Processador Vulnerabilidade MeltDown / Spectre (aka Kaiser bug)

Engraçado, a Intel já alterou o Microcode Guidance que tinha colcoado na página anterior, de dia 26 de Fevereiro, agora o que existe é de dia 1 de Março

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf

se reparares o teu, que é um Ivy Bridge ainda está em beta, convinha que quando o lançar a Intel tenha a certeza que não vai dar barraca.

Em relação á performance as maiores perdas como disse são em ambiente de servidores.

Reckoning The Spectre And Meltdown Performance Hit For HPC
https://www.nextplatform.com/2018/01/30/reckoning-spectre-meltdown-performance-hit-hpc/

Describing the performance impacts to security patches for CVE-2017-5754 CVE-2017-5753 and CVE-2017-5715
https://access.redhat.com/articles/3307751
 
Quem é o joaoameixa?

Não leves a mal, mas os gajos da Azure (Microsoft), AWS, Baidu, e outros serviços de cloud, storage e afins devem ser alvos mais apetecíveis que tu, o que não quer dizer que não possas vir a ser afectado, além de que estes são aqueles cujos workloads são precisamente os mais afectados ;)

Pois mas eu acho que o ponto de vista do joaoameixa bastante na mouche e isto da Intel cortar curvas para ter mais ganhos e passar a concorrência e depois desleixar-se e borrifar-se para os utilizadores/clientes é muito mau, eu por acaso estou na Team Red pela primeira vez e acho que vou ficar, esse monopólio todo de um lado só faz mal e quem paga somos nós como sempre.
 
@Dark Kaeser claro que sim, mas isso eu sei perfeitamente que a probabilidade de nós utilizadores normais sermos afectados deve ser de 0,1% mas não deixa de ser uma hipótese e a Intel deveria-se responsabilizar por isso.

A questão da segurança aqui até pode ser a menos impactada (para nós) mas e as performances? Houve pessoal a perder quase 50% da perfomance, seja processador ou discos, pessoal que pagou balúrdios por um processador + motherboard + ssd's e agora fica a chuchar no dedo?

Eu estou a falar sem estar muito dentro do assunto mas ... sabem se a Intel deixou algum recado para o pessoal que está por exemplo na minha situação? pessoal com CPU mais antigos (sandys e ivy bridges) que não têm qualquer patch para resolver a situação?

Isto faz-me lembrar aquela situação que acontece tantas vezes com automóveis, que é detectado um problema e os mesmos são chamados à fabrica sem qualquer custo para a pessoa.

Bem na industria automóvel ainda há bastante concorrência. Por sua vez a Intel tem o monopólio em algumas áreas que é aqui o caso dos processadores x86 pelo que "eles fazem o que bem entenderem".

A culpa também é da comunicação social, pois mesmo havendo falhas de extrema gravidade como estas, nunca vi uma notícia sobre o tema nos canais de noticias ou nos canais generalistas. No caso da industria automóvel já se sabe o que foi com o caso da VW e das emissões aldrabadas.

No fim de contas todos nós temos a nossa quota de responsabilidade para estas coisas chegarem a este ponto. E quem me diz que não haverá mais bugs deste tipo e que estejam a ser explorados? Para mim é extremamente preocupante estas coisas estarem nas mãos de empresas monopolistas.
 
Acho piada ao pessoal que vem para aqui chorar que a intel se devia responsabilizar...

1º não foi só a intel, foram praticamente todos os fabricantes de processadores, ou seja existem telemóveis, routers, televisões, frigorificos e por aí fora que precisam de kernels, so, firmware etc actualizado. Achas que isso vai ser feito?

2º mesmo que a intel mande mc atualizado para gerações mais antigas (e parece que estão a fazer) cabe por último aos fabricantes de mb actualizar as devidas bios, o que me parece que não vai acontecer.

3º grande parte desses produtos estão fora da garantia e não comprarem com os carros que não tem nada a ver, normalmente nos carros fazem isso porque são problemas que são ou podem ser activamente prejudicais à vida. As regras aí são outras, e voltando a repetir a probabilidade de virem a ser afectados é muito pouca. Acho que os únicos que se podiam queixar devidamente são quem tem produtos dentro de garantia, faz o update vai perder performance.
 
@godevskii não é chorar, é a realidade, tu se comprares um produto que anuncia X e depois sabes que afinal a potência não é X mas sim Y, tu tens todo o direito de reclamar.

Eu lembro-me que quando comprei o meu PC, passado um tempo disseram que um disco X (que era o que eu usava) tinha possibilidades baixíssimas de vir a sofrer uma quebra de perfomance e que se o pessoal quisesse era só dizer que eles procediam à troca, eu na altura não quis porque a % de isso acontecer era mínima.

O que é certo é que passado quase 2 anos o disco começou a ter problemas (os tais que poderia acontecer) e tiveram que me trocar o disco.

normalmente nos carros fazem isso porque são problemas que são ou podem ser
activamente prejudicais à vida
Então mas... e se fores hackeado através desta falha de segurança? Se tiverem acesso às tuas contas bancárias? Se transferirem dinheiro ou fizerem pagamentos em teu nome?
A culpa é de quem? tua?

Ah e tal a % de isso acontecer é de 0,1% , pois é, na altura dos discos a % tambem era essa (tanto que quase ninguém procedeu à troca), o que é certo é que passado uns meses começou tudo a notar falhas de perfomance.

Imagina aqueles que deram 1000€ por um processador e mais 500€ por um SSD e que agora vêm a perfomance deles cair, ficam como?

Isto é igual a tu comprares um carro com 300cv e mais tarde sabes que o mesmo tem um problema de fábrica, vais à oficina e a solução é sacarem-lhe 200cv para ficar a funcionar sem problemas, e sais de lá com um carro com 100cv , como te sentirias?
 
O atacante. O atacante é o responsável.
Nao e bem assim, e o mesmo que dizer que quem deixa a porta de casa aberta e vai passear, chega a casa e tem a casa limpa vai responsabilizar apenas e so o assaltante. Experimenta dizer isso a tua companhia de seguros...

Ha uma falha de seguranca e a intel deve assumir responsabilidades e de alguma forma remedear/rectificar essa mesma falha. No entanto aqui ela esta dependente de terceiros... Logo a culpa morre solteira!
 
Hum?!
A responsabilidade do assalto é do assaltante. A culpa por um crime é sempre de quem o comete.

Que existam clausulas em contratos de seguros que podem isentar a devolução dos danos causados isso já é outra conversa.
 
Então mas... e se fores hackeado através desta falha de segurança? Se tiverem acesso às tuas contas bancárias? Se transferirem dinheiro ou fizerem pagamentos em teu nome?
A culpa é de quem? tua?

Man quando eu digo, prejudiciais à vida, estou a falar literalmente, limparem-te a conta bancária não é directamente prejudicial à vida mas sim prejudicial à carteira. E sim a culpa, perante o banco, vai ser tua se não cumprires com determinados requisitos de segurança.

Imagina aqueles que deram 1000€ por um processador e mais 500€ por um SSD e que agora vêm a perfomance deles cair, ficam como?
Por essa lógica o pessoal pega em todo o material electrónico mesmo aquele que tem uma dezena de anos e diz, isto custou-me um balurdio e agora não está protegido quero euros... lol....
 
A questão é mesmo essa... os requisitos de segurança não sou eu que não os estou a cumprir, são os processadores.
Eu não tenho maneira absolutamente nenhuma de me proteger contra isto porque o meu CPU não tem qualquer patch, nem existe qualquer bios nova para a minha Board já à mais de 5 anos, vou fazer o que?

Eu falo por mim, o meu processador está exposto e para além de já não ser um processador novo com as melhores capacidades, caso metam a patch ainda vou perder mais perfomance, achas isso normal? E depois ainda vou perder perfomance no meu SSD, tambem é normal?

isto custou-me um balurdio e agora não está protegido quero euros
Então mas este problema não aconteceu? É alguma invenção dos utilizadores?

Mas volto a perguntar, diz-me @godevskii se comprares um carro de 300cv por 100 mil € e passado 2 anos o teu carro for chamado à oficina porque te têm que tirar 200cv ao mesmo (ficando ele com apenas 100cv) por questões de segurança, o que é que tu fazias?
 
Eu não tenho maneira absolutamente nenhuma de me proteger contra isto porque o meu CPU não tem qualquer patch, nem existe qualquer bios nova para a minha Board já à mais de 5 anos, vou fazer o que?

Errado man, tens como te proteger compras outro processador, e perante o banco com esse argumento não ganhavas ainda por cima estavas a admitir que sabias do problema e mesmo assim arriscas-te.

Esquece essa dos carros, são coisas completamente diferentes...Nem te posso dizer o que faria porque só com a situação concreta nas mãos é que podes ponderar, mas se estás assim com tantas dúvidas vai ter com alguém de direito para ficares a saber se tens direito a ser ideminizado pela intel.

Fica por aqui o offtópic da minha parte.
 
Então mas Intel lançou os Coffee Lake mesmo sabendo que estavam vulneráveis a Spectre e Meltdown, não achas isso má politica da parte deles? O que eles fizeram foi lançar algo a correr por causa dos Ryzen.

"By the time Intel launched its 8th generation Core "Coffee Lake" desktop processor family (September 25, 2017, with October 5 availability), the company was fully aware that the product it is releasing was vulnerable to the three vulnerabilities plaguing its processors today, the two more publicized of which, are "Spectre" and "Meltdown." Google Project Zero teams published their findings on three key vulnerabilities, Spectre (CVE-2017-5753 and CVE-2017-5715); and Meltdown (CVE-2017-5754) in mid-2017, shared with hardware manufacturers under embargo; well before Intel launched "Coffee Lake." Their findings were made public on January 3, 2018. "

"Intel's engineers would have had sufficient time to understand the severity of the vulnerability, as "Coffee Lake" is essentially the same micro-architecture as "Kaby Lake" and "Skylake." As one security researcher puts it, this could affect Intel's liability when 8th generation Core processor customers decide on a class-action lawsuit. As if that wasn't worse, "Skylake" and later micro-architectures could require micro-code updates in addition to OS kernel patches to work around the vulnerabilities. The three micro-architectures are expected to face a performance-hit, despite Intel extracting colorful statements from its main cloud-computing customers that performance isn't affected "in the real-world." The company was also well aware of Spectre and Meltdown before its CEO dumped $22 million in company stock and options (while investors and the SEC were unaware of the vulnerabilities)."

Se achas que isto é culpa de quem compra então a mim não me apanham a comprar Intel tão depressa.
 
Eu não tenho maneira absolutamente nenhuma de me proteger contra isto porque o meu CPU não tem qualquer patch, nem existe qualquer bios nova para a minha Board já à mais de 5 anos, vou fazer o que?

Tens um smartphone que já não recebe updates. Descobriu-se uma vulnerabilidade muito grave para o sistema operativo do mesmo que permite a qualquer pessoa hackear? O que fazes?

É a mesma coisa e isso está constantemente a acontecer.

Olha por exemplo os processadores Arm que têm exatamente o mesmo problema mas toda a gente parece querer esquecer e só têm olhos para a Intel. Os Arm devem estar em 99% dos smartphones no mundo? Quantos vão receber o patch?
 
não sei se isto nos USA não dava direito a uns belos trocos, ao processar a intel

quanto a essa questão do banco, procurem um acordão da relação, relativo ao uso da banca online
 
Não! Nos EUA? Achas? :004:

Intel is facing 32 lawsuits over Meltdown and Spectre security flaws
https://www.cnbc.com/2018/02/16/intel-facing-32-lawsuits-over-meltdown-and-spectre-flaws.html

EDIT: mas continuo a dizer que mais que o $£€ que tenham de eventualmente vir a pagar seja como indemnização ou multas, o pior será o dano na reputação, isso é mais difícil de avaliar.

E para além de alguns congressistas e/ou senadores terem pedido explicações a todos os envolvidos, desde a Alphabet (google), Intel, AMD, ARM e por aí fora, é a Intel que está sob a luz dos holofotes, pelos piores motivos

Intel did not tell U.S. cyber officials about chip flaws until made public
Intel did not tell the United States Computer Emergency Readiness Team, better known as US-CERT, about Meltdown and Spectre until Jan. 3, after reports on them in online technology site The Register had begun to circulate.

US-CERT, which issues warnings about cyber security problems to the public and private sector, did not respond to a request for comment.

Intel said it did not inform government officials because there was “no indication that any of these vulnerabilities had been exploited by malicious actors,” according to its letter.

Intel also said it did not perform an analysis of whether the flaws might harm critical infrastructure because it did not think it could affect industrial control systems. But Intel said that it did inform other technology companies that use its chips of the issue, according to its letter.
https://www.reuters.com/article/us-...ut-chip-flaws-until-made-public-idUSKCN1G62PS

Isto não notícias de rumores em sites obscuros de IT dos quais ninguém ouviu falar, são publicações da área económico/financeira.

Desde os primeiros rumores que ficou a sensação que a Intel foi apanhada com as calças na mão, e a resposta foi um comunicado, um PR em que pareciam desvalorizar a importância disto tudo e o impacto, e de repente viram-se envolvidos numa bola de neve que os obrigou até a recorrer a uma empresa cujo negócio é gerir crises.
 
Última edição:
Hum?!
A responsabilidade do assalto é do assaltante. A culpa por um crime é sempre de quem o comete.

Que existam clausulas em contratos de seguros que podem isentar a devolução dos danos causados isso já é outra conversa.
So um aparte para acabar com o off-topic: embora a cupla seja do assaltante a nivel do crime, quem foi assaltado foi tambem negligente ao nao tomar as precaucoes necessarias!
 
"By the time Intel launched its 8th generation Core "Coffee Lake" desktop processor family (September 25, 2017, with October 5 availability), the company was fully aware that the product it is releasing was vulnerable to the three vulnerabilities plaguing its processors today, the two more publicized of which, are "Spectre" and "Meltdown."
Eu já achava mal ainda não existir correção para o bug e estarem na mesma os cpus à venda, agora saber que os cpus tem defeito e mesmo assim serem lançados como se nada fosse, épa nem sei que dizer... Na minha empresa quando os espanhois se queixam de algum defeito de fabrico que está lá mas que não interfere com nada e muitas vezes quase nem dá para notar, somos obrigados a rever milhares e milhares de peças à mão porque faz parte das nossas normas de qualidade e entretanto há empresas a saber que o produto tem defeito e a lançar na mesma, OK mundo, OK...
 
So um aparte para acabar com o off-topic: embora a cupla seja do assaltante a nivel do crime, quem foi assaltado foi tambem negligente ao nao tomar as precaucoes necessarias!

Pois é isso vais na rua e és assaltado e também és culpado devias ter deixado a carteira e o telemóvel em casa pra te precaver!? Bem pronto isto já é offtopic a mais.

@palac3 Mesmo.
 
So um aparte para acabar com o off-topic: embora a cupla seja do assaltante a nivel do crime, quem foi assaltado foi tambem negligente ao nao tomar as precaucoes necessarias!

Isso não existe juridicamente.
O facto de alguém se proteger mais ou menos é sua decisão, se alguém rouba é o culpado a 100%.

Se deixares 10000€ (o valor que quiseres imaginar) em cima de uma mesa no limite interior da tua propriedade e alguém os retirar é tão roubo como deixares dentro de um cofre e alguém o vandalizar para roubar.

Relativamente ao tópico é miserável a atitude da intel. Claramente sabia do problema e encolheu os ombros.
Mas como alguém já disse, existem inúmeros outros artigos electrónicos com falhas gigantes de segurança que nunca serão resolvidos. Estão tão revoltados com os processadores, mas provavelmente o maior risco está no router de casa, por exemplo, e ninguém se insurge.
 
Back
Topo