Акела промахнулся! В смысле, Интел обосрался

[zVlad]

То есть IBM уже готовит пачи. От чего?!

Обычная практика IBM - до появления патчей они не признают наличия уязвимости. Это касается не только z, всех продуктов компании.
Я думаю, что Влад в курсе, но просто грубо троллит народ. И успешно - один уже в бане.

Нет, я ничего такого не знаю, не в курсе. Но как человек с опытом в ИТ я знаю что любым изменениям в железе ли в софте ли предшествует изучение проблемы, поиск лучших вариантов решения и лишь затем создание патча.
То что у кого-то с чем-то произошло вообще не означает что и у нас те же проблемы.
Когда у соседа ломается холодильник Вы ведь не бежите покупать новый?
На мой взгляд (я могу ошибаться - нет информации полной) упоминания System z в перечнях RedHat и Novel (и это я тоже уже говорил выше) означает две вещи: что существует zLinux, и что в Linux-e есть общие для всех платформ, где его гоняют, проблемы. То что IBM по своим каналах доложет о результах работы по этим проблемам это ничего кроме формальной информации о формальных процедурах.
Терпение, рябята, терпение. Все узнаем и я все вам доложу на русском языке с пояснениями и признаниями если я хоть в чем то был не прав в своих предположениях.
И еще раз хочу обратить ваше внимание на то что этим лето, читая о внутренностях Windows и Intel я не раз отмечал что и там и там есть дыры. Доки об этом прямо говорили и я их видел сам, и был уверен что если потратить время то можно нарыть даже к тому что выявили сейчас.
Например, драйверы устройств. Они работают как части ядра. Да их не установишь если Microsoft не "подпишет" их. Но ребята, это уже защита на уровне людей, а людец всегда можно обмануть, подкупить, наконец заставить ("Бриллиантовая рука" ).
В zOS то что делают драйверы разнесено на две части. Одна часть выполняется в пользовательском пространстве и готовит канальные программы для выполнения ввода-вывода, а вторая часть находится в ядре, она одна для всех устройств и она только от IBM, которая проверяет допустимость выполнения такой канальной программы от такого пользователя на таком устройстве или его части, и запускает выполнение канальным процессором.
В результате никто ничего привнести в систему через программное обеспечение устройства так чтобы оно выполнялось как часть ядра НЕ МОЖЕТ. Почувствуйте разницу.

[zVlad]

Не о том мы вообще говорим. На том что что-то ресерчеры обнаружили и девелоперы создали патчи история еще не заканчивается. И особенно это касается облаков. Там предполагается делать глобальные перезагрузки чтобы активировать изменения. К чему они приведут мы увидим скоро, но вот неплановая перезагрузка в одном из регионов Амазона привела к 11 часовому outage. Хорошо что клиенты у них не имели прав требовать компенсации за простой.
Что сейчас будет? Поднимутся ли вообще некоторые облака? Можно ли будет восстановить всю информацию в случае ее потери от неудачной перезагрузки? Есть ли на крайний случай DR и сработает ли он?
Вот что интересно будет посмотреть на самом деле. Конечно я желаю всем пройти эту процедуру безболезнно и остаться в живых. А если не получится? Какие репутационные потери может это повлечь? Какие технологии могут быть признаны недееспособными?
Вот что, на мой взгляд, будет интересно посмотреть.

[Flash-04]

Влад, в Windows много уровней защиты от загрузки фальшивых драйверов. Там довольно неплохо все продумали.

[Flash-04]

Насчёт того что в Windows все драйвера выполняются как часть ядра - это было раньше.
https://docs.microsoft.com/en-us/window ... df-drivers

[Flash-04]

В результате никто ничего привнести в систему через программное обеспечение устройства так чтобы оно выполнялось как часть ядра НЕ МОЖЕТ. Почувствуйте разницу.

Чего это нельзя? Можно. Вы же не думаете что IBM Z OS само себя собирает без участия людей?

[f_evgeny]

Не о том мы вообще говорим. На том что что-то ресерчеры обнаружили и девелоперы создали патчи история еще не заканчивается.

Вы вообще не поняли всей глубины падения! История не закончится на патчах, т.к. патчи это воркэраунд и мелочи. История закончится когда:
- Выпустят новые процессоры. А это для Интель, наверное через одно поколение, т.к. следующее поколение уже есть и править его уже поздно.
- Заменят старые процессоры. А это вообще неизвестно гогда произойдет.
В общем все это очень интересно.

[zVlad]

Влад, в Windows много уровней защиты от загрузки фальшивых драйверов. Там довольно неплохо все продумали.

Я знаю только один - "подпись" Microsoft. Т.е. прохождение верификации драйвера у производителя ОС.

[zVlad]

В результате никто ничего привнести в систему через программное обеспечение устройства так чтобы оно выполнялось как часть ядра НЕ МОЖЕТ. Почувствуйте разницу.

Чего это нельзя? Можно. Вы же не думаете что IBM Z OS само себя собирает без участия людей?

Я имел в виду что zOS, ядро, так или иначе собирается из того только что либо написано самим IBM, либо владелецем собранной системы, либо теми кому владелец доверяет. Причем каждый такой случай требует специальной процедуры, которую выполняет не просто администратор, каковым в случае Виндовс чуть не каждый пользователь является, а специальным образом авторизованный юзер. И автоматически, дистанционно, такую процедуру выполнить не возможно.
Я еще не читал ссылку на то что драйвера не часть ядра, хотя я уже подозреваю о чем там речь и прадварительно предположу что им даются некие "псевдо" возможности ядра, что в итоге одно и тоже.
Глянул таки ссылку слегка. User mode, kernel mode, split into user, and kernel - все это как раз те выверты когда нет хорошей, прямой и ясной процедуры, в которой, если порыться целево, можно найти "тайные тропинки" куда вроде бы нельзя, но если очень хочется то можно.

[zVlad]

Не о том мы вообще говорим. На том что что-то ресерчеры обнаружили и девелоперы создали патчи история еще не заканчивается.

Вы вообще не поняли всей глубины падения! История не закончится на патчах, т.к. патчи это воркэраунд и мелочи. История закончится когда:
- Выпустят новые процессоры. А это для Интель, наверное через одно поколение, т.к. следующее поколение уже есть и править его уже поздно.
- Заменят старые процессоры. А это вообще неизвестно гогда произойдет.
В общем все это очень интересно.

Вы, и любой другой форумчан, можете не утруждать себя повторениями вновь и вновь того что я либо чего-то либо вообще ничего не понимаю. Я и не претендовал никогда на знание всего и вся.
А так Вы верно расширили мои опасения что история только начинается и еще будут продолжения с новыми багами и design flaws.
О новых поколениях процессоров. Z процессоры работают под управлением микрокода и какие-то, достаточно многие измения в работе процессора, делаются через изменение микрокода. Когда мы встречаемся с представителями ИБМ то нам обязательно дают информацию об этих изменениях и их причин. Потом планируется работа по внесению этих изменений микрокода на наших mainframe, которые всегда делались динамически с полной активацией всех изменений без импакта на работу.

[Dmitry67]

Я прочитал технические детали, там все очень интересно. Не поленитесь. Meltdown и Spectre совсем разные вещи, если первый действительно очень тонкая бага, то второй аффектит почти все современные процессоры, и как с этим бороться глобально а не затычками пока непонятно

[zVlad]

Я прочитал технические детали, там все очень интересно. Не поленитесь. Meltdown и Spectre совсем разные вещи, если первый действительно очень тонкая бага, то второй аффектит почти все современные процессоры, и как с этим бороться глобально а не затычками пока непонятно

А что там во втором такогь тонкого то? Как я понимаю с branch-prediction и out-of-order execution несколько пренебрегают контролем статуса выполняемой програмы и могут частично выполнить привелигированную команду в проблемном статусе, так что команда завершается аварийно, но данные уже предоставлены оказываются. Проверку надо было делать вовремя, в начале, а не в конце вот и все. Может что не так - поправьте.

[Dmitry67]

Я прочитал технические детали, там все очень интересно. Не поленитесь. Meltdown и Spectre совсем разные вещи, если первый действительно очень тонкая бага, то второй аффектит почти все современные процессоры, и как с этим бороться глобально а не затычками пока непонятно

А что там во втором такогь тонкого то? Как я понимаю с branch-prediction и out-of-order execution несколько пренебрегают контролем статуса выполняемой програмы и могут частично выполнить привелигированную команду в проблемном статусе, так что команда завершается аварийно, но данные уже предоставлены оказываются. Проверку надо было делать вовремя, в начале, а не в конце вот и все. Может что не так - поправьте.

Поправлю
Данные разумеется НЕ предоставляются. Вы что думаете, в партии дураки сидят?

Но прочитанное значение попадает в кэш. Этого тоже мало для атаки: вы можете читать память, но не можете читать кэш directly. Но: с помощью хитрости, которая замеряет время доступа к памяти, можно понять, есть ли данные в кеше. Это позволяет извлекать данные по одному биту за тест.

[Dmitry67]

то второй аффектит почти все современные процессоры, и как с этим бороться глобально а не затычками пока непонятно

Так как Spectre атака основана на тайминге, то FireFox остроумно заткнул эту проблему - тупо занизил частоту таймера.
Тем самым отсекая атаку со строны JS.
https://www.mozilla.org/en-US/security/ ... sa2018-01/

Йеее!
Вернемся к истокам, даешь фон неймановскую машину!