Apple Silicon взломали? Неисправимые проблемы с безопасностью
Когда речь заходит о защите данных (привет, товарищ майор!), мы обычно в первую очередь думаем про уязвимости в программах. Но производители железа тоже совершают ошибки и в их продуктах тоже находятся лазейки, через которые данные могут утечь. Сегодня поговорим как раз про такой случай: недавно найденную в устройствах Apple узявимость GoFetch. А заодно про старые-добрые, но такие же неприятные Spectre и Meltdown для обладателей не-яблочных ПК: что это, как оно работает и нужно ли вам беспокоиться.
Подпишитесь на нас в социальных сетях:
Telegram: t.me/deptone
Instagram: / one_dept
Twitter: / deptfirst
Пікірлер: 201
Вы как глава проекта - это самое верное решение. Дипломатичность, деликатность и ёмкость почти в каждом вашем видео.
@eugenebazhin8204
18 күн бұрын
Согласен, мужик крут, вызывает уважение
@yrchuk32
17 күн бұрын
Ага, только он не сказал что обновление могут быть тоже не безопасные.
@afterlyfenio
17 күн бұрын
@@yrchuk32 он об этом сказал в самом начале видео же...
@decoder9379
17 күн бұрын
Жаль иногда тут говорят не совсем правду толь из ангожированности толь из-за не достатка технических знаний.
спасибо. больше тех подробностей хуже не сделает. вынесите в отдельную рубрику, кому интересно - посмотрят до конца
@MARIAARTY
17 күн бұрын
По-моему лучше сделать эту тему по тайм кодом, кому неинтересно пусть пропускает эту часть по тайм коду
@differentone_p
16 күн бұрын
если будет отдельное видео на котором мало просмотров, это заруинит статистику канала.
Было приятно услышать технические данные и сведения, побольше таких видео ! Огромное спасибо вам, за проделанную работу.
Вывод: лучше перезагрузить комп и немного подождать, чем сидеть 15 лет.
@Dimaangel1996
18 күн бұрын
А ещё лучше удалить центральный процессор из своего компа.
@SL4RK
18 күн бұрын
@@Dimaangel1996 и вытащить етхернет
@LeonidEliseev
17 күн бұрын
Жить в красивом месте вдали от интернет и опасных людей
@TheCherrybuster
17 күн бұрын
@@LeonidEliseevAgafya Lykova mode😎
@EEBPioneer
8 күн бұрын
Перезагрузить комп вообще очень часто самое разумное действие
Нужны ещё более глубокие технические детали - подробно как устроено, на уровне уверенного middle специалиста и выше
Лучшая защита - не доверять аппаратному шифрованию, а использовать инструменты вроде VeraCrypt и DiskCryptor, а пароль держать в голове, а не в TPM-модуле
@user-oh8yo2bw6k
18 күн бұрын
Не поможет. Паяльником взломают)))))
@SL4RK
18 күн бұрын
Даже паяльник не нужен, эти данные положат на полочку и когда найдут дыру или если повезет в ближайшие лет 20 квантовые компьютеры перестанут быть настолько громоздкими неэффективными, все это дело расшифруют... Лучшее что можно сделать всегда иметь при себе молоток и тазик с кислотой
@Noname-fl4cf
17 күн бұрын
Квантовые компьютеры никак тебе не помогут взломать обычное шифрование с 1м ключём. @@SL4RK
@decoder9379
17 күн бұрын
во первых они все равно теоретически могут извлечь данные из подпроцессора или соцппоцессора. во вторых все еще возможна атака evil maid, или программная атака через бинарь, или терморектальный криптоанализ
@lmnk
16 күн бұрын
@@user-oh8yo2bw6k Можно сделать ключ шифровки в виде результата XOR-операции одного пароля на другой, получится двухпаяльниковая аутенификация)))
Интересно было бы даже более глубокие технические детали узнать! Спасибо, что занимаетесь просвещением
9:24 в реальной жизни очень опасно следовать такому совету, если вы в компании где-то заблудились!!! Большинство трагедий как-раз и происходят когда группа людей решает разделиться. В последствии, как правило выясняется, что всех негативных и трагических результатов возможно было бы избежать если бы группа людей просто продолжала идти вместе не разделяясь. Казалось бы, это простое и логичное решение - оставаться группе людей вместе. Но ежегодно тысячи людей в мире гибнут решая разделиться в подобных ситуациях. Надеюсь, просмотр этого ролика никого не натолкнет на неправильный алгоритм действий в реальной жизни. Оставайтесь вместе! Оставайтесь живы и здоровы!
Блок - схема,аж олдскулы свело...лукасовского за ностальжи!
дали бы выключить эту "крутую оптимизацию" да и всё :/ вообще стрём какой что, что мой камень выполняет множество ненужных операций. А потом у нас без башенного радиатора на пол системника комп гудит как взелтающий самолёт тупо с открытым браузером, наоптимизировали))
@lmnk
16 күн бұрын
патчи мелтдауна по сути предиктивное выполнение и отключали программно)
Обязательно рассказывайте за то как работает уязвимость. Очень интересно
Больше технических подробностей-круто!
@user-nm4ko6rx5w
18 күн бұрын
тут не 1 нету о чем ти?:
У меня патч от уязвимости Downfall съедает где-то 1500 баллов в geekbench. Я его отключаю, мне производительность важнее. На личном компьютере как бы не должно быть левого. А вот с серверами дело обстоит гораздо хуже. Ведь так называемое частное облако вполне может просматриваться соседями по серверу.
@youtuba-mamyt-rahal
18 күн бұрын
Глупости про "личный компьютер".
формат подачи - оч хорош
В процессорах как в России: пришли крутые менеджеры и всё оптимизировали так, что вскоре всё обанкротилось!
Нам все форматы интересны, которые легки в понимании. Спасибо большое!
Отличный формат, спасибо, делайте еще!
9:47 друг который уйдёт вперёд навечно: press F
Обновления устраняют старые, всем известные уязвимости, и заботливо вредняют новые, известные только их создателям. Такая вот палка о двух концах)))
Шикарный формат. Ждём новых роликов
Дмитрий, рассказывайте всё! Всё интересно!
Круто, побольше технарской части!
> реклама ставить обновления > бэкдор в новых версиях архиватора xz (linux) делает кусь Правда уже выпустили на него обновления, их суть в даунгрейде версии. Так что да, это все еще реклама обновлений😅 Отличный выпуск, я как не читал про спектр и мелтдаун, все не мог понять суть уязвимости. Теперь понял. Из минусов, не услышал тех деталей патча айфонов.
@LeonidEliseev
17 күн бұрын
Автор ролика фанат Apple. Неспособен плохо про огрызки говорить, всё замалчивает.
@decoder9379
17 күн бұрын
@@LeonidEliseevНа самом деле у apple действительно весьма не плохо продумана безопасность. По сравнению с линуксом уж точно. Но уповать слишком сильно я бы на нее не стал.
@lmnk
16 күн бұрын
Так его на rolling версиях отловили, лол, то есть от него пострадали только арчедебилы. Но последних и так мало что исправит
@decoder9379
16 күн бұрын
@@lmnk Нет не пострадали, на арче эта уязвимость не работает.
@Liphi
13 күн бұрын
@@lmnkарч билдится напрямую из сурсов, поэтому "арчдебилы" намного в большой безопасности, чем состабильные фанатики дебиана
Да, такой формат очень интересен.
Спасибо за вашу работу. Очень полезно и информативно.😊
Да,больше пояснений за матчасть😊Вы умница, Дмитрий,как и Ваша команда.Так держать)
Такой Формат Интересен!
Очень понятное объяснение, спасибо!
Очень интересный формат, спасибо за вашу просветительскую работу
Спасибо! Формат хороший - мне нравится :)
Спасибо за ваш труд и за ваше информативно полезные видео
Дмитрий спасибо вам. И ДАЛЕЕ,- (ИМЕННО ПО ЖЕЛЕЗУ) ,-ТОЖЕ ХОТИМ. Да,- по ходу компы ныне тоже должны начать иногда отыгрывать имитационнные некие пустые "радиоигры",- операции "по расквартировки" в кэше некоего отвлекающего мусора , а в работе процессора не брезговать иногда подключать и низкие частоты...
Интересен такой формат
А если, допустим, процесс выполняется на виртуальной машине, которая, работает на реальном процессоре отличном от виртуального по архитектуре, такие атаки могут сработать?
@PavelQuiteGood
18 күн бұрын
Очень сложно, но теоретически могут. Аппаратная уязвимость даёт доступ даже к данным виртуальной машины.
@user-ud6re7he1x
7 күн бұрын
@@PavelQuiteGoodчеловек скорей всего имел ввиду если смотреть со стороны виртуальной машины, т.е. когда попытка взлома происходит внутри виртуальной машины с эмуляцией процессора на другой архитектуре, с попыткой доступа к основной системе. По мне так вероятность уменьшается потому, что для удачного взлома злоумышленник минимум ещё должен понимать, что на виртуалке и знать уязвимости конкретной виртуализации. Наверное, чисто догадка. Я же не спец)) Может там все в один клик происходит😅
ребят аналогичные дыры в безопасности были всегда. известно о них становится далеко не сразу. например Meltdown и Spectre используют уязвимости которые имеются почти во всех процессорах. Вообще ни разу не видел чтобы обновления системы серьезно повышали безопасность. серьезно повышает безопасность файрволл и скачивание только проверенных программ с проверенных источников. а обновление за частую усложняют систему или её ломают. вообще если вы хотите стабильности то стоит обновляется только при необходимости.
Ну то есть если Mac у меня еще на intel, то эта проблема тоже имеется у меня?
Кем надо быть чтобы находить такие уязвимости?! а еще после эксплуатировать ... кто эти гении ?!
@differentone_p
16 күн бұрын
это я😎
Интересно, означает ли это, что яблочный хлам наконец-то станет ремонтопригоден после того как ссд выйдет из строя ?
Отличное видео с отличными примерами. Правда, для меня меня они были слегка слишком абстрактные, хотелось бы больше конкретики по технической реализации.
Такие атаки сложно примянимые но всеже они есть
@PavelQuiteGood
18 күн бұрын
Да, они скорее теоретические.
@decoder9379
17 күн бұрын
Смотря кем. Такие атаки доступны серьезным игрокам.
@user-uy5kv7vx1e
17 күн бұрын
@@PavelQuiteGood да, очень геморойно по процам ломать, проще взломать уязвимую програму или ос .
Крутая команда, крутой проект 👍 смотрю и слушаю с удовольствием все видео.
Не понял, вы все обнолвения рекомендуете ставить или только некоторые?)))
Вопрос: если процессор делает какие-то "лишние" операции, в результате которых чуствительные данные попадают из защищённой памяти в кэш (или засвечиваются как-то иначе), а это же продиктовано алгоритмами операционной системы, то почему уязвимости приписывают железу, а не операционной системе? неужели ЦПУ теперь могут сами решать что-то посчитать и что-то перекинуть из памяти в кэш безусловно -- без указки ОС?
Крутой ролик, чёт я даже не напрягся от "технических моментов", больше жути и нагоняли
Полезно, интересно, познавательно ❤
Честно говоря, не понял про то, как работают уязвимости, но за видео спасибо. В технические подробности лучше не надо погружаться - это отпугнёт таких как я. 🙈
*Я больше скажу, эксплойты во всех процессорах. Очень любит эксплойтить Китай*
Благодарю за информацию красная таблетка
Техническая информация интересна - какие проблемы находят и как их удаётся исправить
А как же, прости хоспаде, Байкал и Эльбрус?
@newlife1036
18 күн бұрын
Там ФСБ зарезервировало весь кэш
@SL4RK
18 күн бұрын
там влив архитектура, вангую даже самый упоротый не станет эту дичь ковырять и тем более писать софт учитывая насколько ужасное само по себе решение...
@SL4RK
18 күн бұрын
а байкалы на арме подвержены тем же уязвимостям! вот с мипсом интересно такие фокусы прокатят ?
А можно в следующем видео 10 практических жизненных ситуаций, когда установка обновления на современную клиентскую систему, не на сервер, спасает жизнь юзеру? Вот кладем рядом 2 ноутбука, на один ставим обновление, на второй не ставим, и второй через 10 минут взрывается. Или сколько надо ждать тысяч лет? Или сколько тысяч ноутбуков без обновлений надо поставить рядом, чтобы хотя бы один из них взорвался? Есть какая-то статистика, или установка обновлений суть маркетинговый булшит? Поможет юзеру с имитацией мозгов установка обновлений, если он вообще устанавливает все подряд, как ему советуют, из любых источников, если там написаны главные маркетинговые слова типа проверено десятью антивирусами? Поможет ли такому юзеру установка обновлений, если у него компьютер живет своей жизнью, на нем постоянно обновляются какие-то свистелки-перделки, компьютер всегда загружен этим под 90 процентов, а свистелки-перделки дают пользователю поработать на ресурсах компьютера по остаточному принципу, важно лишь, чтобы сами свистелки-перделки работали и обновлялись? Можно ли доверять закрытым проприетарным системам, реально ли проводить постоянную инспекцию мегабайт постоянно обновляющегося исходного кода открытых систем? От кого мы вообще защищаемся, что именно защищаем и чем готовы пожертвовать ради защиты?
Значит, мак про м2 брать не буду.
Для работы GoFetch пользователь должен: 1) авторизоваться; 2) запустить ПО Зачем такие сложности❓ Проще скормить пользователю его ухо и заставить признаться в злодеяниях.
@skpavlenko
13 күн бұрын
Это уже social engineering
любой новый вирус будет выполнятся компьютером без всяких предупреждений пока часть его кода не попадет в базу и он не будет опознан.
Благодарствуйте за информацию! Но у нас нет гарантии, что ОС, принадлежащие крупным корпорациям, не используют известные уязвимости в своих целях или для сотрудничества с государствами и/или службами и/или другими лицами за старую, добрую, зеленую, мятую, наличную капусту. Ничего личного, только бизнес.
Интересный выпуск. Спасибо.
Какие практические действия должен совершить «обычный пользователь»? Вовремя обновлять ПО? Это и есть совет?
@paul-northon
18 күн бұрын
Посмотрите предыдущие выпуски.
Вот это разжевали, даже блондинка поймет! Было интересно
@PavelQuiteGood
18 күн бұрын
А я не понял.
Огромное спасибо за проект и знания!!! Удачи во всём , миру Мир и Долой путинизм❤❤❤
"обновления могут спасти вас от больших не приятностей" - данное утверждение не подходит для пользователей Windows
@decoder9379
17 күн бұрын
Подходит еще как. Виндовс в отличии от линукса стабильна из за отсутствия dependency hell и fhs. И виндовс чуть более безопасна, ибо имеет хоть какие то механизмы безопасности.
@spawnrys7520
17 күн бұрын
@@decoder9379 Напиши комент нормальный как отойдёшь от спайса
@spawnrys7520
17 күн бұрын
@@decoder9379 dependency hell - пережиток прошлого. FHS - намного удобней чем расположения папок в винде. Винда имеет свойство поломаться после обновления (у меня такое был не раз). Винда как раз и не так безопасна, так как большая доля пк рынка на винде, а значит большинство малвари заточено под винду.
Большое спасибо очень интересно и познавательно. Заир не нужно лезть в политику так Вы могли бы принести больше пользы.
У нас есть ютуб, инста, мордокнига и тикток, но мы те еще грамотеи и советуем ставить обнолвения!!😅 14:10
Идея с погружением в техничку интересная. Хотя бы что-то новое узнаёшь, а не просто хаваешь сухую информацию и выводы. Но, возможно, в этом видео вы немного затянули и можно было бы уложиться минут в 10
Так и и андроид тоже ломается без проблем. Я не знаю устройств когда данные нельзя расшифровать если пароль утерян. Вопрос в стоимости и времени.
Ролики с техническими подробностями - это хороший формат. Мне нравится 😊
@PavelQuiteGood
18 күн бұрын
Мне тоже нравится, хотя и не понял! 🙃
14:09 Заметил помарку: "обнолвения" вместо "обновления".
@differentone_p
16 күн бұрын
а я это не заметил
@sushinskiy
16 күн бұрын
@@differentone_p большинство это не заметили, это нормально, поскольку у людей формируется множество паттернов, включая паттерны на все слова, путаница внутри слов игнорируется мозгом. Но по какой-то причине не у всех эти паттерны работают таким же образом.
В следующем выпуске будете расказывать про ECC memory? and NIXOS 😊 Прежде чем что-то взламывать или защитать. Убедитесь трижды, а нужно ли это... Если у вас мало оперативки вы полюбому в кеш будете писать... о чем видео вообще? Можно разметить ram под ссд разметить. И данные будут уходить в память...
в любом устройстве, которое имеет любое сетевое подключение, изначально, по умолчанию, в аппаратной и программной части имеет множество закладок, кроме дырок и багов, так что, каким бы ты просвещенным не был, ты гол и прозрачен и можешь скрыться только от самого себя. Если даже у тебя нет паранойи, ты под колпаком и дело лишь во времени когда за тобой придут, если ты начинаешь представлять интерес или угрозу государству или корпорации.
Слово "вредоносы" распространяется. Грустно.
Честно говоря, не понимаю как через камень (процессор), можно что-то сделать, кроме как использовать ресурс вычислений камня. Типа, процессор это же что - кремниевая железка. ._.
@user-oh8yo2bw6k
18 күн бұрын
Проц предгружает инфу в кэш и некоторую часть инфы можно взять.
после установки всяких исправлений комп начинает работать медленней, лудше без них авось пронесет) и ваще подобные проблемы касаются корпораций с их коммерческими секретами и простым юзерам на них должно быть фиолетово
а часто просто оставляют "потайную дверь" для посвящённых, чтобы было куда совать свой нос
Очень интересная тема
14:10 исправьте обнолвения на обновления
Нагнал жути.
Спасибо! Очень интересная информация! Первый отдел, вы лучшие! 😊
Очень правильное решение. Полностью поддерживаю.
Вот вам и камень
да, аппаратные уязвимости это вам не в муку пердеть. а видео хоть и не совсем относится к теме канала, но такое тоже интересно
👍 браво
Извечная борьба 😂😂😂😂😂
"обнолвения")
Всякие взломщики и накрутчики денег, патронов, жизней для игр прекрасно влезают в область памяти этих самых игр. А генераторы криптоключей в современных компьютерах идут отдельным блоком никак не связанным с основной ситемой.
Кто-нибудь вообще замерял, сколько именно времени выигрывает человек при использовании процессора со спекулятивным выполнением команд или предсказанием условных переходов? Чагойта я думаю, что это как раз полная маркетоидная епала, как и 2 нм техпроцесс, который и не 2 нм вовсе.
я всегда обновляю свою винду, так что надеюсь у меня ничего не украдут.(особенно биткоины!!)
Мне не показалось, что технические подробности были прямо сложными. Можно ещё?
Копнём. 👍👍👍👍
Это как уязвимости dpectrum и melt down?
@PavelQuiteGood
18 күн бұрын
Да.
👍👍👍!!!
взломать можно все и зайти можно куда угодно даже без наличия уязвимостей в железе
Да у эплов защита такая, что их же устройства самую дешёвую копию наушников опознают как оригинал. И ничего с этим не делают.
@leitz2145
16 күн бұрын
Защита всё-таки по лучше чем на винде, особенно когда ставят сборки от конечно-же всегда честных и не заинтересованных пиратов. Ну а если промониторить сколько собирают окна данных про пользователя.)
@51xeno
12 күн бұрын
Вы очевидно совершенно не знакомы с отличием мак ОС от Виндоус...
Сложнее взломать Самсунг или Айфон?
Отличный формат, спасибо
Без впн обнов для вин 10/11 нет С впн обновы находит и скачивает Только пзц как долго по времени
Перестаньте паниковать. Все эти уязвимости за ОЧЕНЬ-ОЧЕНЬ редкими исключениями являются чисто теоретическими. На практике их воспроизвести удаётся только в лабораторных условиях при удачном стечении обстоятельств, да и то не всегда. Обычных пользователей эти уязвимости затрагивают чуть меньше чем никак.
Интересный формат! Спасибо! Вывод: всегда вовремя ставьте обновления.
@LeonidEliseev
17 күн бұрын
Часто обновления как раз сами и несут уязвимости вместе с новыми и ненужными функциями. А потом, в торопях, пользователей просят ещё скачать обновление, которое возвращает все как было.
Все, ставим Астру на Байкале и будет нам счастье!
Оперативку защищают, а диск открытый))))
Спасибо за ваши видео, удачи ❤
Вы не представляете как все плохо выглядит без технических подробностей. Этот подход "главное суть" создает мусорный контент - много слов и никакой конкретики. Представьте что автомеханики так же бы чинили машины без подробностей, накидывали бы вам абстрактных слов и ваше дело платить и не вникать ни во что. Наверно вы бы сказали что вас разводят. Так же и здесь - нет подробностей - умножайте ценность контента на ноль. Рано или поздно человек понимает что он в очередной раз послушает муть, это весело и прогрессивно, но кроме потери времени это ни к чему не приводит.
@youtuba-mamyt-rahal
18 күн бұрын
А автомеханики так и делают. Сдерут бабла, наговорят кучу терминов а потом говорят "передайте мужу, что нужно поменять прокладку между рулем и сиденьем".
@LeonidEliseev
17 күн бұрын
Автомеханики ещё хуже делают. А ещё хуже обманывают людей те, кто ходит по объявлению чинить компьютеры. Придут, часть комплектующего себе из чужого компа вынут, потом вирусы запустят и будут просить кучу денег за антивирус и типа обновления.
@user-mz2zb9cq9s
17 күн бұрын
Ну вот я и говорю, информация должна быть практичной. Просто совет ставить обновки - это опять ни о чем. Надо хотя бы сказать что если у вас винда 10 и вы обновлялись после июня 2022 то все ок. В такой формулировке я получил конкретную и полезную информацию. Надо уважать слушателей, а не относиться к ним как к альтернативно одаренным.