Tags Posts tagged with "Bezpieczeństwo"

Bezpieczeństwo

przez -
0 1311
Intel

Informowaliśmy wczoraj o luce bezpieczeństwa w procesorach, Intel również wczoraj wydał oficjalne oświadczenie dotyczące tego problemu.
Wynika z niego, że doniesienia co do tego, jakoby luka bezpieczeństwa spowodowana błędem występującym jedynie w przypadku firmy Intel są nieprawdziwe. Stwierdzenie to, zostało podparte analizami, wg. firmy wiele typów urządzeń komputerowych – z różnymi procesorami oraz systemami operacyjnymi jest podatnych na takie luki.

Z oświadczenia dowiedzieliśmy się również, że Intel współpracuje z innymi firmami technologicznymi, w tym AMD i ARM Holdings oraz z dostawcami systemów operacyjnych, aby opracować ogólnobranżowe rozwiązanie tego problemu w sposób szybki i konstruktywny.

Wg. firmy spadek wydajności dotyczą wyłącznie niszowych zastosowań, a dla przeciętnego użytkownika spadek ten nie powinien być odczuwalny i być może, dzięki kolejnym łatom będzie się zmniejszać z czasem.
Dalsza część oświadczenia, to już zapewnienia, że produkty Intela są bezpieczne i że dbają o bezpieczeństwo najlepiej jak się da.
Czyli “jest ok, po co ta prasa się tak czepia – przecież łatka lekko spowalnia”. Przekonamy się z czasem jak jest naprawdę.

Warto zaznaczyć że Intel w tym oświadczeniu sprytnie miesza informacje kryjące się za całą sprawą. W rzeczywistości składają się na nią dwie podatności nazywane Meltdown i Spectre. O ile ta druga faktycznie dotyczy szerszej gamy urządzeń (zawierających procesory również wspomnianych AMD i ARM) o tyle pierwsza dotyczy na chwilę obecną najprawdopodobniej jedynie procesorów Intela.

Bonus: Redakcja otrzymała nieoficjalne informacje na temat tego że jednak udało się rozwiązać problem związany z podatnością Meltdown na poziomie łaty do mikrokodu procesorów Intela. Wymaga ona dodatkowych łat na chcące ją wykorzystać systemy operacyjne, przy czym również nieoficjalnie dowiedzieliśmy się że Microsoft finalizuje prace nad taką łatą. Wprowadzenie tych łat nie będzie skutkowało tak znaczącym spadkiem wydajności jak zanotowany w ostatnich dniach po zaaplikowaniu innego rozwiązania problemu w źródłach kernela Linuksa.

Podobnymi informacjami prawdopodobnie dysponował również RedHat, ale ze względu na wagę całej sprawy prace nad rozwiązaniem problemu nie zostały jeszcze upublicznione.

Update: Są już na ten temat oficjalne informacje ze strony firm Microsoft i RedHat.

przez -
2 860
Bezpieczeństwo i szyfrowanie

Doszła do nas zła wiadomość. Odkryto błąd w architekturze procesorów Intela, rezultatem którego jest dziura, która może umożliwić wyciek z danych z jądra systemu. Luka bezpieczeństwa jest na tyle poważna, że potrzebne były zmiany w jądrze zarówno w macOS, Linuksie oraz Windowsie. Aby usunąć problem należy albo kupić procesor pozbawiony tej wady (na chwilę obecną Intel takowych nie oferuje), albo zainstalować łatki, które spowalniają jego pracę od kilkunastu do nawet 30%, w zależności od tego do czego komputer jest używany. Nad łatkami systemowymi trwają prace, ale część z nich jest już dostępna.

Luka systemowa jest naprawdę poważna, można zaobserwować poprzez paniczne zabezpieczanie się dostawców chmurowych takich jak: Google, Microsoft, Amazon. Nie ma za wiele szczegółów na ten temat, ale wiemy, że najbardziej podatne na ataki mają być firmy wykorzystujące środowiska oparte na wirtualizacji.

Nie dotyczy to procesorów AMD, bo zastosowana w nich mikrostruktura po prostu nie zawiera tej luki. Zastosowanie łaty potrzebnej procesorom intelowym spowoduje znaczny spadek wydajności procesorów AMD, ale one po prostu jej nie wymagają. Zostało to potwierdzone przez inżynierów AMD, co można zobaczyć w ich komentarzu do sprawy.
Problem dotyczy procesorów Intela wyprodukowanych w przeciągu 10 lat. Na lukę podatne również są procesory w architekturze ARM, czyli większa część IoT, czy choćby smartfonów itp.

przez -
2 510
System operacyjny, systemy operacyjne

Jak wynika z raportu firmy Secunia, zajmującej się bezpieczeństwem w roku 2007 odkryto więcej błędów w systemie Red Hat niż w rodzinie systemów Windows (9x oraz poźniejsze wersje). Rok temu w systemach Red Hat stwierdzono 633 błędów, natomiast u konkurenta z Redmond tylko 123. Dla porównania warto dodać, że drugim pod względem ilości błędów to Solaris – 252 błędy, a czwartym Mac OS X 235 błędów.

Jednak Marc Cox z Red Hat Security Team nie zgodził się z raportem duńskiej firmy i przyznał się jedynie do 404 luk. Gdzie tylko 41 było krytycznych. Stwierdził również, że przeważająca większość użytkowników nie korzysta ze wszystkich produktów Red Hat’a. Standardowa wersja Red Hat Enterprise Linux zawierała 48 błędów, w tym tylko 27 krytycznych.

Warto jednak zwrócić uwagę, że to właśnie Red Hat ma w sobie najwięcej aplikacji z porównywanych systemów. Trudno więc porównywać bezpieczeństwo systemu, który może być serwerem web, bazą danych z niezliczoną ilością aplikacji archiwizujących z np. systemem Windowsem XP, który może być tylko użyty jako stacja robocza.

Również inaczej wygląda sprawa z czasem reakcji na krytyczne błędy. Open-source’owe aplikacje mają dużo krótszy czas oczekiwania w porównaniu z Microsoftem. Rozbudowana biurokracja, długi okres testów bezpieczeństwa patchów wydłuża czas oczekiwania na poprawkę.

Autor: Przemysław Wójcik.

przez -
5 504
Linux Tux

11-letni chłopiec stworzył złośliwe oprogramowanie przeznaczone dla popularnego telefonu Apple iPhone. Wywołało to natychmiastowy alarm wśród specjalistów zajmujących się bezpieczeństwem.

Oprogramowanie podszywa się pod legalną aplikację stworzoną przez firmę trzecią. Plik o nazwie ‘firmware 1.1.3 prep’ ma być programem narzędziowym, który ma przygotować telefon do nadchodzących aktualizacji oprogramowania.

Po zainstalowaniu kod nie ujawnia swojego złośliwego charakteru. Jednak, gdy użytkownik stara się go usunąć z urządzenia, dochodzi do skasowania kilku innych, legalnych plików. Administratorzy serwisu Modmyifone, którzy odkryli malware, poinformowali rodziców „zdolnego” chłopca, zaś strona hostująca złośliwy plik została wyłączona.

Apple umywa ręce od nieoficjalnego oprogramowania, twierdząc, że aby takowe zostało zainstalowane, należy wpierw zhakować telefon, a po tym fakcie producent nie bierze odpowiedzialności za szkody, jakie może wyrządzić oprogramowanie firm trzecich.

Pomimo faktu, iż atak został udaremniony, specjaliści ds. bezpieczeństwa ostrzegają użytkowników iPhone’a, aby byli bardzo ostrożni instalując nie oryginalne oprogramowanie.

przez -
5 930
Linux Tux

Na zlecenie amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (DHS) przeprowadzono badania dotyczące liczby luk bezpieczeństwa w kodzie popularnych opensource’owych programów. Specjaliści przyjrzeli się m.in. Sambie, PHP, Perlowi czy Amandzie. Z badań wynika, że w tego typu oprogramowaniu można znaleźć średnio 1 błąd bezpieczeństwa na 1000 linii kodu.

Od czasu, gdy DHS rozpoczął swój projekt poprawiania luk w programach typu Open Source, naprawiono 7826 takich dziur, czyli jedną co dwie godziny.

Departament w marcu 2006 roku zapłacił firmie Coverity 300 000 dolarów za sprawdzenie kodu 180 opensource’owych programów, z których wiele jest używanych przez agendy amerykańskiego rządu.

Przyjrzyjmy się zatem, jak sprawowały się najpopularniejsze z tych programów.

W Sambie znaleziono 236 błędów w 450 000 linii. Tak więc wypada ona znacznie lepiej, niż przecięty opensource’owy projekt. Z tych 236 błędów poprawiono 228.

Bardzo dobrze wypada też Linux. W jądrze 2.6 odkryto 0,127 błędu na 1000 linii. Jądro to składa się z 3 milionów 639 tysięcy 322 linii. Kolejne badania dowiodły, że w ciągu ostatnich dwóch lat developerzy Linuksa usunęli 452 błędy w jądrze, 48 jest potwierdzonych, ale jeszcze niezałatanych, a kolejnych 413 błędów czeka na potwierdzenie i łaty.

Z kolei we FreeBSD znaleziono 1 błąd na 2615 linii kodu, jednak dotychczas twórcy tego systemu nie poprawili żadnego z 605 niedociągnięć.

Serwer Apache składa się ze 135 916 linii, a liczba błędów wynosi 0,14 na 1000 linii. Dotychczas poprawiono 3 błędy, potwierdzono istnienie 7, które jeszcze nie zostały załatane, a 12 dalszych czeka na potwierdzenie i łaty.

Bardzo dobrym rezultatem może poszczycić się system bazodanowy PostgreSQL. Wśród 909 148 linii częstotliwość występowania błędów wynosi 0,041 na 1000 linii. Dotychczas załatano 53 luki znalezione przez Coverity, czyli wszystkie, których istnienie potwierdzono. Na weryfikację i łaty czeka 37 dziur.

Jednak najlepszy wynik osiągnął jeden z najczęściej używanych przez developerów programów, biblioteka glibc. W 588 931 liniach kodu wykryto jedynie 83 błędy, które zostały załatane na bieżąco. Teraz w glibc nie istnieje żaden znany błąd. Podobnie zresztą jak w Amandzie (99 073 linie) i courier-maildir (82 229 linii).

Coverity zbadało też graficzne interfejsy użytkownika.

W KDE w 4 712 273 liniach kodu poprawiono 1554 błędy, zweryfikowano 25, a na potwierdzenie czeka jeszcze 65. Z kolei Gnome w 430 809 liniach poprawiło 357 błędów, potwierdzono istnienie 5, a 214 czeka na weryfikację.

W popularnym OpenVPN znaleziono tylko 1 błąd (na 69 223 linie), ale nie został on jeszcze poprawiony. Z kolei OpenSSL składa się z 221 194 linii kodu. Dotychczas poprawiono 24 luki, 1 potwierdzono, a 24 czekają na weryfikację.

Coverity nie chciał natomiast ujawnić wyników testowania produktów o zamkniętym kodzie. Firma na zlecenie swoich klientów sprawdziła 400 takich produktów. Nasi klienci nie byliby zadowoleni, gdybyśmy ujawnili liczbę błędów w ich kodzie – stwierdzili przedstawiciele Coverity.

Mariusz Błoński

źródło: IT News

Polecane

Mozilla Firefox 23

0 171
Od dziś Firefox 64.0 jest dostępny dla użytkowników, jako ostatnia ważna aktualizacja w 2018 roku. Nowe wydanie firefox zapewnia obsługę wielu zakładek, ulepszenia narzędzi...
PHP

0 164
Microsoft

0 271