Apple Silicon взломали? Неисправимые проблемы с безопасностью

Подписаться 131 тыс.

Просмотров 52 тыс.

50% 1

Когда речь заходит о защите данных (привет, товарищ майор!), мы обычно в первую очередь думаем про уязвимости в программах. Но производители железа тоже совершают ошибки и в их продуктах тоже находятся лазейки, через которые данные могут утечь. Сегодня поговорим как раз про такой случай: недавно найденную в устройствах Apple узявимость GoFetch. А заодно про старые-добрые, но такие же неприятные Spectre и Meltdown для обладателей не-яблочных ПК: что это, как оно работает и нужно ли вам беспокоиться.
Подпишитесь на нас в социальных сетях:
Telegram: t.me/deptone
Instagram: / one_dept
Twitter: / deptfirst

Опубликовано:

22 апр 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 224

@user-of9jz4lk2g Месяц назад

Вы как глава проекта - это самое верное решение. Дипломатичность, деликатность и ёмкость почти в каждом вашем видео.

@eugenebazhin8204 Месяц назад

Согласен, мужик крут, вызывает уважение

@yrchuk32 Месяц назад

Ага, только он не сказал что обновление могут быть тоже не безопасные.

@afterlyfenio Месяц назад

@@yrchuk32 он об этом сказал в самом начале видео же...

@decoder9379 Месяц назад

Жаль иногда тут говорят не совсем правду толь из ангожированности толь из-за не достатка технических знаний.

@zaczac 3 дня назад

Прошу всевышнего что он унес decoderа в окопы.

@byzby514 Месяц назад

Интересно было бы даже более глубокие технические детали узнать! Спасибо, что занимаетесь просвещением

@svarkavols8105 Месяц назад

спасибо. больше тех подробностей хуже не сделает. вынесите в отдельную рубрику, кому интересно - посмотрят до конца

@MARIAARTY Месяц назад

По-моему лучше сделать эту тему по тайм кодом, кому неинтересно пусть пропускает эту часть по тайм коду

@differentone_p Месяц назад

если будет отдельное видео на котором мало просмотров, это заруинит статистику канала.

@nikitadynko3648 Месяц назад

Было приятно услышать технические данные и сведения, побольше таких видео ! Огромное спасибо вам, за проделанную работу.

@LeonidEliseev Месяц назад

9:24 в реальной жизни очень опасно следовать такому совету, если вы в компании где-то заблудились!!! Большинство трагедий как-раз и происходят когда группа людей решает разделиться. В последствии, как правило выясняется, что всех негативных и трагических результатов возможно было бы избежать если бы группа людей просто продолжала идти вместе не разделяясь. Казалось бы, это простое и логичное решение - оставаться группе людей вместе. Но ежегодно тысячи людей в мире гибнут решая разделиться в подобных ситуациях. Надеюсь, просмотр этого ролика никого не натолкнет на неправильный алгоритм действий в реальной жизни. Оставайтесь вместе! Оставайтесь живы и здоровы!

@unknow_squid22 Месяц назад

Вывод: лучше перезагрузить комп и немного подождать, чем сидеть 15 лет.

@Dimaangel1996 Месяц назад

А ещё лучше удалить центральный процессор из своего компа.

@SL4RK Месяц назад

@@Dimaangel1996 и вытащить етхернет

@LeonidEliseev Месяц назад

Жить в красивом месте вдали от интернет и опасных людей

@TheCherrybuster Месяц назад

@@LeonidEliseevAgafya Lykova mode😎

@EEBPioneer 29 дней назад

Перезагрузить комп вообще очень часто самое разумное действие

@leha144 Месяц назад

У меня патч от уязвимости Downfall съедает где-то 1500 баллов в geekbench. Я его отключаю, мне производительность важнее. На личном компьютере как бы не должно быть левого. А вот с серверами дело обстоит гораздо хуже. Ведь так называемое частное облако вполне может просматриваться соседями по серверу.

@youtuba-mamyt-rahal Месяц назад

Глупости про "личный компьютер".

@chilltvset Месяц назад

Блок - схема,аж олдскулы свело...лукасовского за ностальжи!

@user-xm3rl8zt7d Месяц назад

Обязательно рассказывайте за то как работает уязвимость. Очень интересно

@agoo8292 Месяц назад

Больше технических подробностей-круто!

@user-nm4ko6rx5w Месяц назад

тут не 1 нету о чем ти?:

@sasichkamega Месяц назад

> реклама ставить обновления > бэкдор в новых версиях архиватора xz (linux) делает кусь Правда уже выпустили на него обновления, их суть в даунгрейде версии. Так что да, это все еще реклама обновлений😅 Отличный выпуск, я как не читал про спектр и мелтдаун, все не мог понять суть уязвимости. Теперь понял. Из минусов, не услышал тех деталей патча айфонов.

@LeonidEliseev Месяц назад

Автор ролика фанат Apple. Неспособен плохо про огрызки говорить, всё замалчивает.

@decoder9379 Месяц назад

@@LeonidEliseevНа самом деле у apple действительно весьма не плохо продумана безопасность. По сравнению с линуксом уж точно. Но уповать слишком сильно я бы на нее не стал.

@lmnk Месяц назад

Так его на rolling версиях отловили, лол, то есть от него пострадали только арчедебилы. Но последних и так мало что исправит

@decoder9379 Месяц назад

@@lmnk Нет не пострадали, на арче эта уязвимость не работает.

@Liphi Месяц назад

@@lmnkарч билдится напрямую из сурсов, поэтому "арчдебилы" намного в большой безопасности, чем состабильные фанатики дебиана

@saishoxeishexo9327 Месяц назад

Обновления устраняют старые, всем известные уязвимости, и заботливо вредняют новые, известные только их создателям. Такая вот палка о двух концах)))

@bukleuh Месяц назад

Какие практические действия должен совершить «обычный пользователь»? Вовремя обновлять ПО? Это и есть совет?

@paul-northon Месяц назад

Посмотрите предыдущие выпуски.

@ltc35_ Месяц назад

Спасибо за вашу работу. Очень полезно и информативно.😊

@libertariancom Месяц назад

Круто, побольше технарской части!

@podobaylo Месяц назад

формат подачи - оч хорош

@gooddoctor3423 Месяц назад

Да,больше пояснений за матчасть😊Вы умница, Дмитрий,как и Ваша команда.Так держать)

@lostinchineseroom Месяц назад

формат интересен, продолжайте! спасибо за деятельность!

@PetrAndreev-ej3vl Месяц назад

Нужны ещё более глубокие технические детали - подробно как устроено, на уровне уверенного middle специалиста и выше

@Electrokoza Месяц назад

дали бы выключить эту "крутую оптимизацию" да и всё :/ вообще стрём какой что, что мой камень выполняет множество ненужных операций. А потом у нас без башенного радиатора на пол системника комп гудит как взелтающий самолёт тупо с открытым браузером, наоптимизировали))

@lmnk Месяц назад

патчи мелтдауна по сути предиктивное выполнение и отключали программно)

@this_IsUsername 20 дней назад

Так с этими фичами железо работало более отзывчиво, их логично вводить. Да и по поводу охлада - эпловские чипы даже на пассиве с браузерами чувствуют себя нормально, современные процессоры интела на мой взгляд также, у меня последний кипящий камень был зеон 2620 с алика - он на башне с пассивом угревался выше 80 градусов просто с открытой виндой 😂

@DrFailov Месяц назад

Очень понятное объяснение, спасибо!

@user-on4yw9el6z 7 дней назад

Очень интересно, рассказывайте подробно об механизме.

@SolarMaster Месяц назад

Дмитрий, рассказывайте всё! Всё интересно!

@ekselenUi Месяц назад

Спасибо! Формат хороший - мне нравится :)

@konstantin3742 Месяц назад

Отличный формат, спасибо, делайте еще!

@donardee Месяц назад

Спасибо за ваш труд и за ваше информативно полезные видео

@makc0n22 Месяц назад

Нам все форматы интересны, которые легки в понимании. Спасибо большое!

@user-bx4kk7tr5t Месяц назад

Очень интересный формат, спасибо за вашу просветительскую работу

@ROLFX Месяц назад

Такой Формат Интересен!

@user-wy1eo1yj3e Месяц назад

Ну то есть если Mac у меня еще на intel, то эта проблема тоже имеется у меня?

@imalightcloud Месяц назад

Ролики с техническими подробностями - это хороший формат. Мне нравится 😊

@PavelQuiteGood Месяц назад

Мне тоже нравится, хотя и не понял! 🙃

@andreakavalkanti4420 Месяц назад

Полезно, интересно, познавательно ❤

@7cat Месяц назад

Интересный выпуск. Спасибо.

@vsevolodkuleshov8551 Месяц назад

ребят аналогичные дыры в безопасности были всегда. известно о них становится далеко не сразу. например Meltdown и Spectre используют уязвимости которые имеются почти во всех процессорах. Вообще ни разу не видел чтобы обновления системы серьезно повышали безопасность. серьезно повышает безопасность файрволл и скачивание только проверенных программ с проверенных источников. а обновление за частую усложняют систему или её ломают. вообще если вы хотите стабильности то стоит обновляется только при необходимости.

@user-kl9xz5hu6y Месяц назад

Интересен такой формат

@Dizelhardart Месяц назад

Дмитрий спасибо вам. И ДАЛЕЕ,- (ИМЕННО ПО ЖЕЛЕЗУ) ,-ТОЖЕ ХОТИМ. Да,- по ходу компы ныне тоже должны начать иногда отыгрывать имитационнные некие пустые "радиоигры",- операции "по расквартировки" в кэше некоего отвлекающего мусора , а в работе процессора не брезговать иногда подключать и низкие частоты...

@8oOoOo8 Месяц назад

Крутая команда, крутой проект 👍 смотрю и слушаю с удовольствием все видео.

@alexeysamoylov3406 Месяц назад

Лучшая защита - не доверять аппаратному шифрованию, а использовать инструменты вроде VeraCrypt и DiskCryptor, а пароль держать в голове, а не в TPM-модуле

@user-oh8yo2bw6k Месяц назад

Не поможет. Паяльником взломают)))))

@SL4RK Месяц назад

Даже паяльник не нужен, эти данные положат на полочку и когда найдут дыру или если повезет в ближайшие лет 20 квантовые компьютеры перестанут быть настолько громоздкими неэффективными, все это дело расшифруют... Лучшее что можно сделать всегда иметь при себе молоток и тазик с кислотой

@Noname-fl4cf Месяц назад

Квантовые компьютеры никак тебе не помогут взломать обычное шифрование с 1м ключём. @@SL4RK

@decoder9379 Месяц назад

во первых они все равно теоретически могут извлечь данные из подпроцессора или соцппоцессора. во вторых все еще возможна атака evil maid, или программная атака через бинарь, или терморектальный криптоанализ

@lmnk Месяц назад

@@user-oh8yo2bw6k Можно сделать ключ шифровки в виде результата XOR-операции одного пароля на другой, получится двухпаяльниковая аутенификация)))

@ivanhohryakov Месяц назад

Отличное видео с отличными примерами. Правда, для меня меня они были слегка слишком абстрактные, хотелось бы больше конкретики по технической реализации.

@chubyangus6778 Месяц назад

Да, такой формат очень интересен.

@PavelQuiteGood Месяц назад

Честно говоря, не понял про то, как работают уязвимости, но за видео спасибо. В технические подробности лучше не надо погружаться - это отпугнёт таких как я. 🙈

@user-sz3rd5qk9l 19 дней назад

Прекрасный язык в роликах!

@better783 Месяц назад

Огромное спасибо за проект и знания!!! Удачи во всём , миру Мир и Долой путинизм❤❤❤

@bahamutffxii Месяц назад

Очень интересная тема

@sevensoulsmovies Месяц назад

9:47 друг который уйдёт вперёд навечно: press F

@user-sz3rd5qk9l 19 дней назад

Его просто выбросят, если он окажется не нужен.

@paul-northon Месяц назад

Спасибо! Очень интересная информация! Первый отдел, вы лучшие! 😊

@misterquestion7443 3 дня назад

Самое забавное - в фильмах, мультфильмах, аниме и тд, давно отссылались к этой уязвимости.

@San5067 Месяц назад

Кем надо быть чтобы находить такие уязвимости?! а еще после эксплуатировать ... кто эти гении ?!

@differentone_p Месяц назад

это я😎

@victorromanov6462 Месяц назад

Крутой ролик, чёт я даже не напрягся от "технических моментов", больше жути и нагоняли

@vskarimjan Месяц назад

Не понял, вы все обнолвения рекомендуете ставить или только некоторые?)))

@yuraheross189 Месяц назад

Благодарю за информацию красная таблетка

@SL4RK Месяц назад

Интересно, означает ли это, что яблочный хлам наконец-то станет ремонтопригоден после того как ссд выйдет из строя ?

@dtuser1183 6 дней назад

Формат более глубокого погружения определенно интересен

@user-bk1fq8vp7f Месяц назад

А если, допустим, процесс выполняется на виртуальной машине, которая, работает на реальном процессоре отличном от виртуального по архитектуре, такие атаки могут сработать?

@PavelQuiteGood Месяц назад

Очень сложно, но теоретически могут. Аппаратная уязвимость даёт доступ даже к данным виртуальной машины.

@user-ud6re7he1x 27 дней назад

@@PavelQuiteGoodчеловек скорей всего имел ввиду если смотреть со стороны виртуальной машины, т.е. когда попытка взлома происходит внутри виртуальной машины с эмуляцией процессора на другой архитектуре, с попыткой доступа к основной системе. По мне так вероятность уменьшается потому, что для удачного взлома злоумышленник минимум ещё должен понимать, что на виртуалке и знать уязвимости конкретной виртуализации. Наверное, чисто догадка. Я же не спец)) Может там все в один клик происходит😅

@247-io3ix Месяц назад

👍 браво

@kharkonen Месяц назад

Да у эплов защита такая, что их же устройства самую дешёвую копию наушников опознают как оригинал. И ничего с этим не делают.

@leitz2145 Месяц назад

Защита всё-таки по лучше чем на винде, особенно когда ставят сборки от конечно-же всегда честных и не заинтересованных пиратов. Ну а если промониторить сколько собирают окна данных про пользователя.)

@51xeno Месяц назад

Вы очевидно совершенно не знакомы с отличием мак ОС от Виндоус...

@mmiro 6 дней назад

@@51xenoя знаком, говно и не очень говно. Вот и все отличия.

@spawnrys7520 Месяц назад

"обновления могут спасти вас от больших не приятностей" - данное утверждение не подходит для пользователей Windows

@decoder9379 Месяц назад

Подходит еще как. Виндовс в отличии от линукса стабильна из за отсутствия dependency hell и fhs. И виндовс чуть более безопасна, ибо имеет хоть какие то механизмы безопасности.

@spawnrys7520 Месяц назад

@@decoder9379 Напиши комент нормальный как отойдёшь от спайса

@spawnrys7520 Месяц назад

@@decoder9379 dependency hell - пережиток прошлого. FHS - намного удобней чем расположения папок в винде. Винда имеет свойство поломаться после обновления (у меня такое был не раз). Винда как раз и не так безопасна, так как большая доля пк рынка на винде, а значит большинство малвари заточено под винду.

@se6877 Месяц назад

Отличный формат, спасибо

@domarov Месяц назад

Очень правильное решение. Полностью поддерживаю.

@Wiregeddon Месяц назад

Спасибо за видео!

@unknow_squid22 Месяц назад

Значит, мак про м2 брать не буду.

@user-uy5kv7vx1e Месяц назад

Такие атаки сложно примянимые но всеже они есть

@PavelQuiteGood Месяц назад

Да, они скорее теоретические.

@decoder9379 Месяц назад

Смотря кем. Такие атаки доступны серьезным игрокам.

@user-uy5kv7vx1e Месяц назад

@@PavelQuiteGood да, очень геморойно по процам ломать, проще взломать уязвимую програму или ос .

@gcggcgi4360 Месяц назад

Мне не показалось, что технические подробности были прямо сложными. Можно ещё?

@Empty_Vima Месяц назад

В следующем выпуске будете расказывать про ECC memory? and NIXOS 😊 Прежде чем что-то взламывать или защитать. Убедитесь трижды, а нужно ли это... Если у вас мало оперативки вы полюбому в кеш будете писать... о чем видео вообще? Можно разметить ram под ссд разметить. И данные будут уходить в память...

@zailimama Месяц назад

Спасибо за ваши видео, удачи ❤

@born_to_be_wild_ Месяц назад

Благодарствуйте за информацию! Но у нас нет гарантии, что ОС, принадлежащие крупным корпорациям, не используют известные уязвимости в своих целях или для сотрудничества с государствами и/или службами и/или другими лицами за старую, добрую, зеленую, мятую, наличную капусту. Ничего личного, только бизнес.

@benandrew7390 Месяц назад

Вот это разжевали, даже блондинка поймет! Было интересно

@PavelQuiteGood Месяц назад

А я не понял.

@abdulabdulovich2270 20 дней назад

о, джейлбрейк, нормальный линукс и винда - это отлично

@user-yw8kh9cd8i Месяц назад

в любом устройстве, которое имеет любое сетевое подключение, изначально, по умолчанию, в аппаратной и программной части имеет множество закладок, кроме дырок и багов, так что, каким бы ты просвещенным не был, ты гол и прозрачен и можешь скрыться только от самого себя. Если даже у тебя нет паранойи, ты под колпаком и дело лишь во времени когда за тобой придут, если ты начинаешь представлять интерес или угрозу государству или корпорации.

@RubinWadim Месяц назад

Для работы GoFetch пользователь должен: 1) авторизоваться; 2) запустить ПО Зачем такие сложности❓ Проще скормить пользователю его ухо и заставить признаться в злодеяниях.

@skpavlenko Месяц назад

Это уже social engineering

@user-ch9rq7is1h Месяц назад

Техническая информация интересна - какие проблемы находят и как их удаётся исправить

@vertexsas Месяц назад

14:10 исправьте обнолвения на обновления

@newlife1036 Месяц назад

*Я больше скажу, эксплойты во всех процессорах. Очень любит эксплойтить Китай*

@fd3654 Месяц назад

👍👍👍!!!

@putin__pidoras Месяц назад

Спасибо, ребята! Вы молодцы

@user-rr6cp2ik4d Месяц назад

Большое спасибо очень интересно и познавательно. Заир не нужно лезть в политику так Вы могли бы принести больше пользы.

@MK_RIG Месяц назад

У нас есть ютуб, инста, мордокнига и тикток, но мы те еще грамотеи и советуем ставить обнолвения!!😅 14:10

@User-y31337 Месяц назад

Нагнал жути.

@yeti-in-the-himalayas Месяц назад

Перестаньте паниковать. Все эти уязвимости за ОЧЕНЬ-ОЧЕНЬ редкими исключениями являются чисто теоретическими. На практике их воспроизвести удаётся только в лабораторных условиях при удачном стечении обстоятельств, да и то не всегда. Обычных пользователей эти уязвимости затрагивают чуть меньше чем никак.

@abelyarlindsey8386 Месяц назад

А можно в следующем видео 10 практических жизненных ситуаций, когда установка обновления на современную клиентскую систему, не на сервер, спасает жизнь юзеру? Вот кладем рядом 2 ноутбука, на один ставим обновление, на второй не ставим, и второй через 10 минут взрывается. Или сколько надо ждать тысяч лет? Или сколько тысяч ноутбуков без обновлений надо поставить рядом, чтобы хотя бы один из них взорвался? Есть какая-то статистика, или установка обновлений суть маркетинговый булшит? Поможет юзеру с имитацией мозгов установка обновлений, если он вообще устанавливает все подряд, как ему советуют, из любых источников, если там написаны главные маркетинговые слова типа проверено десятью антивирусами? Поможет ли такому юзеру установка обновлений, если у него компьютер живет своей жизнью, на нем постоянно обновляются какие-то свистелки-перделки, компьютер всегда загружен этим под 90 процентов, а свистелки-перделки дают пользователю поработать на ресурсах компьютера по остаточному принципу, важно лишь, чтобы сами свистелки-перделки работали и обновлялись? Можно ли доверять закрытым проприетарным системам, реально ли проводить постоянную инспекцию мегабайт постоянно обновляющегося исходного кода открытых систем? От кого мы вообще защищаемся, что именно защищаем и чем готовы пожертвовать ради защиты?

@Unknownuser-gz4uq Месяц назад

да, аппаратные уязвимости это вам не в муку пердеть. а видео хоть и не совсем относится к теме канала, но такое тоже интересно

@raywyrmsong8375 Месяц назад

А как же, прости хоспаде, Байкал и Эльбрус?

@newlife1036 Месяц назад

Там ФСБ зарезервировало весь кэш

@SL4RK Месяц назад

там влив архитектура, вангую даже самый упоротый не станет эту дичь ковырять и тем более писать софт учитывая насколько ужасное само по себе решение...

@SL4RK Месяц назад

а байкалы на арме подвержены тем же уязвимостям! вот с мипсом интересно такие фокусы прокатят ?

@user_PsevdonimyEtoPolnyjOtstoj Месяц назад

Всякие взломщики и накрутчики денег, патронов, жизней для игр прекрасно влезают в область памяти этих самых игр. А генераторы криптоключей в современных компьютерах идут отдельным блоком никак не связанным с основной ситемой.

@stanbondarev9256 Месяц назад

Вопрос: если процессор делает какие-то "лишние" операции, в результате которых чуствительные данные попадают из защищённой памяти в кэш (или засвечиваются как-то иначе), а это же продиктовано алгоритмами операционной системы, то почему уязвимости приписывают железу, а не операционной системе? неужели ЦПУ теперь могут сами решать что-то посчитать и что-то перекинуть из памяти в кэш безусловно -- без указки ОС?

@mmiro 6 дней назад

Именно так

@IzyaKotov Месяц назад

Вот вам и камень

@sushinskiy Месяц назад

14:09 Заметил помарку: "обнолвения" вместо "обновления".

@differentone_p Месяц назад

а я это не заметил

@sushinskiy Месяц назад

@@differentone_p большинство это не заметили, это нормально, поскольку у людей формируется множество паттернов, включая паттерны на все слова, путаница внутри слов игнорируется мозгом. Но по какой-то причине не у всех эти паттерны работают таким же образом.

@eeetube1234 17 дней назад

В Windows памчть процессов запущенных под одним пользователем никак не защищена друг от друга.

@Worldshops-zq1ws Месяц назад

👍✌🎉

@kosmiska1976 Месяц назад

любой новый вирус будет выполнятся компьютером без всяких предупреждений пока часть его кода не попадет в базу и он не будет опознан.

@LF13666 Месяц назад

Это комментарий в поддержку канала

@ROLFX Месяц назад

Копнём. 👍👍👍👍

@alexkhan7273 Месяц назад

Очень интересно

@delusio5638 23 дня назад

после установки всяких исправлений комп начинает работать медленней, лудше без них авось пронесет) и ваще подобные проблемы касаются корпораций с их коммерческими секретами и простым юзерам на них должно быть фиолетово

@IlyaBulah Месяц назад

"обнолвения")

@sushinskiy Месяц назад

Интересный формат! Спасибо! Вывод: всегда вовремя ставьте обновления.

@LeonidEliseev Месяц назад

Часто обновления как раз сами и несут уязвимости вместе с новыми и ненужными функциями. А потом, в торопях, пользователей просят ещё скачать обновление, которое возвращает все как было.

@igorgrischenko6518 18 дней назад

1:51-3:01 как тогда работает артмани?

@user-wi4vs6xc3z Месяц назад

Честно говоря, не понимаю как через камень (процессор), можно что-то сделать, кроме как использовать ресурс вычислений камня. Типа, процессор это же что - кремниевая железка. ._.

@user-oh8yo2bw6k Месяц назад

Проц предгружает инфу в кэш и некоторую часть инфы можно взять.

@FlyWR Месяц назад

Слово "вредоносы" распространяется. Грустно.

@boringboringboringboring Месяц назад

Это как уязвимости dpectrum и melt down?

@PavelQuiteGood Месяц назад

Да.

@user-fd4yn2uw2k Месяц назад

Идея с погружением в техничку интересная. Хотя бы что-то новое узнаёшь, а не просто хаваешь сухую информацию и выводы. Но, возможно, в этом видео вы немного затянули и можно было бы уложиться минут в 10