Meltdown και Spectre

Συζήτηση στην κατηγορία 'Γενικά' που ξεκίνησε ο χρήστης debianass, 6 Ιαν 2018.

  1. [IMG]

    Από τον Απρίλιο του 2017 είχε ανακοινωθεί ότι υπάρχουν σοβαρά κενά ασφαλείας στους περισσότερους επεξεργαστές οι οποίοι κατασκευάστηκαν από το 1995 μέχρι σήμερα. Η ανακοίνωση του κενού ασφαλείας με κωδικούς CVE-2017-5754 για το Meltdown και CVE-2017-5753, CVE-2017-5715 για το Spectre, όπως καταχωρήθηκαν, αποδίδεται στην ομάδα Google Project Zero, ωστόσο δεν είναι έτσι ακριβώς τα πράγματα.
    Στην πραγματικότητα εντοπίστηκε από 3 διαφορετικές πλευρές, εντελώς ανεξάρτητα η μία από την άλλη.
    Από τον Jann Horn της Google Project Zero, τους Werner Haas και Thomas Prescher της Cyberus Technology και τους Daniel Gruss, Moritz Lipp, Stefan Mangard και Michael Schwarz του Graz University of Technology.
    Για κάποιους λόγους προβάλλεται κυρίως σαν "ανακάλυψη" της google, η οποία σημειωτέον, δεν έχει κάνει τίποτα μέχρι σήμερα ώστε να διορθώσει το κενό στο λειτουργικό που αναπτύσσει η ίδια, στο android.

    Αλλά τι ακριβώς σημαίνουν αυτά τα κενά ασφαλείας;

    Το κενό ασφαλείας
    Οι επεξεργαστές δίνουν την εντύπωση ότι διαχειρίζονται ανεξάρτητα και απομονωμένη κάθε επεξεργασία που τους ανατίθεται από το σύστημα και το χρήστη. Προκειμένου ωστόσο να αξιοποιήσουν πιο αποτελεσματικά τους πόρους τους, πολλές φορές επεξεργάζονται παράλληλα διαφορετικές εντολές. Στην περίπτωση που κάποιο αποτέλεσμα εξαρτάται από μια προηγούμενη επεξεργασία ή από κάποια επεξεργασία που δεν έχει ολοκληρωθεί ακόμα, επιστρατεύονται κάποια υποθετικά αποτελέσματα έτσι ώστε να επιταχυνθεί η διαδικασία. Αν επιβεβαιωθεί το αποτέλεσμα, τότε έχει επιταχυνθεί σημαντικά η επεξεργασία. Αν όχι, τότε επιστρέφει στο στάδιο πριν τη χρήση του υποθετικού αποτελέσματος και η επεξεργασία επαναλαμβάνεται, χωρίς να επιβραδυνθεί περισσότερο από την περίπτωση που δε χρησιμοποιούταν υποθετικό αποτέλεσμα.
    Εκεί έχουμε ορισμένες παράπλευρες διαρροές δεδομένων λόγω του ότι η διαδικασία δεν έχει τελειώσει ακόμα ώστε να διαγραφούν οι καταχωρήσεις στη μνήμη cache ή TLB, ούτε όμως συμμετέχουν στη νέα επεξεργασία ώστε να απομονωθούν. Σ'αυτές τις διαρροές μπορεί να αποκτήσει πρόσβαση ο επιτιθέμενος με τις παρακάτω μεθόδους επίθεσης:

    Meltdown (CVE-2017-5754)
    Είναι μια επίθεση που εκμεταλλεύεται τα κενά ασφαλείας των επεξεργαστών για να σπάσει τη βασική απομόνωση ανάμεσα στις εφαρμογές και στο λειτουργικό σύστημα. Δίνει πρόσβαση στη μνήμη που χρησιμοποιεί ο πυρήνας, κι αυτό σημαίνει πρόσβαση σε ευαίσθητα δεδομένα όπως passwords ή οποιοδήποτε άλλο στοιχείο βρίσκεται στη μνήμη.
    Επιρρεπείς είναι όλοι οι επεξεργαστές intel x86 με εξαίρεση τους intel Itanium και Atom κατασκευής προ του 2013, ενώ δεν επηρεάζει όλους τους arm based και τους AMD. Ωστόσο δεν είναι ακόμα βέβαιο αν και ποιοί arm και AMD επεξεργαστές επηρρεάζονται.

    Spectre (CVE-2017-5753, CVE-2017-5715)
    Εκμεταλλεύεται το ίδιο κενό ασφάλειας στη CPU σπάζοντας την απομόνωση μεταξύ διαφορετικών εφαρμογών. Εξαπατά κάποιες εφαρμογές, χωρίς να παρουσιάζουν κενά ασφαλείας καθεαυτές, να αποκτήσουν πρόσβαση στη μνήμη και να την αξιοποιήσει ο επιτιθέμενος. Η επίθεση spectre είναι λιγότερο παραγωγική για τον επιτιθέμενο (είναι δυσκολότερο να αποσπάσει password για παράδειγμα) αλλά και πολύ πιο δύσκολο να περιοριστεί σε σχέση με το meltdown. Ολοι οι γνωστοί επεξεργαστές, συμπεριλαμβανομένων των arm και AMD, είναι επιρρεπείς στην επίθεση spectre.

    Και στις δύο επιθέσεις, από πλευράς λειτουργικών συστημάτων επηρεάζονται τα πάντα, windows, macOS, linux, iOS, android κλπ. Επηρρεάζονται κατά περίπτωση όλα τα συστήματα laptops, desktops, tablets, smartphones, cloud servers κ.α.
    Μόλις χτες (Παρασκευή 5/1/18) ο Uben Upton, ιδρυτής του ιδρύματος Raspberry Pi ανακοίνωσε ότι οι μικρουπολογιστές του δεν είναι επιρρεπείς στις επιθέσεις και εξηγεί τους λόγους.
    Η επίθεση μπορεί να εκδηλωθεί μέσω ενός javascript στο περιεχόμενο κάποιας ιστοσελίδας και δεν αφήνει ίχνη οπότε δεν είναι ανιχνεύσιμη. Γι αυτό δεν υφίσταται προστασία μέσα από κάποιο πρόγραμμα antivirus.

    Η στάση της Intel

    [IMG]
    Όπως ειπώθηκε αρχικά, το κενό ασφαλείας είναι γνωστό στην Intel τουλάχιστον από τον Απρίλη του 2017. "Τουλάχιστον" σημαίνει ότι πολύ πιθανόν η intel γνώριζε εκ των προτέρων ότι υπήρχε.

    [IMG]
    Στην καθησυχαστική της ανακοίνωση μάλιστα η εταιρία αναφέρει ότι "οι επεξεργαστές δουλεύουν όπως ακριβώς σχεδιάστηκαν" ενώ μέχρι σήμερα, παρά τις εξαγγελίες, δεν έχει ανακοινώσει κάποια μέτρα από πλευράς της για την κάλυψη αυτού του κενού.
    Δεδομένου ότι η κάλυψη του κενού από διορθωμένους επεξεργαστές μειώνει την ταχύτητα επεξεργασίας από 10 εως και 30%, δε θα ήταν υπερβολικό να εικάσουμε ότι η απόφαση του να αφεθούν τα κενά ασφαλείας πάρθηκε απόλυτα συνειδητά από την intel προκειμένου να εξασφαλίσει ταχύτερη επεξεργασία από την ανταγωνιστική της εταιρία AMD.

    Linux και μέτρα προστασίας

    Ο Linus Torvalds, γνωστός λάτρης των επεξεργαστών intel x86, εμφανίζεται πλέον να κρατά επικριτική στάση απέναντι στην εταιρία λέγοντας:
    "Πιστεύω ότι κάποιος μέσα από την intel θα πρέπει να ρίξει μια σοβαρή ματιά στους επεξεργαστές τους και να παραδεχτεί ότι έχουν κενά, αντί να γράφει υστερόγραφες "παρλαπίπες" πως δήθεν όλα λειτουργούν όπως σχεδιάστηκαν. (αναφερόμενος στην παραπάνω ανακοίνωση της intel)"

    ενώ συμπληρώνει:

    "Ή μήπως η intel βασικά μας λέει "είμαστε αποφασισμένοι να σας πουλάμε σκατά για πάντα και ποτέ να μη φτιάχνουμε τίποτα";
    Γιατί σ'αυτή την περίπτωση ίσως να πρέπει να κοιτάξουμε περισσότερο τους ανθρώπους του ARM64."
    πηγή

    Οι προγραμματιστές του πυρήνα linux Greg Kroah-Hartman και Ben Hutchings ανακοίνωσαν patch για τους πυρήνες έκδοσης 4.14, 4.9, 4.4, 3.16, 3.18 και 3.12 LTS το οποίο είναι διαθέσιμο στο kernel.org από την περασμένη Πέμπτη.
    Ενώ όπως ειπώθηκε, όλες οι διανομές linux είναι επιρρεπείς στις παραπάνω επιθέσεις, εκείνες που έχουν ενσωματώσει το patch (πράγμα που αποτελεί ένδειξη για το πόσο σοβαρά παίρνουν την ανάπτυξη της διανομής τους) είναι οι παρακάτω:

    1. Debian stretch
    2. Arch Linux
    3. CentOS 7.x
    4. RHEL (Red Hat) 7.x
    5. Fedora 26-27
    6. Gentoo Linux

    Οι διανομές αυτές ενημερώνουν το σύστημά τους με νέο, διορθωμένο kernel που δεν είναι πλέον επιρρεπής σε Meltdown και Spectre με το συνηθισμένο τρόπο ενημέρωσης:

    1. Debian Stretch
    Έκδοση kernel χωρίς το patch (με την εντολή uname -r):
    4.9.0-4-amd64
    Έκδοση kernel με το patch (κατόπιν αναβάθμισης και επανεκκίνησης): 4.9.0-5-amd64
    Εντολή αναβάθμισης:
    Κώδικας:
    sudo apt-get update
    sudo apt-get dist-upgrade
    Σημείωση: Η παραπάνω εντολή θα ενημερώσει τον kernel στο Sparky Stable και όλες τις διανομές που βασίζονται σε debian stretch.
    Μέχρι στιγμής δεν έχει ανακοινώσει κάτι ανάλογο η canonical για το ubuntu και τις παράγωγες διανομές. Αναμένεται ωστόσο να ακολουθήσει το Debian, οπότε μπορούμε να πούμε ότι οι χρήστες ubuntu/mint και παράγωγων διανομών θα αναβαθμίσουν τον kernel τους με την ίδια εντολή.

    2. Arch Linux
    Εντολή αναβάθμισης (as root):
    Κώδικας:
    pacman -Syu
    3. CentOS/RHEL/Fedora
    Έκδοση kernel χωρίς το patch (με την εντολή uname -r):
    3.10.0-693.11.1.el7.x86_64
    Έκδοση kernel με το patch (κατόπιν αναβάθμισης και επανεκκίνησης): 3.10.0-693.11.6.el7.x86_64
    Εντολή αναβάθμισης:
    Κώδικας:
    sudo yum update
    Επιπλέον για Fedora:
    Κώδικας:
    sudo dnf update
    Όπως διαπιστώθηκε από ανάλογες μετρήσεις, ο ενημερωμένος kernel μας προστατεύει μεν από τα Meltdown και Spectre, αλλά μειώνει την ταχύτητα επεξεργασίας εώς και 30%. Αν παρατηρήσετε κάτι διαφορετικό στην ταχύτητα του επεξεργαστή ή οτιδήποτε άλλο, ενημερώστε τους developers της διανομής σας κατα περίπτωση ώστε να γίνουν οι απαραίτητες ενέργειες. Οπως καταλαβαίνετε μιλάμε για αρκετά σοβαρή αδυναμία συστήματος που ακόμα βρίσκεται υπό έρευνα.
  2. Ένα ακόμα μέτρο προστασίας που παίρνω, όχι μόνο για τις συγκεκριμένες επιθέσεις αλλά για οτιδήποτε μπορεί να περάσει από τον περιηγητή, είναι το sandboxing. Δηλαδή το να τρέχω το browser μέσα από ένα σύστημα διαφορετικό από το κυρίως σύστημά μου, μια "αμμοδόχο" (sandbox).
    Υπάρχουν αρκετοί τρόποι να το κάνει κανείς αυτό. Ένας απλός τρόπος είναι εγκαθιστώντας στον εξομοιωτή ένα εικονικό σύστημα στο οποίο τρέχω τον browser. Αυτή η μέθοδος ωστόσο χρησιμοποιεί δυσανάλογα μεγαλύτερους πόρους από αυτούς που χρειάζονται για τη λειτουργία ενός browser και μπορεί να περιορίζει λειτουργίες, κυρίως παιχνιδιών.
    Ενας άλλος τρόπος που δε χρησιμοποιεί επιπλέον πόρους είναι δημιουργώντας ένα εικονικό σύστημα αρχείων, αυτό που στο Debian λέμε "debootstrap installation" και να τρέξουμε τον browser μέσω αυτού με chroot. Η συγκεκριμένη μέθοδος είναι η πιο σωστή αλλά παρουσιάζει αρκετές δυσκολίες για λιγότερο έμπειρους χρήστες.

    Ο ενδεδειγμένος τρόπος για όλους (έμπειρους και μη) είναι η χρήση του Firejail. Το firejail είναι μια εφαρμογή γραμμένη σε γλώσσα C που διανέμεται υπό την άδεια GPL v.2. Ουσιαστικά διαμορφώνει ένα εικονικό, ασφαλές περιβάλλον μέσα στο οποίο μπορούμε να εκτελέσουμε οποιαδήποτε επισφαλή εφαρμογή συμπεριλαμβανομένου του browser προκειμένου να μην έρθει σε επαφή με το πραγματικό μας σύστημα.
    Η εφαρμογή εκτελεί όπως ειπώθηκε οποιαδήποτε εφαρμογή, gui (γραφικού περιβάλλοντος) ή cli (γραμμής εντολών), ακόμα και login managers.
    Εγκαθίσταται σε debian, ubuntu με την εντολή:
    Κώδικας:
    sudo apt-get install firejail
    Φυσικά υπάρχει και στα αποθετήρια άλλων διανομών όπως Arch Linux ή Manjaro.
    Εφόσον εγκατασταθεί την εκτελούμε με την εντολή:
    Κώδικας:
    firejail application
    όπου application μπορεί να είναι το όνομα αρχείου του browser (π.χ. firefox, chromium κλπ) ή οτιδήποτε (π.χ. wine) μαζί με τις επιθυμητές παραμέτρους.
    Η εφαρμογή είναι standalone χωρίς επιπλέον εξαρτήσεις (τουλάχιστον σε ότι αφορά στο debian) ενώ για μεγαλύτερη ευκολία υπάρχει ένα παραθυρικό interface: το firetools.
    To firetools εγκαθίσταται ξεχωριστά και χρησιμοποιεί τις Qt4-Qt5 βιβλιοθήκες, οπότε θα τις απαιτήσει ως εξάρτηση αν δεν τις έχουμε ήδη εγκατεστημένες. Η εντολή εγκατάστασης για debian-ubuntu:
    Κώδικας:
    sudo apt-get install firetools
    Το firejail και προαιρετικά το firetools μπορεί να αποτελέσουν ένα προσωρινό μέτρο προστασίας εφόσον η διανομή μας δεν μας παρέχει ακόμα kernel με το patch για Meltdown/Spectre. Εννοείται πάντα ότι οι επιθέσεις δε θα επηρρεάσουν το κυρίως σύστημά μας χωρίς αυτό να σημαίνει ότι δε μπορούν (εφόσον δεν έχουμε ενημερωμένο kernel) να αποσπάσουν κωδικούς που χρησιμοποιούμε στους browsers που τρέχουμε μέσα στο sandbox, π.χ. κάνοντας login σε κάποιο μέσο κοινωνικής δικτύωσης.

    Περισσότερα για το firejail και firetools: https://osarena.net/firejail-ena-aplo-kai-plires-sandbox-systima-gia-linux
    Αρέσει σε kouros17
  3. Από την πλευρά των browsers έχουν γίνει ή θα γίνουν επίσης διορθωτικές ενέργειες προκειμένου να αντιμετωπιστούν οι επιθέσεις Meltdown-Spectre.
    Ο Firefox από την έκδοση 57.0.4 και πέρα ενσωματώνει patch αντιμετώπισης της επίθεσης Spectre (μέσω javascript).
    O Chrome ΘΑ ενσωματώσει patch από την έκδοση 64 που αναμένεται στις 23 Ιανουαρίου. Μέχρι τότε συμβουλεύει τους χρήστες chrome να χρησιμοποιήσουν τη ρύθμιση "site isolation" (οδηγίες εδώ).

    Για τα μη-linux λειτουργικά, η microsoft έχει ανακοινώσει διορθωτικές ενέργειες για τα windows και τον Edge browser που έρχονται σαν ενημερώσεις του λειτουργικού. Η εταιρία συμβουλεύει τους χρήστες της να ενημερώσουν το πρόγραμμα antivirus που χρησιμοποιούν ΠΡΙΝ προχωρήσουν στην αναβάθμιση του λειτουργικού και του browser.
    H apple έχει ήδη δρομολογήσει ενημερώσεις για το MacOS και το iOS ενώ υποσχέθηκε αναβάθμιση του Safari browser σύντομα.
    Το android με ανακοίνωση στις 5/1 ενημερώνει τους χρήστες συσκευών της google (Pixel και Nexus) ότι υπάρχει διαθέσιμη ΟΤΑ (on-the-air) αναβάθμιση η οποία είτε θα ενημερώνεται αυτόματα είτε μπορούν να την εγκαταστήσουν. Οι χρήστες των υπολοίπων συσκευών που τρέχουν android θα πρέπει να περιμένουν τους κατασκευαστές του υλικού τους να διαθέσει την αντίστοιχη αναβάθμιση. Εναλλακτικά οι χρήστες android μπορούν να χρησιμοποιήσουν τη ρύθμιση "site isolation" στον chrome browser ή να εγκαταστήσουν firefox for android έκδοσης 57.0.4+.
  4. DarkGoth Παιδί για τις δουλειές του Forum

    επισης ειδα οτι και ο liquorix εχει αυτο το update. τους αναβαθμισα και τους 2 πυρηνες παντως, και αστους να καθονται (αν και ο liquorix στον εξομοιωτη δεν καθεται και τοσο, γιατι αυτον χρησιμοποιω πιο πολυ). αλλα αυτο το πραγμα ενεργοποιειται καπως; στο debian tracker λεει οτι αν θελουμε να το απενεργοποιησουμε, βαζουμε το "pti=off" στον bootloader. σε εμενα ομως δεν ειναι καν ενεργο. μηπως «βλεπει» οτι εγω εχω επεξεργαστη AMD, (που λενε οτι δεν ειναι ευπαθεις σε αυτο), οποτε το αφηνει απενεργοποιημενο:.
    Κώδικας:
    [email protected]:~$  dmesg
    [    0.000000] Initializing cgroup subsys cpuset
    [    0.000000] Initializing cgroup subsys cpu
    [    0.000000] Initializing cgroup subsys cpuacct
    [    0.000000] Linux version 3.16.0-5-amd64 ([email protected]) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08)
    [    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-3.16.0-5-amd64 initrd=/boot/initrd.img-3.16.0-5-amd64 root=UUID=b1711e19-7c0c-4782-a593-039a806912ae ro
    [    0.000000] e820: BIOS-provided physical RAM map:
    [    0.000000] BIOS-e820: [mem 0x0000000000000000-0x000000000009ebff] usable
    [    0.000000] BIOS-e820: [mem 0x000000000009ec00-0x000000000009ffff] reserved
    [    0.000000] BIOS-e820: [mem 0x00000000000e3000-0x00000000000fffff] reserved
    [    0.000000] BIOS-e820: [mem 0x0000000000100000-0x00000000cff8ffff] usable
    [    0.000000] BIOS-e820: [mem 0x00000000cff90000-0x00000000cffa7fff] ACPI data
    [    0.000000] BIOS-e820: [mem 0x00000000cffa8000-0x00000000cffdffff] ACPI NVS
    [    0.000000] BIOS-e820: [mem 0x00000000cffe0000-0x00000000cffedfff] reserved
    [    0.000000] BIOS-e820: [mem 0x00000000cfff0000-0x00000000cfffffff] reserved
    [    0.000000] BIOS-e820: [mem 0x00000000fec00000-0x00000000fec00fff] reserved
    [    0.000000] BIOS-e820: [mem 0x00000000fee00000-0x00000000feefffff] reserved
    [    0.000000] BIOS-e820: [mem 0x00000000fff00000-0x00000000ffffffff] reserved
    [    0.000000] BIOS-e820: [mem 0x0000000100000000-0x000000012fffffff] usable
    [    0.000000] NX (Execute Disable) protection: active
    [    0.000000] SMBIOS 2.5 present.
    [    0.000000] DMI: System manufacturer System Product Name/M4N78 SE, BIOS 1501    10/09/2012
    [    0.000000] Kernel/User page tables isolation: disabled
    
    εγω προσωπικα χρησιμοποιω εξομοιωτη. τον εχω που τον εχω ολη μερα ανοιχτο. δεν με ειναι κατι να τον αξιοποιησω για τυχαρπαστες σελιδες (απο το βασικο συστημα μου μπαινω μονο σε 2-3 που ξερω οτι ειναι ασφαλεις, με ολα τα 3rd party domains μπλοκαρισμενα). τα sandbox δεν τα εμπιστευομαι οσο τον εξομοιωτη. το τι μαλακιες εχω κανει σε δαυτον, με ενα παντζουρι10 που ειχα. τι ransomware πεταγα μεσα, τι rootkits, (τι σκουπιδαριο ειχα ριξει εκειμεσα δεν λεγεται), και αφου χαζολογουσα για λιγο, βαριομανε και τον εκανα revert :p
  5. Έχε υπόψην σου ότι το debian (γενικότερα το linux) μέχρι στιγμής έχει patch-άρει τους kernels μόνο για το meltdown και όχι για το (τα) spectre. Επίσης, για τους παλιότερους kernels δεν προβλέπεται patch. Ο Greg Kroah-Hartman (προγραμματιστής της stable branch του linux kernel) λέει το εξής σωστό: "οι παλιότεροι kernels έχουν τόσα προβλήματα που το meltdown είναι το λιγότερο".
    Ο ίδιος παραδέχεται ότι δούλεψαν πάνω στο meltdown ενώ το spectre "είναι μια άλλη ιστορία" που όπως ειπώθηκε παραπάνω είναι πιό δύσκολο να αντιμετωπιστεί.
    Η μάχη του linux με τις παπαριές του intel επεξεργαστή σίγουρα δεν έχει τελειώσει ακόμα.
    Και η λύση του εξομοιωτή δε μας προστατεύει από επίθεση μέσα στον εξομοιωτή.
    Αυτό που μπορούμε να πούμε με σιγουριά είναι ότι οι προγραμματιστές του linux kernel αποδείχτηκαν για άλλη μια φορά οι πλέον "ετοιμοπόλεμοι".

    Υπόψην, επίσης, ότι η επίθεση με javascript από ιστοσελίδα δεν είναι ο μοναδικός τρόπος. Αν π.χ. θέλει να αποσπάσει στοιχεία σου κάποια μυστική υπηρεσία μπορεί να παίρνει την ip σου από τον πάροχο και να χρησιμοποιήσει κάποιο shell script μέσω netcat ή κάπως έτσι.
  6. DarkGoth Παιδί για τις δουλειές του Forum

    στο σαπιο μου (debian8), εβγαλε αναβαθμιση και για τους 2 πυρηνες του. και για τον δικο του τον default και για τον προσθετο liquorix. για μεσα στον εξομοιωτη δεν με νοιαζει, γιατι ποτε δεν διαχειριζομαι ευαισθητα δεδομενα εκειμεσα (και ειδικα στα παντζουρια), ενω ΠΑΝΤΑ εχω ενα ετοιμο καθαρο σημειο επαναφορας. οτι και αν γινει εκειμεσα, τραβαω ενα kill-revert και τελος

    το spectre αποσο καταλαβα, μπορει να προκυψει απο μολυσμενη javascript σε ιστοσελιδες? εχω το noscript και το umatrix, και μπλοκαρω τα παντα με δαυτα. μονο σε εμπιστες σελιδες (π.χ. εδωπερα), αφηνω να εκτελεστουν (css, images, και scripts, αλλα μονο top level domain). σε αλλες ασχετες που μπαινω, τα μπλοκαρω ολα, (ακομα και οταν ειμαι με τον εξομοιωτη):.

    https://s10.postimg.org/s6wet3sbt/godzilla-noscript.png

    https://s10.postimg.org/qgddr7ao9/godzilla-umatrix.png
  7. Είναι σημαντικό να αναφερθεί ότι οι συνωμοτικοί κανόνες που ακολουθούνταν ως τώρα, ΔΕΝ ΙΣΧΥΟΥΝ. Δε θα επεκταθώ, ο νοών νοήτω.
    Αντίστοιχα δε μπορούμε να θεωρήσουμε αξιόπιστες τις υπηρεσίες e-banking και online συναλλαγών.

    Επίσης, το web (και όχι μόνο) δουλεύει σε μεγάλο βαθμό με javascript. Δεν αποτελεί λύση να την καταργήσουμε (πονάει δόντι-κόψει κεφάλι). Εκείνο που μπορούμε ενδεχομένως να κάνουμε από δω και στο εξής, είναι να δημιουργούμε ένα non-javascript version των νέων ιστοσελίδων που φτιάχνουμε και να επιλέγει ο χρήστης.
  8. Soulrain Falls Ο Αντμινιστράτορας

    Η AMD δεν (φαίνεται να) έχει πρόβλημα με το Meltdown. Πιο πολύ απόπειρα λάσπης της Intel ήταν. Οι άνθρωποι βγήκαν και είπαν ότι οι επεξεργαστές τους έχουν εντελώς διαφορετική λειτουργία και δεν επηρεάζονται, ο Linus τους πιστεύει κι έτσι το PTI θα είναι απενεργοποιημένο σε AMD.
  9. DarkGoth Παιδί για τις δουλειές του Forum

    θα δοκιμασω να το ενεργοποιησω στον default πυρηνα (αν το βρω πως) στον κλωνο, να δω τι διαφορα θα εχει. γιατι λενε οτι μειωνει αρκετα τις επιδοσεις του συστηματος. ο liquorix παντως αναφερει στη σελιδα του στα changelogs, οτι το εχει ενεργο απο default. ξεκινησα τον κλωνο με τον liquorix, αλλα δεν ειδα καμια αναφορα για kernel page isolation στα logs. ο default αναφερει αν ειναι ενεργο, η, ανενεργο. ο liquorix δεν αναφερει απολυτως τιποτα. ο liquorix παντως δεν ειδα να επηρεαζεται καθολου (προ και μετα update) σε αποδοση στο δικο μου συστημα.
  10. Soulrain Falls Ο Αντμινιστράτορας

    Το patch είναι ουσιαστικά workaround και όχι fix, γιατί το πραγματικό fix θα έρθει από τους κατασκευαστές επεξεργαστών. Αντί να κάνει κατευθείαν αυτό που θα έπρεπε να κάνει το σύστημα (και να υπάρχει η πιθανότητα να τύχει στραβή), πάει γύρω-γύρω. Γι' αυτό και η καθυστέρηση. Εξαρτάται από το είδος χρήσης όμως. Άλλους δεν τους επηρεάζει καθόλου κι άλλοι έχουν μέχρι και 30% καθυστέρηση.
  11. Τα tests της phoronix έδειξαν πάντως καθυστέρηση 10-30% σε κάθε πατσαρισμένο πυρήνα. Επιπλέον (αν δεν κάνω λάθος), έδειξαν ότι στο spectre (και όχι στο meltdown) είναι ευπαθείς και κάποιοι AMD καθώς και κάποιοι arm64 πολλαπλής επεξεργασίας. Το μόνο σίγουρο είναι ότι δεν επηρεάζονται οι μονοπύρηνοι arm.
  12. DarkGoth Παιδί για τις δουλειές του Forum

    ελα... ειμαι ΤΟΣΟ ιδιοφυια, που εντυπωσιαζω ακομα και τον εαυτο μου :D:p:eek: τελικα αυτο που εψαχνα για ωρες ηταν, οτι ηθελε αντι για «pti=off» να το βαλω «pti=on», για να ενεργοποιηθει. εκανα επανεκκινηση, εκανα cold boot, αλλα εγω τουλαχιστον δεν ειδα καμια διαφορα, ουτε στον default, ουτε στον liquorix (μαλλον ειμαι απο τους τυχερους). και πλεον αναφερει και ο liquorix στα logs οτι το εχει ενεργο (ενω αν δεν βαλω το «pti=on», δεν αναφερει τιποτα)

    το ξρω οτι ειναι software workaround αυτο. αλλα απο το τιποτα κατι ειναι και αυτο. οχι το σωστοτερο, αλλα υποθετω αρκει μεχρι να βρεθει μονιμη λυση. το ξερω οτι το προβλημα ειναι στον ιδιο τον επεξεργαστη. ισως να «λυθει» με κανα bios upgrade στις μητρικες που υποστηριζονται απο τους κατασκευαστες (δεν ειναι επανασχεδιασμος hardware, που θα ηταν το σωστοτερο, αλλα υποθετω οτι ειναι πολυ καλυτερο απο το software workaround στο λειτουργικο)
  13. Soulrain Falls Ο Αντμινιστράτορας

    Το Phoronix έδωσε αυτό, η Red Hat όμως, που όσο να 'ναι μια εξειδίκευση σε κάποια περιβάλλοντα την έχει, δίνει από 0-20% ανάλογα με το workload. Αν χρησιμοποιείς πολλά πράγματα που με τη σειρά τους μιλάνε πολύ στη μνήμη του πυρήνα, θα σούρνεται. Αν όχι, μπορεί και να μην καταλάβεις τίποτα.
  14. Σήμερα μόλις δοκίμασα ένα υβριδικό stretch-porteus που πειραματίζομαι με τον πατσαρισμένο 4.9.0-5 kernel και πραγματικά σέρνεται. Βέβαια στο συγκεκριμένο ο πυρήνας ενσωματώνει και το patch που διαβάζει και κάνει mount τα squashfs modules. Προφανώς χρησιμοποιεί αρκετά την cache του kernel. Το htop έδειχνε μονίμως 100% στους επεξεργαστές οπότε επέστρεψα στον 4.9.0-4.
  15. Έφτασε το fix της intel για linux, σε μορφή μικροκώδικα (microcode) τον οποίο μπορούμε να κατεβάσουμε από την ιστοσελίδα της intel.
    Το fix μέχρι στιγμής διατίθεται για Debian 8 και 7 (jessie και wheezy), ενώ δεν αναφέρεται κάπου η έκδοση 9 (stretch). Μάλλον θα διατεθεί αργότερα.
    Ολες οι διανομές για τις οποίες προορίζεται:
    Red Hat Enterprise Linux 6.2x-7.4x
    Red Hat Linux
    SUSE Linux
    SUSE Linux Enterprise Server 11x - 12 SP3x
    CentOS 7x
    Chromium OS
    Debian 7.x - 8.x
    Fedora 23 - 24
    Google Chrome OS
    Ubuntu 14.04 - 16.04
    Ubuntu x

    Πως θα το εγκαταστήσουμε
    Εαν χρησιμοποιούμε κάποια από τις παραπάνω διανομές:

    1. Βρίσκουμε το μοντέλο του επεξεργαστή μας (ενδεικτικά) με την εντολή:
    Κώδικας:
    cat /proc/cpuinfo | grep "model name"
    2. Επιβεβαιώνουμε ότι υπάρχει στο σύστημά μας το αρχείο /dev/cpu/microcode

    3. Κατεβάζουμε το καταλληλο για τον επεξεργαστή μας αρχείο microcode.dat από: https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

    4. Εισάγουμε τα δεδομένα στο /dev/cpu/microcode με την εντολή:
    Κώδικας:
    sudo dd if=microcode.dat of=/dev/cpu/microcode bs=1M
    Εδώ εννοείται ότι συμπληρώνουμε τη διαδρομή που έχουμε αποθηκεύσει το microcode.dat, π.χ. if=/home/username/Downloads/microcode.dat .....

    5. Αφού ολοκληρωθεί η παραπάνω διαδικασία επανεκκινούμε το σύστημά μας.

    Υπάρχει κι άλλος τρόπος με ενημέρωση του BIOS. Προς το παρόν δε θα δοκίμαζα πάντως μια διαδικασία που μπορεί να αποβεί μη-αναστρέψιμη όπως η ενημέρωση του BIOS. Θα περιμένω να ενημερωθώ από άλλους που το δοκίμασαν πρώτα.

    Αν δεν αναφέρεται στις υποστηριζόμενες διανομές η δική σας, δεν υπάρχει λόγος να βιαστείτε. Ούτως ή άλλως, όπως ειπώθηκε, το πρόβλημα είναι γνωστό τουλάχιστον 8 μήνες τώρα, μπορεί να περιμένει ακόμα λίγες μέρες.

    Υπόψην ότι για την έκδοση 8x (jessie) του Debian σήμερα βγήκε pached kernel για το meltdown και άλλες 14 "τρύπες" ασφαλείας*. Η ενημέρωση** γίνεται με το γνωστό τρόπο:

    Κώδικας:
    sudo apt-get update
    sudo apt-get dist-upgrade
    *Ο λόγος για τα κενά ασφαλείας που έχουν καταχωρηθεί με τους κωδικούς: CVE-2017-8824, CVE-2017-15868, CVE-2017-16538, CVE-2017-16939 CVE-2017-17448, CVE-2017-17449, CVE-2017-17450, CVE-2017-17558, CVE-2017-17741, CVE-2017-17805, CVE-2017-17806, CVE-2017-17807 CVE-2017-1000407 και CVE-2017-100041. Δεν περιλαμβάνεται ακόμα το Spectre.

    **Μετά την ενημέρωση ο kernel της oldstable (jessie) θα βρίσκεται στην έκδοση 3.16.51-3+deb8u1.

    Edit: Πολύ σύντομα (αν δε συμβαίνει ήδη), τα fix της intel θα διατίθενται από τα αποθετήρια των διανομών. Σ'αυτή την περίπτωση ενεργοποιούμε τα non-free αποθετήρια της διανομής μας.
    Ανοίγουμε το /etc/apt/sources.list
    Κώδικας:
    gksudo gedit /etc/apt/sources.list
    ή
    kdesudo gedit /etc/apt/sources.list
    ή
    gksudo pluma /etc/apt/sources.list
    ή
    kdesudo leafpad /etc/apt/sources.list
    ή
    sudo nano /etc/apt/sources.list
    εντοπίζουμε τις πηγές της διανομής πχ.(debian)

    Κώδικας:
    deb http://http.debian.org/debian stable main contrib
    και προσθέτουμε το non-free
    Κώδικας:
    deb http://http.debian.org/debian stable main contrib non-free
    αποθηκεύουμε και
    Κώδικας:
    sudo apt-get update
    sudo apt-get dist-upgrade
  16. Soulrain Falls Ο Αντμινιστράτορας

    Το ιδανικότερο ως λογική για το Linux είναι να περιμένεις αναβάθμιση του σχετικού πακέτου από τη διανομή σου και να μην κατεβάζεις από τρίτες σελίδες, έστω κι αν πρόκειται για την Intel. «Όλες» οι διανομές εμπεριέχουν πακέτο για το microcode και η αναβάθμισή του γίνεται μέσα από τον package manager, χωρίς να χρειάζεται dd και οποιαδήποτε άλλη παρέμβαση. Σε Debianοειδή λογικά χρειάζεται να ενεργοποιήσεις το non-free αποθετήριο. Περισσότερα εδώ.

    Ούτε αυτό είναι τελικό fix πάντως. Κάτι τέτοιο θα χρειαστεί επανασχεδιασμό επεξεργαστών (και, με δεδομένο ότι αυτό κοστίζει, η Intel λογικά θα το τραβήξει όσο παίρνει).
  17. DarkGoth Παιδί για τις δουλειές του Forum

    σημερα; και το προχθεσινο που εκανα στο σαπιο μου (debian8), kernel update ηταν. βγηκε κι'αλλο kernel update για το σαπιο;
  18. Σωστά, η πιο ασφαλής πρακτική είναι η αναβάθμιση από τους προγραμματιστές της διανομής.

    Αν έχεις την έκδοση kernel 3.16.51-3+deb8u1 εννοείται ότι δε χρειάζεται άλλη ενημέρωση. Προσωπικά τρέχω jessie στους servers, σε AMD επεξεργαστές και θα τους αναβαθμίσω όταν βγεί και το patch για το Spectre.

    Επειδή σε κάποιο workstation τρέχω jessie με χειροποίητο kernel 4.7(και δε θέλω να αλλάξω kernel), θα τον αναβαθμίσω με το fix της intel.

    Σε περίπτωση που θέλουμε αυξημένη ασφάλεια, π.χ. συναλλαγές μεγάλων ποσών online, σύνδεση wallet κρυπτονομισμάτων, αναλήψεις ευθύνης για επαναστατικές ενέργειες κλπ, ο μόνος σίγουρος τρόπος είναι η χρήση μονοπύρηνου arm, π.χ. Raspberry pi, με όλα τα απαραίτητα μέτρα προστασίας (tor, vpn κλπ).
  19. DarkGoth Παιδί για τις δουλειές του Forum

    Κώδικας:
    [email protected]:~$  uname -a
    Linux osiris 3.16.0-5-amd64 #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64 GNU/Linux
    [email protected]:~$
    
    ναι αυτην εχω. αυτην με εβγαλε προχθες. το θυμαμαι καλα, γιατι την περασα χειροκινητα στον extlinux. σκαλωσα επειδη ειπες «σημερα», και λεω, βγαλανε και αλλο update; οταν βγει update για το spectre, θα βγει και για το σαπιο; γιατι δεν ειδα στον bugtracker του debian να διευκρινιζουν κατι (τουλαχιστον οχι προχθες που το ειχα κοιταξει). λενε γενικα οτι θα βγει update, αλλα οχι για τι. ενω στο meltdown το ανεφεραν εξαρχης, οτι θα βγει ξεχωριστο update για το σαπιο.

    απο περιεργεια θα κοιταξω και αυτο με το microcode. δεν εχω ιντελ, αλλα υπαρχει και πακετακι amd-microcode στον synaptic. το εγκατεστησα (στον εξομοιωτη βεβαια, οχι στο βασικο, μην κανω καμια μαλακια), τον ξεκινησα, και τρεχει κανονικα. αλλα δεν βρισκω microcodes της AMD στο ιντερνετς. ξερει κανεις αν υπαρχουν καπου «επισημα»; να το κατεβασω και να το εγκαταστησω, για αν δω αρχικα αν τρεχει το συστημα, και μετα αν επαναφερει το default, η επανεγκατασταση του «εργοστασιακου» microcode απο τον synaptic.
  20. DarkGoth Παιδί για τις δουλειές του Forum

    status update:. για καποιο λογο, το microcode αναγνωριζεται μονο απο τον liquorix. ο default δεν το αναγνωριζει.