Последнее обновление: 30 Декабря 2022 г.

О выявленных «уязвимостях» процессоров Intel

Информация в данной статье приведена как есть. Ни ее автор, ни администрация сайта, ни иные лица не несут никакой ответственности за правильное или неправильное понимание, применение этой информации. Информация предназначена лишь для ознакомления.

Одним из участников стал общеизвестный Google. Он же почему-то стал убеждать все сайты без разбору переходить на протокол https. Даже те, которым это как бы и не нужно, ибо нет там ничего такого, что требуется защитить. Например, это – информационные сайты. Или – сайты, где нет авторизованных страниц, нет аккаунтов пользователей, где пользователи ничего такого конфиденциального не пишут. Не говоря уже о том, что такие сайты не являются платежными или почтовыми системами, интернет-магазинами или чем-то в таком же роде.

Вот для последних видов сайтов, в первую очередь – для платежных систем и интернет-магазинов, естественно, существует настоятельная необходимость использовать https – для целей защиты пересылаемых сообщений. Которые могут содержать в себе, например, номера и пароли кредитных карт. Правда, подобные сайты уже и так, вроде бы, в подавляющем большинстве своем, давно используют https.

А для многих других сайтов переход на https может даже, в некоторых случаях, повлечь проблемы, пусть и временные. И еще, использование этого протокола, по сравнению c обычным, добротным (но, не защищенным от прослушивания) протоколом http, приводит к замедлению открытия страниц сайтов. Тех сайтов, которые его используют. Поэтому в идеале, конечно, с использованием секретного протокола (https) должны бы работать только такие страницы (или разделы) сайтов, которые, в самом деле, передают конфиденциальную информацию. Но, повторимся, не все без разбору.

Одно из отличий протокола https по сравнению с протоколом http – это, что первый является платным, в отличие от последнего. Говорят, когда видишь некие странности, посмотри в сторону экономики - возможно, ключ - там.

Интересно, что тема практически не нашла отражения, к примеру, на хабрахабр. Даже и обсуждения-то никакого нет толком. Что, в общем, закономерно. Да, и на том сайте, иной раз, можно увидеть явных троллей, проталкивающих нечто, в том числе и – для очень известных (ну, не будем о них) компаний. Но, тем не менее, в основном, там люди присутствуют – грамотные, как минимум, в IT-сфере. По всей видимости, откровенную болтовню по поводу «найденной уязвимости» им обсуждать попросту не хочется.

На других сайтах пишут: "пользователям Chrome рекомендуют использовать AdBlock, он частично позволяет решить вопросы уязвимости, выполняемые кодом Javascript" и даже такую, вообще откровенную чушь: "Уязвимость носит массовый характер, так как запускается при помощи кода Javascript, то есть теоретически может быть запущена в любом браузере и на любом сайте. У вас с легкостью(?...) смогут увести пароль от почты, личные данные, данные платежных систем."

Как, оказывается, все серьезно нынче

Это ведь надо, уязвимость... на уровне ядра(!!) операционной системы - может быть запущена при помощи… JS. Во как! А ведь в современном javascript и команд-то таких нет, которые имеют доступ к операционной системе, не говоря уже о доступе к какому-либо устройству. Более того, этот язык (в современной его версии, по крайней мере) даже и к файловой системе-то компьютера – и то толком неспособен получить доступ. Что сделано разработчиками браузеров и авторами языка javascript, кстати, специально – с целью защиты пользователей от подобного рода воздействий.

За исключением, конечно, двух моментов. Первый – это открытие файла, находящегося на компьютере, для отправки в сеть, на сервер – при помощи специальной формы (это когда Вы прикрепляете файлы, скажем, перед отправкой их в электронной почте). Однако, при этом необходимо, в обязательном порядке(!), во-первых, согласие пользователя (т.е. Ваше) на открытие такого файла. Во-вторых, пользователь должен САМ выбрать конкретный файл, который будет отправлен браузером на сервер. Еще раз: ни браузер, ни язык javascript, без указания на то пользователя – сами этого сделать не смогут!

Правда, конечно, браузер может быть заражен вирусом (например, трояном). При этом, конечно, вирус может имитировать действия пользователя и отправка файла произойдет неконтролируемо, а пользователь ничего и подозревать не будет.

Но. Дело тут всего лишь в том, что такие вирусы известны уже давным-давно и для их функционирования вовсе не нужна обсуждаемая «уязвимость». При том, что современные качественные антивирусные программы подобные вирусы-трояны всегда (ну, за редким-редким исключением) обнаруживают. Более того, даже если такой вирус и попытается что-то сделать нехорошее (например, переслать куда-нибудь в интернет файл, находящийся на компьютере, тайком от пользователя) – так НЕВАЖНО, будет ли он использовать указанную «уязвимость» или нет. Ибо, еще раз: процесс будет происходить через браузер (javascript-то работает именно в нем), а последний при этом будет тут же «схвачен за руку» антивирусом.

С другой стороны, если существует уязвимость, которая, в самом деле, может негласно отправлять информацию с компьютера, так для нее javascript будет лишь… помехой. В силу, повторимся, отсутствия в нем функций по работе с файловой системой.

Второй момент, если уж говорить о javascript, касается временного хранения данных. Это, в частности, localStorage (локальное хранилище), sessionStorage (хранилище сессий браузера) и COOKIES (куки). Однако, во-первых, оба эти хранилища сильно ограничены по размеру (что можно настроить, изменив настройки браузера). Во-вторых, они находятся в строго определенных каталогах, а отнюдь ни где попало. Соответственно, и считывать информацию откуда попало (при запросе ее из этих хранилищ) браузер будет попросту не в состоянии. Но, повторимся, если уж браузер инфицирован соответствующим вирусом (и если на компьютере не установлен качественный антивирус), так тогда он сможет отправить любую информацию безо всякой помощи javascript, который будет лишь помехой ему.

Интересно также, что подобную ерунду (об «уязвимости» и javascript) можно прочитать не где-нибудь, а (внимание!!), в том числе, в блоге Касперского.

А также, разумеется, в ряде новостных изданий, отнюдь не компьютерной направленности.

Того самого, который разрабатывает, и уже давно, так сказать, российский продукт – довольно известный антивирус. Правда, от этого антивируса «почему-то» стали отказываться в США, ну, да ладно, как говорится. Россия – не США, видать. Нам-то – что нам, как оно и обычно бывает.

Если конкретнее, вот что пишут у Касперского

И пишут ведь, однако. А зачем? Видимо - затем. Ну, не будем о том.

Конечно, браузер при помощи javascript может считывать данные из своей памяти. В том числе пароли и т.п. В конце концов, когда Вы автоматически входите в почту или авторизуетесь в каком-нибудь форуме – браузер именно это и делает. Но: браузер для каждой страницы сохраняет персональные (только для нее) данные в отдельном месте.

И, да, в самом деле, если уж на компьютере соответствующий вирус, способный подменять области памяти, то, теоретически, для какой-либо вебстраницы браузер может считать (и отправить затем в сеть) данные, которые были сохранены ранее НЕ ЕЮ. Т.е. отправить в сеть – данные другой страницы, например, той, которая является страницей входа в электронную почту, а то и в банк-онлайн. Т.е. теоретически вирус (если допустить его существование, что очень сомнительно) может попытаться, к примеру, подменить куки.

Однако, вот что. Этот самый вирус должен четко «знать», какие именно области памяти он должен подменять. И – на какие конкретно. И, самое главное – когда, в какой момент времени. Ведь если при этом в браузере не будет открыта соответствующая вебстраница, соответствующий javascript-код не сработает, то подмена областей памяти будет, в данном случае – бесполезной. Там ведь, в этих гигабайтах памяти - много-много чего может присутствовать. Того, что не является куками конкретной вебстраницы.

Да и потом, это следует иметь в виду, при подмене страниц памяти «как попало» - компьютер вмиг перестанет работать и возникнет «синий экран смерти». Это когда какая-либо системная программа вдруг получит «не те» данные. Такое, кстати, возникает, иной раз, когда оперативная память становится неисправной. Поэтому вирус должен четко «понимать», где и какие именно данные в памяти он может подменить.

Ну, а для того, чтобы ЗНАТЬ, какие области памяти следует подменять и на какие – так для этого вирус должен будет:

просканировать ВСЮ оперативную память с целью определения соответствующих адресов требующихся данных (это может быть сделано, как минимум, за несколько минут – если объем памяти занимает от 4 ГБ – а это самый уж минимум для современного компьютера);
найти именно ту область, которая содержит конфиденциальные данные (а сделать это вирусу, который понятия не имеет об этих данных – ой как непросто; ведь нельзя найти то, не знаю что. Вначале вирус должен четко определиться, КАКИЕ именно данные следует найти – и только после того – пытаться искать их. Даже если он и просканирует всю память – так в его распоряжении будет лишь множество байтов… где среди них пароли, где логины?... А где просто мусор?... – понять это вирус не сможет, без точного знания, что именно запущено на компьютере к конкретный момент ;
после этого подменить область памяти (может быть сделано очень быстро, если вирус способен на это и если позволит уязвимость, конечно);
и, самое главное – дождаться момента, когда пользователь загрузит в браузере именно ТУ страницу с кодом javascript, которая будет отправлять данные с его компьютера «куда следует».

Если же пользователь не загрузит страницу к тому времени, то – считай, пропало (для вируса): состав оперативной памяти изменится (а она постоянно меняется – динамическая ее часть), и вирусу придется ВНОВЬ сканировать ее. А пароли от электронной почты, банка-онлайн и т.п. – могут храниться, конечно же, только в динамической памяти. Ибо статическая предназначена для хранения системной информации.

Выводы

Т.е. наш вывод такой: кто-то активно проталкивает обновление - как операционных систем, так и браузеров. Зачем-то. Отметим, что по поводу всех остальных программ – практически… молчок. Почему-то.

А ведь что такое браузер? Такая же программа, как и Word, скажем. Или – Notepad. Если Word будет инфицирован вирусом – так он также сможет воровать информацию с компьютера пользователя (впрочем, это будет блокироваться антивирусом). Это известно давно, с самого начала появления вирусов-троянов, еще с прошлого столетия. Т.е. как всегда, все просто.

Так что панике поддаваться нет необходимости, на наш взгляд. Более того: загрузив эти самые обновления, пользователь получит снижение производительности компьютера. Которое, как пишут, может составить 5…30%. Ну, а потом, чтобы повысить производительность – пойдет покупать «новые» процессоры (а то и новый компьютер – целиком). А то и – «новую» операционную систему – если речь идет о Windows, скажем.

Потом, еще неизвестно, что там будет – в этих «обновленных» браузерах? Не улучшенная ли способность наблюдать за пользователями? Не умышленные ли тормоза, вынуждающие потом делать все новые и новые «обновления»? Кто знает?... И ответить мы на эти вопросы не можем – ни так, ни иначе. Разве что - предположить и сделать прогноз.

Прогнозируемая причина

Все-таки, столь упорное навязывание убеждения в том, что, якобы, javascript представляет некую опасность для компьютера и, якобы, он способен похитить данные - едва ли вызвано просто случайностью. Ведь в том же касперском - ну, уж отнюдь не дураки сидят (несмотря на то, что антивирусная программа у них - достаточно странная..., но тем не менее). Все-таки, будь они только танцорами или таксистами, к примеру, - не сделали бы даже и такой, хотя и "странно работающий" (на наш взгляд), антивирус. И вот, когда от программистов(!) слышишь ерунду... стало быть, что-то явно не то. Стало быть, дело - в политике, а не в компьютерных технологиях. Не в сути дело, т.е. Как это бывает, собственно говоря, в психологии, истории, экономике... ну, и самой политике. Когда явлениям, предметам приписывается то, что они сделать не смогут. Заведомо не могут сделать.

Так вот, чем может быть обусловлена такая политика? Как видится, чьим-то желанием укрепить свое влиение + получить экономическую выгоду. Одна из возможных, прогнозируемых причин - это грядущий отказ от использования javascript в браузерах (видимо, потому-то и предъявляются обвинения этому языку в том, в чем он, повторимся, попросту не в состоянии быть виновным). Кому это может быть выгодно? Очевидно, тем, кто пропагандирует так называемый бинарный интернет (отметим, что в настоящее время файлы html и javascript, из которых состоит исходный код вебстраниц, являются ТЕКСТОВЫМИ. Это означает, что скачать к себе на компьютер и прочесть их содержимое может каждый желающий. Или - не скачивать, а просто открыть исходный код - да и посмотреть. А это дает возможность отказаться от просмотра страниц того или иного сайта, если в их коде обнаружится что-то нехорошее. Пусть для этого нужен программист, но, тем не менее, это - вполне возможно и, собственно, люди так и делают, при необходимости.

Кстати, квалификация такого программиста вовсе не обязана быть высокой - с этим справится любой студент, честно изучающий вебпрограммирование, не говоря уже о тех, кто защитил диплом, магистерскую, а то и кандидатскую, докторскую - диссертацию и является профессионалом в этом деле.

Так вот, отказ от использования ОТКРЫТОГО языка программирования для браузера, коим является javascript, может быть выгоден... правильно - тому (тем), кто будет иметь выгоды от распространения бинарного интернета - когда вебстраницы будут зашифрованы и уже каждый желающий не сможет выяснить, что и как там функционирует. Это, к примеру, всем известная компания Microsoft Windows. А также всем тем, кто будет распространять через сайты платный контент по подписке. Это - платный доступ к интернет-сервисам, видеофильмы, музыка, да, мало ли еще чего. При этом компьютер, по крайней мере, для большинства пользователей - может превратиться, в своего рода, телевизор-игрушку с расширенными возможностями. Кстати, поэтому и программистов столь много уже не потребуется, как сейчас.

Характерно, что, как утверждается, бинарный интернет будет функционировать в несколько раз быстрее. Да, наверное. НО: ведь и в настоящее время, когда вебстраницы делаются в текстовом (пока еще - НЕзашифрованном) формате - и так сайты загружаются, не сказать, что долго; достаточно быстро. Точнее, те из них, которые сделаны качественно, без излишних нагромождений библиотек и фреймворков. Скажем, наш сайт. Быстро страницы загружаются, не так ли? Даже если статья на странице имеет немалый размер, даже если там не одна сотня комментариев. Даже если эти комментарии отнюдь не малого размера - практически каждый. Но, при этом - они (современные вебстраницы. т.е.) являются полностью открытыми для каждого желающего.

Так вопрос - а... тогда ЗАЧЕМ вводить бинарный, зашифрованный интернет?

Не лучше ли оптимизировать тот, что есть? Который является (пока еще) открытым и свободным? Ясно, что дело тут - не столько в скорости. В конце концов, скорость загрузки сайта во многом зависит от скорости и качества, пропускной способности сетевого соединения. А сетевые соединения (особенно, если ключевые серверы - перегружены) - бинарный интернет не поможет сделать более быстрыми. Это как если взять пример с загруженной автомобильной дорогой, где постоянные пробки, вынужденные остановки: возить ли в автомобиле кирпичи, краску или доски - разве будет где-нибудь выигрыш в скорости? Едва ли. Разве что, доски полегче будут, чем кирпичи. Однако, средняя скорость движения автомобиля будет примерно равна общей средней скорости потока. Точно также обстоят дела и в интернете.

А вот и возможная причина тому, что на многих компьютерных форумах в настоящее время вместо обсуждения чего-то полезного, нередко идут - дрязги и перебранки между "программистами". Иной раз, обсуждение элементарных вопросов, такое впечатление, специально запутывается: "программисты" иной раз склонны обсуждать, пожалуй, что угодно, только не суть темы. В самом деле, споры на форумах программистов стали даже притчей во языцех, пожалуй. Интересно, что это стали замечать даже люди, далекие от программирования. Почему так? Ответ можно дать совершенно четкий и ясный: потому, что их УМЫШЛЕННО, ТО ИСПОДТИШКА, ТО ЯВНО - СТРАВЛИВАЮТ ДРУГ С ДРУГОМ. Где-то кто-то что-то сказал, кому-то не понравилось, кто-то встрял - ну, и понеслось. Вместо начавшегося было обмена мнениями, опытом и взаимного развития - происходит (очередная) деградация. Кстати, так происходит, конечно, не только на некоторых программистских форумах. Похожим образом обстоят дела и на ряде сайтов других тематик. Но, хуже обстановка, разве что, там, где обсуждается политика (ну, там-то понятно - о платных троллях в политике, призванных разрушать единство между людьми, стравливать их и вносить свару, дрязги и ругань - известно давно; а вот в программировании - это, видимо, новация времени). Конечно, есть и приличные, серьезные форумы. Но, их не так много. Там, как правило, строгая модерация, а в некоторые - и "входной билет" получить (чтобы начать что-то писать и иметь возможность оценивать комментарии других) - не так просто. В конце концов, есть и закрытые (от посторонних глаз) компьютерные форумы. Где внешне, к примеру, все выглядит, как какой-нибудь заурядный сайт.

Исходя из вышесказанного, видится прямое логическое продолжение. Как в политике кое-кто стремится не допустить, чтобы люди ИСКРЕННЕ любили и уважали друг друга (вместо лицемерного "привет, как дела", а то и разного рода ругательств), чтобы имели общее мнение в чем-то и общались по-человечески, так и, в настоящее время, видимо - в программировании. Очевидно, кое-кому невыгодно, чтобы было много умных, знающих программистов. Почему? Отчасти, потому, что они, видимо, в скором или не очень - времени будут не нужны - в столь большом количестве. Кстати, то, что программистов сейчас - очень много, так считает даже нынешний глава Сбербанка России, Герман Греф. Точнее, они только мешаться будут - за избыточностью. А еще - потому, что конкуренты, мол, спрос сбивают. А куда программиста деть, если так получилось, что он уже обучился своей профессии, а то и стал более-менее успешным? Не убивать же, не на Колыму ссылать, в самом деле. Куда?... Правильно - В НИКУДА. Ибо в 2017 г. их было около 500 тысяч, а надо, мол, всего лишь 120 тысяч. Т.е. каждый третий-четвертый из них сегодня - лишний.

Бинарный интернет & javascript?...

Так вот, что получится, если бинарный интернет не только появится, а и распространится везде, вытеснив сегодняшний, текстовый (открытый) интернет? Разве нужен будет для бинарного интернете javascript? Естественно, НЕТ. Ибо, этот язык программирования призван обрабатывать исключительно текстовую информацию, взаимодействовать ТОЛЬКО с кодом html (ну, и с сервером, но, опять же, на основе текстового протокола - типа http или https). Для бинарного интернета понадобится совершенно другой язык, который будет функционировать в браузерах. То ли это будет соответствующее приложение, то ли браузер, функционирующий на иных принципах - это уже детали, а данном случае - несущественные. Ключевое здесь: НЕНУЖНОСТЬ языка javascript в будущем.

Однако, на нем функционируют, так или иначе, практически все вебстраницы, открываемые в браузерах. Есть множество классных, серьезных специалистов в этой области. И... как же быть тому, кто лоббирует бинарный интернет? При том, что, по сути-то, как уже неоднократно отмечалось, язык-то этот весьма безобидный. К тому же, есть легкая возможность отключить его в браузере.

Очевидно, лоббисту(ам) ничего не остается, как тупо, грубо внедрять в массы всякие глупости о, якобы, опасности этого языка. А... в самом деле, КАК ЕЩЕ это сделать, когда за 20 с лишним лет не замечено никаких серьезных проблем с его использованием, в том числе и в плане безопасности? Как? Понятно, что раз технологически к языку не подкопаешься, остается - действовать исподволь, подлыми методами. Вместо программирования переходить в политику и болтовню. А именно - внедрять глупости в сознание людям, создавать в обсуждениях на форумах - дрязги, переходы на личности - вместо дельных обсуждений, потихоньку растлевать сам язык (и тех, кто его использует), его конструкцию, возможности; всячески охаивать, якобы, его "сложность", "неудобство" и "непрактичность". Пока это делается не в столь существенной мере, конечно. Вначале прошла серия публикаций в "бульварных" СМИ (перепечатывающих друг друга), пока так - на пробу, как народ отреагирует. Теперь, где-нибудь к весне-лету 2018 г., мы прогнозируем появление аналогичных (притянутых за уши, но со ссылками на "авторитетные" или не очень - исследования) на специализированных компьютерных сайтах, форумах.

К слову. Если не нужен будет javascript (если вместо него появится нечто бинарное), то, стало быть, не понадобится и html. Не понадобится и РНР - в его сегодняшнем виде. Иными словами, вебпрограммирование в том виде, в каком оно есть сейчас - в будущем может стать практически полностью не востребованным. Вообще. Поэтому можно подумать о целесообразности обучения вебпрограммированию. Правда, когда именно это будет - пока непонятно. Ну, наверное - не в ближайшие годы.

А вот и подоспели Meltdown и Spectre

И вот тут-то, как нельзя кстати, возникла информации об уязвимости процессоров Intel - Meltdown и Spectre. То ли эта информация - ложная (ибо на практике за 20-то с лишним лет так никто и не обнаружил НИ ОДНОГО вируса, который мог бы эксплуатировать эти уязвимости), то ли правда. Однако, поражает некая организованность, что ли - этой шумихи. И, как уже говорилось выше - странные, весьма странные слова, по сути - клевета на javascript. К чему бы это? А не является ли нагнетание обстановки около этой "уязвимости", даже если она и вправду существует уже 20 с лишним лет - всего лишь поводом для пропаганды отказа от javascript? И, на базе этого - повальным отказом от текстового (открытого) интернета и переходом, соответственно, к зашифрованному, бинарному? Не этим ли обусловлена и столь же повальная рекомендация для ВСЕХ без исключения сайтов - переходить на протокол https? Который тоже является зашифрованным? Чтобы народ потихоньку привык и воспринимал, как должное. И который в будущем можно "успешно" усовершенствовать ТАК, что потом вообще не разберешься - что, куда, для какой цели отправляет браузер, какие заголовки формирует и получает - все это может стать тоже зашифрованным.

В настоящее время, повторимся, ЛЮБОЙ пользователь компьютера, обладающий даже небольшими познаниями в веб-технологиях, легко может контролировать эту информацию. И даже, при желании, записывать ее, например, в какой-нибудь файл и потом анализировать.

Помимо "обновления" операционной системы и браузеров, пользователям намекают (но, пока - ненавязчиво этак, ну, чтобы народ не взбунтовался... а, посмотрим, что будет через 1...2 года) о, типа того, "необходимости" в скором будущем "обновлять" процессоры. Вот, мол, изготовят их, устранят "уязвимость" - и можно будет приобретать. Интересно, а в тех, новых-то процессорах - не будет ли установлено теперь аппаратная защита, допустим, от запуска "старых" браузеров, способных работать с текстовыми страницами в интернете? Или какая другая, не менее интересная, защита? Или новая-старая "уязвимость"?

В качестве заключения

Собственно говоря, и не нужно – прогнозов, как оно и что там будет с компьютерами и вебпрограммированием, в частности. Ибо нам ясно и очевидно (см. выше), что слишком уж притянуты за уши эти доводы об «уязвимости». Возможно, повторимся, она, и в самом деле, имеется в процессорах Intel и некоторых других. Но, возможность использования ее БЕЗ ВЕДОМА ПОЛЬЗОВАТЕЛЯ ПРИ ПОМОЩИ JAVASCRIPT(!!) в браузере – вот это уже чересчур сильное заявление. Это, примерно, как сделать ракету из пластилина, да еще и попытаться на ней на луну полететь.

Впрочем, все высказанное в этой статье – наше мнение по этому поводу, не более того. Оно, как и любое мнение, может быть неточным, неверным. Так что юридических и аналогичных «зацепок» пытаться искать не стоит. Это к компаниям, так, на всякий случай.

Исходя из вышесказанного, сам я, автор статьи, НИЧЕГО обновлять не собираюсь (ну, из компьютерных программ – имею в виду). Ибо мне, как, думаю, и многим другим пользователям, требуется быстрая, конфиденциальная и надежная работа МОЕГО компьютера (да, а за чужие компьютеры не отвечаем, конечно, ибо не имеем таких полномочий). А сохранится ли скорость, надежность и конфиденциальность после «обновления» - вот в этом я не уверен. Ибо когда аргументы спорные, скользкие – скорее всего, выявленная уязвимость – это лишь повод. Для чего-то.

А вот для чего он – этот повод? КОМУ он выгоден?... Да, какая разница. Для меня – важно то, что сказано выше. Поэтому лично я – не буду делать необоснованных действий в данном случае, тем более, таких, которые могут навредить компьютеру, снизить его характеристики. Никаких обновлений, по крайней мере, в ближайшее время.

Комментарии:

Всего комментариев:0