| inviato il 07 Gennaio 2018 ore 14:41
“ però come mai abbia deciso di dedicare un suo dipartimento solo alla ricerca di falle non mi è chiaro. probabilmente fa anche prodotti sw che richiedono una particolare sicurezza oppure lo usa per farsi pubblicità „
Deve garantire la sicurezza dei suoi server... tutti i dati in cloud, gmail, annunci pubblicitari, motori di ricerca... deve proteggere i suoi datacenter ed è sensato visto il suo fatturato che si muova a cercare le falle di hardware/software da lei usato per battere sul tempo i maleintenzionati.
La pubblicità quando arriva prima lei è solo un effetto secondario per dimostrare agli investitori la sua attenzione alla sicurezza aziendale. |
| inviato il 07 Gennaio 2018 ore 15:31
Non scherziamo il pc di Zentropa dopo un affronto simile dovrebbe rifiutarsi di accendersi, evitando imbarazzanti ed impietosi benchmark di paragone.
 |
| inviato il 07 Gennaio 2018 ore 16:02
“ però come mai abbia deciso di dedicare un suo dipartimento solo alla ricerca di falle non mi è chiaro. probabilmente fa anche prodotti sw che richiedono una particolare sicurezza oppure lo usa per farsi pubblicit „
Beh come detto da Ls83 direi che anche "solo" i datacenter e tutto il lato cloud dei servizi offerti da google meritano interi team in cerca di falle per evitare catastrofi anche solo di "immagine" dal lato privacy...
Poi considerando che Alphabet ha società di robotica, biotecnologie, intelligenza artificiale e mille altri rami direi che la sicurezza dei propri database è alquanto importante sotto infiniti punti di vista.
Almeno fin quando non avranno cpu fatte in casa nei loro sistemi e avranno direttamente il controllo anche su quello .
Da un sacco di anni siti e produttori software hanno in corso iniziative di Bug bounty che offrono ricompense a chi segnala bug, è una procedura "standard" aver gente che per lavoro (o per passione, che poi si trasforma appunto in ricompensa) cerca di individuare falle, oltre a team interni di QA che lavorano pre (e post) release.
Quello che stupisce in questo caso è il fatto che la falla sia "insita" nell'architettura da così tanto tempo.
Non credo molto al complotto per un semplice fatto: se questa cosa fosse stata davvero "risaputa" da tanto, o almeno riconosciuta e ricercata anche solo "in segreto" adesso avremmo intel che dice: "oh, abbiamo scoperto sta cosa, ma ecco qui la soluzione: i nuovi proci serie XYZ hanno architettura modificata e sono immuni a spectre in tutte le sue varianti e a meltdown!".
E invece a quanto pare si parla di interi anni necessari per un vero e proprio redesign delle cpu (a meno di ribaltoni in tempo record nelle prossime settimane, e questo sì mi darebbe da pensare..).
Ora come ora solo AMD (in parte, visto che a una variante di Spectre restano comunque vulnerabili le loro cpu) pare aver le chiappe più o meno coperte, e da parte di intel non è certo un "complotto" ben escogitato far far bella figura ad un concorrente e veder un'infinità di clienti mettersi in fila per chiedere spiegazioni e/o fare azioni legali con eventuali rimborsi etc.
Per un pc casalingo il problema dei cali prestazionali dovuti alle patch (che poi magari in futuro saranno aggiornate in altri modi, non darei per certi i test fatti in questi giorni subito dopo le release "tappabuchi" del primo momento..) son forse relativi, ma in altri ambiti (sql e altro) impatti prestazionali possono equivalere ad grossi problemi "reali" di gestione.
intanto ieri il mio dell xps mi ha segnalato un update del bios, e oggi facendo il controllino della situazione tramite powershell di win10 se non altro son contento di aver "mitigato" il mitigabile, per quanto mi sa sono ben altri a dover temere attacchi diretti..
|
| inviato il 07 Gennaio 2018 ore 17:51
“ Per un pc casalingo il problema dei cali prestazionali dovuti alle patch ... son forse relativi, ma in altri ambiti (sql e altro) impatti prestazionali possono equivalere ad grossi problemi "reali" di gestione. „
Il mio PC "casalingo" è uno strumento di lavoro, su cui faccio girare diverse virtual machine ognuna contenente un diverso ambiente di sviluppo, con database ecc.: a suo tempo è stato acquistato molto potente per poter gestire fluidamente il tutto, perdere questa fluidità sarebbe un disastro. |
| inviato il 07 Gennaio 2018 ore 18:11
Concordo Alvar, con pc casalingo (per chiarire) intendevo un computer usato principalmente per la classica triade navigazione/mediacenter/“office”, ambiti lavorativi “in casa” più complessi son già un altro paio di maniche (pure io lavoro spesso in casa, anche se per quello che faccio non penso vedrò grossi cambiamenti), e a maggior ragione in casi come il tuo la cosa assume decisamente un impatto più significativo e preoccupante. |
| inviato il 07 Gennaio 2018 ore 18:33
Io sono inferocito, non per l'errore, che ci sta, tutti si sbaglia.
Posso perfino comprendere che l'errore sia stato inserito nell'architettura secoli fa' e poi non ci abbia più pensato nessuno, puntando solo al miglioramento delle prestazioni senza mai "pensare".
Ma andare a spiattellare la cosa PRIMA di avere una efficace soluzione è criminale: adesso gli hacker, che non ne erano a conoscenza, si metteranno tutti al lavoro per sfruttare questi buchi, quindi siamo costretti ad accettare delle patch colossali (per il mio PC sono 602 MB) che chissà cosa vanno a fare e chissà quanto soffocano le prestazioni.
In alternativa bisogna in primo luogo limitare l'uso di internet: chissà in quali pagine si può nascondere un JavaScript maligno?
E disabilitare i Javascript non serve: senza quelli non c'è più pagina WEB che funzioni.
Anche testare il software in VM diventa inutile in queste condizioni: non è più un ambiente isolato.
|
| inviato il 07 Gennaio 2018 ore 19:03
Per non parlare poi del fatto che fino all'uscita di una soluzione definitiva e sicura a livello di BIOS non si potranno più visitare i siti porno con serenità... |
| inviato il 07 Gennaio 2018 ore 19:05
“ in primo luogo limitare l'uso di internet: chissà in quali pagine si può nascondere un JavaScript maligno? „
Mi auto quoto ... |
| inviato il 07 Gennaio 2018 ore 19:06
A proposito, Zen non risponde più: al decadimento delle prestazioni del suo PC deve essersi suicidato. |
| inviato il 07 Gennaio 2018 ore 19:34
Zen è stato sospeso per un paio di settimane per aver litigato con un utente. |
| inviato il 08 Gennaio 2018 ore 15:42
Purtroppo, questi "problemi", Meltdown e Spectre, sono insiti in tutte le CPU, attuali e precedenti, di tutti i produttori.
E con "tutti i produttori", intendo dire proprio TUTTI! Intel, AMD, IBM, Cortex, Nvidia, ARM ed altri. CPU che equipaggiano i nostri PC, notebook, netbook, tablet, smartphone...
Non è un problema software, risolvibile con una patch. E' un vero e proprio problema insito nella struttura hardware delle CPU, passate e presenti.
Si tratta del sistema di "predictive/speculative execution area", inventato ed implementato da Intel nel primo Pentium.
Da allora, TUTTI i produttori di CPU hanno implementato questa funzione hardware nei propri processori.
Come scritto sopra, TUTTI significa qualsiasi CPU X86 esistente, quindi sia CPU per computer, sia CPU per smartphone, sia CPU montate su fotocamere, stampanti, router, etc...
Praticamente, ogni CPU prodotta negli ultimi 20 anni, basata sulla struttura X86, con implementata la "predictive/speculative execution area", è soggetta a questi due bug.
Si salvano soltanto le CPU più vecchie di venti anni...ma credo che nessuno abbia più un PC basato su una CPU a 16bit...
Ed è inutile colpevolizzare Intel, AMD, Cortex ed altri, per questi bug. Venti anni fa, nessun produttore, sistemista, ingegnere hardware/software, avrebbe mai teorizzato che nel 2018 qualche "hacker" sarebbe arrivato a sfruttare una o più particolarità hardware della struttura X86, per inserire codice malevolo o rubare dati sensibili.
E la "soluzione", per tappare questi bug, quale è?
La prima, è quella che, tramite patch rilasciate dai vari produttori di CPU, escludano l'area delle CPU addetta alla "predictive/speculative execution area", con conseguente rallentamento delle CPU, che perderanno da un 20 ad un 50% delle esecuzioni di calcolo...
La seconda, è una totale riprogettazione hardware della struttura delle CPU X86... |
| inviato il 08 Gennaio 2018 ore 16:01
“ La seconda, è una totale riprogettazione hardware della struttura delle CPU X86... [\QUOTE]
Oppure sfruttare l'occasione per gettare alle ortiche tutto il software x86 esistente e abbracciare un architettura più snella ed efficiente. La retrocompatibilità è una zavorra enorme sia per l'hardware che per i sistemi operativi. Per la transizione si usano emulatori come ha fatto la Apple per le prime due/tre versioni di OS X dopo l'abbandono dei Power PC. „ |
| inviato il 08 Gennaio 2018 ore 18:25
“ Zen è stato sospeso per un paio di settimane per aver litigato con un utente. „
Di nuovo? |
| inviato il 08 Gennaio 2018 ore 18:26
“ E la "soluzione", per tappare questi bug, quale è?
La prima, è quella che, tramite patch rilasciate dai vari produttori di CPU, escludano l'area delle CPU addetta alla "predictive/speculative execution area", con conseguente rallentamento delle CPU, che perderanno da un 20 ad un 50% delle esecuzioni di calcolo...
La seconda, è una totale riprogettazione hardware della struttura delle CPU X86... „
Ma alla peggio cosa ci può capitare? Dico a noi poveri peones, niente di più di quello che già ci capita ogni santo giorno, furti di dati o identità digitali. Tappata una falla se ne scoprirà un'altra in un eterno rincorrersi di guardie e ladri.
A questo punto me ne strabatto e metto in atto contromisure passive, che sono poi quelle che già si conoscono. |
Che cosa ne pensi di questo argomento?Vuoi dire la tua? Per partecipare alla discussione iscriviti a JuzaPhoto, è semplice e gratuito!
Non solo: iscrivendoti potrai creare una tua pagina personale, pubblicare foto, ricevere commenti e sfruttare tutte le funzionalità di JuzaPhoto. Con oltre 251000 iscritti, c'è spazio per tutti, dal principiante al professionista. |
Metti la tua pubblicità su JuzaPhoto (info) |
JuzaPhoto contiene link affiliati Amazon ed Ebay e riceve una commissione in caso di acquisto attraverso link affiliati.
