EDICIóN GENERAL
551 meneos
11762 clics
Tu microprocesador Intel es inseguro desde 1995

Tu microprocesador Intel es inseguro desde 1995

El 3 de enero de 2018 será recordado en los libros de Historia de la Informática como el día que se desveló la existencia de Meltdown y Spectre. El día a partir del cual todo se hizo más lento.

| etiquetas: intel , amd , arm , seguridad , fallo
Comentarios destacados:                                  
#7 #5 Yo apretaba el botón de turbo mientras gritaba a la tormenta... ¡Desata tu ira!
entonces malnacidos desde 1995
#70 y #1 el primer comentario de la notícia original, es lo mejor que he leido del tema.
#77

Pues lo que dice ese comentario no coincide con el paper de la vulnerabilidad
Mi microprocesador de 1995 dudo que ejecute ningun exploit, esta muy ocupado moviendo windows 3.11
#2 moderno, que eres un moderno, donde esté la elegancia de la linea de comandos y la edición con edlin que se quite todo lo demás
#3 En la época en la que el edlin servía para algo, yo todavía no entendia muy bien por qué me fascinaba Xuxa.
#6 ¿ves como eres un jovenzuelo moderno?
#8 ...pero gorrino, ese es mi destino

www.youtube.com/watch?v=g76v3CslDh4
#11 cuando escuchas su música te tocas mucho la la laaaaaa... Ha sido leer tu frase y ni tener que darle al vídeo... mchos recuerdos, jujuju
#6 ¿seguro que ahora lo entiendes? :troll: :troll: :troll: :troll: :troll: :troll: :troll: xD xD xD
#14 Pues claro, era un programa que explotaba tu incipiete erotismo infantil mostrandote sin pudor personajes tan sexualizados como Topo Gigio
#15 joer, el Topo Gigio, qué tiempos :-D
#16 Yo lo veia con una excusa, lo tuyo tiene delito
#15 ¿pero que me estás contaiiineeeeer? ¿te refieres al par de orejas que tiene Xuxa Topo Gigio? como te lean alguna feminista de las que hay por aquí.... xD xD xD xD xD xD xD xD xD xD xD xD xD xD :roll:
#22 Lo que hay en este foro no son feministas. Tienen otro nombre, que por decoro no voy a mencionar xD xD xD
#72 En Intel se han equivocado, querían decir que se han sacado de la manga un fallo para relanzar las ventas un 30% ralentizando equipos en la misma medida, que ya no se renuevan con la misma agilidad que tiempos pasados.

Hay tanta trola tecnológica circulando, que desconfiar es instintivo.

Más en riesgo que nuestros equipos están nuestras carteras.

Es lo que tiene ir llegando a los límites del crecimiento.

ACABO DE DESHABILITAR LAS ACTUALIZACIONES AUTOMATICAS....Y A SALVO
#75 punto 1: creo que te confundes de comentario y pretendías responder a otro, jejeje.

punto 2: no sé qué decir... si quisieran forzarte a que te renueves el pc, las cpus de última generación estarían libres de esas vulnerabilidades, pero es que estas también están afectadas.
#75 he puesto multiples enlaces donde ponen benchmarks que el usuario normal no notara la penalizacion de rendimiento, de hecho hasta google asegura que la penalizacion sera inapreciable.

www.techspot.com/article/1554-meltdown-flaw-cpu-performance-windows/
www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-ka
security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu
#72 No alimentemos su ira y encaucemos su punto de vista. 8-D
#2 Si quieres que Windows vaya más rápido tendrás que lanzarlo con más fuerza :troll:
#5 Yo apretaba el botón de turbo mientras gritaba a la tormenta... ¡Desata tu ira!  media
#7 Te quejas por vicio. Ese trasto con Linux daba para un datacenter :troll:
#7 xD xD xD el overclock del pasado, ni me acordaba del botoncito de turbo que yo mantenía activado en todo momento, hasta se me frió un Opteron de AMD.
#12. Eso no era un PC, era un microondas lleno de aluminio... y tu le diste al botón... :troll:

Los AMD se fundian con la mirada a poco que les fallara el disipador, hay videos en Youtube. No sé con los AMD de ahora, supongo que harán como los Intel que por lo menos bajaban la frecuencia al aumentar mucho la temperatura para evitar averias.

Por cierto, el botón 'Turbo' de la época no era para tunear la CPU, era para no perder compatibilidad con software antigüo que requería menos frecuencia de reloj para ser usable. En realidad el botón debió haberse llamado 'Donwgrade' pero claro eso no vendía.
Edit #34. Para #12 'Downgrade'.
#34 #44 #47 #48Por cierto, el botón 'Turbo' de la época no era para tunear la CPU, era para no perder compatibilidad con software antigüo que requería menos frecuencia de reloj para ser usable

Encontré esto en Meneame www.meneame.net/m/tecnología/historia-boton-turbo, la verdad no recordaba que fuese para reducir la velocidad del procesador, pensaba que era para aumentar la velocidad del procesador y que lo desconectabas cuando los programas funcionaban…   » ver todo el comentario
#73 Efectivamente es para reducir. Mi PC pasaba de 66 MHz a 33 MHz. Creía que era un error del LED, la verdad xD
#34 Eran unos cracks de la publicidad: ¿cómo vender algo que ralentiza tu CPU?: Solución di que cuando está desactivado hace que vaya más rápido.
#34 tampoco es nada malo. cualquier cosa a la que le casca la refrigeracion se quema. la excepcion era el p4, pero a cambio, a saber cuanta gente tenia un p4 a media asta sin saberlo.
#34 Eso es, en la época de los 386 y 486 existían juegos que iban a todo lo que daba un 286, y claro, sin capar el procesador eran injugables.
#7: Mítico botón turbo, ideal para videojuegos difíciles. :-P
#26 A excepción del warcraft 1 y 2 que tenías que esperar a que el monje o el orco-monje construyera el edificio o bien usando el truco de acelerar el cual también afectaba al enemigo. (Aparte de la velocidad del juego)
#7 no podia faltar el boton lleno de mierda xD
#51 No si ahora querrias que me higienizase las manos en medio de una partidita al "Cobra Mission", si hay grumo hay grumo
#53 ¡Grandísimo juego! A la par del Metal and lace, battle of the robo babes y el Knights of xentar ... Me siento ahora mismo muy viejo y ligeramente cachondo, mira tú... :shit:
#83 Las diosas del cuero de Phobos.... Leather godesses of Phobos... Esta claro que los programadores de esa época no teníamos ni mujer ni novia en esos tiempos.... xD
#92 ¡Pero ese no es de Megatech! (Ni lo conocía)
#7 Ese botón de reset tan hacia afuera... :palm:
#2 Según el articulo la culpa es de Bill Gates y su Windows. :palm: Estoy por ponerla sensacionalista.
#29. No culpabiliza a Gates, pero sí que nos recuerda lo poco profesionales que siempre han sido. A mi no me parece un ejemplo ni fuera de lugar.

Gnu/Linux, sin ser perfecto, está a años luz en importantes aspectos respecto a cualquier versión de Windows. Bueno, lo de Windows 8 y 10 para mi no tiene nombre, es incomprensible que el usuario medio haya tragado y siga tragando con eso.

Desde mi punto de vista Microsoft lleva décadas desprestigiando el mundo del software y los acontecimientos no vienen más que a confirmar que desde las multinacionales del hardware cerrado se les seguía a los Microsoft desde muy cerca en cuanto a pifias.
#32 El usuario medio traga con todo lo que Ms hace porque:
- Tiene software que sólo va en Windows (Ej: Juegos)
- No conoce otra alternativa o le da miedo cambiar.

Yo sinceramente con el tema de los juegos estoy vendido pero es cierto que Windows 10 me parece bochornoso como abusa del usuario
#49. '...pero es cierto que Windows 10 me parece bochornoso como abusa del usuario...'

Pues eso solo puede aventurar el principio de algo mucho peor. El Window 11 es posible que venga con un sistema de multas con prepago incluido y paso obligado por la tienda online oficial previo a abrir cualquier carpeta.

Te recuerdo que en Gnu/Linux el tema de los juegos se va poniendo las pilas. Puedes confirmarlo en Steam. En mi caso cada vez pasan periodos más largos de meses sin necesidad de arrancar un PC con Windows, y creeme que lo agradezco.
#50 Sí, el tema mejora en Linux pero si consultas Steam ahora mismo (store.steampowered.com/search/?category1=998) hay unos 20000 juegos en la tienda de los cuales 4300 son compatibles con Linux. Vamos, que el tema aún está lejos.
#52. Te reto a que te pases los 20000 juegos. No creo que te de una vida para los 4300... :troll:
Y espérate porque las cifras subirán sí o sí.

Gnu/Linux hace mucho tiempo que dejó de ser un experimento y se ha ganado el respeto de la comunidad del software y buena parte de la comunidad del hardware a pulso. No en vano cuando Richard Stallman o Linus Torvalds hablan las comunidades escuchan.
(CC #50)
#54 El tema es si en esos 4300 están los que te interesan. Los indies casi todos funcionan en Linux, los AAA poquitos.
De mi biblioteca funcionan en Linux 1/4 parte aprox. Ojalá todos funcionaran :-(
#57. Leo tu comentario y todo me parecen buenas noticias. :-) Las desarrolladoras saben que se pierden un mercado importante si no apuestan por los Gnu/Linux de escritorio.
#54 De los 15 juegos más vendidos 11 solo funcionan en Windows así que, para un gamer, sigue sin ser una alternativa.
#140. Pues vas a conseguir que ofrezca un consejo que personalmente nunca seguiría. Para gente que no puede pasar sin jugar con los 'Triple A' del momento una videoconsola, y a parte un PC con Gnu/Linux.

PD. Soy anti-videoconsolas desde la NES de 8 bits. Nunca les he encontrado sentido a computadores sin teclado ni sistema operativo usables. Tener que pagar extra por inaccesibles y caros 'Kits de Desarrollo' para esas plataformas (existiendo el PC completo de toda la vida) siempre me ha parecido una aberración.
(CC #54)
#50 linux ha dado saltos de gigante con la tendencia de aplicaciones web. Y con la estandarización de drivers. Y con Android. Y con el avance del hardware "menos" propietario.
Pero hay mas variables en juego, y los fabricantes juegan sus bazas (es que cobran, sabéis?) para dar capas atractivas a todo usuario, programador, administrador o hosteador. Os suena Apple? Esos han crecido, y son de todo menos abiertos.
#109. '...Os suena Apple? Esos han crecido, y son de todo menos abiertos...'

Tu lo has dicho, esos son de todo menos abiertos. Y han crecido. Milagros del marketing y la moda que escapan a mi entendimiento. Desde mi punto de vista el único logro reconocible de Apple es haber sobrevivido como empresa en su sector a Commodore.
(CC #50)
#49 aun se juega en PC? xD
#93 ¿Es sarcasmo? Me resulta difícil saber si tu comentario es irónico. Yo hace algunos años que estoy apartado del mundo de los videojuegos pero, recuerdo que los jugadores de PC veían sólo ventajas comparado con las consolas.
#93 Ja ....... Ja.
El PC está más vivo que nunca. Juegos más baratos que en consola, soporte para mods, retrocompatibilidad mucho mejor que en consola. En mi caso además es un aparato que utilizo para muchas otras cosas a parte de jugar.
#93 Desde Steam, el mercado de consola es un chiste.
#49 En realidad lo que ocurre es que todo el mundo traga con Windows por que nadie ha apostado en serio por Linux en el entorno doméstico. Canonical estuvo regalando discos hace años. Luego tienes a DELL que solo vende a través de Internet. Y si alguna vez se han vendido equipos con Linux en algún centro comercial siempre has tenido a comerciales sin ningún interés ni conocimiento del mismo (de hecho es la razón por la que Apple creó las Apple Store).
#32 en muchos aspectos si. En otros no.

Es mucho más fácil integrar con Kerberos Windows. Tb es mucho más fácil reducir o ampliar la partición de raíz con Windows.
#65. Ahora no recuerdo el nombre del proyecto, pero en los repositorios de Ubuntu encontré una aplicación gráfica para manejo de particiones muy sencilla de usar. Gnu/Linux no son las ISO de las distribuciones, son sus repositorios de programas. No se acaba nunca de sacarle buen partido a los repositorios oficiales de cada distribución.

No estoy seguro de si se trataba de está aplicación, pero sirve de ejemplo y viene en los repositorios :
www.kde.org/applications/system/kdepartitionmanager
(CC #32)
#67 #65 Yo uso Gparted, y si, esta tirada de usar  media
#74 ¡Gparted era! Gracias. Excelente 'Partition Manager' para Gnu/Linux. :-)

Buscar en los respositorios de Ubuntu por 'gparted' o por 'GNOME partition editor'.
(CC #67 #65)
#32 el usuario medio quiere que le funcione su ordenador y no tener que cambiarlo por uno compatible.

Seamos realistas, GNU/Linux tiene problemas de drivers en muchísimos portátiles modernos.

En mi portátil no van la mitad de cosas en Linux y la otra mitad van mal. Lo peor? La wifi integrada Broadcom, que usa un driver horrible con un blob. Peta de vez en cuando y el suspenderse luego ya no hace wake up.
#29 Después de leer buenos artículos en inglés sobre este pufo, paso de leer uno en español con semejante frasecita. Ya tengo mis propios traumas como para leer los del autor.
#2 Hombre, por el 95 salió el windows 95. ¡Una Maravilla!.

Tenía el exploit igual, pero como solía salir a menudo pantallas azules ni se notaba :-D
#2 creo que en windows 3.1 las aplicaciones podían acceder a las páginas de memoria de otras sin más.
#71 ¿El 3.1 no funcionaba ya en modo protegido?
#86 poco más te puedo contar.. Esto nos lo habían dicho en la facultad y de eso hace muchos años ya.. :foreveralone:
#86 Sí, pero era de 16 bit.
Este es el año de Intel en el escritorio.
#4: Si, lo mejor va a ser tener el procesador sobre la mesa, porque lo que es dentro del ordenador... ¡Cuidado! :-D

Deberían cambiar el gingle este que ponen al final de los anuncios (desde los años 70), en vez de "pammmm pam pam PAM PAM" deberían decir "Pwnnnnnned pwned pwned PWNED PWNED".
Lo curioso es que sea 20 años después cuando se encuentra el problema, mucho tiempo y mucho se han usado los procesadores, como para que no se haya encontrado antes... :tinfoil:
#9 NSA.... Es la explicación más simple...
#43 Si, pero no exime de pensar que pueda haber otros "grupos" que quieran tener control.
Así que aunque a priori señala a lo visible, la NSA, no se pude afirmar tajantemente que puedan ser los únicos culpables, pero lo que si se puede afirmar rotundamente es que es mucha casualidad que las opciones ante este tipo de problemas sean que
no haya política de prevención de problemas y no se puedan desactivar las funcionalidades, o que directamente aunque puedan ser desactivadas, estas opciones estén activas por defecto en contra de toda lógica ante problemas de seguridad conocidos.
#9 no suelo ser conspiranoico pero la verdad es que esta vez me resulta increíblemente difícil pensar que en todo este tiempo nadie sabia nada, si es que parece hecho a medida de la NSA ...
Spectre es el ataque que tiene tanta retroactividad.
Meltdown es el que sólo funciona con Intel.
Spectre funciona con algunos modelos de todos los fabricantes, no con todos los modelos de todos los fabricantes.
#13 ¿También con PowerPc?
#17 buena pregunta, aún tengo por ahí un G3 que va como un tiro .... en lo que aún es capaz de abrir :-D
#18: Si al final nos tocará dar la razón a los adeptos a Mac. :-(
#24 Los Mac también tiene la misma vulnerabilidad.
#33: Me refería al ordenador que usaba la persona que hizo el comentario del G3. CC #64 y #30.
#24 Como si los mac no montaran Intel
#33 No un G3, que usaba un PowerPC.
#59 Conozco a alguien que tiene un Imac con PowerPC.
#99 El último iMac con PowerPC es de 2005... todavía le funciona? Hasta hace un tiempo bastante software se podía bajar como "Universal binary", que básicamente implicaba tener un contenedor con 2 binarios, uno para x86 y otro para PPC. Hoy en día es una putada conseguir que funcione prácticamente cualquier software medianamente moderno, porque ya no se compila nada para PowerPC.
#59 Me refería al comentario sobre dar la razón a los adeptos de mac, de todas formas, una vez descubiertos estos fallos, que prácticamente afectan a todos los procesadores, no me extrañaría que el Power PC tuviesen un fallo similar....
Yo me voy a volver a mi LC3 con su 6830, que a ese no lo tumban los hackers...
#24 Bueno, a la horda anti-Apple de Meneame le joderá leer esto, pero aparentemente (según twitter.com/aionescu ) las vulnerabilidades están parcheadas desde High Sierra 10.13.2, y (también aparentemente) casi sin penalización de performance gracias a que la mayoría de los Mac llevan procesadores con PCID.

Edit: El tweet en cuestión: twitter.com/aionescu/status/948609809540046849
#24 No, los Mac usan intel, así que vamos jodidos también.
#17 #18 segun redhat:

There are 3 known CVEs related to this issue in combination with Intel, AMD, and ARM architectures. Additional exploits for other architectures are also known to exist. These include IBM System Z, POWER8 (Big Endian and Little Endian), and POWER9 (Little Endian).
#27 #17 #18 La semana próxima IBM publica actualizacion para POWER7+ POWER8 y POWER9
www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
#17
No se sabe. Pero seguramente también. Conociendo el funcionamiento del BTB asunto arreglado. Recientemente IBM ha hecho públicos varios diseños así que ...
#13 entiendo que con los ryzen no funciona.
Nadie ha dicho ¿Intel inside?
Ahora ya sabemos qué tenía dentro Intel
Pues los trenes están a salvo (al menos el ASFA digital), porque llevan un 486 a 66 mhz según vi en uno. :-D
Y resultados de la actualizacion:

www.techspot.com/article/1554-meltdown-flaw-cpu-performance-windows/

Para los usuarios casi no se nota.
#28 Pues según la comparativa la perdia de rendimiento es del 1%, no va a ser para tanto.
#31 Si pero en servidores es un palazo. Yo lo voy a sufrir mucho y me estoy cagando en todo.
#28 En disco duros nvxpress se nota en 4k cantando el problema de i/o por culpa del micro un 23% de perdida no es una broma y 5% en general todo lo que sea leer y cargar de hd ira un poco mas lento.
#37 EL problema estará más en VMM cambiando de contexto.
Es decir, "fliparemos" con SQL en VMS.
#28 ¿Cómo actualizo? ¿Sale directamente en Windows 10 la actualización?
Vaya, pues lo llevaré al psiquiatra :shit:
Llevo años teniendo mínimo dos PC, uno sin conectar a nada y me llamaban :tinfoil:
Nos echamos las manos a la cabeza, pero el problema es siempre el mismo:

¿Cuantas veces la compra de un cobsumidor depende de la segurudad del procesador? ¿Y cuantas de la velocidad o el precio?

Pues velocidad y precio tendras (y lo pondra hien grande en la caja).

Nos echamos las manos a la cabeza cuando himbo hace trabajar 60 horas semanales a sus repartidires, pero... ¿Cuantas geces decidimos nuestra compra por las condiciones laborales de lis trabajadores? ¿Y por el precio?

Pues precio…   » ver todo el comentario
#40 estoy de acuerdo en lo que dices, pero tu comentario es muy largo y redundante.
#46 y con mas erratas que yo que se.

Dilo todo xD xD xD xD :hug:
Estos cabrones al final si que se han marcado un Intelgate a lo VAG, este bug tiene un mayor impacto en los centros de datos, justo donde AMD estuvo dominando una temporada y del que acabó siendo desplazada por aparentemente "mejores" productos.

Se la hicieron pero bien hecha a la AMD de los tiempos del K7...
No me he leído nada de estas vulnerabilidades. Según parece podrían leer la caché del procesador. Por ahí dicen que se pueden cambiar hasta las instrucciones del micro... Al final hay que ver como de explotable y dañina sería esta vulnerabilidad. Lo mismo obtener datos sensibles con un ataque de este tipo es imposible. ¿Alguien se lo ha leído?
#45 el contenido de la caché no se puede leer directamente. Sin embargo, se puede saber qué líneas de la misma han sido accedidas midiendo retardos en los accesos a memoria. La prueba de concepto incluida con los papers se basa en que, como las ejecución especulativa puede lanzar órdenes de acceso a memoria (y por tanto, actualizar la caché) y estas direcciones de memoria accedidas pueden estar indexadas en función del contenido de otra parte de la memoria (en la PoC, más allá de los límites de…   » ver todo el comentario
#68 >Es muy retorcido y no creo que haya muchas aplicaciones prácticas
JIT en emuladores y VMs.
#79 eso he leído, pero habría que ver cómo de explotable es en la práctica (más allá de los ejemplos de laboratorio). Supongo que empezaremos a verlo en los próximos meses / años.
#82 En OpenBSD encontraron problemas por ejemplo con PPSSPP y su JIT ya que no permitía acceder a lo bruto a código de datos como ejecutable, y tuvieron que usar el mismo código que existía para iOS (que tampoco permite un JIT completo).
En rendimiento, no te puedo decir, pero es más o menos el 90-95% respecto a GNU/Linux con Slackwre y el mismo MESA. Se nota, vamos. Con el GTA a escalado 3X GNU no suda tanto...
#84 creo que esa respuesta no iba para mí xD
#79 En teoria accederias a direcciones de memoria cacheadas por lo que veo... pero robar un dato sensible con eso yo lo veo un poco jodido. Que no digo que no se pueda hacer pero vamos. Que para sacar una password de una web bancaria creo que es más efectivo un "pishing" de esos o un rootkit creo que se llaman que leen lo que tecleas que esto. Esto se ve muy complejo de explotar. Lo malo es que se pongan a ello. Al final tendran que cambiar la arquitectura de las cpu por lo que se ve.
#45 Utilizan la ejecución especulativa para acceder a regiones de memoria fuera de la aplicación y después varias técnicas (según la variante) para "leer" esa memoria desde la caché . En teoría se puede obtener cualquier dato en memoria. Hasta donde se ninguna vulnerabilidad permite escribir.
Ya debe de haber otro mejor
Por si a alguien le interesa saber qué procesadores ARM están afectados (yo tenía dudas por la raspberry y el smartphone, pero todo está OK):

developer.arm.com/support/security-update
Acabo de instalar la actualizacion.:
Cumulative Update for Windows 10 Version 1709
(Windows 10.0.16299.192) for x86-based Systems (KB4056892)

Y no noto diferencias de rendimiento apreciables (Diseño Gráfico) en un i7 4510U.
#66 ese update es de Octubre del 2017, no incluye el fix.
#95 ¿Has visto que build indica? Comprueba si tienes la build 16299.192 con winver.
#97 ok, no vi la build
Me gusta mucho el primer comentario del enlace, aclara cosas y corrige tambien algunas afirmaciones.
Processor Name: Intel(R) Core(TM) i7-4790 CPU @ 3.60GHz
OS Version: Microsoft Windows 10 Home
Engine: Intel(R) Management Engine
Version: 9.1.0.1120
SVN: 1
Status: This system is not vulnerable.
Tool Stopped

:peineta: no seeee yoooo intel no seee yoooo
security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu
y ahora google tambien dice que tampoco es para tanto la degradacion de rendimiento
#89 La cosa está en saber cuando otros fabricantes que instalan la versión actual de Android, enviarán actualizaciones a sus clientes.
Porque Google para los modelos que menciona parece que envió los parches en diciembre...
Emosio engañao
No, es inseguro solo cuando los agujeros de seguridad son conocidos. La ignorancia es el mayor aliado de la seguridad.
#94 ¿Estas en contra del full disclosure? Debe ser mejor que en la deep web tengan mejor información.
#94 No sabemos cuanta gente ha estado aprovechando hasta ahora esta vulnerabilidad en nuestros ordenadores. La ignorancia tiene estas cosas.
Que nos está engañando que no nos engañen que nos digan la verdad
«12
comentarios cerrados

menéame