Problémy nekončí, Intel přiznává další a objevily se i nové. Intel AMT je další díra.
Ačkoliv se na všechny problémy přišlo už před půl rokem, vše bylo drženo v přísném utajení. Jednak kvůli tomu, aby se o obrovské bezpečnostní díře nedozvěděli ti, kteří by ji rádi využili, ale také proto aby byla připravena a otestována řešení a záplaty. Samozřejmě Intel také nechtěl, aby jeho procesory přestaly firmy a lidi kupovat. Nicméně problémy zdaleka nekončí …
Záplaty MELTDOWN a SPECTRE snižují výkon a dělají PC nestabilní!
Někteří se snaží problém MELTDOWN a SPECTRE zcela nemístně zlehčovat a snižovat jeho závažnost, přitom si neuvědomují, kolik rovin tenhle obří problém znamená. Zejména MELTDOWN díra v procesorech Intel a některých ARM je obrovský problém, který fakticky nemá řešení. Záplaty se totiž snaží ošetřit vlastnost a architektonický prvek, který je součástí Intel procesorů už desetiletí a využíván v široké míře. Nejen že snižuje výkon znatelně v mnoha aspektech, ale řada počítačů má i velké problémy se stabilitou.
A týkají se jak klasických počítačů, tak serverů. Problém je zkrátka v tom, že MELTDOWN je hluboko v systémech procesorů, a hlavně v aplikacích a překladačích. Ačkoliv Intel a výrobci operačních systémů pracují na záplatách už dlouhé měsíce, stejně se nedaří věci dotáhnout a jen těžbo mohou být otestovány všechny procesory a všechny aplikace, které MELTDOWN zranitelnost a prvek architektury využívají. Bohužel z naší vlastní zkušenosti, kdy jsme aktualizovali některé starší počítače, tak nejen u nich klesl výkon (herní výkon je negativně znatelně ovlivněný minimálními FPS), občas se počítač nedařilo ani nastartovat do Windows a pak byl stejně nestabilní a restartoval se. Tyto problémy hlásí velké množství uživatelů a Intel je také oficiálně už přiznává.
Prý pracuje na jejich odstranění, ale není schopen říci, kdy a zda se to vůbec podaří. Mezitím útočníci pracují na využití MELTDOWN problému, protože spousta počítačů zabezpečena ať záměrně, či ne, prostě nebude. To je noční můra vše bezpečnostních analytiků a správců systémů. Protože tyto počítače mohou po napadaní představovat další rizika pro všechny ostatní. Ovšem i když nakonec zabezpečení některá PC dostanou, sníží se jejich výkon a jak je vidět v mnoha případech, značně negativně ovlivní jejich funkčnost a stabilita. Kvůli SPECTRE zranitelnosti týkající se vše AMR i x86 procesorů, se musí velmi hluboko zasahovat i do překladačů programů, a tak problémem není ovlivněn jen Intel, ale i další výrobci, i když přeci jen výrazně v menším měřítku. Za což samozřejmě může prostý fakt, kolik serverů, datacenter a počítačů všeho druhu za posledních 10 let používá Intel procesor, které mají největší díry v sobě a vyžadují největší zásahy.
Problém dělají ty opravy i proto, že je zejména Microsoft ani pořádně netestuje. A prostě je vydává a doufá. Tak to zatím vypadá …
Výkon iPhone 6 klesl o 40% po opravě SPECTRE
I některé ARM procesory trpí jak SPECTRE, tak dokonce MELTDOWN problémem. Procesory Apple v iPhone 6 by měly být mezi nejspotiženějšími, a stejně jako ostatní tvůrci operačních systémů, i Apple vydalo bezpečnostní aktualizaci pro iOS, která to má řešit … Řeší, ovšem za cenu poklesu výkonu, kdy mezi ošetřeným a neošetřeným iPhone 6 uživatelé naměřili 40% pokles výkonu! Au ….
A další bezpečnostní díra jako vrata u Intelu: AMT
Společnost Intel ale zdá se už nějakou dobu ví i o dalším problému, který se nyní dostal na veřejnost i s praktickou ukázkou využití této zranitelnosti, která je v mnoha počítačích s Intel procesory. Problém je v AMT (Active Management Technology), což je Intel technologie, která dovoluje vzdálenou aktualizaci systému a administrátorům tak ulehčuje práci. Jenže se přišlo na to, že tahle technologie není zabezpečena pro triviální zneužití a přístup do sebe zabezpečenějšího počítače.
Velice jednoduchým způsobem, se tak dá do jakéhokoliv počítače s touhle technologií nabourat, musíte mít k němu jen fyzický přístup, pak už ale můžete cokoliv a to i vzdáleně bez fyzického přístupu k němu. Uživatelům nepomohou žádná hesla, firewall ani jiná bezpečnostní opatření. V BIOSu totiž není v základu změněno heslo „admin“, které je tam z výroby pro AMT, a které v podstatě nikdo z uživatelů ani administrátorů po počítačů nemění. No a pak už má útočník cestu otevřenu a následně k čemukoliv i vzdáleně.
Problému lze částečně předejít změnou tohoto AMT hesla, ale to nemusí stačit. Problém je, že u řady PC to nikdo neudělá a mohou být už tak klidně zneužity nebo zneužívány. Intel už před časem vydal výrobcům PC doporučení, ale veřejně se o tom nemluvilo. Opět hlavně proto, že je to další obří díra s naprosto primitivně jednoduchou zneužitelností, která je součástí obrovského počtu počítačů s Intel procesory. Bezpečnostním expertům a administrátorům by ale měla být známa už více jak půl roku. Veřejně se o ní dozvídáme až nyní. Každopádně tohle jsou hodně velká otevřená vrata v počítačích s Intelem, a i ta zůstanou u mnoha počítačů a systémů otevřena dokořán.
Jediné skutečné řešení je fyzická výměna procesoru za ty bez děr
Všechny problémy mají jedno jediné skutečné řešení, fyzickou výměnu procesorů a platformy za ty bez děr. Záplaty a update operačních systémů problém neřeší, jen ho obchází za cenu mnoha dalších problémů a bez aktualizací mikrokódu (BIOSu) nejsou ani plnohodnotnou záplatou. Jediným skutečným řešením je fyzická změna architektury procesoru, tedy procesoru i platformy. Intel však v současnosti nenabízí žádné řešení, nemá žádný procesor a platformu, který by MELTDOWN, SPECTRE i AMT díry v sobě neměl. I nejnovější SKYLAKE-X či KABY LAKE a COFFEE LAKE všech verzí, mají tyhle chyby a mít je vždy budou.
Už nyní je jisté, že se 100% záplatovat věci nepodaří, že budou existovat jak výkonové problémy, tak problémy se stabilitou počítačů. Intel se už nechal slyšet, že u další generace procesorů si bude dávat větší pozor a údajně nyní bude upřednostňovat bezpečnost před výkonem. V současnosti však Intel nenabízí žádný procesor, který by se za bezpečný dal objektivně označit. Na takový si od Intelu budeme muset až dva roky počkat, než dorazí s 10nm ICE LAKE s výrazněji upravenou a opravenou architekturou CORE. I ostatní výrobci ale budou muset ošetřit SPECTRE zranitelnost, která je naštěstí ale mnohem menším problémem než MELTDOWN a AMT, ovšem její záplatování přidělává taktéž problémy se stabilitou i výkonem pro všechno, co na x86 i ARM funguje. Tedy všechno! A pokud tomuhle chce někdo říkat malý problém, tak pak nevím a snad ani nechci vědět, jak by vypadal velký problém …
BTW: musím říci, že osobně jsem v posledních dnech zahlcený dotazy uživatelů, kteří po updatech mají problémy s počítači, které vůbec nejedou, nebo padají. Jak jsem řekl v předchozích článcích, bohužel celá věc je extrémně závažná a nevídaným dosahem a většina si neuvědomuje, jak obrovský je to problém. Ta zranitelnost je zcela reálná a bohužel bude terčem všech „zlých“ útočníků a hackerů a zabezpečení je tedy naprosto bez debat nutné. Ale jak bylo řečeno i v tomto článku, vzhledem k povaze věci a faktu, že jde o jádrovou záležitost týkající se stěženích věcí jak mnohé aplikace a procesy deset let fungovaly, lze očekávat prostě pokles výkonu i nestabilitu. Žádná dokonalá rada v současnosti není. Fyzicky vyměnit procesor a vlastně počítač za ten „bez děr v architektuře a technologiích“, je jedna z možností, ale má své komplikace a nemalou cenu. Pro ty, co už problém mají se stabilitou apod. tak najet ze zálohy, bodu obnovení, případně nová instalace OS (či přehrání staršího BIOSu) a buď nainstalovat ty poslední aktualizace a BIOS, které dělají problémy, ale záplatují problém, a doufat že to pojede, anebo je neinstalovat a také doufat že to pojede a nebudete první na ráně.
Osobně jsem naštěstí nedávno ještě bez znalosti aktuálních bezpečnostních problémů u většiny PC v mém okolí dokončil přechody na AMD RYZEN platformy (většina strojů to potřebovala po letech), s výjimkou několika notebooků, kde to není tak jednoduché vzhledem k mizerní nabídce výrobců mobilních RYZEN PC, a u všech těchto RYZEN PC se problémy zatím ani po aktualizaci nevyskytly ani pokles výkonu není měřitelný. Vše funguje bez potíží (nepřekvapivě, je to to nejnovější a pokud tedy alespoň něco někde MS testoval kolem oprav, tak určitě tuhle platformu jako aktuální). U několika starších hlavně Intel sestav (mají je i Athlon X2 2000-6000, ale ty už v mém ukolí níkdo neprovozuje) ale problémy v okolí řešíme :(. Zatím jsem tedy u některých PC vrátil aktualizace a jsou tedy zranitelné a doufám ve vydání lepších opravných balíčků a BIOSů (ale velké naděje tomu nedávám). Později budeme muset řešit fyzické nahrazení, což zamrzí jemména jen o 2-4 roky starých PC s Intelem, které by jinak ještě sloužit mohly, ovšem s těmi dírami a ošetřením které je řeší jen částečně a za cenu nižšího výkonu a nestabilit, je to problém. Pokud vás vaše bezpečnost nijak netrápí, pak můžete být v klidu, aktualizace zatím neinstalovat. Pokud vás trápí, jsou třeba radikálnější kroky …
mne asi predvcerom dosla tato akoze zaplata a musim povedat, ze na mojej i5 (ntb) to celkom znizilo vykon, win nabehuje pomalsie, i ked problem so stabilitou nemam, vcera som skusal aj war thundera hrat a mam asi tak o 10% nizsi vykon, ako kedy
celkovo ntb viac huci, hreje a cpu mam kus viac vytazeny, co ma serie kedze je to lenivo a ten ma (aspon na tomto modeli) natrt vyriesene chladenie a s ventilatorom nemozem nijako manipulovat (nastavit vyssie otacky)
Především se nějaká podobná funkcionalita která umožnuje AMT neměla vůbec uvádět. Tím by nevznikl problém. Meltdown to je ta chyba, ktera umzonuje cist po jednom bitu, pomerne slozite, chranenou pamet? Bože to je obrovskej problém, spíš teda pro datacentra, datacentra se servery napadenymi nejakym exploitem kterej zkousi cist pamet.
Bohužel musím pracovat a to se na nestabilnim stroji moc nedá, a kdo nepracuje ať nejí, tak smůla, tyhle záplaty vynechám.
A NB w7 se zakázanými aktualizacemi. Byly tam 10. Ale nejsou. Někdo v Intelu jede v podvodu století. Někdo chtěl, aby byly všude Intely. Intel si to přál, ale někdo tomu hodně pomohl. A pomáhá tomu i početná komunita užitečných idiotů. Tak už aspoň víte, co počítají farmy. Dávají dokopy informace, třídí a řadí 1 a 0 ke konkrétním jménům. :-) Hledají, pátrají a nalézají. A funguje to.
U rodičů na počítači po poslední záplatě W10 modrá obrazovka při startu do windows - procesor Core 2 duo... po čisté instalaci a nahrání všech aktualizací zase BSOD. Testuje to vůbec v tom M$ někdo?
To samý. Update a BSOD. W7 a i5 3570k. Obnovení systému naštěstí pomohlo ale až na druhý pokus, napoprvé nejspíš taky pád. Nejhorší je ten pocit, jestli po vypnutí (ne)pojede.
1) Je to AMT, nikoliv ATM. V článku je to domotané a jak vidím diskuzi, tak to motají i čtenáři.
2) Oldisovi bych přál dělat jako admin ve velké firmě, kde by musel dělat admina stovkám počítačů. Když si tak přeje, aby něco jako AMT neexistovalo.
3) Celý AMT problém je o defaultním heslu, za které by měl být ale zodpovědný výrobce zařízení, nikoliv Intel. Pokud si na FB nastavím heslo 12345 a někdo mi vleze na účet, taky nebudu svalovat vinu na FB, že mi heslo nezměnil. A ke vzdálenému útoku je pak třeba být ve stejném síťovém segmentu, což u firem s trochu solidní síťovou bezpečností by nemělo být moc zneužitelné, ovšem víme v praxi, že i tato bezpečnost poněkud pokulhává. Ono popravdě pokud má nějaká firma nastavenou síť tak, že se můžu neoprávněně dostat do stejné sítě jako jejich servery, si nic jiného než hack nezaslouží.
3, Ano v článku i na videu je to jasně řečeno, jenže je to Intel AMT technologie, tedy je to problém Intelu a jsou to zadní vrátka dokořán .... samozřejmě že je to ve výsledku problém uživatelů že nechají heslo v základu, ale tohle je pořádná bota a u milionů PC díra jako vrata ... částečně odstranitelná jen uživatelem ...
Nooo lidi, už jsem se lekl že to chytnul i Ryzen.
Spustím PC, načtou se W10, přihlašovací obrazovka asi 3 sekundy a BSOD.
Reslo se to a v poho naběhlo.
Dump file žadný, v protokolech systém taky nic.
BSOD po asi půl roce.
Uff Uff
Prozatím jsem ty záplatové aktualizace pozastavil,do doby než se pořádně doladí.Pc dosud jede jak má,tak ho nebudu zpomalovat nebo destabilizovat.Opět lék co je horší než sama nemoc...
Já mám teorii, že ta chyba je úmysl. A že AMD to minulo jen proto, že není, jako kanadská firma, důvěryhodná. Jinak by ty chyby mělo i AMD a způsob, jakým se tlačil Intel mezi lidi, včetně té aféry s omezováním prodeje a tak. Někdo moc chtěl, aby bylo logo Intel inside všude. Takže z nouze ctnost. Teda za předpokladu, že.... :-)
Tak to si můžu gratulovat, že jsem u stařičkých AMD sestav u bratrance a sestřenice, provedl upgrade na Athlon II X3 445.
Stejně je to neuvěřitelný... V obou případech stařičké legendární desky ASUS M2A-VM (se zcela prvním skutečně AMD čipsetem AMD 690G - DVI výstup a AHCI samozřejmostí - tehdy nějakou dobu má oblíbená/preferovaná deska).
Prvně v nich byl Athlon LE-1600 (1jádro na 2,2 GHz na 90nm výrobě), pak jsem to zupgradoval na Athlon x2 5000 (2jádro na 2,6 GHz na 65nm výrobě), a před nedávnem jsem tam prdnul Athlon II x3 445 (3jádro na 3,1GHz na 45nm výrobě - 9.50 USD/kus). Grafiky jsem tam dal Radeon HD 3850 a HD 4770 (za pár šupů, x264 to akceleruje a to stačí - integrovaná x1250 už nedávala Windows 10). SDDčka z aukra. Paměť jsem taky navýšil již ze 2GB na 4GB.
No a za další 3-4 roky při dalším "upgradovacím cyklu" jim tam prdnu Athlon II x4 640 a navýším ze 4 GB na 8 GB DDR2 - a to bude finále. A přitom se jedná pořád o základní desku z počátku roku 2007, tj. 11 let stará. Pořád slouží perfektně!!! Reálná životnost 12-15 let!
A co je na tom tak zvláštního ? Pokud někdo onehdy koupil Core Quad a nebo Core 2 Extreme tak na internet a hrani malo narocnych her to bude stejne pouzitelne jako ten X4 640.
Až na to, že díky staré desce bude výkon podstatně nižší. To stejné jsem sledoval u soc775 a novějších čipsetů, rozdíl v desítkách %. Takže za mě žádná sláva...
Dění kolem bezpečnostních děr v procesorech dosti připomíná v celku nedávnou diesel gate. Intel x VolksWagen, bezpečností riziko, o kterém se mlčelo a bylo využíváno k větší efektivitě x záměrné zfalšování měření emisí a spotřeby úpravou SW řídící jednotky za účelem papírové vyšší efektivity.Ostatních výrobců se to týká z velké části také, ale na Intelu leží nejvíce chyb a tak je z něj nejviditelnější viník jako v případě volkswagenu, který zdaleka není jediný, kdo upravoval výsledky měření. Opravné záplaty snižují výkon procesorů a způsobují problémy se stabilitou systému x úpravy SW řídících jednotek zvýšily spotřebu, ubraly výkon, zvýšilo se procento různých problémů typu klepání motoru, špatné startování a pod.V obou případech je poškozen koncový uživatel. Ano záplatu dostanete zadarmo, stejně jako nový SW do řídící jednotky, ale váš PC, či auto už nebude mít parametry s jakými jste si je pořídili.Korporace to samozřejmě ustojí bez menších problému a pojede se dál.
Na môj vkus znovu trocha preexponovaný článok, ale autor to celé zachránil skvelou poslednou vetou, ktorá vystihuje podstatu celého problému. A z toho jednoznačne vyplýva, že omnoho väčším problémom ako samotné bezpečnostné riziko sú pokusy o jeho nápravu alebo opravu. Takže zatiaľ čo MELTDOWN a SPECTRE sú v praxi prakticky neuskutočniteľné a iba blázon by sa pokúšal týmto spôsobom kradnúť dáta, tak AMT nie je v skutočnosti chyba ale vlastnosť. Ak sa tá vlastnosť zneužije, tak chybou je to, čo sedí na stoličke.
největší problém je, že ten problém neměl vůbec existovat a Intel měl jako AMD udělat architekturu tak, aby nebyl přístup do jádra systému s částečně zpracovanými úlohami atd.
No ale ten procesor je navržený na maximální výkon. A všechny ty chytrosti navíc co výkon zlepšují jsou potencionální kurvítka. Můžete koupit Atom, ten dotčen není ale na druhou stranu asi nebudete spokojeni s in-order architekturou protože je pomalá :-)
Pouze registrovaní uživatelé mohou přidat komentář!
Problémy nekončí, Intel přiznává další a objevily se i nové. Intel AMT je další díra.
kedze je to lenivo a ten ma (aspon na tomto modeli) natrt vyriesene chladenie a s ventilatorom nemozem nijako manipulovat (nastavit vyssie otacky)
, pořád nechápu proč tam někdo dělal takovou díru a neřeší se taková funkčnost čistě softwareově.
