Forum Datorkomponenter Processorer, moderkort och minnen Övrigt Tråd Inlägg

Meltdown och Spectre "for dummies"

1
Permalänk
Relik 📜

Meltdown och Spectre "for dummies"

Hej, vänner!

Spectre och Meltdown är föga förvånande veckans stora snackisar. Nu har säkherhetshålen även fått uppmärksamhet i "vanlig" media, och där handlar det väl om täckning av varierande kvalitet. Låter SvD-rubriken nedan tala för sig själv.

Fick en tanke, att skriva ihop en artikel med info "for dummies" - alltså riktad mot nära, kära och tekniskt mindre insatta. Utan egentliga förklaringar, i stället med fokus på konkreta punkter som är bra att känna till. För att undvika tjafs och högafflar tänker jag att vi gemensamt kan försöka landa i något här, som jag sedan tar till ny tråd eller nyhet.

Observera att jag är helt ointresserad av att försvara Intel eller försöka "förmildra" något. Däremot är skräckpropaganda bara skadligt och tramsigt, speciellt när det når de som egentligen inte är tekniskt intresserade.

---
Här är artikeln! Än så länge inte på framsidan (medvetet). Läs och kom gärna med input i den här tråden.
https://www.sweclockers.com/artikel/24999-sakerhetshalen-melt...

Pingar fräckt in @Yoshman och @mpat här.

Senast redigerat
Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Relik 📜

Släng gärna ett inlägg om det ser bra ut också, så jag får lite underlag! Vill som sagt gärna ha något flera här känner är "lagom", så det inte blir tredje världskriget i kommentarerna. Fokus på info till våra vänner, nära och kära!

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Medlem

Ser bra ut, men jag saknar en länk hit. https://spectreattack.com/

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Bra initiativ!

Ett skrivfel, ska vara försommaren 2017.

Vidare kan det vara värt att nämna att det inte rör sig om något virus utan en bugg som gör det möjligt att läsa av datorns internminne som körs av andra användare och i vissa fall även minne som enbart är tillgängligt för datorns operativsystem. Det betyder att man behöver ha tillgång till datorn för att köra sitt egna datorprogram. Vilket för vanliga användare inte är så farligt men för servrar som kör flera användares program samtidigt blir det desto värre.

En snygg formulering med att det bara går att läsa från minnet och inte stoppa in något , så som förövarens egna godtycklig kod kan vara bra också.

I det sista avsnittet skulle jag vilja nämna att Spectre fortfarande är i sin linda och vi kan än så länge inte veta vilka framtida komplikationer den kommer att ge och att det därför är viktigt att ständigt hålla sin dator uppdaterad. Vilket i och för sig alltid har varit bra att göra.

EDIT: Om man är lite mer tekniskt intresserad så har Rasberry Pi en bra artikel. https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulner...

Redigera
Citera flera Citera
Permalänk
Relik 📜
Skrivet av Flexbert:

Ser bra ut, men jag saknar en länk hit. https://spectreattack.com/

Skickades från m.sweclockers.com

Gå till inlägget

Länkar kommer i slutgiltiga, både till webbplatserna samt till övrig nyheter och info från Intel, AMD, ARM.

Skrivet av rSon:

Bra initiativ!

Ett skrivfel, ska vara försommaren 2017.

Vidare kan det vara värt att nämna att det inte rör sig om något virus utan en bugg som gör det möjligt att läsa av datorns internminne som körs av andra användare och i vissa fall även minne som enbart är tillgängligt för datorns operativsystem. Det betyder att man behöver ha tillgång till datorn för att köra sitt egna datorprogram. Vilket för vanliga användare inte är så farligt men för servrar som kör flera användares program samtidigt blir det desto värre.

En snygg formulering med att det bara går att läsa från minnet och inte stoppa in något , så som förövarens egna godtycklig kod kan vara bra också.

I det sista avsnittet skulle jag vilja nämna att Spectre fortfarande är i sin linda och vi kan än så länge inte veta vilka framtida komplikationer den kommer att ge och att det därför är viktigt att ständigt hålla sin dator uppdaterad. Vilket i och för sig alltid har varit bra att göra.

EDIT: Om man är lite mer tekniskt intresserad så har Rasberry Pi en bra artikel. https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulner...

Gå till inlägget

Jag har försökt kalla det "säkerhetshål" genomgående. Egentligen är det ju knappt en bugg, utan mera ett designval med oanade* konsekvenser. Bra input att få med det endast handlar om läsning, ska försöka få med. Försöker dock generellt inte gräva i detaljer alls.

Tillgång till datorn är väl lite flytande. Meltdown går väl teoretiskt att köra via JS med payload om jag fattat rätt? Vilket också gör det "farligare" för end user.

Ska absolut trycka på "håll alltid uppdaterad". Tror de den här texten riktar sig mot kommer "glömma" Meltdown och Spectre på ungefär 24 timmar, så det viktigaste att skicka med är just "uppdatera".

* - beroende på vem du frågar. Teorin finns ju att Intel haft kännedom hela tiden.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Medlem

I like it, men kanske betona att de värsta prestandatappen sker vid specifika användningsområden som är vanligast för servrar, ej persondatorer? Då kan man nog lugna de flesta, för de vet ofta ändå vad en server är

Skickades från m.sweclockers.com

Visa signatur

Ryzen 7600X - Geforce RTX 4080 - Custom Loop - Samsung 34" Ultra Wide
Intel i7 9700K - Radeon VII

Redigera
Citera flera Citera
Permalänk
Relik 📜
Skrivet av Starric:

I like it, men kanske betona att de värsta prestandatappen sker vid specifika användningsområden som är vanligast för servrar, ej persondatorer? Då kan man nog lugna de flesta, för de vet ofta ändå vad en server är

Skickades från m.sweclockers.com

Gå till inlägget

Jag hade med det först, men strök hela biten och fokuserade endast på vad det får för effekt mot just konsumenter. Tänker jag inte vill röra till mer än nödvändigt, ducka frågor som "men då blir min Google Drive långsammare?" etc. Försökte sammanfatta med grejen att "vet du inte om du är drabbad så är du inte drabbad" när det gäller prestandatappet.

---

Uppdaterat texterna lite nu.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av emilakered:

Jag har försökt kalla det "säkerhetshål" genomgående. Egentligen är det ju knappt en bugg, utan mera ett designval med oanade* konsekvenser. Bra input att få med det endast handlar om läsning, ska försöka få med. Försöker dock generellt inte gräva i detaljer alls.

Tillgång till datorn är väl lite flytande. Meltdown går väl teoretiskt att köra via JS med payload om jag fattat rätt? Vilket också gör det "farligare" för end user.

Ska absolut trycka på "håll alltid uppdaterad". Tror de den här texten riktar sig mot kommer "glömma" Meltdown och Spectre på ungefär 24 timmar, så det viktigaste att skicka med är just "uppdatera".

* - beroende på vem du frågar. Teorin finns ju att Intel haft kännedom hela tiden.

Gå till inlägget

En bugg är väl alltid ett designval med oanade konsekvenser. Men säkerhetshål går lika bra! Alla CPU-tillverkare har väl vetat om att det teoretiskt har funnits brister med spekulativ exekvering men inget som man, i alla fall utåt, har trott varit ett verkligt problem.

Spectre går att utnyttja med JS. Men det kräver väl tillgång till datorn? Exempelvis stoppa in det i utvecklarkonsollen i Chrome på en dator som är låst till att enbart visa webbläsaren på en allmän plats. Eller givetvis via remote desktop på någon annans dator.

Redigera
Citera flera Citera
Permalänk
Relik 📜
Skrivet av rSon:

En bugg är väl alltid ett designval med oanade konsekvenser. Men säkerhetshål går lika bra! Alla CPU-tillverkare har väl vetat om att det teoretiskt har funnits brister med spekulativ exekvering men inget som man, i alla fall utåt, har trott varit ett verkligt problem.

Spectre går att utnyttja med JS. Men det kräver väl tillgång till datorn? Exempelvis stoppa in det i utvecklarkonsollen i Chrome på en dator som är låst till att enbart visa webbläsaren på en allmän plats.

Gå till inlägget

Ja, precis, Spectre går med att köra med JS - jag som var otydlig. Fattar jag rätt behöver du dock domänkunskap runt hur minnet hanteras för att få ut något vettigt. Meltdown är mer fire and forget, vilket gör det "enklare" med en generell payload.

Det jag vill skicka med här är egentligen att "vanliga användare" inte bör oroa sig sålänge de 1) uppdaterar och 2) inte ger random folk tillgång till deras dator - utan att för den skull sopa problemen under mattan. För publika maskiner etc tänker jag att IT-ansvariga redan ska ha kunskaper långt över vad denna enkla FAQ tar upp.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av emilakered:

Ja, precis, Spectre går med att köra med JS - jag som var otydlig. Fattar jag rätt behöver du dock domänkunskap runt hur minnet hanteras för att få ut något vettigt. Meltdown är mer fire and forget, vilket gör det "enklare" med en generell payload.

Det jag vill skicka med här är egentligen att "vanliga användare" inte bör oroa sig sålänge de 1) uppdaterar och 2) inte ger random folk tillgång till deras dator - utan att för den skull sopa problemen under mattan. För publika maskiner etc tänker jag att IT-ansvariga redan ska ha kunskaper långt över vad denna enkla FAQ tar upp.

Gå till inlägget

Jupp, Spectre kräver mer domänkunskap. Än så länge... Vilket är det läskiga. Det är ju relativt få, än om klipska personer, som har haft till informationen fram till nu. Så det finns en överhängande risk att det kommer att komma ytterligare metoder till kännedom i framtiden.

Det sista var mer en fråga för min egen skull så att jag förstår. Sen behöver ju inte gemene man vara mer orolig för detta än Row hammer och all annan skit där ute. Bra att trycka på vikten att uppdatera nu när allvarliga säkerhetsrisker är på tal igen! Även om de alltid finns.

Jag är nöjd.

Redigera
Citera flera Citera
Permalänk
Medlem

Nyheterna är lika sämst som vanligt, säljer klick genom skrämsel. Jävla fasoner

Skickades från m.sweclockers.com

Visa signatur

Ryzen 5800x @ 32gb 3200mhz @ 7tb ssd @ 3060ti Fractal r5 @ Arch
i5 4670k @ 24gb 1600mhz @ Fractal r3 @ 12tb ZFS @ Truenas Scale
Thinkpad T450 @ i5 5300u @ 16gb @ 512gb ssd @ 24+48wh batteri @ Debian

Redigera
Citera flera Citera
Permalänk
Medlem

E: nvm

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av emilakered:

Jag hade med det först, men strök hela biten och fokuserade endast på vad det får för effekt mot just konsumenter. Tänker jag inte vill röra till mer än nödvändigt, ducka frågor som "men då blir min Google Drive långsammare?" etc. Försökte sammanfatta med grejen att "vet du inte om du är drabbad så är du inte drabbad" när det gäller prestandatappet.

---

Uppdaterat texterna lite nu.

Gå till inlägget

Jag tycker att det är rätt väg att gå att inte vara allt för detaljerad över vilka arbetslaster det är som påverkas, men tror att det kan lindas in ännu mer utan att det förmedlar fel bild. Jag tror att du bör byta plats på styckena och inleda med "måste du fråga kommer du inte uppleva någon skillnad" för att längre ned prata om att "vissa rapporter uppger upp till 30%, men det handlar då främst om väldigt processorintensiva laster som körs mest i datacenter".

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av emilakered:

Ja, precis, Spectre går med att köra med JS - jag som var otydlig. Fattar jag rätt behöver du dock domänkunskap runt hur minnet hanteras för att få ut något vettigt. Meltdown är mer fire and forget, vilket gör det "enklare" med en generell payload.

Gå till inlägget

Ja, det bygger dock delvis på att man kan mäta tidsintervall med hög precision. Därför har nu tillverkare av webbläsare tvingats minska precisionen för tidsmätning i javascript i funktionerna som hämtar tid. Andra fixar som gör det svårare att mäta exakt tid jobbas också på.

Det är därför viktigt att uppdatera webbläsare, läs mer här:
https://blog.mozilla.org/security/2018/01/03/mitigations-land...

Redigera
Citera flera Citera
Permalänk
Relik 📜
Skrivet av Gruarn:

Jag tycker att det är rätt väg att gå att inte vara allt för detaljerad över vilka arbetslaster det är som påverkas, men tror att det kan lindas in ännu mer utan att det förmedlar fel bild. Jag tror att du bör byta plats på styckena och inleda med "måste du fråga kommer du inte uppleva någon skillnad" för att längre ned prata om att "vissa rapporter uppger upp till 30%, men det handlar då främst om väldigt processorintensiva laster som körs mest i datacenter".

Gå till inlägget

Bra där, fixat (i artikeln, inte tråden).

Skrivet av Lento:

Ja, det bygger dock delvis på att man kan mäta tidsintervall med hög precision. Därför har nu tillverkare av webbläsare tvingats minska precisionen för tidsmätning i javascript i funktionerna som hämtar tid. Andra fixar som gör det svårare att mäta exakt tid jobbas också på.

Det är därför viktigt att uppdatera webbläsare, läs mer här:
https://blog.mozilla.org/security/2018/01/03/mitigations-land...

Gå till inlägget

Bra där! Lagt till och trycker ännu hårdare på att även uppdatera mjukvara som webbläsare.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Avstängd

Tack! Bra sammanfattat.

Visa signatur

-Stäng av snabbstart i ditt Windows.

Redigera
Citera flera Citera
Permalänk
Relik 📜

Här är artikeln! Än så länge inte på framsidan (medvetet). Läs och kom gärna med input i den här tråden.
https://www.sweclockers.com/artikel/24999-sakerhetshalen-melt...

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
Permalänk
Avstängd

Jo all mjukvara måste hållas uppdaterad inkl firmware.

Jag brukar läsa en amerikansk snubbes blog när det händer större saker.

https://www.schneier.com/blog/archives/2018/01/spectre_and_me...

I höstas var det Krack och samma sak att uppdatera all mjukvara!

Intressant slutsats som Schneier kommer med!

But more are coming, and they'll be worse. 2018 will be the year of microprocessor vulnerabilities, and it's going to be a wild ride.

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Redigera
Citera flera Citera
Permalänk
Inaktiv

Det behövs självklart en korrigerande artikel då visa medier gick ut som med 2000 buggen och sa saker som att ert kylskåp kanske inte startar efter detta år. Lite så var det med dessa säkerhetshål också, folk undrar kommer mitt kylskåp nu prestera 30% sämre?

Nu har det visat sig att svenssons ej drabbas i någon större utsträckning och detta behöver såklart spridas. Men det blir lite väl "PC för Alla" nivå om man inte letar upp något bra test på databaser och hypervisors. Svårigheten är att det är svårt att mäta.
För ni på swelockers har väl dock några webservrar som kommer uppgraderas, men att mäta prestandaförluster på maskiner där lasten hela tiden ändras är svårt.

Skrivet av Lento:

Ja, det bygger dock delvis på att man kan mäta tidsintervall med hög precision. Därför har nu tillverkare av webbläsare tvingats minska precisionen för tidsmätning i javascript i funktionerna som hämtar tid. Andra fixar som gör det svårare att mäta exakt tid jobbas också på.

Det är därför viktigt att uppdatera webbläsare, läs mer här:
https://blog.mozilla.org/security/2018/01/03/mitigations-land...

Gå till inlägget

Gäller denna försämring enbart webbläsare? Sämrar de tidsmätningen i kritiska realtidsystem så kan det slå hårt.

Redigera
Citera flera Citera
Permalänk
Relik 📜

Tack för input, alla! Lagt ut artikeln på framsidan nu.
https://www.sweclockers.com/artikel/24999-sakerhetshalen-melt...

Låser den här tråden, annars blir det bara en plats till för samma diskussioner – och gudarna ska veta det redan finns tillräckligt många.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Redigera
Citera flera Citera
1
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara