- Dette emne har 96 svar og 9 stemmer, og blev senest opdateret for 4 år, 9 måneder siden af Bjarne. This post has been viewed 6014 times
-
Indlæg
-
Bjarne- Super Nova
Der er nyt fra Google om, hvordan de beskytter sig mod Meltdown og Spectre sårbarhederne. Lad mig minde om, hvorfor der overhovedet er opstået et problem. Det skyldes, at moderne processorer har indført nogle specielle spekulative instruktioner, som udføres før der naturligt er brug for dem. Disse out-of-order instruktioner har forøget processorens gennemsnitshastighed gansle meget. De specielt “farlige” instruktioner er nogle indirekte forgreningsinstruktioner i assemplerkoden. Det er værd at understrege, at angrebene kun kan udføres af en ondsindet bruger på et multibrugersystem, altså typisk på et datacenter med mange tusinde eller millioner brugere. Problemet er derfor størst for cloud-udbydere som Google og Amazon.
The latest news and insights from Google on security and safety on the Internet
Den største fare for private PC’er er JavaScripts i browseren. Dette problem har Mozilla allerede taget højde for i Firefox 57.0.4:
Speculative execution side-channel attack (“Spectre”)
Mitigations landing for new class of timing attack
Bjarne- Super Nova
Jeg ser, at teksten forsvinder, hvis jeg følger et link og vender tilbage. Jeg var ved at fortælle, at jeg har sikret mine linux-maskiner mod den ovenfor omtalte Meltdown sårbarhed, som tillader en almindelig bruger at læse linux-kernens RAM-indhold. Dette er selvfølgelig en katastrofe, idet det er ideen, at kernens RAM indhold skal være utilgængelig for almindelige brugere. Løsningen hedder Kernel/User Page Tables Isolation, som sikrer, at kernen aldrig får fælles fysisk RAM med en normal bruger. Intel har desuden frigivet en modificeret microcode, som skulle stoppe variant 2 af Spectre sårbarheden.
Bjarne- Super Nova
Sundhedsdatastyrelsen har en side, som beskriver, hvordan man kan fravælge BigBrothers automatiske registrering af alle sunhedsdate med CPR og det hele. Disse statskundskabskandidater mener, at Internettet er guds gave til den totale overvågning af befolkningen. Jeg er blevet opmærksom på en lov, som giver enhver borger ret til, at sundhedsdata anvendes til statistiske undersøgelser (Deep Learning fra BigData). Der eksisterer et vævsanvendelsesregister, som er baggrunden for den omtalte BigBrother aktivitet. Eller rettere, loven giver enhver borger ret til, at vævsprøver kan anvendes til statistiske undersøgelser, som ikke har noget med en behandling at gøre. Embedsværket har vedtaget med sig selv, at intet svar i Vævsanvendelsesregistret betyder: Ja. Her er en web-side, som forklarer, hvordan man kan sige: Nej. Man skal angiveligt blot sende digital post til Sundhedsdatastyrelsen:
Til- og framelding til Vævsanvendelsesregisteret
Det virkede ikke for mig. Jeg tror, at jeg valgte Sundhedsstyrelsen i stedet for Sundhedsdatastyrelsen. Hvor dum kan jeg være. Sundhedsdatastyrelsen er selvfølgelig Nysprog for Digitaliseringsstyrelsen, som er Nysprog for Finansministeriet. Hvor dum kan man være. Jeg vender tilbage.
Bjarne- Super Nova
Jeg tog fejl. Sundhedsdatastyrelsens server står på National Institute Of Radiation Hygiene (Frederiksberg). Det er en Microsoft-IIS/8.5. Den ser ikke ud til at være særligt beskyttet. Men det virkede, da jeg valgte Sundhedsdatastyrelsen i stedet for Sundhedsstyrelsen.
Bjarne- Super Nova
Må jeg introducere MeltdownPrime og SpectrePrime:
The recent Meltdown and Spectre attacks highlight the importance of automated verification techniques for identifying hardware security vulnerabilities. We have developed a tool for synthesizing microarchitecture-specific programs capable of producing any user-specified hardware execution pattern of interest. Our tool takes two inputs: a formal description of (i) a microarchitecture in a domain-specific language, and (ii) a microarchitectural execution pattern of interest, e.g. a threat pattern. All programs synthesized by our tool are capable of producing the specified execution pattern on the supplied microarchitecture.
We used our tool to specify a hardware execution pattern common to Flush+Reload attacks and automatically synthesized security litmus tests representative of those that have been publicly disclosed for conducting Meltdown and Spectre attacks. We also formulated a Prime+Probe threat pattern, enabling our tool to synthesize a new variant of each—MeltdownPrime and SpectrePrime. Both of these new exploits use Prime+Probe approaches to conduct the timing attack. They are both also novel in that they are 2-core attacks which leverage the cache line invalidation mechanism in modern cache coherence protocols. These are the first proposed Prime+Probe variants of Meltdown and Spectre. But more importantly, both Prime attacks exploit invalidation-based coherence protocols to achieve the same level of precision as a Flush+Reload attack. While mitigation techniques in software (e.g., barriers that prevent speculation) will likely be the same for our Prime variants as for original Spectre and Meltdown, we believe that hardware protection against them will be distinct. As a proof of concept, we implemented SpectrePrime as a C program and ran it on an Intel x86 processor, averaging about the same accuracy as Spectre over 100 runs—97.9% for Spectre and 99.95% for SpectrePrime.
Bjarne- Super Nova
Min mistro til AI bliver bekræftet i det seneste nummer af Science:
Missing data hinder replication of artificial intelligence studies
The booming field of artificial intelligence (AI) is grappling with a replication crisis, much like the ones that have afflicted psychology, medicine, and other fields over the past decade. AI researchers have found it difficult to reproduce many key results, and that is leading to a new conscientiousness about research methods and publication protocols. “I think people outside the field might assume that because we have code, reproducibility is kind of guaranteed,” says Nicolas Rougier, a computational neuroscientist at France’s National Institute for Research in Computer Science and Automation in Bordeaux. “Far from it.” Last week, at a meeting of the Association for the Advancement of Artificial Intelligence (AAAI) in New Orleans, Louisiana, reproducibility was on the agenda, with some teams diagnosing the problem—and one laying out tools to mitigate it.
Bjarne- Super Nova
Man har opdaget en ny alvorlig sårbarhed i Intel processorer. Jeg har lavet en Blog om RIDL og Fallout:
https://www.kosmologi.eu/wordpress/?p=4671
- Du skal være logget ind for at svare på dette indlæg.