Názory k článku
Zranitelnost procesorů Apple SLAP a FLOP

Tyhle aféry každého jenom otravují. Já bych všechny ty výzkumníky s postranním kanálem zakázala. :)

Vyhodíte je dveřma a vlezou postranním kanálem.

30. 1. 2025, 15:57 editováno autorem komentáře

Ďakujem za spríjemnenie dnešného rána :-)

když mi pes kouše do toho, co nechci, tak mu dám jeho hračku, ať kouše jí. Myslím, že potřebujeme postranní SW, který by výzkumnící s postranními úmysly mohli zkoumat na postranní kanály.

Mě by spíš zajímalo, jestli v praxi existuje opravdový útok, který takovéhle zranitelnosti skutečně využívá (ne jenom v nějakém labu a "na papíře"). Mě to totiž pořád přijde, že to je pořád spíš velmi teoretické a poměr cena výsledek bude dost mizerná, čímž to nechci zlehčovat.

když už je ta zranitelnost známá, je otázka času, než to někdo implementuje do nástrojů, které prodává na černém trhu.

Nespoléhal bych na to, že to stejně nikdo nevyužije.

Tím si právě nejsem jistý. Existuje jediný potvrzený případ, kdy byl reálně k útoku použitý Meltdown nebo Spectre? Nebo že jsou součástí nějakého nástroje pro script kiddies? Pokud vím, tak to byl děsný opruz, takže se to v praxi neuplatnilo. A to byly ve své době zranitelné skoro všechny počítače a mitigace vyžadovaly nový bios.

Jasně, ona tady je zdokumentovaná zranitelnost s ukázkovým příkladem a nikdo to nikdy nezneužije? Přece na tohle nepotřebuješ žádný důkaz.

Pokud zranitelnost existuje, máš je opravit a ne tvrdit, že se nepoužívá. Ono to totiž není jak s kamerovým systémem, kdy něco zpětně dokážeš dokázat, tady kolikrát nemáš nic v ruce.

Kde konkrétně je nějaká ukázka smysluplného využití této zranitelnosti?

Na Meltdown a Spectre take existovaly proof of concept ukazky vcetne dostupneho zdrojoveho kodu. A nic. Protoze kdyz to clovek zacal zkoumat, tak zjistil, ze to zafunguje jen pri konjunkci Uranu, Saturnu a Pluta, Merkur musi byt v retrogradnim pohybu, vitr foukat od jihozapadu a o lasce musi septat tichy mech. Jinak receno - jen v laboratornich podminkach.

Nerikam, ze se to nema zaplatovat. Pro paranoiky. Pro nas rebely tady je kernel boot parametr mitigations=off ;-)

Ale na to jsem se neptal. Mě jde o to zda skutečně existuje útok, co to opravdu využívá. Já bych to taky nepodceňoval, ale zajímá mě zda to někdo opravdu použil. Protože i když je spousta strojů záplatovaných, tak jich jistě bude i spousta nezáplatovaných. Já mám totiž pocit, že se to v praxi moc použít nedá a aby to bylo využitelné by bylo potřeba velké úsilí a muselo by se sejít hodně proměnných. Spíš to je teoretický útok, který v praxi moc využít nepůjde, ale rozhodně bych si netroufnul provozovat stroj bez záplat.

Mě jde o to zda skutečně existuje útok, co to opravdu využívá.

Ne, ale zato to po "záplatování" snížilo výkon procesorů nejmíň o polovinu. No, a to se Intelu vyplatí.

Tak k otazce bych se pripojil.
Kdysi na zacatku kolem Spectre se vedla diskuse, kdy nejaky vyzkumnik predvedl praktickou extrakci privatniho klice pres javascript browseru. Od te doby se dost veci zmenilo (jedna z mitigaci tehdy tusim byla prave v JS enginu pridani nepresnosti do zjisteni casu, proti tomu prislo zprumerovani casovani vic pokusu a pak jsem hru na kocku a mys prestal sledovat kdyz se utok zacal stavat narocnym), takze rozdil mezi demonstracnim exploitem, a exploitem v realistickem scenari muze byt dost velky.

Specificky by bylo zajimave popis realistickeho utoku na bezne domaci/herni PC, kde jsou "citlive" sluzby (banking, nebo i steam login) pristupne pres 2-FA (a pripadna ukradena session neprojde po zmene IP, nebo ma typicky kratsi trvani, nez je potrebna doba na utok na vytazeni z pameti browserem, kde bezi utocnikuv kod), a u ostatnich to uzivatele prilis netrapi. Ktery je levnejsi, nez nakup 0-day explotu na browser (cimz ziska utocnik i ovladani), kompromitace nejakeho steamu/jedne ze stovek her tam apod.

31. 1. 2025, 18:51 editováno autorem komentáře

Dnes se nedrží už heslo, ale jak píšete, jen nějaký klíč, který jde revokovat a po záplatě získat nový. To řešení v prohlížečích bylo rychlá záplata, než se vymyslí lepší. Primární útok byl totiž z webových stránek - nainstalované aplikace si má uživatel nebo firma hlídat tak jako tak. Časem koukám vznikly "kontexty", kdy v bezpečných opět dovolí high precission timer v JS a mimo bezpečné nadále nějaký s redukovanou přesností:
https://developer.mozilla.org/en-US/docs/Web/API/Performance_API/High_precision_timing#reduced_precision

Je to o pomeru nakladu a vynosu, typicky najdes ne jeden, ale eon jinych zpusobu jak se k necemu dostat, takze ano, tohle je prevazne cira teorie. Ostatne to plati pro uplne vsechny "CPU" bugy.

Nejhorsi na tom je, ze za ty "opravy" platis i vykonem svyho domaciho PC a rozhodne ne malo, klidne 30+%. Takova tragedie ... kdyz si aplikace ... muze z CPU cache po par hodinach vycist nejakej klic ... kterej je v ramce nebo na disku k precteni instantne zejo ...

Napriklad (widle) ... https://github.com/gentilkiwi/mimikatz