Alkuvuoden polttavimmat puheenaiheet tietoturvan saralla ovat olleet Meltdown- ja Spectre-haavoittuvuudet, niiden korjaukset ja niistä aiheutuneet komplikaatiot. Etenkin Intelillä on ollut ongelmia päivitystensä kanssa, sillä ne ovat aiheuttaneet paitsi suorituskykyhävikkiä, myös uusia suoraan käyttäjille näkyviä ongelmia.
Kotikäyttäjien kannalta Intelin päivitysten vaikutus suorituskykyyn on käytännössä olematon tai lähes olematon. Päivitysten myötä syntyneet satunnaiset uudelleenkäynnistymiset ovat kuitenkin ongelma, joka näkyy helposti kotikäyttäjänkin arjessa. Intelin mukaan ongelman piti alun perin koskea vain Haswell- ja Broadwell-arkkitehtuureja, mutta sittemmin yhtiö on päivittänyt lausuntoaan koskemaan kaikkia Core-arkkitehtuureita Sandy Bridgestä lähtien.
Intelin tuoreimman lausunnon mukaan yhtiön insinöörit uskovat nyt löytäneensä perimmäisen syyn Haswell- ja Broadwell-arkkitehtuurien uudelleenkäynnistymisongelmaan ja edistyneensä jo huomattavasti sen korjaamisessa. Yhtiö ei kuitenkaan kerro, onko myös muiden Core-arkkitehtuureiden uudelleenkäynnistysongelmat kiinni samasta seikasta tai miten niiden korjaus edistyy.
Lopullista korjausta odotellessa Intel suosittelee, että OEM-valmistajat ja muut yhtiön tuotteita käyttävät palveluntarjoajat lopettavat nykyisten päivitysten jakelun ehkäistäkseen uudelleenkäynnistysongelman leviämistä. Lisäksi Intel toivoo kumppaniensa keskittyvän Haswell- ja Broadwell-prosessoreiden tulevan päivityksen esiversioiden testaamiseen, jotta lopullinen versio saataisiin jakoon mahdollisimman nopeasti.
Lisäksi Intel pyrkii tarjoamaan käyttäjille, joille järjestelmän vakaus on ensisijainen seikka, mahdollisuutta palata käyttämään edellistä versiota prosessorin mikrokoodista siihen saakka, kunnes lopullinen ja ongelmaton mikrokoodiversio on valmis. Mikäli edellinen mikrokoodiversio tuodaan saataville, se tulee asentaa BIOS-päivityksen muodossa. Edelliseen mikrokoodiversioon paluu ei vaikuta Spectren ensimmäisen variantin tai Meltdownin korjauksiin, mutta poistaa suojauksen Spectren kakkosvariantilta.
Lähde: Intel
@Kaotik: ei taida olla vielä tässä threadissä missään originaali GPZ blogi?
Project Zero: Reading privileged memory with a side-channel
Mikäli jotakuta kiinnostaa semi-teknisempi taustakartoitus, niin ohessa Rerrid Gillingin aivoituksia Meltdownista:
A technical deep dive on Meltdown and does it work?
Ja Steve Bagley (PhD, CS) vääntää asiaa rautalangasta, ja kertoo miten, missä ja miksi haavoittuvuudet voivat toimia ja mitä käytännön vaikutuksia näillä on:
Sitten tietoturvan vanha parta, Bruce Schneier, pohtii asiaa hieman laajemmalta kantilta: vaikutukset, suojautuminen, merkitsevyys, jne:
http://www.schneier.com/blog/archives/2018/01/spectre_and_mel_1.html
Lainaus:
Schneier ei ole yleensä taipuvainen hyperventiloivaan liioitteluun ja hänen pitkä kokemuksensa alalta
Ja lopuksi Nicholas Weaver (tietokoneturvallisuus, CCI Berkeley) kertoo miksi nämä haavoittuvuudet yhdistettynä selaimiin ja mainosverkkoihin iskevät modernin webin akilleen kantapäähän:
The Spectre of an Advertising Meltdown: What You Need to Know
Mikäli jotakuta kiinnostaa semi-teknisempi taustakartoitus, niin ohessa Rerrid Gillingin aivoituksia Meltdownista:
A technical deep dive on Meltdown and does it work?
Ja Steve Bagley (PhD, CS) vääntää asiaa rautalangasta, ja kertoo miten, missä ja miksi haavoittuvuudet voivat toimia ja mitä käytännön vaikutuksia näillä on:
Sitten tietoturvan vanha parta, Bruce Schneier, pohtii asiaa hieman laajemmalta kantilta: vaikutukset, suojautuminen, merkitsevyys, jne:
http://www.schneier.com/blog/archives/2018/01/spectre_and_mel_1.html
Lainaus:
Schneier ei ole yleensä taipuvainen hyperventiloivaan liioitteluun ja hänen pitkä kokemuksensa alalta
Ja lopuksi Nicholas Weaver (tietokoneturvallisuus, CCI Berkeley) kertoo miksi nämä haavoittuvuudet yhdistettynä selaimiin ja mainosverkkoihin iskevät modernin webin akilleen kantapäähän:
The Spectre of an Advertising Meltdown: What You Need to Know
Kannattaa aina pitää tuore backup-image koneiden c-asemasta jemmassa vaikka ulkoisilla levyillä. Imagen teko sujuu nopeasti ja on "halpa henkivakuutus". Silloin voi huoletta asennella mitä huvittaa. Ilmaisia ja ei-ilmaisia softia löytyy huru mycket. Itse olen käyttänyt ilmaista Macrium Reflectiä ja kaupallista Acronis True Imagea. Jälkimmäistä olen käyttänyt jo pitkään ja aina on imagea palauttaessakin (esim. levyn vaihdon takia) toiminut kuin junan vessa (ei VR:n junan).
Kannattaa aina pitää tuore backup-image koneiden c-asemasta jemmassa vaikka ulkoisilla levyillä. Imagen teko sujuu nopeasti ja on "halpa henkivakuutus". Silloin voi huoletta asennella mitä huvittaa. Ilmaisia ja ei-ilmaisia softia löytyy huru mycket. Itse olen käyttänyt ilmaista Macrium Reflectiä ja kaupallista Acronis True Imagea. Jälkimmäistä olen käyttänyt jo pitkään ja aina on imagea palauttaessakin (esim. levyn vaihdon takia) toiminut kuin junan vessa (ei VR:n junan).
Tiivistelmä videosta:
– Pätsit: Windows Meltdown pätsi + Asus BIOS-päivitys
– Testiplatta: Asus Tuf Z370Plus + Core i3-8100
– Hyötyohjelmissa, kuten pakkaus, kryptaus, rendaus, Excel, jne = ei tehonlaskua
– Peleissä tehonlasku enimmillään 3-4% pahimmillaan, usein ei mitään
– …nVme SSD 4K R/W lasku jopa -8-10%
– …nVME SSD ATTO-testi: Seq R/W jopa -40% lasku
– moninpelaajapelien testituloksia tulossa
– serveritehonlaskut (ja CPU-käyttöastepiikit) ovat olleet paljon pahempia (vrt. EPIC-serverikuormat)
Tiivistelmä videosta:
– Pätsit: Windows Meltdown pätsi + Asus BIOS-päivitys
– Testiplatta: Asus Tuf Z370Plus + Core i3-8100
– Hyötyohjelmissa, kuten pakkaus, kryptaus, rendaus, Excel, jne = ei tehonlaskua
– Peleissä tehonlasku enimmillään 3-4% pahimmillaan, usein ei mitään
– …nVme SSD 4K R/W lasku jopa -8-10%
– …nVME SSD ATTO-testi: Seq R/W jopa -40% lasku
– moninpelaajapelien testituloksia tulossa
– serveritehonlaskut (ja CPU-käyttöastepiikit) ovat olleet paljon pahempia (vrt. EPIC-serverikuormat)
Yhdessäkään sydämen tahdistimessa ei ole suoritinta saati käyttöjärjestelmää johon tämä vaikuttaisi saati että sellaiseen olisi mahdollista laittaa kolmannen osapuolen softaa ajoon, joten sanoisin että kyllä hän on :geek:
Yhdessäkään sydämen tahdistimessa ei ole suoritinta saati käyttöjärjestelmää johon tämä vaikuttaisi saati että sellaiseen olisi mahdollista laittaa kolmannen osapuolen softaa ajoon, joten sanoisin että kyllä hän on :geek:
Ei taida AMD pro suorittimen muistin kryptaaminen auttaa meltdownissa vai auttaako?? Osaisiko joku tietävä sanoa? @hkultala ?
AMD PRO CPU Transparent Secure Memory Encryption
Provides OS and application independent DRAM encryption without requiring software modifications. Low performance impact.
Ei taida AMD pro suorittimen muistin kryptaaminen auttaa meltdownissa vai auttaako?? Osaisiko joku tietävä sanoa? @hkultala ?
AMD PRO CPU Transparent Secure Memory Encryption
Provides OS and application independent DRAM encryption without requiring software modifications. Low performance impact.
Tuskin auttaa AMD tekniikka Intelin prosessoreille ominaiseen ongelmaan. Toisaalta haavoittuvuus on sellaisessa osassa suoritusvuota, ettei siinä vaiheessa käsittääkseni mikään prosessori käsittele dataa ja käskyjä kryptattuna.
Tuskin auttaa AMD tekniikka Intelin prosessoreille ominaiseen ongelmaan. Toisaalta haavoittuvuus on sellaisessa osassa suoritusvuota, ettei siinä vaiheessa käsittääkseni mikään prosessori käsittele dataa ja käskyjä kryptattuna.
Meltdown ei koske AMD:tä, eli pahin ei siis koske AMD:tä. Katsotaan nyt vielä tuleeko spectren toisen variantin paikkaamisesta AMD:lle haittaa, vai meneekö sekin ongelmitta (ilman perf droppia).
Mikään prossu ei oikein voi käsitellä dataa 100% ajasta salattuna. Jossain kohtaa se on pakko purkaa laskutoimituksia varten.
Meltdown ei koske AMD:tä, eli pahin ei siis koske AMD:tä. Katsotaan nyt vielä tuleeko spectren toisen variantin paikkaamisesta AMD:lle haittaa, vai meneekö sekin ongelmitta (ilman perf droppia).
Mikään prossu ei oikein voi käsitellä dataa 100% ajasta salattuna. Jossain kohtaa se on pakko purkaa laskutoimituksia varten.
Nyt on manuaalisesti asennettu tuo windows päivitys ja bios versio 0606. Asus Aisuite piti päivittää beta versioon, että toimii tämän uusimman windows päivityksen kanssa.
Muuten näyttäisi toimivan ja käsittääkseni paikattavissa olevat aukot on nyt paikattu, alla vielä tarkistuksen tulos josta viisammat voivat kommentoida, että onnistuiko kaikki.
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
PS C:Windowssystem32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All Suspend [?] Help (default is "N"): y
PS C:Windowssystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
Nyt on manuaalisesti asennettu tuo windows päivitys ja bios versio 0606. Asus Aisuite piti päivittää beta versioon, että toimii tämän uusimman windows päivityksen kanssa.
Muuten näyttäisi toimivan ja käsittääkseni paikattavissa olevat aukot on nyt paikattu, alla vielä tarkistuksen tulos josta viisammat voivat kommentoida, että onnistuiko kaikki.
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
PS C:Windowssystem32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All Suspend [?] Help (default is "N"): y
PS C:Windowssystem32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
Tuossa kryptataan muistille menevä data sen jälkeen kun se on prosessori käsitellyt. Sen tekee erillinen prosessori jossa on mm. ARM ytimiä. Ei siis liity tähän asiaan millään tavalla koska nämä ongelmat liittyvät prosessorin sisäiseen toimintaan.
Tuossa kryptataan muistille menevä data sen jälkeen kun se on prosessori käsitellyt. Sen tekee erillinen prosessori jossa on mm. ARM ytimiä. Ei siis liity tähän asiaan millään tavalla koska nämä ongelmat liittyvät prosessorin sisäiseen toimintaan.
Nopea Googlailu väittää toista:
Firmware Update to Address Cybersecurity Vulnerabilities Identified in Abbott's (formerly St. Jude Medical's) Implantable Cardiac Pacemakers: FDA Safety Communication
https://thehackernews.com/2017/08/pacemakers-hacking.html
Suurin osa noista tietoturva-aukoista on ollut tahdistajien ohjelmointiin käytetyissä Windows XP -pohjaisissa laitteissa, mutta myös itse tahdistimet ovat näköjään ihan täysiverisiä tietokoneita nykyään.
Nopea Googlailu väittää toista:
Firmware Update to Address Cybersecurity Vulnerabilities Identified in Abbott's (formerly St. Jude Medical's) Implantable Cardiac Pacemakers: FDA Safety Communication
https://thehackernews.com/2017/08/pacemakers-hacking.html
Suurin osa noista tietoturva-aukoista on ollut tahdistajien ohjelmointiin käytetyissä Windows XP -pohjaisissa laitteissa, mutta myös itse tahdistimet ovat näköjään ihan täysiverisiä tietokoneita nykyään.
Olin osittain väärässä, Intel on tässäkin kunnostautunut, eli SGX toimii juurikin siihen tapaan että koko suoritusketju on kryptattuna, mutta siinäkin on omia ongelmia Publications
Olin osittain väärässä, Intel on tässäkin kunnostautunut, eli SGX toimii juurikin siihen tapaan että koko suoritusketju on kryptattuna, mutta siinäkin on omia ongelmia Publications
Itseä ei hirvittäisi toimimattomuus päivitysten jälkeen, itseä huolettaisi mitä vakoiluohjelmia ohjelmat käyttää, etteivät enää toimi.
Itseä ei hirvittäisi toimimattomuus päivitysten jälkeen, itseä huolettaisi mitä vakoiluohjelmia ohjelmat käyttää, etteivät enää toimi.
Oma kädenvääntöni FDA:n kanssa väittää toista. Uudesta medical standardin 3rd editionista on mahdotonta saada läpi järjestelmää, jossa tällaiset exploitit olisivat mahdollisia. Voi toki olla että joku valmistaja on tehnyt perinteiset ja väittänyt muuta kuin mitä oikeasti on toteutettu. Yksi jenkkiläinen ISO medikaalivalmistaja joutui aikoinaan tekemään uuden revision kikottimestaan kun todistin kikottimen päivitysjärjestelmän aiheuttavan laitteen tiiliskiviytymisen.
Oma kädenvääntöni FDA:n kanssa väittää toista. Uudesta medical standardin 3rd editionista on mahdotonta saada läpi järjestelmää, jossa tällaiset exploitit olisivat mahdollisia. Voi toki olla että joku valmistaja on tehnyt perinteiset ja väittänyt muuta kuin mitä oikeasti on toteutettu. Yksi jenkkiläinen ISO medikaalivalmistaja joutui aikoinaan tekemään uuden revision kikottimestaan kun todistin kikottimen päivitysjärjestelmän aiheuttavan laitteen tiiliskiviytymisen.
Okei, eli ilmeisesti oikeasti tiedät, mistä puhut. Seison korjattuna.
Okei, eli ilmeisesti oikeasti tiedät, mistä puhut. Seison korjattuna.
Hyvältä tuo nyt näyttää. Kaikki paikattavissa olevat aukot on nyt paikattu…
Hyvältä tuo nyt näyttää. Kaikki paikattavissa olevat aukot on nyt paikattu…
No luvalla sanoen FDA lupamenettely on hieman sanotaanko mielenkiintoinen. Ei yllätä yhtään että linkkaamasi virhe on löytynyt. Toisaalta en onneksi tiedä tarpeeksi jotta uskallan vielä päätyä sairaalaan hoidettavaksi :love:
No luvalla sanoen FDA lupamenettely on hieman sanotaanko mielenkiintoinen. Ei yllätä yhtään että linkkaamasi virhe on löytynyt. Toisaalta en onneksi tiedä tarpeeksi jotta uskallan vielä päätyä sairaalaan hoidettavaksi :love:
Täällä on koneessa Asus P6X58D-E, johon on tullut viimeisin päivitys vuonna 2012. Voi olla ettei irtoa firmispäivitystä tähän settiin Asukselta, vaikka mielestäni saisivat kyllä päivittää näitä vähän vanhempiakin rautoja.
Koneen päivitys on ollut mielessä pidemmän aikaa, mutta kun ei ole ollut varsinaisesti tarvetta, niin se on aina jäänyt. Nyt taas on vähän huono hetki vaihtaa, kun ei markkinoilla ole kuin näitä reikäisiä prossuja ja vanhojen palikoiden markkina-arvokin taisi romahtaa tässä samalla aika tavalla. AMD ei ole vaihtoehto.
Täällä on koneessa Asus P6X58D-E, johon on tullut viimeisin päivitys vuonna 2012. Voi olla ettei irtoa firmispäivitystä tähän settiin Asukselta, vaikka mielestäni saisivat kyllä päivittää näitä vähän vanhempiakin rautoja.
Koneen päivitys on ollut mielessä pidemmän aikaa, mutta kun ei ole ollut varsinaisesti tarvetta, niin se on aina jäänyt. Nyt taas on vähän huono hetki vaihtaa, kun ei markkinoilla ole kuin näitä reikäisiä prossuja ja vanhojen palikoiden markkina-arvokin taisi romahtaa tässä samalla aika tavalla. AMD ei ole vaihtoehto.
Jos ei pelaa tuoreita pum-pum-pelejä niin tuonaikaisella koneella ja näyttiksellä pärjää hyvin kaikessa puuhastelussa.
Jos ei pelaa tuoreita pum-pum-pelejä niin tuonaikaisella koneella ja näyttiksellä pärjää hyvin kaikessa puuhastelussa.
En tiedä onko oikea ketju, mutta onko kellään tietoa mikä/mitkä on ne KB koodi(t) Windows 7:n Meltdown & Spectre fixeille?
En tiedä onko oikea ketju, mutta onko kellään tietoa mikä/mitkä on ne KB koodi(t) Windows 7:n Meltdown & Spectre fixeille?
Tuolta näkee:
https://support.microsoft.com/en-us/help/4056894
Tuolta näkee:
https://support.microsoft.com/en-us/help/4056894
Odotellaan että tämä muodikas ja klikkauksia aikaansaava joukkohysteria laantuu. Kenties ne varmasti toimivat päivitykset tulevat saataville puolen vuoden sisään ja ehkä myös bios kunhan ei liian vanhaa rautaa.
Eli hengitetään rauhassa. Ongelma on ilmeinen ja odottelen vakuuttavia kertomuksia menetyksistä..
Odotellaan että tämä muodikas ja klikkauksia aikaansaava joukkohysteria laantuu. Kenties ne varmasti toimivat päivitykset tulevat saataville puolen vuoden sisään ja ehkä myös bios kunhan ei liian vanhaa rautaa.
Eli hengitetään rauhassa. Ongelma on ilmeinen ja odottelen vakuuttavia kertomuksia menetyksistä..
Riippuu sinun Windows-asennuksen koontiversiosta (Build Number). Katso viesti tästä säikeestä:
Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason
Riippuu sinun Windows-asennuksen koontiversiosta (Build Number). Katso viesti tästä säikeestä:
Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason
—
—
Jaa, onko näin myös Windows 7:n kanssa?
Kerkisin jo asentaa tuon Microsoft Catalogin kautta manuaalisesti: https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897
Tuolla sivulla ei erikseen puhuttu koontiversioista vaan Windows 7:stä yleensä.
Kone ainakin näyttää edelleen pelittävän.
Pitäisikö asennus perua ja etsiä jotain toista versiota??