Vlákno názorů k článku BranchScope je nový útok postranním kanálem na procesory Intel od Ondřej Novák - Pořád mi přijde že to je umělé nafouknutá...
-
Pořád mi přijde že to je umělé nafouknutá bublina. Že cílem je pošpinit výrobce procesorů, a vůbec celý technologický vývoj v podobném duchu jako ty internety. Já bych to celé zakázal vždyť to každého otravuje. Pojďme se vrátit do devadesátých let, kdy tu vládli osmibity a začínali šestnáctibity. To byly přece krásné časy
Nechápete mě špatně. Já oceňuji že existuje výzkum kolem hackovaní pomocí vedlejších kanálu. Na druhou stranu všichni to háží na výrobce procesorů, aniž bych četl o nějakém výzkumu jak se tomu branit normální cestou tedy softwarově. Jako že obrana existuje. Nikdo ale neřeší jaké jsou realne požadavky na moderní běžné CPU. Copak někdo označil platformy x86 a x64 za security chipy? Jo kdyby se tyhle problémy děly na security chipu, tak chápu že to skandál je.
A jaké jsou možné sw ochrany? Třeba sandboxing. Pokud vím, spectre potřebuje aby mezi útočníkem a cílem existoval sdílený paměťový prostor. Tak ať tam není. Nebo další, oběť , pokud někde pracuje s tajnou informací, třeba s klíčem, nemá přece problém po provedeném výpočtu ať už úspěšně nebo neúspěšně zavolat flush cache, stejně jako to dělá útočník aby si připravil prostředí. Tím přece útok rozbije.
Pokud by neexistovala sw obrana, bral bych to jako vážnou věc. Třeba meltdown na intelech je na hraně. Ale jinak je to taková novinářská senzace, když jinak není o čem psat.
-
Peter FodrekZlatý podporovatel
spustie si tto video v clanku, potom pochoipite, co hovorite
x64 neexistuje, to si len tam Microsoft, a len on, znaci x86_64
flush cache po chybnej predikcci nejde urobit, lebo samotne chybne predpovedanie spomali na tu chvilu kod o 95%.a k toimu flushcache pri chybnej predpovedi spomali kod cca. na 1/800-tinu..
>Pokud vím, spectre potřebuje aby mezi útočníkem a cílem existoval sdílený paměťový prostor. Tak ať tam není.
Nie je to pravda. To palti len pri utoku z procesu na kernel, pri utoku cez Spectre z proceu na proices to nie je potrebne a navbyse Ked tam nie je zdielana adresacia , tak je strata vykou v priemere 30% pocas prace nie len pocas tej kratke doby...
-
Znamená to ale že útočník umí přistoupit na paměťovou stránku obětí a změřit přístup a ten údaj musí být signifikantní. Pokud takovou možnost nemá, tak je v haji
Flush cache samozřejmě jen v opodstatnenych případech. Třeba v tom případě kdy se spekulativní exekuce používá při přístupu mimo rozsah poli. Při takovém přístupu flush nic nezpomali protože 99% kódu s tou podmínkou mít problém nebude, protože jsou legální. Útočník využije toho že nelegálně exekuuje kód a pak skončí na té podmínce a ... Pokud je tam flush tak je v haji
-
Peter FodrekZlatý podporovatel
>přistoupit na paměťovou stránku obětí
nemusi. staci ak na tu sytranku pristupi obaet vdaka zmanipulovanemu predisktoru od utocnika...
-
Právě že nemuze, to je celé to neštěstí téhle kauzy že je plná desinformaci. Jedná se o nový typ sidekanalu pomocí něhož je oběť prinucena svá data vyzradit utocnikovi. Celkem logicky, pokud nelze oběd k něčemu přinutit, tak je útok nemožný. Stejně tak pokud oběť je na tento typ útoku připravena, protože nástroje na eliminaci tohoto side kanálu jsou.
Side kanálů známe spoustu. Věděl jste že existuje způsob jak zjistit tajnou informací v aplikaci tak, že prostě na různé vstupni data bude aplikace různou dobu reagovat? . Některé instrukce v cpu trvají jiný počet taktů než jiné a toho lze využít jako side kanál! Skandál! Nesmysl
Zakeřnost tohoto sidekanalu je, že s ním nikdo doposud nepočítal. Takže mnoho kritických aplikaci jsou najednou zranitelné. Ale běžných věci se to netýká. Tam kde to ekonomicky nemá smysl, tam se útoky objevovat nebudou. Je snazší na počítač uživatele nainstalovat mallware než se pokoušet o spectre. Tam kde to kritické je, tam bude nutné zranitelnosti opravit.
Dost možná se časem objeví způsob jak tento konkrétní sidekanal eliminovat přímo v cpu (třeba že cpu začne zahazovat stránky z cache které načetl během spekulativní exekuce která se pak nepoužila. Jiné sidekanaly eliminovat nejde tak jednoduše.
Side kanály jsou a budou na každodenním pořádku, žádný skandál se nekoná. Je nesmysl zahazovat technologií která dostala výkon moderních cpu na dnešní úroveň. Cache a spekulativní exekuce jsou rysem a ne chybou.
-
B2 (neregistrovaný)
"je oběť prinucena svá data vyzradit utocnikovi"
Ne, procesor je nucen dělat něco co by dělat neměl. Cíl může jen přihlížet."Celkem logicky, pokud nelze oběd k něčemu přinutit, tak je útok nemožný"
Mno, to je celkém logické, ale procesor přinut lze, takže útok je možný."Některé instrukce v cpu trvají jiný počet taktů než jiné a toho lze využít jako side kanál! Skandál! Nesmysl"
Meh?" Ale běžných věci se to netýká."
A čo si prestavujetě pod pojmom bežná vec, Kefalín. Klíč k HTTPS do bankovnictví nebo zabezpečený kanál k updatům systému, klíč k passwordmanageru, přístupy k e-mailu? Pochopitelně nikoho nezajímá co máte za tapetu na desktopu, ale jsou i zajímavější data."Dost možná se časem objeví způsob jak tento konkrétní sidekanal eliminovat přímo v cpu"
Ale Mlho, o tom tam sami píšou."Je nesmysl zahazovat technologií která dostala výkon moderních cpu na dnešní úroveň."
Meh?
On někdo zahodil spekulativní vykonávání kódu?"spekulativní exekuce jsou rysem a ne chybou"
Sorry jako. Co je tohle za argument? Chybou jsou logické lapsy ve spekulativním provádění kódu. Stejně jako jsou problém díry ve Flashi - nelze říci Flash je běhové prostředí, klidně pro trojana, není to tedy chyba. -
technik007cz (neregistrovaný)
Zalezi na tom jestli bereme vec popsanou v tomto clanku za zavadu anebo vlastnost.
Pokud se jedna o prvni pripad, tak at si to vyrobce opravi.
Pokud je to vlastnost, tak u kritickych operacich operaci v programu se teto vlastnosti prizpusobim a musim uzpusobit program napr. provadenim krycich operacich zanechavajici falesne stopy. -
Peter FodrekZlatý podporovatel
To prave nie je pravda, CPU vykonava program, aky chce vykonavat sam a porovnava ho s tym, co chce od neho program, a chyba nmastava, ked program chce nieco ine ako CPU
-
Peter FodrekZlatý podporovatel
>Některé instrukce v cpu trvají jiný počet taktů než jiné a toho lze využít jako side kanál!
v cistom RISCu nie. len CISC a "hybride RISC/CISC"
-
Sten (neregistrovaný)
I v čistém RISCu, prostě protože to ALU trvá různě dlouho spočítat, nemá to nic společného s délkou instrukce. Třeba v procesorech SiFive (RISC-V, tedy čistý RISC) trvá dělení 3 až 34 cyklů, podle toho, jak velký dělenec dělí jak velkým dělitelem, násobení je 2 cykly a sčítání 1.
-
madloki (neregistrovaný)
No, brzdete trochu.
Z pohledu ceny a obchodu:
Pokud procesor obsahuje vlastnosti, o nichz se nevi, tezko se branit v kodu. Pokud jsou tam proto, aby se zvedl vykon, tak prodavat to s cenou za udavany vykon s tim, ze na sve strane musite provest software opatreni, ktera ale ten vykon zasadne degraduji, znamena toliko klamat spotrebitele.
Treba MS Azure nebo AWS to mohou brutalne pocitit v cene sluzby, v jejich pripade to ale vubec neni tragedie, protoze ten cenovy problem proste obratem presunou na uzivatele. Horsi, pokud si necim takovym vybavite serverovnu a kalkulujete s cenou sluzby ve svych nakladech.
A ted z pohledu bezpecnosti.
Mame tady koncoveho uzivatele, ten je temer ze 100% na Intelu. Co se tyce serveru, opet to Intel dost valcuje, co se Oracle zbavuje hw (Sun microsystems), je tech alternativ pro vykonne servery cim dal tim mene.
U serveru navic bezi hromady logickych serveru na jednom hw, v pripade cloudu dokonce i servery vicero zakazniku na stejnem hw.
Nejake sifrovani v okamziku, kdy mohu krast sifrovaci klice, ztraci i to posledni kouzlo ochrany behem prenosu (kdyz uz pro prokazani identity je nepouzitelne).
V tu chvili to bud vsechno vypnete, nebo prohlasite za verejnou nastenku kterou muze cist kdykoliv kdokoli
a odkudkoliv.Pak ale na toto MUSITE upozornit uzivatele. Pokud tedy zverejnite zranitelnost tohoto typu, nutite vyrobce a provozovatele s tim neco delat, a davate ferovou informaci uzivateli, aby se mohl rozhodnout, co sveri pocitaci a co uz ne.
-
Souhlasím s tím že informovat je na místě. Nesouhlasím s tím, že je to chyba výrobce. Je to jako s ručením za neprolomitelnost šifry. To nejde. Je to nový "vynález" který nikdo doteď neznal. Spousta aplikaci je najednou zranitelná včetně všech vydaných kernelu od Windows přes Linux po Windows. Obrana proti tomu je, akorát není až tak jednoduché ji všude nasadit. Asi jako nasadit browser který řeší nějaký zeroday exploit.
Další problém je všechny potencionální zranitelnosti najít a fixnout. Takže samozřejmě to bolí a půjde se hlavně šlapat na výrobce cpu ať s tím taky nějak pomuzou.
Asi největší škodu by způsobila politika pokud by šla cestou zákazu a regulaci jako v případě deaselu a norem na exhalace kde se ukázalo že už není kam jít a celý jeden obor lidstvo v zásadě hodí na smetiště protože úředník zakázal a regulovat
-
Karel (neregistrovaný)
Jojo, kdyby to výrobce bral vážně, tak okamžitě zakáže všem svým zákazníkům používat jejich procesory. Kdyby se k tomu takhle čelem postavili všichni výrobci, tak by to byl rázem na světě ráj.
Bez ironie: sebevětší zodpovědnost vás neposune ani o krok blíže k řešení. Tady se musí nejprve vymyslet nějaké řešení a to uvést do praxe. To budou roky výzkumu a vývoje. Tam není nějaká snadno opravitelná chyba, to je prostě fundamentálně špatně udělaná technologie. Prostě se nepočítalo s tím, že by nějaký postranní kanál dokázal sbírat informace. Přirovnat se to dá k bance: v trezoru prostě leží peníze jen tak, protože se za ochranu považuje ten trezor. Jenže jak se ukazuje, z trezoru se dají vyndavat věci i bez toho, že by do něj někdo vlezl. To je princip postranního kanálu - data jdou tahat tudy, kudy by jít neměly, peníze prochází kovovou stěnou trezoru. Veškeré úsilí, co výrobce trezoru investoval do bezpečnosti (zámek, tloušťka stěny, materiál stěny atd.), je rázem zbytečné, když se vám do trezoru dostane duch, který prochází i pevnou zdí.
Teď se holt musí buď zaměřit na postranní kanály (což by mohl být nekonečný boj), nebo dovnitř trezoru nasoukat ještě další úroveň zabezpečení a doufat, že se neobjeví záhy postranní kanál, který nejen že dokáže sáhnout do zamčeného trezoru, ale dokonce dokáže sáhnout i do zamčené schránky v tom trezoru. Z tohohle jde lidem hlava kolem a bude trvat roky, než se s tím něco udělá.
-
Sinuhet (neregistrovaný)
Zdá se vám, že Skylake není označen za security chip? Možná tak v datasheetu.
Má nejširší podporu DRM široko daleko. Jeden z mála HW, na kterém vám Netflix dovolí plnou kvalitu, protože vám znemožňuje ukrást zdrojová data z filmů. A to už snad něco znamená ne?
Zajímavým důsledkem Spectre, Meltdown a doufám že i dalších chyb je právě prolamování DRM ochran. Dog eat dog :)
