[10:43] <DrGrov> Päivää kaikille, pienimuotoinen kysymys....
[10:45] <DrGrov> Onko Ubuntu 16.04:lle olemassa jonkunlaista ohjelmaa testatakseen tuota Meltdown/Spectre-bugin olemassaoloa?
[10:46] <ninnnu> "On olemassa"
[10:47] <DrGrov> Okei, ja tämä tarkoittaa käytännössä mitä tarkalleen?
[10:48] <ninnnu> Että kaikki on perseestä
[10:49] <DrGrov> Okei
[10:50] <DrGrov> Ei kai sitten muuta :D
[10:50] <ninnnu> Ellet sitten aja jotain eksoottisempaa CPU:ta (luultavasti et) tai jotain antiikkisempaa tuotetta
[10:51] <ninnnu> joku spectre-testiskripti on, mutta se yrittää väittää mulle että kaikki olis ok mutta en suostu uskomaan
[10:52] <DrGrov> Eksoottisempaa CPU:ta, siis tähän kategoriaan ei kuulu esim. Xeonit jne?
[10:52] <ninnnu> Ei
[10:52] <ninnnu> Puhutaan SPARCeista, PowerPC:istä ja tämmösistä
[10:52] <ninnnu> ja Itaniumit
[10:52] <DrGrov> Ok, sittenhän on aika selvä ettei vaikuta suoranaisesti
[10:53] <DrGrov> Ei tähän asti ainakaan oo prossu hyytynyt millään tavalla niinku kuuluis hyytyä
[10:53] <ninnnu> jos sä sitä 30% hidastumista mietit niin se on hyvin spesifille kuormatyypille joka ei käytännössä koske taviksia
[10:54] <elias_a> Ei kai sen mitenkään kuulu hyytyä vaikka muistia luettaisiin.
[10:54] <elias_a> Käytännössä ei huomaa mitenkään.
[10:55] <DrGrov> Onko tuo spectren testiskripti sitten jotenkin epätarkasti tehty vai onko se jotenki ei-tuettu?
[10:55] <ninnnu> en mä tiiä
[10:57] <hahlo>  ninnnu: mistä sitten tietää onko ubuntussa se meltdown?
[10:57] <DrGrov> Et tämä ei oikeastaan taviksia koske laisinkaan...
[10:57] <hahlo> hehe ahaa
[10:57] <ansa> https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6 - tuo ainakin tuntuu saavan dataa luettua
[10:58] <ninnnu> hahlo: on.
[10:58] <ninnnu> Meltdown/Spectre on _kaikkialla_
[10:58] <ninnnu> Paitsi TempleOS:ssä
[10:58] <hahlo> koskeeko se vain linuxia?
[10:58] <ninnnu> koska kaiken ajaminen Ring0:ssa on jumalan tahto
[10:58] <ninnnu> 12:58:14 <ninnnu> Meltdown/Spectre on _kaikkialla_
[10:59] <hahlo> myös windowsissa
[10:59] <ansa> ja mäkeissä.
[10:59] <hahlo> eikö fsecure estä
[10:59] <ninnnu> ei
[10:59] <Mirv> spectre-workarounditettu Firefox Ubuntu 16.04 LTS:lle on ulkona https://launchpad.net/ubuntu/+source/firefox/57.0.4+build1-0ubuntu0.16.04.1
[11:00] <hahlo> saako sen vaan selaimen kautta?
[11:00] <Mirv> publised 11 minutes ago, luultavasti ilmestyy päivityksenä noin 20 minuutin kuluttua
[11:00] <Mirv> hahlo: ^
[11:00] <hahlo> just
[11:00] <Mirv> tiedän about tuon LP-syklin published -> repo
[11:01] <Mirv> https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
[11:01] <DrGrov> Tuleekohan nuo 16.04:lle mainstream updatteina pikemmin vai onko uudelleenasennus ainoa tapa?
[11:01] <hahlo> kuka sen keksi sen meltdownin?
[11:01] <Mirv> DrGrov: tuo on security-pocketissa, eli siis tosiaan n. 20 minuutin päästä teoriassa kaikille koko maailmassa tulossa, tai en ole varma onko jotain ajastuksia/porrastuksia tuossa
[11:02] <DrGrov> Mirv: Ok, erittäin hyvää tietoa.
[11:03] <DrGrov> Mirv: Tuleekohan yleispäivitykset systeemipäivityksinä vai tuleekohan ne uutena imagena 16.04:lle?
[11:03] <Mirv> hahlo: kolme eri tiimiä löysi itsenäisesti Meltdownin viimeisen puolen vuoden aikana, ja kaksi tiimiä Spectren
[11:03] <ninnnu> systeemipäivityksenä
[11:03] <elias_a> ... kuten aina.
[11:03] <DrGrov> ninnnu: Ok, hyvä juttu
[11:03] <DrGrov> Et ei muuta kun odottaa, hyvä ainaki et tuo Firefoxi päivittyy heti nyt.
[11:03] <Mirv> DrGrov: siis kaikki security-päivitykset tulee aina kaikille, imaget ovat muutenkin vain ajantasainen katsaus siihen mitä on jo kaikille jaettu (poikkeuksena käytännössä vain kernel, 16.04.2/.3/.4 asentaa oletuksena uudemman kuin 16.04 tai 16.04.1-asennus-CD)
[11:04] <hahlo> ok ja amd:tä ei koske
[11:04] <Mirv> hahlo: Meltdown ei koske, Spectre (selain-exploit) koskee kaikkia ARM/AMD64/Intel
[11:04] <hahlo> ahaa ok
[11:04] <Mirv> tai no Cortex-A53 on aika hyvä valinta nyt tässä kun ei ole predictionia, hyvä kun on puhelimessa vain niitä coreja :)
[11:05] <Mirv> hahlo: tuolla on tiedot tiimeistä yms FAQ https://spectreattack.com/
[11:05] <DrGrov> Siis, ymmärsinkö tämän nyt täysin oikein suomeksi? Meltdown koskee vain ja ainoastaan tiettyjä Intelin/AMD/ARM prossuja mutta Spectre koskee vain ja ainoastaan selain-exploitteja?
[11:05] <hahlo> mun puhelin onkin jumitellut
[11:06] <mjr> aika pieleen meni
[11:06] <Mirv> DrGrov: ei vaan on vaikea yksinkertaistaa noita, mutta siis Meltdown koskee vain Inteliä ja ei ole kovin helposti selaimessa hyödynnettävä, mutta mikä tahansa koneella ajettava ohjelma voi sitä käyttäen halutessaan lukea kaiken koneelta, mukaanlukien vaikka ohjelma ajettaisiin virtuaalikoneessa
[11:06] <mjr> Meltdown koskaa vain Inteleitä, mutta on pätsättävissä (joskin menee vähän tehoa hukkaan)
[11:06] <Laodikea> hahlo: oletko käynnistänyt sen uudestaan milloin viimeksi?
[11:06] <ninnnu> DrGrov: Meltdown koskee vain Inteliä, Soectre koskee kaikkia ja molempia voi exploitata esim. selainta pitkin (surffaa pahissivulle niin se lukee muistista sun kalamanagerin salasanat)
[11:06] <mjr> Spectre koskee noin kaikkia noita prosessoriperheitä vähän eriasteisesti
[11:07] <Mirv> DrGrov: Spectre koskee kaikkia Intel/AMD ja suurin osa ARM, ja sitä ei edes voi kovin helposti korjata, ja on selainten javascriptin kautta käytettävissä - sillä ei pääse koko koneeseen käsiksi, mutta pääsee esim. saman selaimen toisen välilehden pankkisalaisuuksiin jne
[11:07] <mjr> vaikeampi puolustaa, joskin voi tehdä hankalammaksi (esim. selaimissa estää pääsy tarkkaan ajastustietoon)
[11:07] <Mirv> Spectre on enempi "tällaisia kaikki nykyprosessorit, olis kannattanut suunnitella paremmin", Meltdown on "Intel failasi"
[11:10] <DrGrov> Kohta kysyn tarkemman kysymyksen kunhan saan sen päähäni suomennettua ensiks :D
[11:15] <hahlo> Laodikea: eilen
[11:15] <Laodikea> Okei, mulla on jotkut puhelimet alkaneet hidastella esim. 100 tunnin päällä olon jälkeen
[11:18] <hahlo> joo onhan se mahdollista
[11:18] <hahlo> joku softa bugaa
[11:19] <DrGrov> Mirv: Onko kernelin versiolla suurta merkitystä tuohon Spectreen?
[11:20] <DrGrov> Firefoxin ja muiden selaimien esto pahissivuille ei tuota oikeastaan estä jos surffaa vahingossa sivulle jossa exploitia voi käyttää?
[11:20] <Mirv> DrGrov: Spectreen ei ole, kernelissä ei ole mitään muutoksia tai tällä hetkellä tulossa korjauksia Spectren suhteen. selainvalmistajat voivat tehdä spectren hyväksikäytön vaikeammaksi, kuten nyt tuossa juuri Firefox 57.0.4:ssä
[11:21] <DrGrov> Mirv: Ok, et vanhemmat kernelit kuten 4.10.x on kuitenkin altistunut?
[11:21] <hahlo> viestintävirasto sanoo "Linux on julkaissut päivitykset Meltdown-hyökkäystä vastaan Intel- ja ARM-pohjaisille prosessoreille." varmaan sitte meltdowniin
[11:22] <Mirv> DrGrov: spectre ei ole kernel-ongelma, vaan laiteongelma riippumatta käyttöjärjestelmästä
[11:22] <mjr> ainiin joo, pari spesifistä arm-prossua oli meltdown-haavoittuvia joo kans, mutta useimmat ei
[11:22] <DrGrov> Mirv: Ok, nyt menee tuokin minun tiukkaan pipoon perille asti :D
[11:22] <Mirv> joo niin Cortex-A75 oli Meltdownilla varustettu
[11:22] <Mirv> DrGrov: no on tässä itsekin saanut tavata aika monta kertaa tätä :)
[11:23] <DrGrov> Mirv: No varmasti, emäntä tuossa kans ainaa miettii mun lauseita ja oivalluksia kun ne ei oo ihan suomistettuja oikein :D
[11:23] <DrGrov> Mirv: Mutta, pointin ymmärtää... Ainakin silleen sinne päin :D
[11:26] <pesasa> Onkos muuten mitään fiksua tapaa laittaa vfat-USB-tikulle ns. portable-softia niin, että ne olisi myös käynnistettävissä?
[11:26] <DrGrov> Mirv: Mitäs mieltä olet taviskäyttäjän riskeistä ennen kuin nuo security updatet julkaistaan?
[11:27] <pesasa> Kun oletuksena vfatilla kaikkien tiedostojen oikeudet ovat -rw-r--r-- eikä vfat ymmärrä niiden muuttamista.
[11:28] <pesasa> Ja portablen ideana tietty on, että toimii useammassa koneessa, eli ilman mountti-asetusten muuttamisia.
[11:35] <elias_a> Eipä vielä ole valunut paikko 16.04 repoihin.
[11:41] <DrGrov> elias_a: Eiköhän se kohta tule sieltä, toivottavasti
[11:41] <DrGrov> Niin, se updeitti on 57.0.4...
[11:46] <Laodikea> Mulla on nyt 57.0.4, just päivitin
[11:46] <DrGrov> Laodikea: Ok, hyvä juttu. Pakko katsoa itsekin et tulikohan se jo
[11:47] <hahlo> #toisaalla väitettiin et jo 2005 tutkittiin meltdownia http://www.daemonology.net/papers/cachemissing.pdf
[11:57] <DrGrov> Noin, nyt näkyy Firefox 57.0.4 päivityksenä :)
[11:59] <hahlo> nyt saa rauhassa surffata
[11:59] <DrGrov> Jees, nyt ei mitään muuta ku täyttä häkää :)
[12:05] <elias_a> Jep. Nyt löytyi päivitys. Onkos muuten chromiumin kanssa mikä tilanne?
[12:08] <Mirv> nyt tuli Firefox-päivtiys joo :)
[12:08] <Mirv> uskaltaa surffailla taas
[12:08] <Laodikea> Olen käsittänyt niin, että päivityksiä chromiumiin tulee 23.1.
[12:08] <Mirv> DrGrov: no ennen tota selainpäivitystä joo vähän riskaabelia selata
[12:08] <Laodikea> https://www.chromium.org/Home/chromium-security/ssca
[12:08] <Mirv> Chromiumiin oli jokin advanced-asetus joka mitigoi ongelmaa
[12:09] <Mirv> mut käytän kyl 99% Firefoxi
[12:12] <elias_a> Sama täällä.
[12:17] <DrGrov> No kai sitä on uskaltanut 57.0.3 kanssa myöski surffailla :D
[12:17] <DrGrov> Mutta juu, päivitykset ovat aina tervetulleita :)
[12:21] <ninnnu> umatrix <3
[12:24] <DrGrov> Noin, nyt pyörii 57.0.4
[12:24] <DrGrov> Pakko kai on todeta et vanhuus iskee ja autopäivitykset pitäis aktivoida :D
[13:01] <Talikka> workaroundittaa on ikävää "suomea" - sopisiko esim. "kierretty"
[13:03] <ansa> Onko tuo Chrome 63.0.3239.132 - paikattu versio?
[13:11] <Hejkki> mitä. joku bugiko selaimissa?
[13:11] <ninnnu> Feature
[13:12] <Hejkki> ai mikäs?
[13:13] <StockAntenna> just tekivät uuden hienon FF:n ja heti pahasti rikki
[13:14] <ansa> Njaa, Chromessa on tuo site isolation mahdollisuus jo olemassa. Paljonkohan tuokin haukkaa muistia..
[13:14] <StockAntenna> selviääkö Spectrestä jos ei ole mitään salasanoja selaimen tai muun passumanagerissa tallennettuna?
[13:14] <ninnnu> ansa: merkittävästi
[13:15] <ninnnu> StockAntenna: eikö sulla ole RAMissa ikinä mitään salaista?
[13:15] <ninnnu> ts. muuta salaista kalojen lisäksi
[13:15] <ansa> StockAntenna, onhan sitä sessiokeksejä yms. jos on kirjautunut johonkin saitille.
[13:15] <StockAntenna> juu toki noita on
[13:15] <StockAntenna> siis tuo vie kaiken mitä selaimessa on session aikana
[13:27] <Hejkki> minen oo uskaltanu skypeä asentaa esim koneelle siinä pelossa että mikkisofta jotenki urkkii. Nyt ei uskalla nettiäkään selata =D
[13:28] <Hejkki> (joo tiedän etteivät liity toisiinsa)
[13:32] <StockAntenna> eihän Skype enää edes toimia se Linux-versio
[13:32] <Hejkki> hä
[13:32] <Hejkki> kyllä justa sensin kaverin ubuntuun skypen
[13:32] <Hejkki> ihan uus skype
[13:36] <Laodikea> Joo, se 4.3-versio lakkasi toimimasta heinäkuussa viime vuonna, mutta skypen sivuilta saa kyllä toimivan skypen linux-version
[13:36] <Hejkki> jooh
[13:37] <pesasa> Tai sitten voi käyttää sitä selainversiota. Jaaniiin, mutta selain... :-)
[13:37] <ninnnu> Selain se uusi "natiivi"-clienttikin on..
[13:38] <pesasa> Sitä just
[13:38] <ninnnu> ja vielä erikoisuutena siihen ei välttämättä edes tule noita spekulointi-mitigointeja...
[13:40] <StockAntenna> pitää kokeilla tuota uutta versiota
[13:41] <StockAntenna> vuoden päästä ehkä päivittyy Spectre-turvalliseksi tuo?
[13:52] <StockAntenna> hyvin tuo reimagined Skype tuntuu Ubuntussa pelaavan
[14:07] <DrGrov> Noin, tulihan tuota Intelin SA-00086 työkalua testattua kahdessa kolmesta koneesta
[14:07] <DrGrov> Ei onneksi ollut haavoittuvainen
[14:08] <elias_a> DrGrov: Annapa linkki moiseen.
[14:08] <DrGrov> elias_a: Tässä https://downloadcenter.intel.com/download/27150
[14:09] <DrGrov> elias_a: Muista laittaa chmod +x siihen pythonin scriptiin ja niihin kahteen common kansiossa jotka ovat S jotain tiedostoja, katson ihan kohta tarkat nimet. Tai sitten katso se info-PDF:ä
[14:09] <DrGrov> Ja tietysti sudo et etsii oikein
[14:10] <DrGrov> Ne kaks tiedostoa jotka tarvitsevat chmod +x:n ovat spsInfoLinux64 ja spsInfoLinux64_3 common-kansiossa
[14:12] <DrGrov> elias_a: Sinulle jää lokitiedostot sitten
[14:12] <DrGrov> Ainakin itselläni sanoo et "may be vulnerable" jos ei käynnistä sudo python ./tiedostonnimi
[14:15] <DrGrov> Oho, pieni korjaus. Tuo spsInfoLinux64_3 ei tarvitse chmod +x:ää mutta laitoin kumminkin
[14:17] <DrGrov> Mutta tulos kumminkin sama, "not vulnerable"
[14:18] <elias_a> Jos tuo testaa Meltdowniksi nimettyä reikää, miksi ihmeessä se on julkaistu jo lokakuussa 2017?
[14:19] <elias_a> Päivitetty joulukuun 22. päivä.
[14:19] <elias_a> Ottaen huomioon Intelin onnettoman selittelyn asian tiimoilta en kyllä luottaisi Intelin omiin testijuttuihin kovinkaan paljoa.
[14:20] <DrGrov> Niin, toki. Ei luottamista ole ehkä kovinkaan paljoa mutta uskoisi ainaki et jonkunlainen fakta heillä siellä on asian tiimoilta
[14:22] <elias_a> Jep. Enkä ole kärryillä siitä, että milloin tuo on saatettu Intelille tietoon.
[14:23] <elias_a> Minä kyllä veikkaan, että ne muut julkaistut Meltdown proof of concept-ohjelmanpätkät osoittaisivat että on haavoittuva...
[14:23] <DrGrov> Itse vapaasti spekuloin et Intel on asiasta tiennyt jo vähintään loppusyksystä asti mutta tarkoituksella (lue: ei aiheuttaa paniikkia) jättänyt kertomatta asiasta
[14:24] <ninnnu> DrGrov: Inteliä on infottu kesäkuussa
[14:24] <ninnnu> tai heinäkuussa
[14:24] <elias_a> DrGrov: Toki piti johtajien ensin päästä myymään optio-osakkeet ennenkuin kakki osui tuulettimeen.
[14:25] <DrGrov> ninnnu: Niin mutta itse pohdin että asiaan on suhtauduttu vakavasti vasta loppusyksystä
[14:26] <ninnnu> Ei maailman olisi pitäny tietää tosta ku vasta 9.1, mutta tässä jotkut katteli vähän Linuxiin tulleita patcheja ja teki valistuneita arvauksia, niin tuli kiire pistää virallinen julkaisu
[14:26] <DrGrov> elias_a: Niin, fooliohatun käyttöhän on aivan sallittua ja pitääkin ottaa huomioon että ajankohta kyseiselle myynnille on erittäin huomioo herättävä mutta ehkä ei itsessään todista minkäänlaista kytköksiä olemasssaolevaan ongelmaan
[14:27] <elias_a> DrGrov: No jaa...
[14:27] <DrGrov> ninnnu: Totta. Itse totesin jonkunlaisen ongelman asennettaessani uusinta 17.10:ä
[14:28] <DrGrov> elias_a: Niin, juu
[14:31] <DrGrov> No, ei muuta ku istua laivassa rauhassa ja odottaa
[14:31] <DrGrov> Hyvät viikonloput kaikille ja kiitos vinkeistä
[14:31] <elias_a> Hyvää loppumatkaa!
[16:54] <Hejkki> moro
[16:55] <Hejkki> apt-get update antaa erroria https://pastebin.ubuntu.com/26326638/
[16:56] <Hejkki> eiks toi ..../xenial/main/binary-amd64/Packages ole ihan perus juttuja
[16:56] <Hejkki> Ubuntu 16.04.3 LTS
[17:08] <Tomin> näyttäs olevan jonkun PPA, jota ei ole julkaistu xenialille: https://launchpad.net/~aheck/+archive/ubuntu/ppa
[17:34] <Mirv> https://bartongeorge.io/2018/01/04/xps-13-developer-edition-the-7th-gen-is-here/