Názory k článku Jak je to s opravami chyby Spectre. Aktualizace mikrokódu, operačního systému a důsledky

Super, takze mu tu vysvetlujeme, aby uz konecne prestal plasit a co udela, vyda za dva dny dalsi plasici clanek. Pak se hrozne divej, ze lidi nadavaj novinarum.

Este teda kdyz jsme u toho plaseni, tak ja si teda zaplasim taky. :-)

Nejznamejsi soucasne strasidlo Spektra je ve skutecnosti pomstou Googlu, ktery se rozhodl vytahnout do boje proti Intelu a AMD a hlavne na techto platformach pouzivanemu konkurentovi Microsoftu. Vsichni tri ovsem navnadu zbastili i s navijakem.

Pozor, pozor, je treba rychle aktualizovat Windows na pcotacich Intel+AMD, jinak vam zly hackeri vykradou ucet. Bla, bla, bla, bla, bla,bla, bla. Co na tom, ze Spektra je uplne stejne zneuzitelna na ARM, ze? :-)
Pritom dohledejte na ceskem internetu jedinej clanek, zda-li uz chybu opravil Qualcomm, Samsung, Huawei, Mediatek? Ti vsichni maji vyrazne procesorove zastoupeni na mobilech pres ktere vam chodi overovaci zpravy k vasemu internetovemu bankovnictvi. Jedinej kdo zpravu o "oprave" vydal, je Apple a ten navic neupresnil, jak to ma ve zvyku, jestli "opravil" iOS nebo mikrokod.
A to nemluvim o tom, ze naprosta vetsina smartphonu s Androidem na svete nedostane zadny update firmwaru a teda zadnou opravu ani na urovni OS ani na urovni mikrokodu. Pokud zrovna nemate customROM typu LineageOS nebo jeden z mala pravidelne updatovanych spis novejsich telefonu, tak mate smolika.

Vtipem je, ze nikdo tohle nenapise a vsichni jsou v naprostym klidu (opravnene). Ale pritom ti sami lide sedi u svych PC a zurive je aktualizuji. :-D

Díky za obsáhlí souhrn.

Intel udajne zacal updaty mikrokodu pro Spectre 2 k vuli pretrvavajicim problemum stahovat.

Nevidím na tomto článku nic, co by mělo nějaké čtenáře plašit, jen nějaký usmrkaný rýpaly v komentářích.

Ne, největší problém je Meltdown, ten je celkem jednoduše použitelný a jeho výsledky jsou doslova drtivé. Čtení obsahu libovolné paměti je enormní průšvih, který umožní zjistit soukromé klíče, hesla, nebo z(a)jistit další vektory pro následný útok.

Spectre je v tomto ohledu pro domácího usera typu Redmarx paradoxně ten méně problematický, neboť vyžaduje splnění mnoha podmínek a více se jedná o teoretický útok, než něco, co by reálně a efektivně fungovalo (byť poslední informace co jsem četl říkají, že i na tom už výzkumníci zapracovali) a spíše je to problém pro cloudové systémy

Tak prosím, než napíšeš zase nějakou redmarxovinu, napřed si to nastuduj, jo?

uživatelé Windows mají zřejmě štěstí
Hrozí tedy ukradení/vyzrazení potenciálně citlivých dat.
Pokud máte to štěstí
aby například ukradl hesla či bankovní údaje
nebudete ještě úplně v příslovečném loji
bývají hackeři dosti zdatní v tvorbě exploitů na ně
AMD a Intel naštěstí vydávají také samostatný mikrokód

Myslim, ze jsem dal dostatek prikladu, kdy autor clanku zamerne plasi. Aby bylo jasno, nikde netvrdim, ze autor lze, vse co pise je pravda. Ovsem pravda je v clanku podavana zamerne stracicim plasanskym zpusobem tak, aby neznaly uzivatel byl vystrasen, jak mu zly hacker vybere ucet pres internet a co nejdrive aktualizoval.
Opak je pravdou, chyby Melta a Spektra jsou tezko zneuzitelne a pri serfovani na internetu vas domaci uzivatele proti nim ochrani uz aktualizovany prohlizec. Nic vic pro domaciho uzivatele netreba. Pokud se budeme bavit o moznosti nejakeho zneuziti, tak minimalne musi domaci uzivatel chytit do pocitace nejakeho trojana jinou cestou. Z toho plyne, ze dobre zabezpecenemu domacimu pocitaci nic nehrozi.

Ja nikde netvrdim, ze by se situace nemela do budoucna resit, ale je pro domaci uzivatele hloupe nechat si kvuli takove banalite snizovat vykon pocitace a predevsim instalovat vydanou opravu predcasne v dobe, kdy neni radne otestovana a muze zpusobit pad pocitace, bud po oprave nenabootujete vubec nebo "jen" dochazi k samovolnym restartum.

Autor popisuje chyby, ale nikde jiz prakticky nevysvetluje, jak by to mohlo byt zneuzito. To je logicke, protoze na domacim pocitaci samo o sobe nemohlo.

Uvedomte si uz konecne, ze tyhle chyby se tykaji predevsim datacenter a virtualnich pocitacu, kdy mate napriklad na jednom serveru virtualizovano 1000 pocitacu a jedinny nakazeny virtualni pocitac muze ohrozit vsechny. Nevim, ale je mozne, ze se problem bude tykat i bezneho firemniho prostredi, protoze dnes se ve firmach minimalne na urovni sluzeb (aplikaci) hodne virtualizuje a jakmile se neco sdili, tak jeden asi muze ohrozit vsechny. Timto si nejsem uplne jist, mozna ted plasim taky, ale prave ze vysvetleni situace chybi.

Nepopiram tedy, ze se jedna o problem masivniho charakteru, ale zcela odmitam podsouvane teorie o moznosti zneuziti pro domaci pocitace. Vysvetlim na zminovanem internet bankingu. Pokud si servery nezabezpeci banka, jste v prdeli a mohou vam vybilit ucty, at uz mate na domacim PC ochranu nebo ne. Pokud si domaci pocitac nezabezpecite proti Melte a Spektre vy, tak to domaciho uzivatele touto cestou neohrozi. Ohrozeni musi vzniknout jinak.

Problem je, ze cele je to natolik slozite, ze nikdo nevi. Chyby byly sice obstojne popsany, ale protoze je to tak extremne slozite a nahodne, tak nikdo nepopsal prakticke zneuziti. Respektive bylo prakticke zneuziti dokumentovano na stroji s virtualnima OS, kdy jeden virtual muze cist data jineho virtuala jen proto, ze jsou na stejnem hardwaru. To ale neni pripad bezneho Franty, kteremu Microsoft vnutil (ale stejny problem byl i na Ubuntu) posranou aktualizaci. Neni tu popsan zadny priklad, kdy by mohlo nejake realne ohrozeni vzniknout na pocitaci pres internet. Cele je to v rovine spekulace, ze to, ze to nikdo nedokazal aplikovat v testu neznamena, ze to nikdo nedokaze nebo nedokazal tajne. A teto spekulace, at je sebevic nepravdepodobna se plasani drzi a neuhnou. :-/

No ale sam spravne zminujes, ze se to tyka vsech, ale vetsina lidi bude na svych smartphonech a tabletech zit s tema chybama nezaplatovanyma a smartphonu a tabletu je dneska na svete vic nez pocitacu.
Google pristupuje k Androidu tak, ze dnes jiz nezaplatovane Androidy 5.1, 5 a 4 jsou na polovine vsech zarizeni a to nemluvim o tom, ze jsou nekteri lide i na starsich verzich. Ani na spoustu zarizeni s Androidem 6 se zaplaty nedostanou a mozna ani na vsechny stroje s Androidem 7. Je tady teda pomerne dobre odhadnutelny predpoklad, ze cca 3/4 vsech Androiodu nebudou zaplatovany. Vubec se nemluvi o tom, jak, zda vubec a na jake zarizeni budou updatovat mikrokod vyrobci procesoru jako je Qualcomm (Snapdragon), Samsung (Exynos), Huawei (Kirin) a Mediatek (Helio).
Proc je teda neco na PC s Intel+AMD problem a na ostatnich platformach to same problem neni nebo se o tom vubec nepise?

Neni pravda, ze se problemy tykaji jen Athlonu, problemy se tykaji vsech, ale na novych RyZenech, Kaby Lake a Coffee Lake je jich nejmene. Cim starsi PC, tim mene bych doporucil aktualizaci. Treba otec na notase s Kaby Lake aktualizoval, musel protoze Win10Home a jede mu to OK.

"Nenapadlo tě třeba, že ti výzkumníci zatím veřejnost jen upozornili na chybu, ale zatím drží pod pokličkou některé konkrétní způsoby aplikace, aby nenahráli hackerům a získal se čas navíc..?"

V poradku, nemam namitek. At Microsoft spolecne s Intelem a AMD poradne dodela opravy, aby to bylo stabilni, at to radne otestuje a nasledne uvolni jako update Windows a vyrobci jako update BIOSu a pak at reknou, jak je to ve skutecnosti nebezpecne a vysvetli to poradne a ja nasledne okamzite svuj OS updatuju.

Proc bych neupdatoval Windows, kdyz mi ten update ten OS nezbori? Upravdu v tom pripade nemam duvod neupdatovat. Celou dobu presne tohle rikam, zbytecne neplasit a pockat si az se suituace vyjasni a vyrobci nabidnou stabilni update. ;-)