El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 27-02-2018 18:42:31

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,946

Spectre/Meltdown: Intel estaba al tanto y organizó la omertá

Intel admite bajo la presión del congreso de los  EUA haber organizado "la ley del silencio" sobre las brechas Spectre y Meltdown porque no sabía arreglarlas

Intel_omerta_3.jpg

Google, Apple, Microsoft, AMD, ARM y Amazon fueron sus complices.

  ¿Omitir no es mentir?
No es lo que parecen pensar los cuatro congresistas norte americanos que pidieron públicamente explicaciones a Intel (ver SHL just got real-mode: US lawmakers demand answers on Meltdown, Spectre handling from Intel, Microsoft and pals )

Intel_omerta_2.jpg

Si leemos la letra podemos ver que no van por cuatro caminos: ¿Por qué habéis impuesto la leí del silencio sobre las brechas spectre y meltdwon? ¿Quien son sus complices? ¿Quién fue el organizador? etc... Parece que la jugada de Intel no les ha hecho mucha gracia. big_smile

Intel_omerta_1.jpg

Por lo tanto Intel y sus pinches no han tenido otra que relatar los hechos en una letra adrezada al congreso: Intel-Corp-response-HEC-FINAL.pdf
  Y los hechos no son muy gloriosos...

Don patrón Intel conoce las vulnerabilidades desde junio 2017 y no ha dicho ni pio

La primera brecha fue reportada a Intel por el equipo de investigación de Google. Y fue desvelada por investigadores independientes en enero. No por voluntad de Intel.
6 meses de silencio durante los cuáles Intel ha seguido vendiendo material vulnerable sin informar  la administración americana o el gran publico.
6 meses durante los cuáles fueron incapaces de resolver el asunto y 6 meses durante los cuáles han organizado la leí del silencio.

El cabo google ha roto su compromiso "full disclosure"

 
Les reglas del "Equipo X" de Google son muy claras: El fabricante tiene un plazo de 90 días para arreglar las brecha antes de que se haga publica. Un compromiso "transparencia" a geometría variable: Si se trata de brechas en un contrincante directo (por ejemplo iOS) se aplica la regla al pie de la letra. Cuando se trata de Intel son por lo menos 180 días...
En materia de transparencia no puede haber excepciones: Actuando así el grupo de investigación de google (que se presenta como una identidad absolutamente independiente y imparcialidad) ha perdido mucha (por no decir toda) credibilidad.

La mafia de los 7

Intel no ha podido solo con estas brechas y ha informado a cinco otras empresas para pedir ayuda: Apple, Microsoft, Amazon, ARM y AMD.
Tenemos a 7 multinacionales Norte Americana informadas mientras que el resto del mundo ignora el peligro que corre.
7 empresas coordinas para salvar las apariencias y parecer cómo seguras ya que hubieran sacado parches correctivos al momento del full disclosure
Mientras que las otras hubieran tenido que pelearse (cómo han tenido que hacerlo) con toda la información que llega de golpe.
Al final la jugada no les ha salido bien y fueron pillados las manos en la masa.
Microsoft argumentó que no ha corregido las brechas porque los antivirus se hubieran disparados como locos
Google argumentó que fue porque Intel se lo pidió.
  Los hechos son ineludibles:

Intel_omerta_4.jpg

  • Estos 7 gigante del sector de las TI han actuado cómo un cartel y han pasado por completo de todo el mundo. Hasta de su propio gobierno.

  • Los de intel no hicieron en 6 meses lo que los de Linux han tenido que haces en unas semanas: Parchear estas mierdas.

  • Es, una vez más, gracias a hackers independientes que las brechas se han hecho publicas y es solo a este momento que han empezado a surgir soluciones

  • La política de "responsible dislosure" adelantada por Intel es tremendamente irresponsable y es de lo más inefectiva

Fuente

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#2 27-02-2018 19:08:09

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 802

Re: Spectre/Meltdown: Intel estaba al tanto y organizó la omertá

Que cabrones... no me surprendo que hacen pasar los interes antes de los usarios pero bueno... con el peligroso que tiene eso... pam


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

#3 12-07-2018 21:11:47

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,946

Re: Spectre/Meltdown: Intel estaba al tanto y organizó la omertá

Hace tiempo que no hablamos de spectre.
Los desarrolladores de distribuciones GNU-Linux nos tenían advertidos: Se ha colmatado lo gordo pero veremos surgir variantes de los atacantes en el futuro .
El sistema operativo solo puede impedir que se exploten las brechas, no puede arreglar el problema a la raíz de una vez por todas.
Esto está entre las manos de Intel y está totalmente sobrepasado por la magnitud del desastre: Todas las CPU que han producido y vendido estos diez últimos años están comprometidas.
  Hubiera de que hundir cualquier empresa pero como Intel está en posición de monopolio en un mercado muy cerrado... Es solo un mal trago a pasar.

El fantasma ha vuelto... big_smile
   Este diez de julio 2018 se ha publicado un "white paper" para presentar a Spectre 1.1 y Spectre 1.2

  Dos vulnerabilidades de "alto riesgo" y la reacción de Intel habla por si sola: Han entegrado 100 000 dolares (el "premio" máximo) a los autores del documento que pasaron por su programa de "bug bounty".

   Los de linux están trabajando sobre un parche para la versión 1.1: [PATCH] perf/core: fix possible spectre-v1 write

Desconectado

#4 12-07-2018 21:24:22

josep345
Mcmardigan

Registrado: 19-11-2017
Mensajes: 781

Re: Spectre/Meltdown: Intel estaba al tanto y organizó la omertá

Nada alentadora la noticia la verdad,como usuario de intel esto me preocupa bastante,ya sacaron una actualizacion de bios (2018/3/7) referente a spectre (Update Skylake CPU Microcode to revision C2 and Kabylake CPU Microcode to revision 84. (For CPU security update) pero veo que el tema está candente,y intel se lo toma como de costumbre,a su aire,sin preocupaciones por los miles de usuarios,,si te peta el micro pues mala suerte,haber tomado precauciones. mad

Ultima edición por josep345 (13-07-2018 11:49:51)


Debes Aprender que puedes hacer Todo bien y aun así fallar.

Creación Alargador USB-3.0 Con Cable RJ45   

Desconectado

#5 28-08-2019 18:01:36

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,946

Re: Spectre/Meltdown: Intel estaba al tanto y organizó la omertá

Seguimos pagando la nota... ...Hace más de un año que Spectre y Meltdown han aparecido y ha ocurrido lo que se anunciaba.
Se está librando una lucha permanente para arreglar las mierdas de los fabricantes de CPU.
Nuevos ataques han salido en base de estas tremendas vulnerabilidades,
Por ejemplo "spectre-ng", que han dado bastante trabajo a los desarrolladores de kernel.
Han tenido que hacer más y más parches. Si echéis un ojo a los historicos de las actualizaciones de sistemas de seguridad (windows, mac, y linux ) veréis que se han echos actualizaciones de seguridad relacionadas con  Spectre y Meltdown durante el corso de todo el año.
Detrás del problema de la seguridad hay otro.

El kernel es el corazón del sistema operativo, cuál sea.
Un kernel debe ser simple y eficiente, se deben evitar al máximo las comprobaciones para obtener el máximo rendimiento.
Cada linea cuenta. Añadir parches correctivos rompe la estructura del kernel, cree cuellos de botellas, una modificación puede tener repercusiones imprevisibles que además no se detectan siempre de inmediato. Las medidas para limitar Sectre y Meltdown tienen un coste y una victima: El rendimiento.   

En la conferencia Open Source Summit - San Diego, el mantenedor del kernel linux estable,  Kroah-Hartman , explica que ha observado en sus equipos hasta 15% menos del rendimiento en el corso del año pasado.
  Comenta que la gran dificultad para parchear Spectre Y Meltdown es que deben anticipar ataques nuevos procedentes de unas BIOS corruptas.
Spectre y Meñtdown invierten el paradigma de su trabajo habitual: No se puede confiar en la BIOS y la meta no es hacer funcionar el sistema concorde con la BIOS más bien vigilar y corregir en permanencia el comportamiento de la BIOS. 

 
  Y el futuro no pinta mejor... Spectre va a seguir dando por saco, Un fantasma nunca muere.   
Por prueba, El recien "ataque SWAPGS" del 8 de agosto. Una "buena sorpresa": Se ha encontrado una forma de burlar  "todos" los mecanismos de defensa contra Spectre y Meltdown para explotar "todos" los ataques posibles.

Speculative-execution based attacks and side-channels are more and more common as disclosures continue to increase scrutiny by researchers in this field.

In this whitepaper, we demonstrate a new type of side-channel attack based on speculative execution of instructions inside the OS kernel. This attack is capable of circumventing all existing protective measures, such as CPU microcode patches or kernel address space isolation (KVA shadowing/KPTI).

We practically demonstrate this by showing how the speculative execution of the SWAPGS instruction may allow an attacker to leak portions of the kernel memory, by employing a variant of Spectre V1.

Se ha tenido que colmatar las brechas en cuanto antes y luego hay que corregir al máximo los desgastes ocasionados por las correcciones para afectar al mínimo el rendimiento del kernel.

  Pero todo va bien: Las ultimas CPU que cuestan 1000€uros son seguras.
Si esto no es un buen argumento de venta... big_smile

fuentes

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
449 180131 Hoy 12:41:42 por skan
3 146 Hoy 01:38:59 por USUARIONUEVO
Josep345 Tiene Fibra por josep345
18 2747 03-12-2019 14:30:46 por josep345
1 301 25-11-2019 18:16:15 por kcdtv
12 3325 22-11-2019 14:11:47 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: 123ALONSO
Usuarios registrados conectados: 0
Invitados conectados: 15

Estadisticas de los foros

Número total de usuarios registrados: 1,690
Número total de temas: 1,364
Número total de mensajes: 13,709

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36