pe care ne-am bazat in ultimii 20 de ani. Are un efect mare atat asupra clientilor cat si firmelor”, a spus Jeff Pollard, analist la Forrester Research.
Aplicarea de upgrade-uri la sistemele de operare pentru rezolvarea problemei ar putea afecta performantele, avertizeaza expertii.
The Register a scris ca reducerea de performanta ar putea atinge 30%, dar Intel afirma ca acest lucru se va intampla doar in circumstante extrem de neobisnuite.

Se vor întoarce și studenții în amfiteatre din semestrul al doilea? Universitatea București: Cursuri online în continuare, cu mici excepții. UBB: Se conturează varianta hibrid
Cutia neagră a banilor publici. Secretariatul de Stat pentru Culte a alocat anul trecut o sumă record de 750.000 de lei Mănăstirii „Sf. Cuv. Parascheva", ctitorită de PF Daniel. Ani la rând Curtea de Conturi a constatat nereguli la SCC
Frumoasa casă neoromânească de pe strada Stirbei Voda, pentru care administrația Firea a dat autorizație de demolare pe finalul mandatului, este deocamdată salvată: Prefectul a atacat autorizația în instanță
Discursul de adio al lui Donald Trump: Am făcut ceea ce am venit să facem. Am dus cele mai grele bătălii VIDEO
Oamenii invizibili: Bolnavii cronici nu se pot programa la vaccinare din cauză că statul român nu a știut niciodată câți sunt / "Dacă ar exista registre de pacienți, ar dispărea toate serviciile și decontările fictive"
Un crematoriu din Germania lucrează 24 de ore din 24, șapte zile din șapte / Mesajul directorului pentru coronasceptici: Veniți să ne ajutați să mutăm sicriele VIDEO
Ma indoiesc ca sint toti ageamii.
Ma gandesc mai mult la " reducerea de performanta ar putea atinge 30%"
tradus ar trebui sa fie ...hai sa-i fortam pe aia care au jucariile mai vechi sa si cumpere jucarii noi ca mai facem si noi un banutz
Cool
Firmware upgrade .....s-o fi inventat intre timp? sau e numai pentru hackeri?
Abordare de rahat.
Protectia consumatorului .....worldwide are niste motive sa faca rost de niste bani din amenzi si ......consumatorul daca nu se rezolva pb cu un firmware upgrade e in postura sa si poata lua banii inapoi chiar si dupa 20 de ani .....intr-o lume cinstita
"Interesanta" vulnerabilitate
PS ....sint de acord ca acum 20 de ani nu erau la acelasi nivel produsele soft ...dar vulnerabilitate majora ....descoperita de Google dupa 20 de ani ....cool.si cine reactioneaza primu.....?
Iar problema asta se va intensifica in viitor, pentru ca din ce in ce mai multa tehnologie se muta din software spre hardware. Si cu cit hardware-ul preia mai multe atributii, cu atit devine mai vulnerabil la erori de securitate. Mai ales ca in industrie timpii de proiectare a chipurilor sunt extrem de mici sub presiunea celor "made in china".
adica:
ale SO-urilor pe care ne-am bazat in ultimii 20 de ani.
Daca nici acum nu iti este clar ... SO-urile pe care ne-am bazat in ultimii 20 de ani:
- Linux
- Unix
- Windows
- MacOS
- Android (Linux)
- si altele
asta nu inseamna ca vulnerabilitatea exista de 20 de ani.
1. Problema e de hardware, in chip. Si o minima logica de bun simt ar trebui sa-ti spuna ca nu mai exista chipuri functionale din 1997 decit prin vro sonda spatiata sau ceva similar.
2. Una din vulnerabilitati afecteaza tabletele si smartphone-urile, care in mod evident nu exitau acu 20 de ani.
HW poate fi acelasi ..daca la nivel FIRMWARE sint inchise portite de vilnerabilitate ....softul e departe rau
Din pct meu de vedere ai dovedit exact ca HABAR nu ai cu ce se mananca
Pacat ca te crezi asa de tare
PS mai citeste legaturile dintre HW + FW + SW
PS2 Cod masina ....ring a bell?
Nu toate aplicatiile se fac in macroasambloare
Cind emiti o afirmatie, fii mai precis...
Nici tu nu cred ca intelegi ce ai vrut sa spui. ...
In afara de faptul ca habar n-am cu ce se maninca (HW/FW/SW banuiesc) si ca tre sa mai citesc despre astea 3 mi-e greu sa extrag ceva logic din comentariul tau
Diferenta intre HardWare/FirmWare/SoftWare
Hardware ul poate fi la fel = ACELASI HARDWARE dar in prima varianta ai un Firmware care blocheaza vulnerabilitatile din HW -> Operation VOID si in cel vechi (cu un Firrmware vechi in care vulnerabilitatea NU e blocata) vei putea rula scriptul sau setarea din (registri cum zici tu ....macar ca la nivel hardware e mai folosit stiva)
In principiu de relatat asa detaliat este numai pentru analfabeti (se considera ca alfabeti(stii) asa ca tine ar trebui sa cunoasca detaliile in amanunt ca nu sint doar functionali adica stiu sa foloseasca mai mult debug la nivel ALL
ca sa nu mai mentionez respectul
PS habar nu am de unde a ajuns el la concluzia ca are un nivel IQ ...corespunzator sa ma faca pe mine analfabet ...da e dreptul lui
Asa e in democratie
PS2 a dovedit exact cit de mult il tin praselele din explicatia pe care a dat-o.Din punctul lui de vedere daca se modifica Softul (care evolueaza bineinteles) hardware ul ramanand tot ala ......nu e vulnerabilitate.
Sa fi incercat sa i explic ca daca se adauga un FW se poate rezolva problema Hardware?
Nu cred ca am timp suficient sa i explic el oricum nu va intelege in o unitate valida te timp.
Pina mai ieri toata partea inteligenta era in software si pe cale de consecinta toate gaurile de securitate se gaseau acolo.
Si da, orice software poate fi implementat in hardware cu conditia ca hardware-ul ala sa poata fi si proiectat intr-un timp rezonabil si sa poata fi produs de un producator de chipuri. Si bineinteles, sa fie suficient de general incit sa poata fi folosit la mai multe aplicatii. Daca faci un chip care stie doar solitaire, s-ar putea sa nu iti scoti banii investiti.
Deci in concluzie... nu prea inteleg pe ce ne contrazicem...
Aia cu creioanele colorate nu pricep unde vrea sa bata. Sistemul de operare e un sir de biti intr-o memoriem in aceeasi masura in care teoria relativitatii e un sir de litere, cifre si simboluri matematice intr-o carte.
Acu despre masina Turing: ai si argumente pentru care afirmatia aia e o gogomanie? Intimplator lucrez in domeniul circuitelor integrate de vro 20 de ani si zic eu ca stiu ce vorbesc... Si articolul insusi cam tot despre asta vorbeste...
Si daca tot faci aprecieri despre logica formala (sau gindire logica abstracta cum ii spui tu), incearca sa intelegi intii ce spune celalalt...
eu nu m-am luat de nivelu' tau de alfabetizare
Dar la modul in care ...reactionezi presupun ca mai ai inca 11 clase primare de terminat
ma abtin de la alte comentarii pentru ca nu vreau sa ajung in aceeasi parte a super alfabetizatilor ca tine
ma bucur ca de la tine din mbalcon se vede cu mai multe litere si mai colorat
ar trebui sa cobor mult prea mult sa ajung pina la nivelul tau
eu am vorbit respectuos
nu asa ca tine
PS
Sa nu care cumva sa intelegi ca numai tu poti vorbi asa colorat.....Din pacate la analfabeti mai e prezent un aspect se numeste politete
Prefer sa raman un analfabet politicos decat sa fiu un super alfabetizat nepoliticos.
PS2 ....in ceea ce priveste nivelul de alfabetizare presupun ca dupa ce termini cele 11 clase missing o sa trebuiasca sa te duci la gradinita si abia dupa aia daca reusesti poate ajungi si la cei 7 ani de acasa
2. Nu vad care e jignirea. Ti-am aratat deajuns de clar cum nu ai inteles continutul frazei, dar se pare ca degeaba.
3. De jignit incerci tu sa jignesti cu 11 clase (sau 7 ani) lipsa si ce mai zici tu pe acolo, doar ca o faci extrem de stingaci
Repet, desi sunt aproape sigur ca degeaba: laptopul cu pricina era folosit exclusiv pentru multimedia (jocuri/filme). Si daca se intimpla sa fie virusat, distrus, etc nu ma afecta absolut deloc. Documentele importante oricum se tin pe yahoo/gmail/cloud, NAS in RAID (daca ai acasa), etc. Oricum laptopul oricit de patchuit ar fi poate oricind fi pierdut sau furat, oricind HDD-ul poate ceda si datele pot disparea, etc, etc. Asha ca un laptop folosit la filme si jocuri poate fi oprit de la update-uri.
Si da, las securitatea pe seama altora cum am spus si mai sus, dar a unora care chiar se pricep la din astea, nu la indemina oricui...
Iata ca acum treaba s-a intors ca un bumerang......
Practic ai o secventa gen
if have_rights
execute_privileged_op;
have_rights se poate executa dupa execute_privileged_op din cauza out of order execution, dar e prea tirziu.
Asta e cind nu marchezi un syscall ca non-cached si atunci intregul execution branch devine noncached. De unde si penalizarea de performanta (hai sa zicem simplu ca o variabila volatile, tre sa-ti misti kuru sa o citesti de fiecare data).
Eu ma mir ce mai urmeaza, doua threaduri care intra amindoua in acelasi critical section, sau ce? Si dupa aia ma uit la crash dumps ca vaca.
Aici e vorba despre faptul ca chipurile, ajunse din ce in ce mai complexe, preluind din ce in ce mai multe functionalitati din zona de software, devin din ce in ce mai inteligente si in consecinta poti face cu ele din ce in ce mai multe chestii fara a apela la zona de software. Si atunci e inevitabil sa apara si gaurile de securitate.
cand primeste acea comanda ,face un damp ( copie) a unei zone de memorie, nu are nevoie de soft si nici de sistem de operare.
Prin 1985 cand programam Z80 in assembler faceam astfel de copieri.
E adevarat ca trebuie sa fii masochist ca sa dez-asamblezi. Eu sunt pensionar nu mai stiu noutatile dar banuiesc ca si tehnica de dez-asamblare a evoluat.
2. Cit despre HW/SW, aici discutia nu e filosofica, ci extrem de paminteana. E vorba despre ce anume e implementat hardware si ce e implementat software. Si diferenta majora e ca daca la software ai bagat un patch si ai reparat, la hardwaree mai complicat, pentru ca posibilitatile de modificare se limiteaza la niste setari de registri is la niste rutine de firmware.
Firmware-ul e o insuriure de biti (cum zicea cineva mai sus) bagata intr-un (E)(P)ROM - memorie pe care nu o poti rescrie decit prin actiuni mecanice asupra dispozitivului (partea sensibila, cea pe care nu vrei s-o poata modifica softul ever) sau intr-un flush memory (partea care vrei sa primeasca patch-uri de la producator). Iar insiruirea aia de biti reprezinta comenzi interne pentru diverse componente din "stomacul" circuitului integrat, comenzi care pentru lumea exterioara, care nu are cunostinte despre componenta interna a circuitului, reprezinta doar o insiruire de biti si nimic mai mult. De aia firmware-ul nu va putea fi vrodata modificat decit de producatorul cipului, spre deosebire de software, care e la un nivel mult superior de abstractizare, deloc sau aproape deloc dependent de componenta interna a chipului.
In concluzie la concluzie, hardware-ul poate fi reparat, desi pentru tine suna absurd. Iar raspunsul la intrebarea cum???
e ... prin firmware. In ziua de azi mai orice circuit integrat are cite un registru de configurare pentru orice mica particica de functionalizate, plus un mic procesor de initializare/configurare/management care ruleaza un programel numit ... firmware, programel care initializeaza diversi registri de configurare, diverse memorii, coordoneaza diverse secvente de initializare, etc. Gata cu lectia de circuite integrate ca tre sa mai si muncim.
Si apropos, lucrez in domeniul circuitelor astora integrate de vro 20 de ani, asha ca, zic eu, stiu cit de cit despre ce vorbesc...
Interventia mecanica implica schimbarea unui jumper pe placa de circuit sau?
Asta era undeva la nivel HW in 2000-2005
din 2005 incoace EPROM urile au fost inlocuite cu Flash PROM uri sau mai pe scurt FLASH unde informatia se scrie cu ajutorul unui tool evenual din alt mediu software in care operatiunile protejate sint la nivel neelevat.
Si interventia mecanica se restrange la ....apasatul pe tastatura
Multa sanatate Bogdan.
Salutari maxime de la ........persoana pe care ai caracterizat-o oarecum gresit fara sa o cunosti.
Eu unul ziceam in mesajul initial ca Vendorii de Procesoare/chipuri ar trebui sa rezolve pb ...pe cheltuiala lor.Care din pct meu de vedere se poate face cu ceva patch la nivel FW din care operatiunile care pot folosi partea vulnerabila sa fie considerate VOID
De schimbat HW e mai complicat.
In ceea ce priveste comentariile de pe aici intr-adevar sint portite si comenzi ascunse/nedocumentate care au fost lasate nedocumentate voit de producatori . La ce servesc ele = exact la control si access remote fara acordul proprietarului
Dar banuiesc ca ...poate datorita faptului ca sint analfabet nu am putut sa descriu asa de amanuntit incat sa priceapa si cei care nu sint analfabeti.
Iti urez si tie si celor care nu sint analfabeti functionali multa bafta in continuare si la cit mai multe successuri (daca tot sint analfabet nu stiu cum se scrie corect)
Daca tot stii asa bine ajuta i pe aia de la Intel&Co sa rezolve problema poate castigi niste banuti daca ti dau 0,1 centi per masina rezolvata o sa se stranga probabil fo 600.000 de dolari .
Poate faci o scoala ceva pentru analfabeti functionali din banii aia poate vin si eu daca am timp.
ROM: hardwired, n-o poti modifica neam
PROM: Printable rom, o scrii o singura data cu un echipament special si cu asta basta
EPROP Erasable PROM = PROM pe care-l poti sterge de un numar de ori prin expunere la ultaviolete.
Flash-ul e altceva, ala poate fi modificat prin software, mai usor sau mai greu, deci ramane din ROM doar partea de non-volatilitate. Daca vrei securitate, folosesti prom.
Acu, in mod clar vendorii vor patch-ui firmware-ul, doar ca nu e asha simplu cum crezi tu (vezi ca a mai aparut un articol cu Intel care nu are inca o solutie completa la problema, la 6 luni de la depistare). De cele mai multe ori e infinit mai complicat decit sa faci disable la niste "feature-uri". Am participat la crearea citorva astfel de patch-uri (nu pe vulnerabilitati de securitate, ci pe buguri HW descoperite in laborator), si implica o gramada de brain-storming.
Iar comenzile nedocumentate de care spui tu exista in special in teoria conspiratiei... Ele exista, dar in soft, in SO, nu in HW
ai dovedit tot ce poti
PS
Daca poti sa ti inchipui ca am facut FW upgrades in FLASH de mai multe ori de cate ori ai citit tu alfabetu
si in ceea ce priveste comenzile ne documentate (conform definitiei tale) sint interpretate de SO?
Si sistemul de operare e ....condus de cine? are creier propriu?sau sistemul de operare e chiar cel care de fapt conduce (SW) ....HW de mai jos?
Pacat ca tocmai tu ai definitii in ceea ce priveste an(alfa)betismul sau daca vrei mutam parantezele cu doua litere mai la dreapta.
Poate publici viitoarele manuale de Inteligenta Artificiala astia cu SO urile lor ar trebui sa ia lectii de la tine .
M-am razgandit intre timp esti chiar un RAW model de inteligenta.....brilliant
Have fun man
Firmware-ul e o insuriure de biti [...] bagata intr-un (E)(P)ROM [..] sau intr-un flush memory"
Acuma zi tu cum se numesc aia care citesc fraza aia au comentariul pe care il ai tu...
Si ca sa nu zici ca e doar parerea mea, vezi si parafraful 2 de aici:
https://ro.wikipedia.org/wiki/Firmware
Vezi tu, nu toate circuitele integrate sunt smartphonuri, gps-uri, camere foto sau smartwatch-uri. Se mai fac chipuri si in zona de security, bursa, aeronautica, etc, unde securitatea e mai importanta decit usurinta cu care se fac update-uri...
Iar la partea cu SO-ul ce sa zic... chiar pari hotarit sa-mi arati ca nu prea intelegi ce citesti...
si n-are rost sa mi explici
ca eu sint analfabet ma uit la litere
bine ca intelegi tu
hai all the best
multa bafta cu registrii
POINT. End of story
PS
Poti sa mi zici si mie de unde ai interpretat ca eu as fi facut upgrade de FW pe telefoane?
"Vezi tu, nu toate circuitele integrate sunt smartphonuri, gps-uri, camere foto sau smartwatch-uri. Se mai fac chipuri si in zona de security, bursa, aeronautica, etc, unde securitatea e mai importanta decit usurinta cu care se fac update-uri..."
ar fi frumos daca as avea 10 centi pentru fiecare server la care am avut de lucru
Multa bafta
Din momentu de fata am uitat sa citesc
"EPROM (acronim din engleză de la Erasable Programmable Read Only Memory, traducere liberă"
https://ro.wikipedia.org/wiki/EPROM
"PROM: Printable rom, "
Printable....sau Programable?
Sincer nu stiu cine se uita la litere si nu pricepe ce reprezinta literele
Registrele de care zici tu sint caracteristice pentru partea de Software.
Acelasi tip de parametru in partea procesorului se numeste stiva.
Asta asa ca sa intelegi ca mai ai de invatat multe despre interactiunea SW - HW
Pentru tine SW e singura posibilitate
Pacat
Registrul, dupa toate defintiile, este un spatiu local de stocare de informatii. E adevarat ca exista si in SO notiunea de registru, dar asta nu inseamna ca in hardware registrul se numeste stiva. E o aberatie mai mare ca tine.
Modelul de descriere hardware in care se proiecteaza circuitele integrate are acronimul RTL (adica register-transfer-model).
Cel mai utilizat limbaj RTL e Verilog
Da o cautare de exemplu dupa "verilog how to describe a register" si vei gasi nenumarate articole unde notiunea de "register" e folosita in HW.
De data asta ai dat cu bita-n balta de te-ai murdarit din cap pina-n picioare. Asha e cind vrei s-o faci pe desteptul dar nu te ajuta "resursele".
Mozilla nu scoate bani din datele tale personale. Mozilla scoate bani din donații, unele reclame care pot fi dezactivate ușor (alea care apar la new tab) și din setarea motorului de căutare implicit.
Pentru ca pana la urma cei mai multi dintre utilizatorii "etici" nu dau bani pentru idei nobile, doar sustin pe forumuri, iar oamenii aia de la Mozilla trebuie sa manance si gura lor ceva, macar o data la doua zile. Asa ca iau spaga de la competitori sau de la alte firme care primesc in schimb "ceva".
Veniturile relativ mici le creaza pe termen lung si o problema de competivitate, mai putin bani in dezvoltare, asa ajung sa piarda constant market share. Sunt de acord ca Mozilla e cool, dar viitorul nu pare prea roz pentru ei.
Si nu, nu te spioneaza nimeni de aia 30% din CPU. Programele care te spioneaza nu consuma resurse, nu te intreaba daca sa isi faca update-uri, si in general nici nu le simti existenta. Tocmai ca sa nu bata la ochi. Update-urile pur si simplu incarca sistemul de operare cu tot felul de programele de utilitate indoielnica sau le incarca pe cele actuale, cu singurul scop ca tu a-ti schimbi device-ul mai repede.
Pe de alta parte, ca sa nu ai nimic de ascuns ar trebui sa nu memorezi nici o parola de cont, sa nu faci plati online, etc. Desi eu am functionat cu un laptop vro 5-6 ani fara update-uri si n-am patit nimic. Telefonul oricum nu ma tine mai mult de 2 ani fizic, ca-s neglijent cu el, asha ca il las sa faca ce vrea.
2. La serviciu e altceva: acolo laptopul e securizat de departamentul de IT, pathcurile vin tot de acolo (ei decid ce se instaleaza si ce nu), etc, etc. Plus backup zilnic in cloud la tot hardul si des (cred ca la fiecare ora) la directorul cu documente.
Eu raspundeam unui dude ofticat (ca si mine de altfel) ca orice telefon/tableta/laptop mid-range iti e indopat cu patchuri de sistem de operare plus update-uri la software pina cind peste 2ani (telefon) si maxim 5 ani laptop se misca atit de greu de trebuie sa-ti iei altul. Desi tie ti-ar fi fost la fel de bine cu ala de acu 2 ani care sa stie sa faca fix chestii le de acu 2 ani si nimic mai mult. Si asta desi lucrez in domeniu si imi primesc salariul fix din nevoia asta de inlocuire generata de update-uri.
Ce-ar fi sa lasi si tu circuitele integrate si firmware-ul pe seama alora care le proiecteaza si le verifica. Si sa te limitezi la solutii de securitate date de cele multe certificate?
Daca ar vinde pe bune informatiile, de ce s-ar mai intoarce cumparatorul de informatie la google, din moment ce are ce trebuie? Ba ar putea chiar sa vanda informatiile mai departe.
Baga multi bani in securitatea informatiei nu pentru tine, ci pentru a asigura existenta business-ului lor pe termen lung. Orice actor care le intra in sistem inseamna o pierdere de bani si de imagine (care pe termen lung se traduce tot in bani).
Informatiile tale individuale sunt ieftine, informatiile cumulate de la 2 miliarde de utilizatori inseamna o cifra de afaceri de 90 de miliarde de dolari pe an. Daca nu s-ar ocupa de securitatea datelor, aia 90 de miliarde s-ar duce rapid in canalizare, intreaba-i pe yahoo.
Daca cineva iti vrea datele, de esti persoana importanta, o sa ajunga usor la ele, daca esti ageamiu in ale tehnologiei si greu (mai multe resurse necesare) daca esti Snowden. Dar asta nu implica faptul ca astia mari nu incearca totusi sa-si protejezi afacerea, care include datele datele tale de porn nocturn. E atat de simplu, daca ai date de la miliarde de utilizatori, unele exclusive, incerci sa tii cu dintii de ele, sa nu aiba acces altii, pentru ca se devalorizeaza informatia. Daca ar exista o infinitate de google in piata, cu aceleasi informatii despre utilizator, fiecare particica de infinit va lua doar o particica de venit finit. Informatia, cu cat e mai rara, cu atat e mai valoroasa.
acu e momentu
ca noi sintem la putere si facem ce vrem noi
Ceilalti nu conteaza (chiar daca ei sint la putere cu 17% din voturi ....raportat la numarul de votanti)
Din nefericire eu sint sigur ca INTEL+ altii isi vor rezolva problemele (nefericire pt ca ei nu conduc Romania)....de vreme ce P$D isi bate joc de o tara intreaga pt ca asa vor ei si ...pot
The quick brown fox jumps over the lazy editor:)