Летом Chrome начнет помечать сайты без https как небезопасные, владельцам сертификатов Symantec приготовиться; 40 лет Алисе и Бобу; Патч от Meltdown и Spectre положил Ubuntu; Microsoft пропатчилась против Meltdown, заморозив системы с AMD; Жизнь после Meltdown и Spectre.

#389, 09.02.2018

Летом Chrome начнет помечать сайты без https как небезопасные, владельцам сертификатов Symantec приготовиться
dl // 09.02.18 01:41
Начиная с Chrome версии 68, выход которой запланирован на июль 2018, в адресной строке сайтов, не использующих https, появятся слова "Not secure".

Кроме того, начиная с версии 66, выходящей в апреле, при входе на сайты с сертификатами, выданными Symantec до 1 июня 2016 и после 1 декабря 2017 (а также при использовании их в качестве корневых - такие сертификаты выдавались Thawte, GeoTrust и RapidSSL), начнется выдаваться сообщение о небезопасном соединении. А с версии 70, выходящей в октябре, под раздачу попадут уже все сертификаты Symantec. Аналогичное поведение будет реализовано в Firefox начиная с 60 версии, выходящей в мае.
Источник: The Register

40 лет Алисе и Бобу
dl // 01.02.18 01:31
В феврале 1978 в журнале "Communications of the ACM" вышла классическая статья Ривеста, Шамира и Адлемана "A method for obtaining digital signatures and public-key cryptosystems", в которой впервые в качестве обозначений взаимодействующих агентов вместо скучных букв A и B были использованы имена Алиса (Alice) и Боб (Bob). Прошло уже сорок лет, а Алиса с Бобом так и продолжают переписываться, кочуя из статьи в статью. Забавно, что при их первом контакте сообщение, защищенное криптосистемой с открытым ключом, отправляет Боб - в то время как в большинстве последующих изложений письма традиционно пишет Алиса.

Подсматривающая их переписку Ева (Eva, от eavesdropper) появилась лишь десять лет спустя в статье Беннетта, Брассарда и Роберта "Privacy Amplification by Public Discussion", вышедшей в апреле 1988 года. Еще позже к ним присоединились активный взломщик Мэллори (Mallory, malicious attacker), арбитр Трент (Trent, trusted arbitrator) и прочие действующие лица.
Источник: Communications of the ACM, текст статьи

Патч от Meltdown и Spectre положил Ubuntu
dl // 10.01.18 22:11
Не так страшен Meltdown, как патчи от него. Вслед за Microsoft, заморозившей системы с AMD-процессорами, отличилась Canonical, выпустившая такое обновление, что Ubuntu Xenial 16.04 перестала грузиться. Спасает лишь откат назад с версии ядра 4.4.0-108.
Источник: Slashdot

Microsoft пропатчилась против Meltdown, заморозив системы с AMD
dl // 09.01.18 13:12
Microsoft приостановила распространение на системах с процессорами AMD последнего патча, направленного на борьбу с уязвимостями Meltdown и Spectre. Выяснилось, что некоторые чипсеты AMD не соответствуют предоставленной документации, результатом чего становится невозможность загрузки системы. Ведутся работы.
Источник: The Verge

Жизнь после Meltdown и Spectre
dl // 07.01.18 18:55
Пыль, поднятая вокруг случившегося на неделю раньше запланированного обнародования информации об уязвимостях Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715), чуть улеглась, так что можно делать некоторые оценки сложившейся ситуации.

Счастливчикам, выпавшим на прошедшей неделе из новостного потока, имеет смысл ознакомиться с весьма доходчивым описанием Олега Артамонова. Если совсем коротко и на пальцах, принципиальный источник всех проблем кроется в сочетании механизма спекулятивного выполнения команд и предсказания ветвлений с использованием процессорного кэша.

В случае Meltdown ситуация усугубляется игнорированием процессором во время этого самого спекулятивного выполнения команд прав доступа к памяти (из тех соображений, что операция все равно откатится), в результате чего любой процесс может, используя оценку времени косвенного доступа к памяти, фактически прочитать всю память системы, в том числе и критичные блоки, обычно нормальным процессам недоступные. Под раздачу с Meltdown попали все процессоры Intel семейств Core и Xeon, процессоры iOS-устройств и пока широко не используемый Cortex-A75.

Хорошая новость - Meltdown может быть закрыта на уровне ОС, что и произошло во всех последних патчах. Плохая новость - исправление чревато ростом накладных расходов на системные вызовы, который может привести к падению производительности от 1-2% до 20-30%, а также росту потребляемой энергии (TDP) на 10-15%. Поскольку уязвимость локальная, обычным пользователям достаточно применять стандартные правила компьютерной гигиены и не запускать все подряд (тёмным пятном тут остается выполнение JavaScript, но производители браузеров уже озаботились загрублением оценок времени доступа к памяти). А вот всевозможным хостерам и облачным провайдерам придется срочно озаботиться. И их же сильнее всего затронет падение производительности после применения патчей (вот отличный пример).

В случае со Spectre с одной стороны всё не так больно, поскольку использовать её гораздо сложней (идея заключается во влиянии на спекулятивное выполнение команд в атакуемом процессе c последующим анализом попадания данных в кэш). С другой стороны, она уже носит фундаментальный характер и проявляется практически во всех современных процессорах. Ответ на вопрос "кому волноваться?" тут такой же, как с Meltdown. При этом надо понимать, что мы имеем дело с новым классом атак, использование которого почти наверняка не ограничится двумя описанными случаями и будет сочетаться с другими векторами атак. Что забавно, один из способов борьбы со Spectre сводится к усложнению определения атакующим типовых фрагментов кода, подходящих для использования, что слегка напоминает способы борьбы полиморфных вирусов с определением антивирусами.
Источник: Новогодние подарки: часть первая, вторая, третья