46. תמימים, באמת חשבתם שאין דלת אחורית- חוץ מזאת יש עוד כמה כולן מוזמנות מראש... צוחק מרב שזה עצוב | 26.01.18 (ל"ת)
45. כל המיחשוב בבסיסו לא מאובטח. נוצר בשנות הששים באווירת חופש ואחווה... כך שזו לא תהיה הפעם האחרונה. יהיו עוד. רק המיחשוב הקוואנטי שנוצר כיום באוירת BADASS יהיה מוגן. כג | 10.01.18 (ל"ת)
44. ל-43 "הפריצה למעבד" יכולה להיעשות, למשל, על ידי סקריפט JavaScript שמורץ במחשב - ברור שזה לא מגיע בדיפוזיה. כמובן שגם "פריצות רגילות" שמאפשרות הרצת קוד מקבלות שדרוג ענק ליכולותיהן... דרור הררי | 08.01.18 (ל"ת)
43. לא הסברתם כלום אולי באמת ילמדו על הפריצה הזאת כי אתם לא הסברתם כלום. אז מה אם אפשר לפרוץ למעבד? זה אומר שצריך גישה פיזית אליו לא? האם זה מאפשר לעקוף נתבים ו FIREWALL?? האם זה מאפשר גישה ישירה דרך התקני USB? כנראה שלא כי כולם עובדים דרך מערכת ההפעלה. אבל אולי אני טועה? קשה לדעת כי לא כתבתם כלום על איך זה בפועל עובד. אם צריך לפתוח את המחשב ולהתממשק באופן ישיר עם הזכרון/מעבד זה לא ממש פריצה אלא שיחזור מידע. המחשב צריך להיות בידיך וזה משהו קצת שונה. יובל | 08.01.18 (ל"ת)
42. לא ברור איך התוקף ישיג גישה למעבד, כשאנשים נמצאים מאחורי ראוטר שמשתמש ב NAT. דרור | 07.01.18 (ל"ת)
41. זה אומר שבכוונה תחילה השאירו את החוקים הללו על מנת שמי ששולט בטכנולוגיה יוכל לדעת עלינו הכל, ברמה של שכבת תקשורת בסיסית מאוד. אשר אינה עוברת בדיקות על ידי מערוכת FW ואחרות. מעניין מי גרם ל״באג״ הזה ולמה כל יצרניות המעבדים הסכימו מייד שיש להן בעיה, אולי כי הן ידעו זאת תמיד.. יוסי | 07.01.18 (ל"ת)
40. !!! המאגר הביומטרי !!! כל מילה נוספת מיותרת. האם יהיה חבר ממשלה אמיץ וחכם שיבטל את המאגר ? כנראה שאין כאלה עמי | 07.01.18 (ל"ת)
39. במילים פשוטות - כל מי שבמאגר הביומטרי, עכשיו חשוף לכל העולם. הזהירו מראש. בדיוק כפי שכל מומחי האבטחה | 07.01.18 (ל"ת)
38. לא מובן על מה מדברים בכלל בבקשה לפרט מבחינה מדעית איפה התקלה, יש לי שאלה האם הססימאות בדרך כלל מאוחסנות על זיכרון המחשב? Ram או hard disk ומה הקשר של המעבד לכך? שם | 07.01.18 (ל"ת)
36. זה אומר שהפירצה קיימת עשרות שנים והאקרים ידעו עליה ניתן להבין שהאקרים הגיעו לפירצה כמה שנים לפני החוקרים, כך שהנזק שנעשה נרחב ועמוק, אצלי הגישה למעבד נעשית איטית עם הזמן חשבתי שמנהל היישומים נעשה עצלן אבל כנראה שיש לי מלא וירוסים שיושבים על הגישה למעבד למרות שאני אדם פרטי ולא חשוב בשיט, כל יום עשרות וירוסים תוקפים את המחשב שלי ללא כל סיבה הגיונית..מזה אני מסיק שכל מחשב בעולם מלא וירוסים מכל הסוגים מישהו חגג | 07.01.18 (ל"ת)
34. תודה רבה לכל העוסקים בתחום המחשוב תודה רבה לכל העוסקים בתחום המחשוב , ממש עשיתם לנו חיים נעימים, אין כמעט רגע משעמם. ההיי טק מוביל המשק. גאווה של ממש. אולי תגובה זאת תעבור ? | 07.01.18 (ל"ת)
33. האם זה מכוון?יתכן ורצו להשאיר דלת לכניסה למחשבי איראן מכיוון שהמעבדים תוכננו בישראל האם יש כאן דלת אחורית מתוכננת של המוסד? n | 07.01.18 (ל"ת)
32. יועילו מומחויי המיחשובים יועילו מומחויי המיחשובים לעדכן אותנו , לנוכח החדשות המגעילות , בשביל מה אנו קונים ומתקינים תוכנות אנטי וירוסים ? ובשביל מה מערכת ההפעלה כוללת את הדיפנדר ? כל מה שלמדו המומחויים למיניהם הביא אותנו לכאן ?? ... שאנו חשופים מפני חאקרים עלובי חיים ?? אאא... רגע , נזכרתי שאני יכול להיות רגוע כי התקנתי גם קראפ קלינר !! הייתי עושה להם לובוטומיה בקורפוס קולוסום . תוכנות אנטי וירוס ווינדוז דיפנדר | 07.01.18 (ל"ת)
31. ל 24: משמע שאפקט הבעיה חמור מאוד בענן בארגונים גדולים , זה פחות חמור כי אם אתה בתוך הרשת, כבר תשים סניפר ותראה את הכל. וקל וחומר במשתמש הביתי . המגיב | 07.01.18 (ל"ת)
30. מתי המידע הועבר לאינטל? האם המעבדים החדשים שאפשר למצוא בחנויות הם כבר בלי הבעיה? או שצריך לחכות להשקה של הרבעון הראשון של 2018? הבנתי שעדכון לבעיה הזו למעבדים קיימים יכול לגרום לאיטיות של 30% ואף יותר. אני שואל כי המחשב שלי כבר ככה גוסס אחרי 10 שנים ואני מעוניין לקנות מחשב חדש. גל | 07.01.18 (ל"ת)
29. תשובה למי ששאל "למה פירסמו ?" חלקית אתה צודק, אכן יש בפרסום משהו שמזמין פגיעה בציבור. אבל, אינטל ומייקרוסופט היו מודעות לפירצה כבר ביוני (ואולי אפילו קודם). כך שזה גם נתן להם זמן לתקן. חוץ מזה, פרסום שלילי יגרום להן לבדוק יותר טוב את המוצרים לפני המכירה לציבור מ1. | 07.01.18 (ל"ת)
26. 20 - אני מאוד מקווה שאתה לא מומחה אבטחה, כי אם אתה כן קודם כל, המאגר הביומטרי נגיש למשטרה ולפיכך כן נמצא על רשת כלשהי, גם אם לא על האינטרנט עצמה. לפיכך יש gateways, שרתים מאובטחים המחברים בין הרשתות, שבעזרתם גופים שונים המורשים לכך, יכולים לגשת אל המאגר. כמובן שכדי ששוטר יוכל לגשת אל המאגר הביומטרי אז הוא בעצמו צריך להזדהות, קרוב לוודאי בעצמו ע"י זיהוי ביומטרי שלו. לכן לכאורה מערכת מוגנת.. אז מתברר שבעזרת התקפה משולבת מלטדאון ניתן להשתלט על gateway ולהוריד את המאגר כולו למחשב יעד כלשהו אפילו בלי להשאיר עקבות; אני לא רוצה לגרום לפאניקה בציבור, אבל אין לי שום ספק שהמאגר כולו כבר נפרץ ונמצא בידי חברינו מה-CIA וכנ"ל כל מי שיש לו יכולת מספיק חזקה - ושהמאגר הזה היה פרוץ כמעט מהיום שבו הוא נוצר. אפילו 48 שעות אני לא נותן לזמן שלקח לפרוץ אותו. כן, לפי דעתי פרצת מלטדאון היתה ידועה כבר שנים, אם לא מראש נוצרה ע"י אינטל כדלת אחורית עבור ה-CIA. אז מצבנו עגום. | 07.01.18 (ל"ת)
25. אז המלך עירום? אם זה נכון, אז כל "אמצעי האבטחה" הקונבנציונליים שווים, למעשה, לקליפת השום... הם שום דבר, גורנישט מיט גורנישט! אנשים תמימים ממציאים ססמאות "מתוחכמות" של 8 תווים, מתקינים תוכנות אנטיוירוס, מורידים עדכוני אבטחה ועושים כל מה שצריך ולבסוף - זה רק פול גז בניוטראל... ההאקרים תוקפים דרך המעבדים, לא דרך התוכנה, ועוקפים "באלגנטיות" את כל אמצעי האבטחה. מי יודע כמה מידע דלף כבר בדרך זו, מהיכן ולאן. בכל מקרה, ייתכן שהרע מכל עוד לפנינו. גם אם פרצה זו תיסגר, ייתכן שפרצה אחרת תפתח. כנראה שזו תכונה מובנית המאפיינת את העולם הדיגיטלי-וירטואלי. לכן, אני אומר תמיד: עם כל הכיף והנוחות שמעניקים לנו המחשבים והסמארטפונים, עוד מוקדם לקבוע אם ברמת המאקרו ובפרספקטיבה היסטורית כל העניין היה שווה. רק העתיד יגיד... צריך להתפלל שאמצעי האבטחה ישופרו לפני שהאקרים חורשי זדון יצליחו לבצע מגה-פיגוע פיננסי או תשתיתי. בן המקורי | 07.01.18 (ל"ת)
24. ל 14: אתה ממש טועה תקרא את המאמר שפרסמה הקבוצה. יש שם תכנית C קטנטונת. תסתכל עליה. בעזרת התכנית הזו פלוס בדיקה של זמן גישה לזיכרון אפשר להבין מהו ערך הביט בכתובת כלשהי בזיכרון. תריץ את התכנית בלולאה ותקבל את התוכן של כל הזיכרון הפיסי של המחשב. עכשיו תאר לעצמך שרת של גוגל שמאפשר לך להריץ תוכנית משלך ב user space שלך. בעזרת ניצול הפירצה אתה תוכל לגשת לכל הזיכרון שבו רצים גם תהליכים של משתמשים אחרים. אין בעיה לדעת איזה זיכרון שייך לאיזה תהליך. את ה source code אתה יודע. נשאר רק לבדוק ביאזו כתובת הוא שומר סיסמאות. מישה | 07.01.18 (ל"ת)
22. שחשיבה מחוץ לקופסה תארו לעצמכם כמה מעבדים יוזמנו מהחברות האלה עכשיו במיוחד מאינטל לצורך חידוש יענו...מהלך שיווקי גאוני... שוקו | 07.01.18 (ל"ת)
21. 14, אני מקווה שאתה לא עובד על אף מוצר שאני צריך אפשר לדעת הרבה יותר, כולל לקרוא סיסמאות - אחת ההדגמות שלהם ל- Spectre היא שקוד JavaScript שרץ בדפדפן מצליח לשלוף את הסיסמאות ממנהל הסיסמאות של הדפדפן שלך, ושולח אותם לאותו אתר. קראת אולי, אבל בוודאות לא הבנת. מדובר בכשלים משמעותיים. ואגב, גם באג 2000 לא היה סערה בכוס מים - נעשתה עבודת הכנה רבה (חלקה מיותר, אבל רובה לא), ובזכות זה לא סבלנו כמעט מהבאג. א.ב של ג.ד | 07.01.18 (ל"ת)
20. מי שטוען כאן נגד המאגר הביומטרי איננו מבין התשובה היא כן, המאגר הביומטרי עדיין בטוח משתי סיבות עיקריות. א. זו מערכת שמנותקת פיזית מרשת האינטרנט ולכן לא ניתן לשאוב ממנה מידע בלי להיות פיזית שם. עכשיו יטענו ששדה התעופה יכול לשאוב מידע, אך זה לא נכון. שדה התעופה שואב מידע רק ממה שנמצא בשבב שבתוך הדרכון. ב. מה שיש במאגר הביומטרי בכל מקרה לא יעזור לאיש מכיוון שמדובר בחתימה דיגיטלית ולא במידע כולו. קיימת הוכחה מתמטית שלא ניתן לשחזר את תביעת האצבע מחתימה דיגיטלית של תביעת אצבע! המידע הקיים שם תקף רק בהשוואה למידע המקורי, כלומר אם לדוגמה משווים לאצבע המקורית. כלומר המידע טוב רק לשם זיהוי ולא לשום דבר אחר. רועי | 07.01.18 (ל"ת)
19. עם כל הכבוד עם כל הכבוד, החוקרים של גוגל גילו את הפרצה ראשונים. החוקרים "הישראלים" שמעו חלקי מידע על הפרצה (שהייתה תחת מעטה סודיות על מנת לספק זמן לתקן אותה) וכך "גילו" אותה מחדש. פראייר | 07.01.18 (ל"ת)
18. לקחו קרדיט שלא מגיע להם על עבודתו של אחר זה לא ראוי. הגילוי הוא של עובד גוגל ורק התיקון גרם להם להבחין בבעיה. מופתע | 07.01.18 (ל"ת)
17. טעות חמורה של המהנדסים. זה לא היה אמור לקרות. מקווה שלא ישראלים ביצוע קוד UNPRIVLIGED באופן ספקולטיבי שתלוי בזכרון שהוא PRIVLIGED זה טעות דיזיין חמורה שהמהנדסים וצוות הפיתוח אשמים בה ב-100%. אחראים לזה | 07.01.18 (ל"ת)
16. ל-15 העניין הוא שלא ברור כיצד להגן על המערכת בטווח הקרוב. רוב הציבור יכול להמתין למעבד חדש, או לחלופין לעדכון תוכנה שיכל גם להתבצע אוטומטית בלי לומר מילה או לפחות עם התראה מ"בעיית אבטחה חמורה" בלי לפרט לפרטי פרטים איפה הפרצה וכיצד עובדת. אם כך מה זה יעזור לציבור וכמה? סביר להניח שיש מספר מצומצם של מומחים שיכול לטפל בבעיה הספציפית הזאת. במידה והיו צריכים שאת אותם המומחים שאיתרו הבעיה כדי לגלות אותה, מה הסיכוי שגם במקומות אחרים גילו את הבעיה קודם? ומה הסיכוי שגורמים לא רצויים גילו את הבעיה לפני שגורמים ידידותיים גילו את הבעיה, ואם עדיין לא שיתפו אותה כנראה עשו זאת מסיבה מסוימת... או שגילו שאחרים גילו - אבל עדיין מה העניין לגלות כל פעם שיש פרצה בדברים? תמיד תהיה פרצה, זה מירוץ, והשאלה אם אין פה חוסר אחריות ועזרה משמעותית להתקפה. . | 07.01.18 (ל"ת)
15. 11 - כמו שהם גילו את זה יכול להיות שאחרים גילו ולא שיתפו חייבים לספר לציבור כדי להזהיר אותו ולוודא שכמה שיותר אנשים יגנו על המערכות שלהם כנגד הפרצה. אם לא תספר אתה לוקח סיכון שמישהו אחר יגלה את זה ויתחיל לנצל את זה. אלא ניצלו | 07.01.18 (ל"ת)
14. סערה בכוס מים קראתי את התיאור המפורט של שני ה- "כשלים" באבטחה. לכל היותר ניתן לדעת האם מערכת הפעלה או תהליך אחר ניגשו לתא מסויים בזכרון, מתי שהוא בעבר לא רחוק. לא ניתן לדעת איזה ערך הם קראו, וגם לא ניתן לדעת איזה תהליך ניגש לאותו תא ומתי. זה כלום. לא ניתן לגנוב מהמחשב שום מידע בצורה כזאת. סערה בכוס מים שמזכירה את הבאג 2000. מהנדס מחשבים | 07.01.18 (ל"ת)
13. המאגר הביומטרי הוא פרצה קוראת לגנב. פשוט קטסטרופה. אף אחד לא לוקח אחריות על המאגר., וכשהוא יופץ באינטרנט - יגידו סליחה, טועים. מקסימום מישהו יפרוש בלי פגיעה בתנאי פנסיה תקציבית או יעבור תפקיד. פשוט קטסטרופה. ארקייד | 07.01.18 (ל"ת)
11. מה בעצם הסיבה שמפרסמים את זה? האם בהכרח יש לכך יותר יתרונות? לפעמים הפרצה החמורה ביותר היא בשיתוף המידע על הפרצות, מתוך הנחה שזאת טעות, אין שום גופים שיכולים לצנזר מחקרים כאלו ושיאפשרו השקעת יותר זמן במציאת פתרונות באופן סודי? זה נשמע כמו לגלות את השיטה הטובה ביותר שעדיין לא המציאו לפרוץ לבתים, ואז לפרסם את זה בלי שיש לכך פתרון. . | 07.01.18 (ל"ת)
6. זו הבעיה עם כל ההבטחות לאבטחה, כמו המאגר הביומטרי הבטחות של אבטחה נבנות נדבך על נדבך. כל אחד שבונה נדבך חדש רק יכול לנסות להבטיח שהנדבך שלו לא פרוץ, והוא בעצמו מניח שכל הנדבכים שמתחתיו אינם פרוצים. הבעיה היא שההנחה הזו לא בהכרח נכונה, כמו בדוגמא כאן. איש | 07.01.18 (ל"ת)
4. במהלך השבוע שעבר גילו מומחי אבטחה, בהם גם הצמד הישראלי, כשל אבטחתי, ? לא, במהלך השבוע שעבר הודלף לעתונות קיום כשל אבטחתי לאחר שהוסתר מהציבור במשך חודשים רבים. הכשל במעבדי אינטל קיים מאז 1995 = 22 שנים. אליהו | 07.01.18 (ל"ת)
3. העיקר שהמאגר הביומטרי לא יכול להפרץ אין כזה דבר לא יכול להפרץ... לכל מערכת יש נקודת תורפה. אלעד | 07.01.18 (ל"ת)
1. ניראה מוגזם בעליל נחכה לראות הכצעקתה ? ניראה מוגזם בעליל נחכה לראות הכצעקתה ? יואב | 07.01.18 (ל"ת)
"עוד ילמדו על פרצת מעבדי המחשב באוניברסיטאות"
46 תגובות לכתיבת תגובה