Re: [Lista Criptica] Meltdown / Spectre

Delete this message

Reply to this message
Autor: Dan Haiku
Data:  
Para: list_criptica
Assunto: Re: [Lista Criptica] Meltdown / Spectre
Bones,

La gent de hacking lliure va fer un thread a twitter d'allò més currat
:) https://twitter.com/HackingLliure/status/948910299733725187

Salut,

Dan


On 01/05/2018 05:12 PM, drymer wrote:
> Bones
>
> Un petit resum es:
> - Meltdown:
>  - Afecta només a intel
>  - Es una vulnerabilidat fácil d'explotar però fácil d'arreglar
>  - Debian y RH (que jo sapiga) tenen actualització de kernel
> disponible per a arreglar-ho, ubuntu aquest matí ni (azure tambè, així
> que suposo que windows tambè)
>
> - Spectre:
>  - Afecta a qualsevol CPU de menys de 15 anys
>  - Es una vulnerabilitat difícil d'explotar però difícil d'arreglar
> (no te solució, de fet)
>  - Es una cagada de diseny, per tant només es pot mitigar
>  - Certs programes seran els encarregats d'actualitzarse per controlar
> aixo (aixo no ho tinc tan clar, pero diria que un exemple son els
> navegadors)
>
> Hi ha més informació a la página oficial, ja sigui
> https://spectreattack.com o https://meltdownattack.com/.
>
> Saluts
>
> On Fri, Jan 05, 2018 at 12:15:04AM +0100, Alejandro Adán Navarro wrote:
>> Estic en desacord amb el que has dit sobre Windows. vdo ja va dir per
>> aquí
>> fa un temps que “[…] també cal entendre que algú nómada pugui necessitar
>> fer servir el disc extern en equips que no son el seu.”. Jo hi
>> afegeixo que
>> hi ha aplicacions que només estan disponibles a Windows i que, per
>> tant (o
>> per altres motius), un usuari o un administrador de sistemes pot no
>> tenir-ho fàcil per abandonar Windows. En aquestes circumstàncies (en
>> totes,
>> realment), un usuari de Windows ha de poder gaudir del nivell de
>> seguretat/privadesa que li permeti el seu sistema i l’ús que en fa, així
>> que ser-ho no l’incapacita per ser en aquesta llista. Si jo fos
>> administrador d’alguna infraestructura Windows, conèixer els
>> problemes de
>> privadesa de Windows no em faria actuar de manera despreocupada davant
>> d’aquestes vulnerabilitats: ho trobo un tret al peu. Sembla que per a
>> Linux
>> hi ha un pedaç per a Meltdown amb implicació del propi Linus
>> Torvalds: [1].
>>
>> Estoy en desacuerdo con lo que has dicho sobre Windows. vdo ya dijo por
>> aquí hace un tiempo que “[…] també cal entendre que algú nómada pugui
>> necessitar fer servir el disc extern en equips que no son el seu.” (“[…]
>> también hace falta entender que alguien nómada pueda necesitar usar el
>> disco externo en equipos que no son el suyo”). Yo añado a eso que hay
>> aplicaciones que solo están disponibles en Windows y que, por lo
>> tanto (o
>> por otros motivos), un usuario o un administrador de sistemas puede no
>> tenerlo fácil para abandonar Windows. En estas circunstancias (en todas,
>> realmente), un usuario de Windows debe poder disfrutar del nivel de
>> seguridad/privacidad que le permita su sistema y el uso que hace de
>> él, así
>> que serlo no le incapacita per estar en esta lista. Si yo fuera
>> administrador de alguna infraestructura Windows, conocer los
>> problemas de
>> privacidad de Windows no me haría actuar de manera despreocupada ante
>> estas
>> vulnerabilidades: lo considero un disparo en el pie. Parece que para
>> Linux
>> hay un parche para Meltdown con implicación del propio Linus
>> Torvalds: [1].
>>
>> [1] <
>> https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf>
>>
>> via/vía <
>> https://hothardware.com/news/intel-cpu-bug-kernel-memory-isolation-linux-windows-macos>
>>
>> via/vía <https://twitter.com/never_released/status/947935213010718720>
>> via/vía <
>> http://www.eldiario.es/cultura/tecnologia/vulnerabilidad-Intel-reducir-rendimiento-ordenador_0_725477852.html
>>
>>>
>>
>> --
>> *Alejandro* Adán Navarro
>> Cubometa <http://www.cubometa.com>
>>
>> 2018-01-04 22:18 GMT+01:00 <4856@???>:
>>
>>> Fa poques hores que he conegut el "0 day" del Meltdown / Spectre.
>>>
>>> Pel poc que he llegit, la gran majoria dels ordinadors estan
>>> afectats (ja
>>> que Intel és la companyia que més hardware disposa).
>>>
>>> Pel que diuen aquesta vulnerabilitat la taxen de "la vulnerabilitat més
>>> gran en anys" però no sé si és cert o és una forma d'alarma excessiva.
>>>
>>> Algú que sàpiga del tema, ens pot comentar de forma molt resumida en
>>> què
>>> es veu afectat el PC.
>>>
>>> Algú sap si els sistemes operatius de Linux (Ubuntu i Tails)
>>> (entenent que
>>> Tor en el moment el sistema operatiu estigui "parcheado" estarà
>>> arreglat)
>>> tindran en els pròxims dies actualitzacions per evitar Meltdown /
>>> Spectre ?
>>>
>>> Pels que encara useu Windows (que espero que aquí no hi hagi ni un),
>>> crec
>>> que ja han tret una actualització, però no ho se segur.
>>>
>>> Però com que Windows, per defecte ja us roba les dades, jo no em
>>> preocuparia per si han tret una actualització o no.
>>>
>>> ____________________________________________________________
>>> _________________________________________________
>>>
>>>
>>> Hace pocas horas que he conocido el "0 day" del Meltdown / Spectre.
>>>
>>> Por el poco que he leído, la gran mayoría de los ordenadores están
>>> afectados (puesto que Intel es la compañía que más hardware dispone).
>>>
>>> Por el que dicen esta vulnerabilidad la tasan de "la vulnerabilidad más
>>> grande en años" pero no sé si es cierto o es una forma de alarma
>>> excesiva.
>>>
>>> Alguien que sepa del tema, nos puede comentar de forma muy resumida
>>> en que
>>> se ve afectado el PC.
>>>
>>> Alguien sabe si los sistemas operativos de Linux (Ubuntu y Tails)
>>> (entendiendo que Tor en el momento el sistema operativo esté
>>> "parcheado"
>>> estará arreglado) tendrán en los próximos días actualizaciones para
>>> evitar
>>> Meltdown / Spectre ?
>>>
>>> Por los que todavía usáis Windows (que espero que aquí no haya ni un),
>>> creo que ya han sacado una actualización, pero no lo se seguro.
>>>
>>> Pero cómo que Windows, por defecto ya os roba los datos, yo no me
>>> preocuparía por si han sacado una actualización o no.
>>> _______________________________________________
>>> list_criptica mailing list
>>> list_criptica@???
>>> Lista de correo de debate de Criptica
>>>
>
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>
>
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica