Этой уязвимости подвержена не только крипта, но и банковские и государственные службы и структуры. Сокрушительный удар для интел. Уже 2-ой по счету за 3 месяца. Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера. Это позволит свести риск подцепить этот трипер к минимуму.
Акции AMD и цены на их процы думаю скоро пойдут в гору. Интел, наоборот, просядет значительно.
Topic: Ошибка в процах Intel украдет вашу крипту! - page 16. (Read 2708 times)
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
Эта проблема заложена в самом подходе
Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое
Интересный способ решения проблемы, думаю что-то в этом роде и придумают.
С другой стороны гугл уже мог давно все себе скопировать и подготовить патчи со скрытым майнером, якобы замедляющие вашу систему, двойной профит
Ну а если на компе только MEW и телега для передачи адресов,как то поможет обезопасить?
интересно эта новость повлияет на поток капитала в крипту?
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
Эта проблема заложена в самом подходе
Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
Короче теперь раз не только у интела но и у всех остальных производителей вышли такие баги надо срочно покупать аппаратные кошельки. Но вот будет смешно если и их тоже легко будет взломать тем же методом.
Чего смешного, у аппаратного кошелька Trezor была уязвимость в микросхеме: https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/Там приватный ключ можно было стырить.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Понятно если это децентрализованная биржа типа дельты, а в других случаях заморачиваться не будут. А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Каким образом, Карл?
Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе
Как быть с теми, кто торгует через API?
Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька
Тут на форуме много слезливых историй было про "я был идиотом и все свои деньги держал на MGox/BTC-E, надо было часть в холодные кошельки с биржи выводить". Так что думаю, даже среди тех, кто на биржах торгует дураков мало все средства на бирже держать. Лопаются они на раз. Под любым предлогом. В любой момент.
С теми, кто торгует через API посложнее. Они молодцы.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Каким образом, Карл?
Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе
Как быть с теми, кто торгует через API?
Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька. Кроме того, даже если теоретически допустить такую схему, то она вряд ли реализуема на практике, особенно та её часть, где "на страницы биржи инжектится вредоносный JS-ниндзя"
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности.
Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую.
А что такое патч извините за компьютерную несведомость и где его взять
p s а вот на площадках где крутится баблишко типо stemmit и golos всё наверное сложнее. им тоже надо 2fa вводить
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности.
Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую.
А что такое патч извините за компьютерную несведомость и где его взять
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Каким образом, Карл?
Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе.
Какая вероятность, что пользователи криптовалютных бирж имеют у себя на компе какой-нибудь кошелёк с криптой, которую можно украсть, вытащив приватный ключ из памяти?
Или пароль от почты, не защищённый двухфакторной авторизацией, на которую завязано куча всего? А какая вероятность, что у некоторых есть бизнесы/проекты, по которым можно тоже много интересного нарыть?
ну можно ещё дальше зайти. допустим комп только для кошельков и комп для бирж. на биржах всё таки 2fa есть
По хорошему то косяк производителей благодаря которому заявленной производительности теперь не будет, соответственно товар бракованный и производитель должен понести ответственность перед покупателями, интересно кто то добьется скидки на новые процы взамен старых?
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Если хакнуть биржу то зачем заморачиваться со зловредом, когда внутренний счет биржи уже в руках Понятно если это децентрализованная биржа типа дельты, а в других случаях заморачиваться не будут.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Понятно если это децентрализованная биржа типа дельты, а в других случаях заморачиваться не будут. А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
Каким образом, Карл?
Или на серверах биржи хранятся монеты (т.е. приватные ключи) клиентов? На любой нормальной бирже на сервере только движок крутится, а котлеты (зачёркнуто) кошельки отдельно, особенно если речь идёт о чём-то типа VPS, откуда даже без всяких зловредов можно умыкнуть что угодно. Помнится, несколько лет назад таким образом спёрли базу пользователей этого форума. Некто с помощью социальной инженерии получил физический доступ к серверу в стойке и стырил бекап форума, проказник, ахахах. Потом здесь был полный ахтунг (зачёркнуто) аншлаг по смене паролей
Теперь производители процессоров будут зарабатывать. Выпустят новое поколение которое расскажут , лучше и производительнее, чем было. Вообщем все как всегда, продажи подымут и все по новой.
как всегда - такая себе борьба добра со злом, но за бабки. Еще этого не хватало, теперь сиди и думай что с этим всем делать, и когда выпустят новый процессор. А если не Виндовс 10 то что делать?
Если макось - дождаться и накатить апдейт.
Если линух - накатить апдейт уже сейчас.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Jump to: