Seguridad informática

[Tim]

Es que de Apple no hay sistemas críticos

Apple se está salvando que no se atreve a parchear los procesadores de los equipos. Visto lo visto, prefiero que me entren en el ordenador a que me vaya como el culo

 

[Discord Pie]

Bueno, cada uno tiene sus gustos de por donde le gustan que le entren las cosas...

 

[Hinomura Krycek]

Intel pide a los usuarios que dejen de aplicar el parche contra Spectre debido a problemas técnicos

 

[Manu1001]

¡Anda! ¿Era opcional?

 

[Hinomura Krycek]

Supongo que se refieren a los parches a nivel de bios de placa base, no los de sistema operativo.

 

[Franciscus]

Intel pide a los usuarios que dejen de aplicar el parche contra Spectre debido a problemas técnicos

Linus Torvalds vuelve a la carga: dice que los parches de Intel son una "absoluta y completa basura"

 

[Edgtho]

NO lo había notado no, que vaaaaa

 

[Tim]

Apple releases security update, fixes Meltdown on macOS Sierra and El Capitan

Probad vosotros cuando tengáis tiempo y ya vais contando, jejeje

 

[gary1991]

También para High Sierra, claro. Todo actualizado sin incidencias.

 

[Discord Pie]

Apple releases security update, fixes Meltdown on macOS Sierra and El Capitan

Probad vosotros cuando tengáis tiempo y ya vais contando, jejeje

Tanto quejarte y al final ahí lo tienes.

Y no contento y todo desconfías. @Timo #Hater #Microsofter

 

[Tim]

¿Sabiendo que no hay parche que no afecte a rendimiento? ¿Viendo el historial desastroso que lleva Intel y el resto que no saben ni qué hacer? Casi que lo prueben otros y ya nos cuenten, no vaya a ser que no haya marcha atrás...

 

[Hinomura Krycek]

Es mejor que los malos pasen y vean a aplicar el parche.

 

[deimos]

 

[Manu1001]

Es mejor que los malos pasen y vean a aplicar el parche.

Los "malos" ni se vana molestar en entrar en tu ordenador, hombre. Tienen mejores cosas que hacer. Mucho más lucrativas.

 

[Franciscus]

Una pregunta que me surge: esos parches de Intel quién se supone que los aplica?
Intel se lo entrega a los fabricantes de SO (Microsoft, Apple, etc...) que lo inyectan en sus actualizaciones?

 

[Tim]

A los fabricantes de hardware. Microsoft por ejemplo no tiene nada que ver en esto y aplica parches de sistema operativo. Apple es diferente pues hace ambas cosas. Pero para el resto, HP, Lenovo y demás son los que sacarán el parche correspondiente a través de una actualización de la BIOS.

 

[Hinomura Krycek]

Son parches de BIOS.

 

[Manu1001]

Pues los que tengan placas medianamente antiguas puden darse por jodidos. Aumentará la demanda de placas y CPU's nuevas, y si ya éramos pocos con la subida de la RAM y las gráficas, parió la abuela.

 

[Franciscus]

A los fabricantes de hardware. Microsoft por ejemplo no tiene nada que ver en esto y aplica parches de sistema operativo. Apple es diferente pues hace ambas cosas. Pero para el resto, HP, Lenovo y demás son los que sacarán el parche correspondiente a través de una actualización de la BIOS.

Pues pocos han respirado en este sentido, no?

 

[DeBilbao]

Mi placa base es de Gigabyte, concretamente la GA-X79-UD5 v1.0 cuya última actualización de BIOS es de Agosto de 2015.

En este comunicado oficial de la compañía sobre el tema hablan de actualizaciones para las siguientes series: Z370, X299, B250, H110, Z270, H270, Q270, Z170, B150, H170, CPU Onboard, Q170, C236/C232 y X99. De la X79 ni se habla...

GIGABYTE BIOS update

BIOS update for Side Channel Analysis Security issue Mitigations

The newly released BIOS updates from GIGABYTE which integrate the latest Intel advised CPU Microcode versions, are safe from the security vulnerability. Customers who have purchased a GIGABYTE board are strongly recommended to visit the GIGABYTE official website immediately for the latest BIOS updates.

The security vulnerability arises from a new side-channel analysis method developed by external researchers that gathers information by observing the physical behavior of certain processing techniques that are common to modern computing platforms. Malicious code using this method and running locally on a normally operating platform could infer data values from memory. Based on GIGABYTE and Intel's current assessment of these exploits we believe that they do not have the potential to corrupt, modify or delete data.

After being notified about this industry-wide potential security issue, GIGABYTE is working with our silicon providers in developing solutions to mitigate these issues as soon as reasonably possible. Updated software and firmware mitigations should be available in the next few days and will continue to be released over the next few weeks.

For more information on the Intel security vulnerabilities, please visit the Intel Security Center website for further details:
Intel® Product Security Center

Any issues affecting the user's experience with GIGABYTE motherboards is of the utmost importance. GIGABYTE is committed to fulfilling the highest standards for quality and service of its motherboards.

Demasiado superficial...

 

[DeBilbao]

Viendo cómo está el patio con Gigabyte y que mi BIOS es UEFI, estoy por animarme a parchearla "a mano", usando UBU y mmtool.

¿Alguno se ha atrevido a realizar modificaciones de BIOS?

[Tool Guide+News] "UEFI BIOS Updater" (UBU)

 

[Manu1001]

Solo te digo que ese tipo de modificaciones deberían considerarse deporte de riesgo. Salvo que tengas Bios dual, es arriesgado.

 

[DeBilbao]

Solo te digo que ese tipo de modificaciones deberían considerarse deporte de riesgo. Salvo que tengas Bios dual, es arriesgado.

Tengo, tengo BIOS Dual

Y no es tan complicado crear una versión actualizada de tu BIOS que incluya el microcódigo de la CPU o versiones de los controladores SATA o RAID actualizados.

En mi caso partía de la última versión oficial de Gigabyte F14e.

Os cuento cómo lo he hecho, siguiendo el proceso que se describe en [Tool Guide+News] "UEFI BIOS Updater" (UBU)

He descargado el programa UEFI BIOS Updater (UBU) en su versión oficial y estable 1.69.10 desde Папка из Облака Mail.Ru y lo he descomprimido en una carpeta

El programa no incluye el programa MMTool v5.0.0.7 ya que es propiedad de AMI y no tienen derechos para distribuirlo. Es fácil encontrarlo en Google y lo he copiado en la misma carpeta del paso anterior.

Ejecutas el programa UBU.bat en modo administrador y te pide la ubicación del archivo de BIOS que quieras modificar, tras lo cual el programa comienza a escanear el archivo de la BIOS y muestra un resumen con los módulos encontrados.

Tras pulsar una tecla, se muestra un menú con las distintas opciones de actualización.

Pulsando la tecla 7 accedemos a las del microcódigo de la CPU, tras lo cual se muestran los niveles de microcódigo de nuestro archivo de BIOS y se comparan con los últimos disponibles según el programa UBU.

Mi procesador es un SandyBridge-E, por lo que pulso la tecla 1 y se actualiza el microcódigo.

Con la opción 0 volvemos al menú principal y con la opción 0 de nuevo salimos del programa. Antes nos ofrece la opción de darle un nombre al archivo con la BIOS modificada.

Ya tenemos disponible el archivo actualizado y solo queda instalarlo.

Para instalarlo he utilizado el programa oficial de Gigabyte @BIOS, no sin antes salvar la configuración de mi BIOS en un pendrive.

Ejecutando el programa UBU de nuevo, el escaneo inicial confirma que el microcódigo está actualizado con las últimas versiones del programa.

Sin embargo, tras ejecutar el programa Ashampoo Spectre Meltdown CPU Checker, el resultado me dice que aunque estoy protegido contra Meltdown, sigo siendo vulnerable a Spectre.

Y lo mismo me dice el script de PowerShell oficial de Microsoft

CONCLUSIÓN: He aprendido cómo crear una versión modificada de mi BIOS, pero me falta localizar la actualización de microcódigo adecuada.

Seguiré investigando

 

[Edgtho]

Una pregunta que me surge: esos parches de Intel quién se supone que los aplica?
Intel se lo entrega a los fabricantes de SO (Microsoft, Apple, etc...) que lo inyectan en sus actualizaciones?

Según tengo entendido, Meltdown es una actualización de bios, mientras que Spectre es de software y por tanto viene con Windows. Igual es al revés, pero una nos la encasquetan si o si mediante los updates de los SSOO.

 

[DeBilbao]

Según tengo entendido, Meltdown es una actualización de bios, mientras que Spectre es de software y por tanto viene con Windows. Igual es al revés, pero una nos la encasquetan si o si mediante los updates de los SSOO.

Por el resultado de mis pruebas, diría que Meltdown se contiene con una actualización del sistema operativo y Spectre con una actualización de la BIOS.