V čipoch, ktoré poháňajú väčšinu počítačov a notebookov vyrobených za posledných desať rokov, bola odhalená hlavná chyba.
zraniteľnosť, s názvom „Foreshadow“ , výskumníci zistili, že je súčasťou počítačových procesorov vyrábaných spoločnosťou Intel od roku 2008.
Bezpečnostní experti varujú, že chyba nemusí ovplyvniť len väčšinu počítačov, ktoré používame, ale teoreticky by umožnila hackerom prístup k súborom na našom pevnom disku.
Tiež varujú, že bezpečnostná diera by mohla umožniť kybernetickým podvodníkom kompromitovať súbory uložené v cloude.
Procesory Intel sú zatiaľ prítomné v MacBookoch a iMacoch
Foreshadow, ktorý prispieva k hroznému roku pre amerického výrobcu čipov, je treťou hlavnou chybou, ktorá bola tento rok objavená vo vnútri procesorov firmy, popri „Spektre“ a „Zrútenie“ , ktoré boli odkryté v januári.
Chyba bola objavili výskumníci na University of Michigan spolu s belgickou výskumnou skupinou imec-Distrinet, Technion Israel Institute of Technology, University of Adelaide a austrálskou spoločnosťou Data61.
Výskumné tímy skutočne identifikovali chybu už v januári, v rovnakom čase, keď sa dve ďalšie chyby dostali na titulky, čo informovalo Intel dostatočne dlho predtým, ako bola zverejnená.
To poskytlo spoločnosti Intel čas na preskúmanie tejto zraniteľnosti a viedlo spoločnosť k odhaleniu jej širšieho potenciálu – že bezpečnostná diera by mohla ovplyvniť poskytovateľov cloud computingu, ako sú Amazon a Microsoft, ktorí používajú na vytváranie tisícok virtuálnych počítačov na jednom veľkom serveri.
Reklama bola čoraz čudnejšia (Obrázok: RF Culture)
Čo je SGX a ako funguje Foreshadow
Zraniteľnosť Foreshadow je chyba zistená v technológii Intel Software Guard Extensions - alebo SGX.
SGX je inštrukčný kód v centrálnej procesorovej jednotke (CPU) počítača, ktorý vytvára digitálny lockbox v procesore nazývanom „zabezpečená enkláva“. To má udržať dáta a aplikácie vo vnútri izolované od zvyšku počítača, aby bol bezpečnejší, takže aj keď bezpečnostná chyba ohrozí celý počítač, dáta chránené SGX zostanú nedostupné pre každého okrem vlastníka. údajov.
Je iróniou, že bezpečnostná diera, ktorú našli výskumníci v nástroji SGX v procesoroch Intel, by mohla umožniť opak.
Teoreticky by to mohlo umožniť prístup k počítaču obete pomocou niečoho, čo je známe ako útok bočným kanálom. Tieto útoky odvodzujú informácie o vnútornom fungovaní systému hľadaním vzorcov v niečo, čo sa javí ako nevinné informácie, napríklad ako dlho trvá procesoru, kým sa dostane do pamäte stroja.
Útok potom zmätie procesor systému tým, že využije funkciu nazývanú špekulatívne vykonávanie. Špekulatívne vykonávanie, ktoré sa používa vo všetkých moderných procesoroch, urýchľuje spracovanie tým, že umožňuje procesoru v podstate uhádnuť, čo bude požiadané, aby urobil ďalej, a podľa toho naplánovať.
Útok prináša nepravdivé informácie, ktoré vedú špekulatívne popravy k sérii nesprávnych odhadov. Procesor sa beznádejne stratí, podobne ako vodič po chybnom GPS. Tento zmätok sa potom zneužije na to, aby obeťovým strojom unikli citlivé informácie. V niektorých prípadoch môže dokonca zmeniť informácie na zariadení obetí, uviedli univerzitní vedci.
Je Foreshadow nebezpečný?
Ben Levine, vrchný riaditeľ produktového manažmentu bezpečnostnej firmy Rambus varuje, že riziká, ktoré predstavuje Foreshadow, môžu dokonca prevážiť riziká Meltdown a Spectre kvôli povahe bezpečnostnej diery.
„Rovnako ako v prípade Spectre, Foreshadow používa špekulatívne vykonávanie, aby umožnilo škodlivým virtuálnym strojom čítať súkromné údaje a informácie iných virtuálnych strojov,“ povedal Levine.
„Avšak Foreshadow je efektívny, aj keď sa používa bezpečnostná technológia ako SGX.
„Zraniteľnosť miestnych informácií, ako je táto, jasne demonštruje potrebu novej generácie zariadení, ktoré vykonávajú citlivé bezpečnostné funkcie v zabezpečenom jadre, ktoré je fyzicky oddelené od primárneho CPU a ktoré nemožno zneužiť prostredníctvom týchto druhov zraniteľností.“
Chráňte sa pred Foreshadow
Odkedy bola chyba zverejnená, Intel pracoval na vydávaní aktualizácií softvéru na ochranu pred útokom.
Na individuálnej úrovni budú všetci majitelia počítačov Intel vyrobených od roku 2016 potrebovať aktualizáciu svojich systémov, aby ich ochránili pred potenciálnymi hackermi.
Poskytovatelia cloudu budú zrejme musieť nainštalovať aktualizácie, aby ochránili svoje počítače.
Niektoré z týchto aktualizácií sa nainštalujú automaticky, zatiaľ čo iné bude potrebné nainštalovať manuálne, v závislosti od toho, ako je počítač nakonfigurovaný, varovala University of Michigan.
„SGX, virtualizačné prostredia a ďalšie podobné technológie menia svet tým, že nám umožňujú využívať výpočtové zdroje novými spôsobmi a umiestňovať veľmi citlivé údaje do cloudu [ako] lekárske záznamy, kryptomeny, biometrické informácie, ako sú odtlačky prstov,“ povedal jeden z nich. z mnohých autorov štúdie, študent výskumu informatiky, Ofir Weisse.
'Sú to dôležité ciele, ale slabé miesta, ako je táto, ukazujú, aké dôležité je postupovať opatrne.'
Liverpool zápas dnes v televíziiNajčítanejšieNenechajte si ujsť
