Společnost Intel aktuálně musela přiznat další nové zranitelnosti. ZombieLoad, Fallout, RIDL útočí.
Opět platí, že Intel o těchto zranitelnostech ví už delší dobu, ale až nyní uplynula doba, po které o nich musí informovat nás, tedy veřejnost. Intel samozřejmě během té doby hledal řešení, ale opět nebyl moc úspěšný.
Nejnovější objevené zranitelnosti jsou další pokročilejší verze již dříve objevených MeltDOWN, SPECTRE, SPOILER atd. problémů. Nejnovější zveřejněná zranitelnost je nazvaná ZombieLoad (Intel ji nazývá MDS). Jde o zranitelnost rodiny Meltdown, tedy zranitelností, které se týkají prakticky jen Intelu a jeho architektury.
Opět se týkají prvků, kterými Intel zvyšoval výkon v určitých případech, kdy se to však dá použít i k získání citlivých dat z počítačů uživatelů, což se právě děje. Bohužel s tím, jak se objevují tyhle stále dokonalejší zranitelnosti, jejich objevitelé přiznávají, že získat skrz ně data, je stále jednodušší. Fungují prostě perfektně a stále jednodušeji. To už se ale nedá říci o tom, jak se proti těmto zranitelnostem bránit. Opět platí, že SW záplaty jsou jen záplaty, nikoliv řešení, a nedokáží 100% zamezit zneužití těchto zranitelností. Jediné skutečné řešení by byla změna na úrovni architektury, tedy hardware.
Intel tak aktuálně musel přijít s doporučením, že jediným spolehlivějším řešením situace je pro mnoho uživatelů jen vypnutí hyperthreadingu (HT), tedy vláken! Což ale znamená u mnoha procesorů citelný propad výkonu, a to o 5-10%, ale také až o 30-40% v extrémech! Samozřejmě opět se pracuje na SW záplatách, které by riziko zneužití této slabiny měly alespoň snížit. Ale k tomu, aby fungovaly, tak musí příslušný mikrokód pro své procesory vydat Intel, výrobci základních desek jej musí zapracovat do aktualizací BIOSU, pak musí tvůrci operačních systémů vydat další aktualizace a záplaty a stejně tak tvůrci některých dalších aplikací musí přijít se záplatami. No a samozřejmě koncový uživatel s Intel procesorem, si musí všechno aktualizovat, tedy jak operační systém (týká se Windows i Linux), tak aplikace (to je to nejjednodušší), ale současně musí i nahrát a aktualizovat nový BIOS a to i pro starší PC, a to už je problém. Drtivá většina počítačů tak zcela určitě není chráněná proti zranitelnostem Intelu, nebo jen z části, protože uživatelé nenahráli nové BIOSy apod.
Problém se opět týká všech starších Intel procesorů architektury CORE, tedy od SandyBridge až po novější COFFEE LAKE modely. Tedy drtivá většina procesorů Intel, které jsou stále dnes v prodeji, jsou zranitelné. Výjimkou jsou prý mobilní Coffee lake a novější Whiske lake a Cascade Lake, kde už byly udělány částečné HW úpravy proti Meltdown zranitelnostem a prý na MDS platí.
Z nějakého důvodu má Intel stále možnost prodávat všechny ty děravé a zranitelné čipy. Přitom řešení je tak snadné, prostě další zranitelné Intel procesory neprodávat a nerozšiřovat tak problém, který nemá řešení jiné, než vydat čipy bez zranitelností. Záplatování nepomáhá, jen věci zhoršuje a přináší další problémy, kterými trpí i ti, kteří děravé procesory nemají. (Záplatování operačních systémů a aplikací často má negativní důsledky a chyby). Zatím je situace taková, že Intel křičí na všechny: „pomoc, protrhla se přehrada!“. A zatímco se jí snaží všichni zalepit a zesílit a ucpat díry, tak Intel stále leje vodu do přehrady. To je přesný popis současné situace. Každopádně když už i Intel říká, že doporučuje některým uživatelům skutečně v některých případech vypnout HT, čímž efektivně sníží výkon procesorů o desítky %, tak už je to asi vážné. Navíc v tuto chvíli už jsou známé další zranitelnosti, které je ještě jednodušší využít, které ale Intel přizná až později, kdy uplyne ta časová lhůta, kterou má na nalezení nějakého řešení, než to bude muset zveřejnit. Samozřejmě že by se procesory se zranitelnostmi neměly vůbec prodávat, ale z nějakého důvodu se tak děje. Zatímco řada jiných vadných produktů je kvůli ohrožení uživatelů stahována z trhu a je zakázán další prodej, děravé Intel procesory se nadále vesele prodávají, a ještě s příplatkem …
Samozřejmě pro nás uživatele existuje snadné řešení. Nepoužívat děravé a nebezpečné procesory. Naštěstí na trhu existují procesory i bez zranitelností MeltDown, Spectre, Spoiler či MDS (ZombieLoad atd.). Procesory společnosti AMD byly na zranitelnosti testovány také, nicméně ani v tomto případě se jich objevené problémy netýkají. Souvisí to opět s tím, že AMD má jinou architekturu, kdy nevyužívá ty prvky, které využívá Intel ke zvýšení výkonu, a tudíž neumožňuje to jejich zneužití. Dosud se minimálně nikomu nepodařilo ani teoreticky AMD procesory napadnout tak, jak lze úspěšně mnoha způsoby napadnout a zneužít procesory Intel a počítače s nimi. AMD si samozřejmě vzhledem k pokračujícím problémům Intelu dává extra pozor, aby svou architekturu zranitelnostem nevystavovalo. Má samozřejmě tu výhodu, že na rozdíl od Intel má zcela novou architekturu, aktualizuje ji prakticky každý rok včetně nových výrobních procesů, takže může na případné problémy reagovat pružněji a rychleji. Každopádně AMD procesory jsou dnes z mnoha důvodů jednoznačně bezpečnější, zatímco u Intelu se o bezpečnosti dnes nedá hovořit, protože novou architekturu stále nemá a bez ní nemůže skutečně ty zranitelnosti opravit.
>v tomto případě se jich objevené problémy netýkají. Souvisí >to opět s tím, že AMD má jinou architekturu
Architektúra je to ako sa procesor správa javí voči SW. ak by to nebola x86 tak by AMD nešli MS Windows ya predpokaldu, že by to nebol 96-jadrový ARM od Qualcommu
Vnútorná organizácia, ktoru ste mali na mysli sa nazýva mikroarchitektúra a tú má AMD inú.
Pokiaľ viem, nikto netvrdil, že AMD nie je zraniteľné voči single threadovej verzi MDS, ale ju ani na AMD nepotvrdil. Ale tú ide opraviť v OS a oprava v Linuxe zníži výkon o 10%.
Problém je multihreadová verzia, ktorá sa AMD nemôže týkať a jediné riešenie je vypnutie SMT,ktoré pri Inteli, zníži výkon o ďalších 40%.
A pritom je to prkotina, tých pár stotisíciek tranzistorov v prediktoroch a dátových štruktúrach v CPU tam má AMD 2x pre SMT (Intelácke SMT sa volá HT) pri zdvojení počtu jadier pomocou SMT (Zen3 má mať SMT 4x alias + jadro a č vlákna) Intel ich tam má len 1x. Pri milirdách tranzistorov je to nič.
Kuaa fix, že se na tu microarchitekturu Intel nevy... Evidentně je to špatně postavené. Pochybuji, že by Intel tak zaspal a neměl něco v rukávu? To celé ty roky nic nedělal? Nebo dělal jenom RE-fresh, to by bylo dost pošetilé ze strany vedení.
Vždyť Intel i AMD úzce spolupracují, díky patentům a Intel již musel vědět několik let, že AMD má ZEN a věděl i jaký je zhruba jejich výkon. Dnes proti ZEN 3 nemá více méně nic a ještě co má je to děravé.
Ono relativne vzato cert vem, ze je to tak derava architektura (pres dva roky muzeme poridit jinou, lepsi a levnejsi), ale jak by to na cpu trhu poslednich deseti let mohlo vypadat, kdyz by cilene svou deravosti nebyly core o tolik rychlejsi? Mozna by najednou buldozery nebyly az tak spatne, jako nam mnozi vsude tvrdili.. Mozna by byly uspesnejsi a amd by melo lepsi rozpocet na Zeny a treba by byly jeste lepsi. Mozna bychom neztratili nekolik let utlumem optimalizaci pro paralelizace na multijadrovych chipech a tyto optimalizace uz mohly byt o par let dal. Intel tim svym cilenym (dnes uz o tom asi nikdo nepochybuje?) zneuzivanim nezabezpecitelnych skulin ziskal znacnou vyhodu v rychlosti architektury a vylozene tak na dlouha leta zdeformoval cely svet PC o.O
Mozna by se ale taky AMD Zeni architektura tolik nepovedla, kdyz by jim tak neteklo do bot. To se ale asi uz nikdy nedovime.
Co myslíte, že Intel celé roky dělal? Primární cíl byl zvyšovat hrubou marži a to se dařilo úspěšně, až tak úspěšně, že už nezbylo místo na tvorbu dobrého produktu.
DD microcode se dá řešit i jinak než na úrovni BIOS/UEFI. V linuxu se dá během bootu nahrát aktualizovaný microcode do procesoru a běžně se to děla:
https://wiki.archlinux.org/index.php/Microcode
dost bych se divil, kdyby to ve windows bylo jinak (pravděpodobně je součastí INF ovladače). V linuxu se dá microcode aktualizovat i za běhu tedy bez restartu (viz část Late microcode updates výše uvedeného odkazu) a to pravděpodobně ve windows nejde.
U Windows to jde taky. Kromě toho, Intel dává své microcode update přímo MSku a ty jsou následně součástí regulérních updatů.
Rozdíl je v tom, že ty co jsou součástí update nejsou "natvrdo" v BIOSu, ale jen v OS. Funkčně je to nicméně jedno.
Update UEFI BIOSu s novým mikrokódem je hračka. U starších BIOSů je to kapku opruz, ale jde to. Pro svůj CPU a desku sem ten update udělal taky. Jen se člověk musí něco trošku přiučit.
"Intel tak aktuálně musel přijít s doporučením, že jediným spolehlivějším řešením situace je pro mnoho uživatelů jen vypnutí hyperthreadingu (HT), tedy vláken!"
"Intel is not recommending that Intel® HT be disabled, and it’s important to understand that doing so does not alone provide protection against MDS."
GT: Intel nedoporučuje, aby byl Intel® HT zakázán, a je důležité pochopit, že to samo o sobě neposkytuje ochranu proti MDS.
Intel ti nemuze doporucit abys vypnul HT, protoze pak by vsechny statistiky jejich procesoru sly do kopru ... ohledne bezpecnosti je potreba mit zaplaty a vypnout HT, pak by mely byt procesory relativne bezpecne, mit zaplaty a zapnute HT je jen tezsi se nabourat a nemit HT a zaplaty tam jsou pak dalsi chyby co nejsou odvisle od HT ... takze pro paranoiky - zaplaty HT off, pro ostatni zaplaty a HT on a pro ty chytrejsi procesor od AMD
Vsechno je to urcite dulezite a problem to je. A co ma delat uzivatel jako ja ktery si v roce 2015-2016 koupil i7 6700k. Na vyber v te dobe nebylo. Pouze fx 8... a do toho se mi jit uplne nechtelo. A v nynejsi dobe nemam vykonnostni potrebu menit kdyz mi to funguje. A jestli to jeproblem ta bezpecnostni deravost tak ten procesor je v podstate neprodejny a vyhazovat do kose se mi ho taky nechce. Tak co mam delat ? Dnes bych intel nekupoval ale ja uz ho nejaky patek mam...
Pokud na pocitaci neprovozujes nejake velke bankovnictvi, nemas tam bitcoiny a nahou pritelkyni, tak proste jen zaplatovat, pokud tam mas neco co nechces aby se mohlo kdy dostat ven, tak zaplatovat a vypnout HT. Coz by melo resit velkou cast Intel der ... ale samozrejme neresi vse ostatni, deravy prohlizece, windows, lezeni na internet bez addonu NoScript, klikani vsude, instalovani cracku a tak dale a tak dale ... a mit hesla alespon v KeePassu, ne v textaku na plose ...
Jo to chápu ale jak píšeš pořád to neřeší problém dostatečně. Mě konkrétně je šumák jestli mě někdo sleduje nebo ne.. v internetovym bank. stejně musim potvrzovat sms a ve výsledku tam ma prd. Do mailu mi nevadí když se někdo dostane beztak tam mam jen maximálně účty k zaplacení a když je někdo zsplatí tsk jedině dobře. ale problém s děravostí zůstává. HT ? mam gtx 1060 a procesor vytíží max na 60-70 procent ve qhd procesor má výkonu dost tsm mě to nebolí. Ale je mrzuté že ty procesory se můžou stále dál prodávat...je to jsko prodávat auto o kterém se ví, že mu nevystřelí airbag nebo možná jednou upadne kolo. Jinak... co víc se musí stát aby ty procesory začali stahovat z trhu a vykupovali zpět od zákazníků ? Explodovat ?
Skodu roomster nepovazuji za auto ale to na veci nic nemeni. Necetl jsem cely clanek ale jaktoze ta auta se mohla prodavat ? Dieselgate a emise problem pomalu globalniho oteplovani a kdyz jde lidem o zivot v podobe nevystreleho airbagu.... Svet se zblaznil. Co kdyz to je temi vyrobci resp. Intelem chtene ? Premyslel uz nekdo nad tim i z tehle strany ? Lidi je moc a bytu malo....roomstrem a deravymi procesory to zacina a koupalistem ne na 240 ale na 400 voltu pripojene konci.(pry vyhrivane)
Ja zazil jak vypada hacknutej pocitac, jeste na X79 ... jak byli v pocitaci, upravili si BIOS, tehdy jeste nebyly chraneny certifikatama, alespon X79-UP4 se dal upravovat lehce, nahrali ho tam, takze si mohl cistit pocitac jak si chtel, upravili firmware bluetooth adapteru, ten stacilo jen zapojit do pocitace a zas meli pristup, nevim jestli do telefonu se dostali pres ten bluetooth adapter nebo pres ADB, ale dostali, nakonec jsem to nejak vycistil, ale bylo to pekne blby kdyz si blikala kamerka jak chtela, v telefonu dioda nebyla, ale pristup logicky meli taky, ten bluetooth adapter jeste nekde mam schovanej na pamatku, bios jsem prehral, telefon firmware taky, ale zarucit ze si neupravili dalsi firmare at uz v tiskarne, nebo mysi nebo klavesnici kde mi vsude bezi ARM procesory uz samozrejme odhalit nedokazu, takze ja jsem v tomto uz trochu paranoidni a zaplatuju vse co jde ... nebylo to vubec prijemny tehdy, clovek je pak docela vyplasenej ...
Já to chápu tak, že v té době o které píšeš to bylo něco nového, fascinujícího a dnes to chápu jako klukovinu. Ale dnes kdo by se chtěl takhle hrabat v osobním životě obyčejného člověka ? Chápu velké společnosti, firmy a nějak interesované zájmové osoby tou kyberčímsi v hledáčku být mohou, ale obyčejní lidé asi ne...
No proste jen rikam, ze od te doby na bezpecnost vice dbam, stejne mam Intel v notebooku, takze me to otravovani s tim nemine, ale proste kdyz jsem vybiral vnitrek stolniho pocitace, sel jsem do AMD, at si kazdej dela co uzna za vhodne, za rok se muzu otravovat s dirama v AMD, nikdo nevi co bude, ale kdyz vim co je, nebudu kupovat Intel, ze ...
No ale v realite im bude prd platne ked zakazu napriklad len Huawei. Do USA sa dovaza tolko roznych zahranicnych suciastok a vyrobkov ze nedokazu odfiltrovat ktore su realne zabezpecene od tych ktore mozu nejakym sposobom spehovat.V dnesnej dobe je mozne instalovat stenicu komunikujucu cez internet do cohokolvek pocinajuc napriklad ziarovkou.
Nehovoriac o tom ze vyrobky/suciastky mozu mat sfalsovane udaje o ich vlastnostiach a povode.V konecnom dosledku pri ultimatnej obave zo spionaze by nemohli dovazat nic zlozitejsie ako zakladne suroviny.
Samozřejmě pro nás uživatele existuje snadné řešení. Nepoužívat děravé a nebezpečné procesory.
no notebooku s core i5/7 jsou tisice, s ryzeny desitky a napriklad delly, ktery kupujeme v praci jsou v nabidkach jen 2 a ani jeden nema vyhovujici konfiguraci. k ryzenu 7 2700U daj jen 8GB!!! RAM, u 2500U maj sice 16GB ale oba pouze 256GB SSD. s tim muzou jit nekam...a u ostatnich znacek take neni nic, lenovo ma jeden po strance HW rozumnej thinkpad, ale jen oje..pardon..orezanou lowend radu E. To nevypada jako snadne reseni. a zatimco intel nabizi i 6 jadrovy cpu, tak ryzeny v noteboocich jen 4 jadra a jeste omezeny pouhymi 15W TDP...
tlačit na výrobce ať nabídnout něco pořádného, reklamovat že jsou Intel děravé a že chcete bezpečnější řešení a ne každou chvíli řešit díry, záplaty a problémy, což nikdy neskončí, protože problém je HW ne SW. ;)
tak nam prosim s tim amd trochu pomoz...poslednich 15 notebooku co jsme kupovali byli zhruba tyto https://www.alza.cz/dell-latitude-5491?dq=5341105. Rad bych od amd vykonove srovnatelnou variantu s obdobnymi rozmery. diky
A to je nějaký špatný cenový vtip 45tis notebook s i7 a integrovanou GK Intel sice s 16Giga RAM, ale ta se dá přidat vždycky SSD disk taky... To by mě zajímalo na co ty notebooky používáte, že by to nezvládli procesory AMD Rozuměj me si, to je lenost Dellu v ničem jiným problem není...
Vyvojari vyviji primarne na lokale, delame XX projektu, na kazdym delaj prumerne 4 lidi a nekteri po castecnych uvazcich na 2 i vice projektech, treba kdyz je to uz jen support. Kazdej pouziva neco jinyho podle toho co chtel/ma zakaznik (napr. db, at uz postgre/mysql/mongo a klidne vic db zaroven, podle toho pro jaky ucel se hodi, tak i nekteri pouzivaj mssql nebo oracle), nekteri pouzivaj virtualky u jinych zakazniku jiz bezi vse na dockeru...nejaka serverova infrastruktura jen pro DEV prostredi se u nas nevyplati (test, preprod, prod uz je v rezii zakazniku a v 95% tam musis lizt minimalne pres vpn).
diky tomu ze sme velmi benevolentni ohledne homeoffice a do prace chodi pravidelne jen recepcni a uklizecky, ostatni vlastne jen kdyz chcou (treba jednou za mesic pro stravenky), tak desktopy taky vubec neresime.
amd by to sice zvladlo, ale vyrazne pomaleji a je rozdil kdyz mas projekt zbuildovanej za 30min nebo za hodinu nebo za jak dlouho se ti zbuildovanej projekt spusti. 15W 4jadrovej ryzen 2700 proste neni zadnej prebornik ve vykonu a ani na to neni delanej. manazerum nebo obchodakum by ale klidne stacil...
Samozřejmě nevím na kolik jsou aplikace co vypisujete jiné v zavilosti na výkon oproti běžným aplikacím a jestli toho výkonu potřebujete na "dřeň" toho co ty notebooky dávaj, ale v běžných aplikacích Cine Bench, zpracování fotek apod. je můj mainstream ryzen 2500U jen o třetinu méně výkoný než i7 8850H, notebook s R 2500U stojí jen 15tis...
sorry hned zitra reknu klukum v ict, co za predrazeny notebooky to kupujou...ze maj kupovat ntb za 15k
vzhledem k tomu ze vyvojari si vydelavaj 70-120k mesicne, tak i kdyby rychlejsim zelezem usetrili jen 15 hodin mesicne, tak se ti to dost rychle vrati a nejpozdeji za pul roku uz vydelavas. a to za 3 roky se da starej business dell i za jeste pekny penize prodat, ntb za 15k muzes rovnou vyhodit, pokud ty 3 roky vubec vydrzi. a to se vubec nezminuju o takovych nepodstatnych vecech jako nbd zaruka...
ja bych rad mel notebook s ryzenem, protoze to co se ted deje s intely je opravdu pruser. bohuzel ale aktualne za 1. nabidka notebooku s ryzeny je naprosto tragicka a za 2. samo amd ani nenabizi zadny vykonny cpu pro ntb. proc je ale nema, kdyz v desktopu jsou ryzeny 2 5/7 super, to opravdu nechapu. ja svuj ntb budu menit az na podzim, tak snad se dockam.
V pohodě já vás chápu, jen jak jsem již psal, třetina výkonu za 30tis navíc není adekvátní a je to porovnání mainstream vs highend a když si vezmu ten cenový rozdíl je ten výkon neobhajitelný... a nic co by AMD nedohnalo pokud by výrobci notebooku od nich ty procesory brali. Tak to bylo myšleno a nehádám se o tom, že ta nabídka je furt malá
nemuzes srovnavat business ntb s nejakym lowendem za 15k, prosim te to je uplna hloupost. kdyz uz chces tak si misto toho myho dellu postlyho vyse predstav tenhle srot https://www.alza.cz/lenovo-ideapad-330-15ich-onyx-black?dq=5581644....a porad ma nejen vyssi takty ale i o dve jadra a 4 vlakna vic, nez to nejlepsi co v beznym notebooku nabidne amd.
Pouze registrovaní uživatelé mohou přidat komentář!