Na topie

ZombieLoad, Fallout i RIDL - odkryto kolejne luki bezpieczeństwa w procesorach Intela [AKT. 3]

Autor:

więcej artykułów ze strefy:
Procesory

Odkryte luki mogą prowadzić do ujawnienia poufnych informacji. Narażeni na atak szczególnie są posiadacze procesorów Intela sprzed 2018 roku.

  • ZombieLoad, Fallout i RIDL - odkryto kolejne luki bezpieczeństwa w procesorach Intela [AKT. 3]
A A

Ubiegły rok był wyjątkowo trudny dla firmy Intel, również ze względu na odkrywanie coraz to kolejnych luk bezpieczeństwa w procesorach. Wygląda jednak na to, że historia ma swój dalszy ciąg, bo producent poinformował o kolejnych problemach ze swoimi jednostkami.

Nowe luki zostały odkryte we współpracy z badaczami z uniwersytetów, instytutów i firm zajmujących się bezpieczeństwem. Problemy mają być znane już od roku, ale dopiero teraz zdecydowano się na publikacje dokumentacji - łącznie ujawniono informacje o czterech zagrożeniach, które już otrzymały swoje oznaczenia CVE oraz nazwę roboczą:

  • CVE-2019-11091 Microarchitectural Data Sampling Uncacheable Memory (MDSUM) – ZombieLoad
  • CVE-2018-12126 Microarchitectural Store Buffer Data Sampling (MSBDS) – Fallout
  • CVE-2018-12127 Microarchitectural Load Port Data Sampling (MLPDS) – Store-to-Leak Forwarding
  • CVE-2018-12130 Microarchitectural Fill Buffer Data Sampling (MFBDS) – RIDL (Rogue In-Flight Data Load)

Ujawnione luki pozwalają na ujawnienie poufnych informacji. W odróżnieniu jednak od luki Meltdown, gdzie dane były odczytywane z pamięci podręcznej, tutaj mamy do czynienia z atakiem typu Microarchitectural Data Sampling (MDS) i atakiem na bufory procesora.

Według badaczy, exploity MDS można wykorzystać do selektywnego ujawniania ważnych informacji. Poprzez zainfekowaną stronę internetową lub maszynę wirtualną mają one dawać dostęp np. do haseł czy szyfrowanych kluczy.

Zła informacja jest taka, że podatne na atak są wszystkie procesory Intela sprzed 2018 roku (bezpieczne są jednostki Intel od Core 8. generacji oraz serwerowe układy Xeon Cascade Lake, a także procesory AMD i ARM). Załatanie luk będzie wymagać nie tylko aktualizacji mikrokodów przez wydanie nowych BIOS-ów do płyt głównych, ale też odpowiednich łatek dla systemów operacyjnych i oprogramowania.

Intel - luka MDS

Intel - luka MDS

Jednym z rozwiązań może być czyszczenie lub nadpisywanie buforów przy przełączaniu się między aplikacjami, co niestety może mieć negatywny wpływ na osiągi procesora (według wewnętrznych testów, maksymalny spadek wydajności ma wynosić około 3%). Mało tego, producent poleca też rozważanie wyłączenie technologii Hyper Threading - mimo, że informacje producenta pokazuje maksymalnie 9% spadku wydajności na przykładzie modelu Core i9-9900K, to w rzeczywistości, w zależności od zastosowania, różnica ta może być dużo wyższa.

Zainteresowanych szczegółami odsyłamy do stron poświęconych atakom Fallout i RIDL oraz ZombieLoad.

Aktualizacja 15.05.2019 11:15

Firma AMD wydała oświadczenie, które potwierdza wcześniejsze informacje o braku podatności procesorów na wspomniane ataki:

W firmie AMD rozwijamy produkty i usługi z myślą o bezpieczeństwie. Bazując na naszych analizach i rozmowach z badaczami wierzymy, że nasze produkty nie są podatne na zagrożenia „Fallout”, „RIDL” oraz „ZombieLoad Attack” z uwagi na sprzętową weryfikację ochrony zaimplementowaną w naszej architekturze. Nie byliśmy w stanie zademonstrować działania tych algorytmów na produktach AMD i nie są znane nam przypadki, aby komukolwiek się to udało. Więcej informacji na ten temat znajdą Państwo w naszej analizie p.t. "Spekulacyjne zachowanie w mikroarchitekturach AMD".

Warto również dodać, że Intel nie zamierza przemilczeć tematu luk i uruchomił specjalną stronę poświęconą atakom MDS oraz uaktualnił informacje na temat podatności poszczególnych generacji procesorów na poszczególne ataki.

Aktualizacja 15.05.2019 15:10

Microsoft opublikował łatki dla systemu Windows 10 z nowym mikrokodem dla układów Intela począwszy od generacji Ivy Bridge (obejmują one luki CVE-2019-11091, CVE-2018-12126 i CVE-2018-12127). Poprawki są dostępne osobno dla wersji 1507 (KB4494454), 1607 (KB4494175), 1703 (KB4494453), 1709 (KB4494452) i 1903 (KB4497165 w programie Insider dla systemu Windows), natomiast w przypadku wersji 1803 i 1809 są one dostępne w zbiorczych aktualizacjach (odpowiednio KB4499167 i KB4494441).

Zauważyliśmy, że inne źródło Intela jednak potwierdza podatność 8. i 9. generacji Core oraz układów Xeon Cascade Lake na ataki Microarchitectural Store Buffer Data Sampling (MSBDS) i Microarchitectural Load Port Data Sampling (MLPDS). Doprecyzowaliśmy też informacje odnośnie spadku wydajności przy wyłączeniu technologii Hyper Threading.

Aktualizacja 16.05.2019 9:30

Do tematu luk odniosła się również firma Apple, która montuje procesory Intela w swoich komputerach i laptopach. Producent przyznaje, że nie ma znanych exploitów, które wykorzystywałyby odkryte luki, ale bardziej ostrożni użytkownicy mogą zdecydować się wyłączyć technologię Hyper Threading i poprawić bezpieczeństwo swoich urządzeń.

Apple ostrzega jednak przed konkretnym spadkiem wydajności - według wewnętrznych testów w wielowątkowych zastosowaniach, wyłączenie technologii HT powoduje nawet 40% spadek osiągów. Rzeczywiste wyniki będą jednak zależeć od wielu czynników (m.in. modelu, konfiguracji, zastosowania).

Zainteresowanych odsyłamy do strony wsparcia technicznego, gdzie opisano procedurę wyłączenia (i włączenia) technologii HT na komputerach Apple z systemami macOS Mojave, High Sierra lub Sierra.

Źródło: TechPowerUp, ComputerBase, Intel, AMD, Microsoft, Apple

Odsłon: 15677 Skomentuj newsa
Komentarze

69

Udostępnij
  1. BrumBrumBrum
    Oceń komentarz:

    10    

    Opublikowano: 2019-05-15 10:05

    nadchodzą kolejne łatki, po raz kolejny spowalniające komputer. no nieźle, tylko trzymać się intela.

    Skomentuj

    1. marianb
      Oceń komentarz:

      -7    

      Opublikowano: 2019-05-15 20:40

      Nawet po łatkach Intel będzie szybszy.

      Skomentuj

    2. kitamo
      Oceń komentarz:

      -6    

      Opublikowano: 2019-05-16 10:46

      Nie tyle łatki co wyłączenie HT moze spowolnic. Jak patrze na wykresy powyzej to ciezko sie do tego odniesc.

      Exploita zadnego jeszcze nie ma wiec nie ma powodu by panikowac bez sensu.

      Skomentuj

  2. Kenjiro
    Oceń komentarz:

    6    

    Opublikowano: 2019-05-15 10:24

    A do tego, mimo niepodatności Ryzenów na powyższe błędy, Microsoft również uaktywnia te łaty przy procesorach AMD. Coś czuję nosem, że będzie z tego burza ;-).

    Skomentuj

  3. Marucins
    Oceń komentarz:

    0    

    Opublikowano: 2019-05-15 11:22

    Brawo Intel.
    Prawdziwy lyder!

    Skomentuj

    1. r_e_s_e_t
      Oceń komentarz:

      0    

      Opublikowano: 2019-05-15 20:33

      A dlaczego amerykańskie agencje korzystają ze specialnych wersji intelowskich procków? Pewnie przez lepszą pastę. XD

      Skomentuj

  4. kombajn
    Oceń komentarz:

    2    

    Opublikowano: 2019-05-15 11:38

    Jak ja się cieszę że od premiery Ryzena nie mam Intela w domowym PC i nie muszę się denerwować kolejnymi lukami i spadkami wydajności/funkcjonalności.

    Skomentuj

    1. Tomasz Słowik
      Oceń komentarz:

      -2    

      Opublikowano: 2019-05-15 16:46

      Odkąd nie aktualizuję windows i biosu, ja również, a mam Intela

      Skomentuj

    2. kitamo
      Oceń komentarz:

      -3    

      Opublikowano: 2019-05-16 10:47

      A to taki zmartwiony wczesniej byles lukami?
      Ja tam wole bezstresowo podchodzic do obslugi urządzeń jednak.

      Skomentuj

      1. człowiek-taboret
        Oceń komentarz:

        -3    

        Opublikowano: 2019-05-16 15:04

        Spać po nocach nie mógł, bo trzymał myszkę.

        Skomentuj

  5. tarzinio
    Oceń komentarz:

    1    

    Opublikowano: 2019-05-15 12:18

    Bo przecież backdoor'y muszą być, ale ludzie sa coraz bardziej sprytni i nie dają się. Intel jeżeli nie zmieni polityki lub nie znajdzie innego sposobu na backdoor'y to bedą mieli problemy.

    Skomentuj

    1. r_e_s_e_t
      Oceń komentarz:

      1    

      Opublikowano: 2019-05-15 20:34

      Oni sami je tam instalują na zamówienie.

      Skomentuj

  6. setnik
    Oceń komentarz:

    3    

    Opublikowano: 2019-05-15 12:50

    Według źródła podatne są wszystkie Procesory Intela wyprodukowane od roku 2008 do teraz https://www.nrc.nl/nieuws/2019/05/14/hackers-mikken-op-het-intel-hart-a3960208

    Skomentuj

  7. jarekzon
    Oceń komentarz:

    0    

    Opublikowano: 2019-05-15 14:30

    :)))

    Skomentuj

  8. mjwhite
    Oceń komentarz:

    -3    

    Opublikowano: 2019-05-15 14:57

    Nudy...

    Skomentuj

    1. Alcedo1
      Oceń komentarz:

      -1    

      Opublikowano: 2019-05-15 21:04

      Nudny to ty jesteś, co innego może napisać wielki fan intela. Biedaku pewnie płaczesz do poduszki, kolejna wielka wtopa twojej kochanej firmy

      Skomentuj

  9. mutissj
    Oceń komentarz:

    2    

    Opublikowano: 2019-05-15 15:18

    ZombieLoad, Fallout i RIDL

    kto te nazwy wymyślił :D?

    Skomentuj

    1. r_e_s_e_t
      Oceń komentarz:

      3    

      Opublikowano: 2019-05-15 20:35

      Niedługo zaczną pojawiać sie DLC do backdoor'ów.

      Skomentuj

    2. kitamo
      Oceń komentarz:

      -5    

      Opublikowano: 2019-05-16 10:48

      jeszcze bedzie Skyfall :D

      Skomentuj

  10. miedzianek
    Oceń komentarz:

    -5    

    Opublikowano: 2019-05-15 15:42

    Niech kradną moje 'poufne' rzeczy...bez przesady, komu się przyda to co mam na kompie? Ani ja milioner, ani ważna persona...

    Skomentuj

    1. DivixPL
      Oceń komentarz:

      0    

      Opublikowano: 2019-05-15 20:02

      Jeśli nie zależy ci na loginach do banku i innych kont to ok

      Skomentuj

      1. kitamo
        Oceń komentarz:

        -3    

        Opublikowano: 2019-05-16 10:50

        nie kradną loginow do banku i haseł ;)
        Poza tym w baku masz podwójną weryfikacje.

        Nic jeszcze niczego nie kradnie - nie ma exploita jest tylko luka czyli zbieg pewnych okolicznosci ktore pozwalają na pozyskanie jakichs danych.
        Szansa ze takie okolicznosci wystapia jest niezwykle niska.

        Skomentuj

    2. r_e_s_e_t
      Oceń komentarz:

      -1    

      Opublikowano: 2019-05-15 20:36

      Są pewne zasady i standardy. Świad nie kończy się na Tobie.

      Skomentuj

      1. miedzianek
        Oceń komentarz:

        1    

        Opublikowano: 2019-05-17 16:39

        'Świad'. Koniec polemiki xD

        Skomentuj

    3. Yosar
      Oceń komentarz:

      3    

      Opublikowano: 2019-05-15 23:54

      No to poproszę o login i hasło do konta bankowego. Skoroś taki otwarty i nie masz nic wartego zachowania dla siebie na kompie. Mam nadzieje, że nie mielesz tylko ozorem po próżnicy i za tymi gromkimi i odważnymi słowami stoi człowiek który poprze je czynami.
      No chyba, że masz 12 lat, to czuj się zwolniony z własnej obietnicy, bo rzeczywiście konta w banku pewnie nie masz, a i w takiej sytuacji mielenie ozorem na pusto robi się też zrozumiałe.

      Skomentuj

      1. marcadir
        Oceń komentarz:

        2    

        Opublikowano: 2019-05-16 08:41

        Yosar w większości banków, aby zrobić przelew trzeba podać kod z tel lub tokena... większym problemem będzie jak ktoś pozyska dane i nabierze na niego kredytów, wtedy miedzianek już milionerem na pewno nie będzie :-)

        Skomentuj

      2. człowiek-taboret
        Oceń komentarz:

        -5    

        Opublikowano: 2019-05-16 09:33

        Wszyscy co rzucili się na @miedzianka z hasłem: "to jak taki kozak to podaj dane"... chciałbym zauważyć, że on napisał, "niech kradną", bo uważa, że nie ma osoby zainteresowanej kradnięciem czegokolwiek od niego. Więc to co ty napisałeś nie ma przełożenia na jego słowa.

        I poniekąd @miedzianek ma rację, bo aby wykorzystać te luki to trzeba się naprawdę dobrze znać i mieć niezły bagaż doświadczenia. Chciałbym zauważyć, że jakoś o luce tej czy innej wiadomo nie od dziś, a łatka dopiero co się ukazała. Jakoś nie słyszałem, żeby nagle masowo ludzie padali ofiarami hakerów.

        Szczerze mówiąc to ilość wiedzy i czasu potrzebnego żeby przeprowadzić udany atak jest na tyle duża, że żadnemu hakerowi nie będzie się opłacało spożytkować tej energii, żeby wykraść dane jakiejś przypadkowej osobie na świecie. Takie przedsięwzięcie musi się hakerowi opłacać, więc ataki będą na jakieś firmy czy serwery z dużą ilością danych. I już prędzej @miedzianka spotka nieszczęście jak ktoś pozyska dane z jakiejś dużej bazy danych, w której figuruje. A dane potem zostaną sprzedane na czarnym rynku. A do tego wcale nie trzeba luk w procesorach.

        Zresztą widać, że większość z was myśli, że taka "luka" to jest jak otwarte drzwi do domu z transparentem "zapraszamy". No tak to nie działa... na szczęście.

        Skomentuj

        1. setnik
          Oceń komentarz:

          1    

          Opublikowano: 2019-05-16 10:23

          Akurat ten rodzaj luki bardzo prosto wykorzystać przeczytaj artykuł, wystarcza mały skrypt na stronie (reklamie) i już można wszystkie dane ciągnąć z każdego komputera z Intelem.

          Skomentuj

          1. człowiek-taboret
            Oceń komentarz:

            -4    

            Opublikowano: 2019-05-16 10:42

            Kurde człowieku to czemu sam go nie napisałeś i nie ciągniesz moich danych na przykład? Przecież mógłbyś zaraz tu wszystkim udowodnić, że to takie proste publikując jakiekolwiek szczegóły.

            Wszyscy tylko gadają mały prosty skrypcik na stronie... no no... gdyby takie to proste było... to wszędzie trąbiliby, żeby wyłączyć obsługę JS w przeglądarce.

            Eh ten dyskurs nie ma sensu jak się gada z kimś kto jak otworzy dev toolsy przez przypadek naciskając F12 to myśli, że go hakują i jakieś dziwne znaczki się pojawiły.

            Skomentuj

          2. DaviM
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-16 11:05

            Człowieku, taborecie (tego nicka to chyba nie przez przypadek sobie wybrałeś...), a czy napisanie gry przez jedną osobę, czy dwie, czy kilka osób, jest proste? Generalnie jest to obecnie niemożliwe albo mega trudne (to nie czasy względnie łatwych do programowania 8-bitowców).
            Ile osób w naszym 40-milionowym narodzie potrafi napisać w pojedynkę grę? Albo w 2 osoby?
            To ile jest gier, albo ile ich powstaje miesięcznie czy rocznie na świecie, na którym żyje kilka miliardów ludzi? 5? 1? 100?

            Ano są ich łącznie setki tysięcy, a może już milion przekroczono.
            Czyli da się zrobić to, co jest praktycznie bardzo trudne czy wręcz niemożliwe i to na masową skalę.

            To samo jest z tym kodem wykorzystującym te luki. Da się go napisać (sami odkrywcy tych nowych luk przygotowali na szybko 20 exploitów) i dla odpowiednich osób nie jest to trudne, a kod jest znacznie prostszy do ogarnięcie dla jednej osoby, niż kod współczesnej gry dla pojedynczej osoby.

            Oczywiście nikt się tym nie będzie chwalił, ani nie będzie tym handlował na Steamie czy Allegro.

            Ale na milion osób które przeczytały tego niusa, kilka jest w stanie taki kod napisać, albo wykorzystać kod już istniejący i go zmodyfikować dla swoich potrzeb lub potrzeb "pracodawcy" czy zlecającego. Większość z tych osób jednak tego nie zrobi, bo są uczciwymi osobami, a samo pisanie takiego kodu jest lub może być przestępstwem.

            Reszta osób (czyli 99,999% jest tylko potencjalnymi ofiarami, oczywiście jeśli mają Intele...

            Skomentuj

          3. człowiek-taboret
            Oceń komentarz:

            -1    

            Opublikowano: 2019-05-16 15:26

            @DaviM

            Ależ fantazje... zacznij może książki przygodowe pisać.

            Podajesz jakieś liczby znikąd... piszesz że większość jest uczciwa... weź się człowieku ogarnij. Gdyby to chodziło tylko o, cytuję "mały skrypt na stronie" to już dawno byłaby wielka afera i masowe wycieki danych. I skrypt byłby nie tylko na stronie ale i w mailach w spamie, w wiadomościach na portalach społecznościowych itd. Wierz mi byłaby istna jatka.

            Powiedz mi, chociaż czy ty wiesz do czego daje dostęp ta luka co niby przez JS'a można z niej skorzystać? Żebyś nie musiał szukać sam odpowiem, do bufora procesora. Rozumiem, że u ciebie w buforze procesora masz zapisane wszystkie hasła. Wiesz jakie to musiałoby być szczęście, żeby coś wartościowego z tego bufora wyczytać w sensownie skończonym czasie? I jeszcze do tego wiedzieć jak to czytać, bo sorry ale tam tekstem nie są zapisane hasła typu "hasło do banku: 1234".

            Jeszcze raz powtarzam, żeby to było takie proste jak piszesz, to już dawno byłaby pożoga w całym internecie. Luka jest luką, bo nikt nie powinien mieć dostępu do tego bufora i trzeba to załatać. W kwestiach bezpieczeństwa wystarczy, że istnieje potencjalne ryzyko i trzeba o tym myśleć i przeciwdziałać. Ale ryzyko to nie jest 100% pewność! We wtyczkach do FlashPlayer'a były dużo poważniejsze luki i jakoś wtedy żadnych tragedii nie było. A teraz luka, z której bardzo ciężko skorzystać, żeby wyciągnąć jakieś sensowne rezultaty, a tu DaviM płacze jakby ktoś go bez spodni nakrył.

            Skomentuj

          4. DaviM
            Oceń komentarz:

            3    

            Opublikowano: 2019-05-16 15:55

            Tak jak myślałem, nadanie sobie przydomka "taboret" nie było przypadkowe.

            Skrypt/kod jest (będzie) niewielki. Zawsze tak było i zawsze tak będzie. Trudność jest jedynie w jego napisaniu.

            Kod o wielkości 100kB (kiloBajtów) to na dzisiejsze czasy małe maleństwo. Jeden mały obrazek tyle zajmuje.
            Jest to jednak 100 tysięcy bajtów.
            Czy to dużo? Całe gry (nawet w pseudo 3D czy rzucie izometrycznym), obraz z dźwiękiem i cała reszta kodu (np. AI przeciwników, wszystkie poziomy itd.), zajmowały kiedyś... 30-50kB na komputerach 8-bitowych.

            100 tysięcy bajtów to 2-3 razy tyle. Można napisać exploit, czy nawet kilka jego wersji i jeszcze do tego grę w takim limicie pojemności.

            Skomentuj

          5. człowiek-taboret
            Oceń komentarz:

            -3    

            Opublikowano: 2019-05-16 18:58

            A ten dalej swoje. Żeś się przyczepił do tej wielkości w tak dosłownym tego słowa znaczeniu, a w ogóle nie odnosisz się do meritum mojej wypowiedzi. Czyli, to nie jest takie proste, żeby z tych luk skorzystać! I tu nie chodzi o to czy ktoś super obeznany napisze 100, 1000, 2000 czy sto tysięcy linii kodu. "mały skrypt" niezależnie od tego wedle jakiej miary będziesz mierzył, nie jest opłacalny z punktu widzenia hakera, bo daje bardzo nikłe i niepewne rezultaty (mówię tu w przypadku użycia choćby tej luki dzięki której teoretycznie nawet z poziomu przeglądarki można skorzystać). Gdyby było inaczej internet już by huczał o wyłączeniu obsługi JS w przeglądarkach albo szeregu innych zabezpieczeń.

            No jaśniej już napisać nie umiem bez wdawania się w programistyczne i technologiczne szczegóły.

            PS. Nick jest właśnie dla takich nudnych i mało kreatywnych osobników jak ty, żeby mieli łatwą wrzutę: ooo taboret, nick do ciebie pasuje... Postaraj się bardziej.

            Skomentuj

          6. DaviM
            Oceń komentarz:

            5    

            Opublikowano: 2019-05-16 19:39

            Już Ci wcześniej napisałem, że wiem, że to nie przypadek, że nazwałeś siebie "taboret". Wiedziałem, że celowo siebie tak nazwałeś.
            Nie musisz więc potwierdzać, że celowo siebie tak nazwałeś.

            Dodam, Ci tylko na koniec, że tzw. nick (czyli "taboret" w Twoi przypadku), to przezwisko czy pseudonim jakie wybiera dla SIEBIE dana osoba i chce by ją z tym przezwiskiem czy pseudonimem identyfikowano.
            https://pl.wikipedia.org/wiki/Nick

            No to teraz już wiesz taborecie. Sam wybrałeś jak napisałeś. Celowo.

            Skomentuj

          7. człowiek-taboret
            Oceń komentarz:

            -4    

            Opublikowano: 2019-05-16 20:16

            O nie, nie mów tak, bo mi się zrobi przykro! Taboret to taki fajny mebel, można przysiąść na chwilę i odpocząć!

            Eh... na twoją bezsensowną ignorancję nie ma siły. Brak argumentów we właściwym temacie próbujesz zamaskować jakąś bezsensowną dyskusją o nazwie użytkownika, która nie ma żadnego znaczenia.

            Skomentuj

          8. DaviM
            Oceń komentarz:

            4    

            Opublikowano: 2019-05-16 20:55

            Teraz taboret nagle fajny?
            Jak taboret jest dla Ciebie fajny i funkcjonalny (w celu tego odpoczynku), to spróbuj kiedyś to samo zrobić w fotelu i zobaczymy czy taboret dalej będzie taki fajny.

            I jakbyś nazwał siebie np. Człowiek-fotel, to nikt by z Ciebie nie kpił (najprawdopodobniej). Nawet mogłoby to sugerować że jesteś gościem, który ceni wygodę czy luksus i lubi sobie odpocząć czy poleniuchować w komfortowych warunkach.

            No ale wolałeś zostać taboretem.

            Weź to konto zostaw czy nawet skasuj i załóż sobie normalne bez takich głupich cyrków i tłumaczeń, że to nick dla innych, "dla nudnych i mało kreatywnych osobników, żeby mieli łatwą wrzutę".

            Skomentuj

          9. człowiek-taboret
            Oceń komentarz:

            -5    

            Opublikowano: 2019-05-16 21:17

            Masz nasrane w bani... nara!

            Skomentuj

          10. DaviM
            Oceń komentarz:

            2    

            Opublikowano: 2019-05-16 21:34

            Czyli jednak jesteś taboret.

            Skomentuj

          11. człowiek-taboret
            Oceń komentarz:

            -4    

            Opublikowano: 2019-05-17 01:00

            Ja sobie mogę założyć konto z dowolną nazwą użytkownika... A ty dalej pozostaniesz przegrywem.

            Skomentuj

          12. kitamo
            Oceń komentarz:

            -3    

            Opublikowano: 2019-05-17 09:07

            @DaviM a wez zainteresuj się troche głębiej na czym te luku polegaja, podobnie jak spectre czy meltdown.

            Sens pisania czegokolwiek dla pospolitego złodzieja jest żaden. Po prostu są to zbyt skomplikowane metody by w ogole bawic się kombinowanie z nimi.

            To nie sa luki na zasadzie "ktos pisze sobie skrypcik na stronie i jak ktos na strone wejdzie to jego hasło i login do konta bankowego zapisuje sie w pliku"
            Tu nikt nie podal nawet konkretow jakie dane mozna uzyskac.
            A dane te to zapewne albo adres maszyny, albo klucz sprzetowy z którym dopiero mozna pracować i robić cos sensownego.
            Nie - ta luka nie podaje gotowego hasła do banku bo ono nie jest przechowywane w procesorze ani w ogolnym hardwarze.

            Dlatego jest ona bagatelizowana rownierz przez apple.

            Jest łatwiejszy sposób - ludzie są głupi i sami podają takie dane. Tu nie trzeba wymyslac żadnych skomplikowanych metod. Po drugie masz w bankowosci elektronicznej przeciez dwuetapowe potwierdzenie działań.

            Tego typu luka moze być oplacalna by jej użyć w przypadku korporacji i firm. Tam mechanika bezpieczenstwa jest idiotoodporna dlatego próbuje się działać za posrednictwem luk w systemach a nie w samych ludziach.
            Tam masz adminów i dozór który dba o to by użytkownicy systemów w firmie nie zrobili pracodawcy kuku.
            Wtedy ma sens kombinacja z róznymi lukami.

            Jeszcze raz podkreslic to trzeba - czy to AMD czy Intel to luka w takim procesorze to nie jest bład w architekturze. To po prostu element architektury na podstawie którego ktoś stworzył lukę.
            To nie jest tak że producent projektuje architekture i po prostu nie widzą luki która inny człowiek musi odnalezc.

            To jak z działaniami matematycznymi - matematykę mamy taką samą od dekad a co chwilę wymyslane są nowe wzory, nowe zależności na podstawie których buduje się gotowe narzędzia.

            Od samego początku X86 luk było sporo we wszystkich architekturach. Po prostu teraz mamy większy dostęp do tych informacji bo trudniej je ukryć.

            Skomentuj

          13. DaviM
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-17 10:26

            @kitamo, jeśli myślisz, że ja myślę, że jakiś pospolity złodziej, który trochę umie programować będzie się za to brał, to się pomyliłeś, bo ja tak nie myślę i nic takiego nie zasugerowałem nawet, wręcz przeciwnie.
            To samo, nic nie napisałem kto będzie celem i jakie dane najlepiej wykraść (wszystko jak leci czy zwracać na coś szczególnie uwagę) i jak z nich optymalnie (dla przestępcy) skorzystać.

            Trochę się orientuję w tych sprawach, bo dawno, dawno temu zaczynałem od programowania w kodzie maszynowym i pisałem osobiście i sam od początku do końca całe gotowe i działające duże programy i całe gry (łącznie z grafiką, muzyką i dźwiękiem, którą również sam tworzyłem) tylko i wyłącznie w kodzie maszynowym, nawet nie w asemblerze.

            Żeby było to jasne: dla mnie pisanie w asemblerze, to pisanie mnemonikami instrukcji CPU na komputerze w kompilatorze, które są rozumiane przez kompilator, który je potem zamienia podczas kompilacji na odpowiedni ciąg liczb - bezpośrednich instrukcji dla CPU - i danych.

            Pisanie w kodzie maszynowym, to dla odróżnienia pisanie np. na kartce, często w pseudo-własnym-nazewnictwie, często gotowymi wartościami liczbowymi (kodami instrukcji CPU), potem ręczne zamienianie tych instrukcji na odpowiednie wartości liczbowe, a na końcu na ręcznym przepisaniu tych wartości do kolejnych komórek pamięci (posiłkując się często językami wyższego poziomu, np. interpreterami Basica i instrukcjami Read/Data).

            I pisałem tego bardzo dużo przez kilka lat tylko i wyłącznie w kodzie maszynowym, a gdy dorwałem już kompilator asemblera (były czasy że asemblerów nie było!), no to ręczna robota odpadła.
            To samo było z debuggerami - kiedyś ich nie było i trzeba było wszystko ręcznie robić, ale i debuggery też (w zasadzie równo z asemblerami) się pojawiły.

            Korzystałem również z różnych nieudokumentowanych instrukcji (Z80) i różnych dziwnych sztuczek, na poziomie kodu maszynowego, bardzo często korzystając z ręcznego i precyzyjnego przeliczania czasu trwania w taktach procesora konkretnych sekwencji instrukcji czy pętli.

            Osobiście znam osoby, które te luki potrafiłyby wykorzystać, tzn. potrafiłyby napisać odpowiedni kod, napisać odpowiedni skrypt w języku wyższego poziomu, zainfekować jakąś znaną stronkę czy mniej znaną, wykraść dowolną ilość danych RAW z CPU z jakichś randomowych kompów, przeanalizować te dane i zrobić potem kolejne kroki, ale z drugiej strony wie

            Skomentuj

          14. DaviM
            Oceń komentarz:

            -1    

            Opublikowano: 2019-05-17 10:30

            (ucięło)
            ...ale z drugiej strony wiem, że tego na 99% nigdy nie zrobią nawet dla zabawy, i nawet bym za nich poręczył.

            Skomentuj

          15. kitamo
            Oceń komentarz:

            -1    

            Opublikowano: 2019-05-17 15:35

            @Davim tak się składa ze również pisałem w kodzie maszynowym od czasów 8bitowych komputerów wiec nie musisz mi tego pisać ;)
            Kiedys była to jedyna możliwość by odwołać się szybko o bezpośrednio do rejestrow maszyny by wyswietlic na ekranie np. więcej sprajtów niż maszyna pozwalała.

            nie zmienia to faktu ze nawet jak bys był najlepszym specem od kodu maszynowego to nie znaczy ze będziesz potrafil skorzystać z tych luk.
            Tak samo jak najlepszy budowlaniec niekoniecznie musi znac sie na architekturze a najlepszy ślusarz nie musi być kasiarzem.

            Mimo ze znam się wystarczająco na programowaniu to dziś jak mialbym kogos w necie oskubać to bym skorzystal z socjale engineering bo jest to prostsze.

            Skomentuj

          16. kitamo
            Oceń komentarz:

            -2    

            Opublikowano: 2019-05-16 11:02

            @setnik troche fantazjujesz.
            Nie nie wystarczy mały skrypt i dane lecą ciurkiem.
            nie pofatygowales sie nawet by poczytac jak to sie odbywa a juz piszesz.

            To tak jak ludzie przychodzą do mnie naprawic komputer i placąc 100zl myslą że ktoś robi klik klik i po 2 minutach działa. "a informatyk to powiedział że to prościzna i 5 min roboty"

            Skomentuj

          17. Rafs0n
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-16 11:58

            Po części wiem co masz na myśli bo w większości naprawienie to nie jest "a spokojnie naprawimy to Panu w paręnaście minut" Czasem owszem przychodzi taki że komputer nie działa/coś w systemie nie działa a okazuje się że coś grzebał i się nie przyznał i naprawienie trwa w od paru minut do połowy godziny. I jak ktoś przychodzi faktycznie z trudną sprawą to zazwyczaj po dobrej czasochłonnej diagnozie idzie pytanie czy ktoś idzie/chce pakować się w koszty. A i tak zalecenia które się mówi większość osób/klientów olewa to co jest smutne.

            Skomentuj

      3. miedzianek
        Oceń komentarz:

        0    

        Opublikowano: 2019-05-17 16:47

        Matko, co za istota nieinteligentna...

        Widzisz różnicę między zostawieniem drzwi otwartych na oścież i wywieszeniem kartki 'zostawiłem otwarty dom, bierzcie co chcecie' a stosowaniem zwykłej wkładki w zamku w zwykłych drzwiach a nie antywłamaniowych?

        Nikt nie będzie celował w zwykłych szaraczków, jak można w ten sposób zaatakować kogoś z banku i wykraść miliardy...

        Jeśli ktoś chciałby mnie okraść dzięki mojemu komputerowi, myślę, że nie robiło by mu różnicy, czy mam proc Intela z luką-jeśli ma wiedzę pozwalającą mu użyć tej luki to równie dobrze będzie próbował prostszych i szybszych metod ;)

        No ale tak tak, luka jest groźna, więc kasuj swoje gołe zdjęcia z kompa, inaczej śmiech będzie z kikutka

        Skomentuj

        1. kitamo
          Oceń komentarz:

          0    

          Opublikowano: 2019-05-17 20:27

          najczęściej to nie trzeba luk żeby wykradać dane bo ludzie sami są luką która zawsze sie wykorzystuje.
          Takie skomplikowane luki hardwarowe to do wykorzystania w firmach gdzie istnieje polityka bezpieczeństwa choć i tutaj czasami latwiej jest skorzystać z pomoc ludzi.

          Skomentuj

  11. Zef1r
    Oceń komentarz:

    -4    

    Opublikowano: 2019-05-15 15:52

    No to teraz ludzie przesiądą się na procesory AMD. A za 2-3 lata będzie wysyp artykułów typu - odkryto nowe luki, tym razem z powodu marnego zainteresowania procesorami Intel na procesorach marki AMD. Zagrożone są szczególnie procesory AMD sprzed 2021 roku xD

    Skomentuj

    1. marianb
      Oceń komentarz:

      0    

      Opublikowano: 2019-05-15 20:43

      Już ja to widzę jak się przesiadam na AMD. XD

      Skomentuj

  12. DaviM
    Oceń komentarz:

    15    

    Opublikowano: 2019-05-15 15:57

    Intel jak zwykle śmieszny jest.

    Jak reklamują od lat HT, to podają, że nawet 50% i więcej można zyskać dzięki włączeniu HT. W testach rzeczywistych nawet w grach często faktycznie jest zysk na poziomie 20-30%, a w aplikacjach nawet znacznie więcej.

    A jak trzeba wyłączyć HT (jak teraz, co zresztą już od wielu miesięcy było zalecane na prockach Intela), to Intel twierdzi, że strata jest tylko maksymalnie 9%, a z reguły 1-2%, a czasami można nawet zyskać.

    "Kupujcie nasze procki z HT. Zyskacie nawet 50% wydajności"
    "Musicie wyłączyć HT dla bezpieczeństwa. Spadek wydajności będzie niewielki bo średnio 2%"

    Czyli to takie perpetum mobile w wersji ultra: włączasz HT, zyskujesz 50%, po czym wyłączasz HT, tracisz 2% ale na szczęście wciąż jesteś 48% do przodu!!!

    Skomentuj

    1. kitamo
      Oceń komentarz:

      -4    

      Opublikowano: 2019-05-16 10:58

      HT przyspiesza działania w 40-50% a funkcjonowanie tego co piszesz składa się z wielu działań a więc logiczne ze wypadkowa jest zupelnie inna.
      Dla prosteo przykładu - wlacz superpi i zobacz jak działa z HT i bez HT.

      Skomentuj

  13. Alcedo1
    Oceń komentarz:

    4    

    Opublikowano: 2019-05-15 21:06

    Coś w komentarzach nie widać Kitamo (prezesa obrońców intela na benchmarku). Brakuje mi Twojego tekstu że te luki dla zwykłego użytkownika nie są zagrożeniem !

    Skomentuj

    1. człowiek-taboret
      Oceń komentarz:

      -5    

      Opublikowano: 2019-05-16 09:39

      Wyręczę kitamo i ci odpowiem.

      A są zagrożeniem? Kiedy podano do wiadomości publicznej informacje o tych lukach? A kiedy wyszły łatki? I co w tym czasie, (zakładając, że hakerzy to są idioci i czekają na innych, żeby im powiedzieli jakie są luki), ile przypadków zanotowano, czytałeś o jakiejś ofierze luki w procesorze intela?

      Skomentuj

      1. Alcedo1
        Oceń komentarz:

        0    

        Opublikowano: 2019-05-16 15:54

        Nazwa taboret w nicku jak widać zobowiązuje. Zastanów się czy intel by pozwolił na opublikowanie informacji, że konkretne zdarzenie hakerskie jest wynikiem dziur w architekturze jego procesorów !

        Skomentuj

        1. człowiek-taboret
          Oceń komentarz:

          -4    

          Opublikowano: 2019-05-16 16:50

          A co Intel ma do tego? Jak ktoś by potrafił to udowodnić to myślisz, że by nie pozwał Intela na grube miliony odszkodowania? Szczególnie, że luki są jawnie opisane, to tym bardziej Intel nie miałby szans się bronić. Mam wrażenie, że tu wszyscy myślą, że taki Intel ma taki worek bez dna z pieniędzmi i każdego nimi zasypuje. Jakby tak mieli opłacać wszystkich z taką częstotliwością jak tu insynuujesz to by już dawno poszli z torbami, zasypani żądaniami od wyłudzaczy.

          Skomentuj

          1. kitamo
            Oceń komentarz:

            -4    

            Opublikowano: 2019-05-16 19:32

            @człowiek-taboret to nawet nie jest tak że to kwestia błędów w architekturze.
            Przy projektowaniu architektury jaka by to nie była trudno jest uniknąć sytuacji gdzie ktoś za rok czy dwa wykorzysta jej mechanikę by stworzyć lukę.

            Ludzie na ogół utożsamiają słowo luka z tym ze ktoś popełnił błąd w architekturze i tym błędem jest luka.

            Takich luk jest cała masa a my dowiadujemy się tylko o tych nielicznych.

            Czemu akurat intel jest na widelcu? odpowiedz jest prosta - kto by tracił nakłady czasu na badaniu procesorów które stanowią 10% zasobów rynkowych (tak, mowa o AMD).

            Ludzie panikują i już robią w pieluchę - po spectre i meltdown jakos nie ma problemów z kradzieżami danych zwykłych kowalskich.
            Jakby jakiś haker potrafił użyć takiej luki i by mu się to bez problemu udało to prawie jakby trafił 6 w totka.

            najwięcej okrada się ludzi za pośrednictwem social engineering bo jest to najskuteczniejsza metoda.

            Zaawansowane luki dotyczą firm itp.

            Zobaczcie ile luk jest w oprogramowaniu - ile to baz danych oskubali hakerzy nawet na naszym rodzimym podwórku.

            Skomentuj

          2. człowiek-taboret
            Oceń komentarz:

            -4    

            Opublikowano: 2019-05-16 20:33

            Mi tego nie musisz tłumaczyć. Ja tu mam bekę z tych co tak biadolą. Wszystkie luki to backdoory... AMD jest bezpieczne... wystarczą jakieś magiczne małe skrypty żeby wyciągać dane bankowe... No taki ciemnogród, że nic tylko bekę kręcić. Nie dalej jak wczoraj słyszałem rozmowę dwóch "ekspertów" od sprzętu komputerowego, jeden drugiemu usilnie tłumaczył swoje racje, a obaj byli w błędzie. A jak już nie umieli tego sobie lepiej wytłumaczyć to jeden z drugim powoływali się na swoich guru. Bo ten to przeczytał w tym, a tamten to usłyszał od tego. I co z tego skoro żaden z nich nie zrozumiał tematu. I to samo jest tutaj na benchmarku. Tylko parę osób ma tu łeb na karku i piszą w temacie. Ja się tam może super na wszystkim nie znam, ale jestem programistą po studiach i coś tam wiem. A nie tylko taki co czytuje jeden czy drugi portal branżowy, kawałka kodu nie widział na oczy, a gada o pisaniu skryptów w JS do wyciągania danych kont bankowych z bufora procesora. Witki opadają... ale przynajmniej bekę mam i śpię spokojnie, bo widząc takie tłumoki nie muszę się bać o konkurencję na rynku pracy.

            Skomentuj

        2. kitamo
          Oceń komentarz:

          -4    

          Opublikowano: 2019-05-16 19:25

          te luki dla zwykłego użytkownika nie mają znaczenia.

          Sens wykorzystywania tak skomplikowanych mechanizmów jest tylko tam gdzie warto się dostać.
          Klasycznych kowalskich robi się w bambuko za pomocą social engineering.

          Skomentuj

          1. Alcedo1
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-16 21:24

            Czego innego można się po Tobie spodziewać ! Luki wytłumaczyłeś na swój sposób, to teraz wytłumacz dlaczego intel chciał przekupić kasą, by nie wypłynęły informacje o lukach.

            Skomentuj

          2. kitamo
            Oceń komentarz:

            -2    

            Opublikowano: 2019-05-17 00:15

            a to trzeba byc idiota by tego nie rozumiec - logiczne że nie chca żeby było głosno. Po to zrobili tez bounty hunt. Przecież tak samo robi facebook i google - dla ludzi ktorzy znajdą luki sa nagrody pieniężne.
            Jednym z powodów jest PR firm rzecz jasna, drugim mozliwe straty jesli ktos wypruje info o lukach czy exploitach w oprogramowaniu do wiadomosci publicznej. Wtedy producent sprżetu czy tez usługi moze nie zdążyć zareagowac odpowiednio szybko.
            Działą to także na niekorzysc samych użytkowników.

            Ty masz relacje z jednej strony - jakoby intel dawał im kase i morda w kubeł. Nikt nie wie jak to wygladało naprawde. Wiadomo ze nie przyłączyli się tylko do bounty hunterow.


            I nikt tu nie mówi ze intel nie robi tego dla siebie - jasne że robi. AMD też by płaciło jak każda inna logicznie mysląca firma.

            Skomentuj

          3. DaviM
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-17 11:00

            @kitamo, nie rozumiesz (albo nie chcesz zrozumieć, albo po prostu nie znasz sprawy) co się wydarzyło w przypadku tych konkretnych luk. Więc Ci napiszę:

            - naukowcy z uczelni w Amsterdamie otrzymali od Intela 100 tys. $$ za wykrycie większości tych luk i zobowiązali się nie informować nikogo o lukach przez 3 miesiące,
            - Intel natomiast zobowiązał się do opracowania rozwiązania w ciągu 3 miesięcy i poinformowania Google, Mozilli, Microsoft, itd.

            Do tego momentu jest wszystko w miarę normalnie (o ile taką ilość kolejnych dziur we wszystkich prockach Intela, nawet najnowszych 8. i 9. gen, uznamy za coś normalnego). Potem nastąpiły takie zdarzenia:

            - Intel po 3 miesiącach nic-nierobienia, bo np. nie powiadomił w ogóle Google, Mozilli, Microsoft, do czego się zobowiązał, poprosił o kolejne 6 miesięcy czasu dla siebie (jest oczywiste dlaczego) i aby naukowcy nie publikowali informacji o lukach mimo, że 3-miesięczny okres minął;
            - naukowcy odrzucili propozycję;
            - Intel zaproponował im więc kolejne 40 tys. $$ za nie ujawnianie informacji i przesunięcie terminu ich wyjawienia o kolejne 6 miesięcy;
            - naukowcy odrzucili propozycję;
            - Intel zwiększył łapówkę do 80 tys. $$;
            - naukowcy ponownie odrzucili "propozycję";
            - ponieważ minął okres 3 miesięcy naukowcy ogłaszają informację o lukach, i "zmuszony" Intel również.


            Nie wiem jaki masz cel w ciągłym bronieniu Intela (większość powie że jesteś związany jakoś z Intelem, czy po prostu że jesteś klakierem - ja tego nie zrobię). Nie interesuje mnie to w ogóle i nic do Ciebie nie mam. Broń go dalej jeśli to dla Ciebie takie ważne i taką masz misję.

            Skomentuj

          4. kitamo
            Oceń komentarz:

            0    

            Opublikowano: 2019-05-17 15:26

            Tu nie chodzi o ciągłe bronienie intela - chyba nie przeczytales uważnie tego co wyżej napisałem.
            napisałem wyraźnie wcześniej ze nie wiemy dokładnie jak było i jak jest. Ty wiesz tyle ile ktoś przedstawił i to z jednej strony.
            Jak na razie to wygląda tak ze w ogole odmówili wzięcia udziału w programie bounty hunt bo intel nie jest wobec nich niczym wtedy zobowiązany.
            Pytanie brzmiało raczej "dlaczego intel chciał ich przekupić kasą"
            no i odpowiedz masz wyżej napisaną i nie ma tam zadnego bronienia tylko są to fakty - intel dązyl by tego nie upublicznili i jest kilka powodów ku temu, miedzy innymi PR oraz problemy z upubliczeniem luk.
            To kiedy intel zamierzałto zrobić to już inna kwestia bo tego tez nikt nie wie i nikt nie wie dlaczego tyle czasu to trwa i jakie były zasady.

            Ja nikogo nie bronie tylko stwierdzam fakt - dlaczego intel dawał kase? bo nie chciał by ktoś to po prostu upublicznił. Proste. Kazda firma której zależy na PR tak by zrobila i robi. My nie wiemy zapewne o 90% takich luk.

            Skomentuj

  14. Ciekawski_
    Oceń komentarz:

    6    

    Opublikowano: 2019-05-15 21:55

    Zalecają wyłączenie HT? Cyli ktoś kupił i7 a dostał bezpieczną funkcjonalność i5? Moim zdanie powinny posypać się zbiorowe pozwy o odszkodowanie!
    Ponadto kolejne -3% IPC. Wkrótce AMD nie będzie potrzebować ZEN 2 żeby wyprzedzić Intela w kategorii jednego wątku.
    Bez HT intel już totalnie nie jest konkurencja dla obecnych Ryzenów pod względem wydajności wielowątkowej.
    ZEN 2 zmasakruje Intela do reszty... Aż się wierzyć nie chce!

    Skomentuj

    1. Rafs0n
      Oceń komentarz:

      1    

      Opublikowano: 2019-05-16 10:21

      Nie żeby coś ale przydało by się to sprawdzić pod względem "gry" ale pod względem "pracy" to AMD już wcześniej było lepsze ze względu na większą wielo-zadaniowość. Mam CPU od obu producentów.

      Skomentuj

    2. kitamo
      Oceń komentarz:

      -4    

      Opublikowano: 2019-05-16 11:16

      Tu chodzi o wylaczenie HT do czasu wprowadzenia poprawek a nie forever. Czytajcie uważnie.

      Skomentuj

      1. Rafs0n
        Oceń komentarz:

        1    

        Opublikowano: 2019-05-16 11:50

        Ja pisałem o czystej wydajności bazując nawet na podstawowych czynnościach a jako że nie zależy mi specjalnie na jakieś wielkiej ilości FPS to całkowicie przerzuciłem się na jeden komputer a drugi służy jako dodatkowy a różnica cena/wydajność jak komuś mocno nie zależy (do gier) jest spora. Owszem czekam na premierę Zen2 ale czy specjalnie będę zmieniał swojego 2600 to nie jestem pewny pewnie to zrobię jak jeszcze potanieją po premierze i ogólnie pokażą tą super wydajność o której dużo się mówi ;) Nie mam oczekiwań także się nie rozczaruje jak ktoś zna pewne przysłowie, które po części sobie użyłem.

        Skomentuj

  15. marcadir
    Oceń komentarz:

    1    

    Opublikowano: 2019-05-16 08:35

    Intel powinien Pawłowi Maziarzowi i innym testerom sypnąć kasą za przeprowadzenie ponownych rzetelnych testów z zainstalowanymi poprawkami... we wcześniejszych publikowanych testach należałoby podać informację przy Intelu, że testy przeprowadzono bez łatek bezpieczeństwa ***** i tutaj wylistować je :-)

    Skomentuj

  16. Eternal1
    Oceń komentarz:

    2    

    Opublikowano: 2019-05-16 09:43

    A tymczasem intel znów próbował przekupić ludzi aby siedzieli cicho i nie mówili na głos o nowych zagrożeniach.

    https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-university-to-suppress-knowledge-of-mds-vulnerability

    Skomentuj

    1. setnik
      Oceń komentarz:

      0    

      Opublikowano: 2019-05-16 10:27

      Było już poruszone w poprzednim moim linku do tekstu źródłowego :)
      Oni dopiero o tym dziś piszą :)

      Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!