AMD:n prosessoreista löytyi vakava 'Sinkclose'-haavoittuvuus

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
22 620
amd-zen-architecture-logo-20170327.jpg


Kaotik kirjoitti uutisen/artikkelin:
AMD:n prosessoreista on löytynyt vakava haavoittuvuus. Ongelma koskee mahdollisesti jopa kaikkia yhtiön prosessoreita vuodesta 2006 lähtien.

Tietoturvayritys IOActiven tutkijat Enrique Nissim ja Krzysztof Okupski ovat löytäneet AMD:n prosessoreista vakavan Sinkcloseksi ristityn haavoittuvuuden. Haavoittuvuus on sikäli vakava, että sen avulla voitaisiin saada Ring 0 -tason pääsy SMM- eli System Management Mode -tilaan ja sen kautta asentaa jopa kiintolevyn formatoinnista ja käyttöjärjestelmän uudelleenasennuksesta selviäviä rootkit-tyyppisiä haittaohjelmia, eikä niitä voisi tiettävästi havaita ainakaan perinteisin antivirusohjelmistoin. Toisaalta haavoittuvuutta ei ole tiettävästi ikinä päästy hyödyntämään ja vaikka käyttäjällä olisi tietotaito sen hyödyntämiseen, vaatisi se hyökkääjältä ensin pääsyn käyttöjärjestelmän kerneliin jonkin toisen haavoittuvuuden avulla. AMD:n itse kerrotaan verranneen haavoittuvuutta murtautumiseen pankin tallelokeroihin - kunhan rosvo on ensin ohittanut kaikki muut hälyttimet, suojaukset ja päässyt sisään itse holviin.

Sinkclose koskee tutkijoiden mukaan kaikkia AMD:n prosessoreita vuodesta 2006 lähtien, mutta AMD:n tukisivuilla ei löydy mainintaa Ryzen tai Ryzen Threadripper 1000- ja 2000 -sarjojen prosessoreista. Toisaalta samaan arkkitehtuuriin perustuvat 1. sukupolven Epyc-prosessorit sekä Ryzen Embedded -puolen Zen- ja Zen+ -prosessorit on listauksessa mukana. Uusia Zen 5 -prosessoreita listauksesta ei löydy, joten niiden osalta bugi on oletettavasti jo korjattu ennen julkaisua.

AMD:n mukaan ongelma on jo korjattu BIOS-päivityksillä kaikilla kuluttaja-alustoille Ryzen 4000 -sarjasta lähtien. Korjaavat BIOS-päivitykset on julkaistu heinä-elokuun aikana. Ryzen 3000 -sarja on yhtiön mukaan ja ohjelmistotuen ulkopuolella eikä siten tule saamaan päivitystä. Myös datakeskuspuoli Epyceineen ja Instinct MI300A -APU-piireineen on saanut jo omat päivityksensä. Embedded-puolen prosessoreille päivitykset ollaan julkaisemassa lokakuun aikana.

Lähteet: Wired, AMD

Linkki alkuperäiseen juttuun
 
Joskus yli 10 vuotta sitten totesin: BIOS tai vastaava, tulee kirjotussuojata siten, että sinne ei voi tallentaa mitään tai muuttaa mitään. Kirjoitussuojan poiston tulee tapahtua mekaanisella napilla, joka vaikutttaa suoraan flashiin siten, että kun se on "protect", niin sitä ei toiseen tilaan saa ohjelmallisesti..

Vieläkö muutewn biokset lataavat windowkseen (netistä) (valmistajien) haitakkeita automaattisesti?
 
Voisin kuvitella, että aika moni 3000-sarjalaisen omaava on suhteellisen mad tässä kohtaa. Kuitenkin esim. 3600X-3900X on suhteellisen pätevä prosessori vieläkin ja tullut "vasta" 2019 vuonna. Kun taas 1 gen. epyc taisi 2017 tulla...

Kaippa tämä on AMD:n vastine niille Intelin 13/14gen sekoiluille "päivittäkää 5000-sarjaan" :asif: Eipä tuolle oikein mitään pätevää selitystä ole, kerta Epyc puoli saa päivityksen?
 
Voisin kuvitella, että aika moni 3000-sarjalaisen omaava on suhteellisen mad tässä kohtaa. Kuitenkin esim. 3600X-3900X on suhteellisen pätevä prosessori vieläkin ja tullut "vasta" 2019 vuonna. Kun taas 1 gen. epyc taisi 2017 tulla...

Kaippa tämä on AMD:n vastine niille Intelin 13/14gen sekoiluille "päivittäkää 5000-sarjaan" :asif: Eipä tuolle oikein mitään pätevää selitystä ole, kerta Epyc puoli saa päivityksen?
5 Vuotta sitten ja reikä on uutisen mukaan hyvin hankalasti hyödynnettävissä.. Miksi pitäisi olla kovin "mad?"
 
5 Vuotta sitten ja reikä on uutisen mukaan hyvin hankalasti hyödynnettävissä.. Miksi pitäisi olla kovin "mad?"
Koska Zen3 sen patchin saa ja käyttävät samaa kantaa, sekä samoja emolevyjä. Varsinkin kun vanhemmat epycit (Zen1 asti) sen saa, niin luulisi että ongelma olisi aika vähällä vaivalla korjattavissa. Kyselin ChatGPT:ltä (tiedän, hyvä lähde) muistin virkistämiseksi että miten pitkälle Intel patchasi Spectre ja Meltdownilta prossut:
Intel addressed Spectre and Meltdown vulnerabilities in processors going back to models released as early as 2011. The specific processors patched include:
  1. 6th Generation (Skylake): Released in 2015.
  2. 5th Generation (Broadwell): Released in 2014.
  3. 4th Generation (Haswell): Released in 2013.
  4. 3rd Generation (Ivy Bridge): Released in 2012.
  5. 2nd Generation (Sandy Bridge): Released in 2011.
So, Intel extended its updates to processors going back roughly 7-8 years from the time the vulnerabilities were publicly disclosed in early 2018. This wide-reaching update effort was aimed at mitigating risks across a broad range of hardware to ensure that even older systems were protected.

Myös Spectre tässä kontektissa oli todella vaikeasti hyödynnettävissä.
 
Viimeksi muokattu:
Voisin kuvitella, että aika moni 3000-sarjalaisen omaava on suhteellisen mad tässä kohtaa. Kuitenkin esim. 3600X-3900X on suhteellisen pätevä prosessori vieläkin ja tullut "vasta" 2019 vuonna. Kun taas 1 gen. epyc taisi 2017 tulla...

Kaippa tämä on AMD:n vastine niille Intelin 13/14gen sekoiluille "päivittäkää 5000-sarjaan" :asif: Eipä tuolle oikein mitään pätevää selitystä ole, kerta Epyc puoli saa päivityksen?

Tässäpä oikeastaan syyt sille miksi en priorisoi kummankaan valmistajan prosessoreita/alustoja vaan ostan sitä mikä on kulloisellakin hetkellä parempi. Intelin sekoilut myös ennen Raptor Lake -jupakkaa ovat keränneet ansaitusti närää mutta kyllä AMD on myös peeloillut ihan riittävästi. Tätä ennen tulee mieleen Zen 3 AGESAn turhanpäiväinen panttaaminen 300-sarjan emolevyille jossa esim. C6H sai yhteensopivan BIOSin 1½v 5000-sarjan julkaisun jälkeen jolloin itse olin siirtynyt jo Alderiin. Samoin mieleen tulee eräs kokeilemani 5000-sarjan prossu joka ei pysynyt täysin vakaana ilman positiivista PBO offsetia ja sitä rataa. TechSpotissa vastikään julkaistu artikkeli antaa esimerkit siitä, miten AMD:n markkinointi on työntänyt viimeiset pari vuotta "hieman" biasoituja testituloksia pihalle joilla saadaan uusien julkaisujen odotukset tarpeettoman korkealle.

Sympatiaa ei heru täältä tällä hetkellä kyllä yhdellekään valmistajalle.
 
BIOS tai vastaava, tulee kirjotussuojata siten, että sinne ei voi tallentaa mitään tai muuttaa mitään. Kirjoitussuojan poiston tulee tapahtua mekaanisella napilla, joka vaikutttaa suoraan flashiin siten, että kun se on "protect", niin sitä ei toiseen tilaan saa ohjelmallisesti..
Mitenköhän käytännöllinen tommonen olis jossain datacenttereissä tmv?
 
Mitenköhän käytännöllinen tommonen olis jossain datacenttereissä tmv?
Nappi on kuitenkin kärkitieto, tai ilmeisesti nasta mikä vedetään ylös tai alas, tai kryptisempää, eli ylläpitäjä sitten vetää sen nasta hallinnasta päivitysmoodiin. Oleellista kai se että voidaan pitää erillään itse päivitysjärjestelmästä, ja oikein kriittisissä kohteissa, tuorvaluokitettu ukkelli käy avaimella kääntämässä tämä <allekirjoitus> päivitys sallittu nyt.

Vitosen palvelimessa sitten erikseen esto.
 
En nyt äkkiä löytänyt mistään paperia tai esimerkki koodia josta selviäisi että mikä se varsinainen vika on. Ilmeisesti joku ongelma TClose toteutuksessa jota mikrokoodipäivityksellä sitten paikotaan. Tavan tallaajalla lienee kyllä isompia murheita kuin tämä...
 
On tuo asteen nysvää, kun Ryzen 3600:aa sentään myydään edelleen ihan kaupan hyllyltä.
 
Tässäpä oikeastaan syyt sille miksi en priorisoi kummankaan valmistajan prosessoreita/alustoja vaan ostan sitä mikä on kulloisellakin hetkellä parempi. Intelin sekoilut myös ennen Raptor Lake -jupakkaa ovat keränneet ansaitusti närää mutta kyllä AMD on myös peeloillut ihan riittävästi. Tätä ennen tulee mieleen Zen 3 AGESAn turhanpäiväinen panttaaminen 300-sarjan emolevyille jossa esim. C6H sai yhteensopivan BIOSin 1½v 5000-sarjan julkaisun jälkeen jolloin itse olin siirtynyt jo Alderiin. Samoin mieleen tulee eräs kokeilemani 5000-sarjan prossu joka ei pysynyt täysin vakaana ilman positiivista PBO offsetia ja sitä rataa. TechSpotissa vastikään julkaistu artikkeli antaa esimerkit siitä, miten AMD:n markkinointi on työntänyt viimeiset pari vuotta "hieman" biasoituja testituloksia pihalle joilla saadaan uusien julkaisujen odotukset tarpeettoman korkealle.

Sympatiaa ei heru täältä tällä hetkellä kyllä yhdellekään valmistajalle.
Vaikka itselläni "pääkoneessa" 14900K ja sitten serveripuolella AMD niin kyllä vaikka AMD:n leiriin näiden raptor lake sekoilujen jälkeen siirtyisinkin, niin en todellakaan toivo että Intel kuolee kokonaan kuluttajamarkkinoilla. Nähdään mitä Nvidia tällä hetkellä hinnoilleen tekee. Intel vuosia myös dominoi CPU puolta ja tiedetään miten pitkään 4-ydin prossut oli niitä "parhaimpia". AMD ei ole tässä tapauksessa yhtään parempi ja en henkilökohtaisesti mitään firman fanitusta ymmärrä.

Näitä yrityksiä ei kiinnosta yhtään mikään muu kuin sijoittajat. Kuluttajat on lähinnä pelinappuloita mitä koittaa haalia mahdollisimman paljon itselleen ja käyttämään mahdollisimman paljon rahaa mahdollisimman pienellä panostuksella yrityksen puolelta. (Nvidian tapauksessa eivät edes yritä enää, sillä AI tuottaa kaiken rahan)
 
Mitenköhän käytännöllinen tommonen olis jossain datacenttereissä tmv?

Ei niitä bioseja usein päivitellä.

Ja sen kytkimen ei tarvi olla emolevyllä vaan sen voi sijoittaa koneen ulkopuolelle, jolloin huoltomies pystyy kääntelemään niitä kymmeniä minuutissa.

Tai sen kytkimen voi vetää ulkoiseen relelaatikkoon, josta niitä voi ohjata tuhansiin koneisiin kerralla, towin toki tällöin alkaa kasvaa riski, että se relelaatikko pwnataan.
 
Joskus yli 10 vuotta sitten totesin: BIOS tai vastaava, tulee kirjotussuojata siten, että sinne ei voi tallentaa mitään tai muuttaa mitään. Kirjoitussuojan poiston tulee tapahtua mekaanisella napilla, joka vaikutttaa suoraan flashiin siten, että kun se on "protect", niin sitä ei toiseen tilaan saa ohjelmallisesti..

Vieläkö muutewn biokset lataavat windowkseen (netistä) (valmistajien) haitakkeita automaattisesti?

AMD:lla on ollut vuosia saatavilla ja käytössä "ROM Armor" ominaisuus. Suojauksen aktivointi kytkee FCH:n SPI-ohjaimen kirjoitussuojattuun tilaan heti prosessorin PSP:n käynnistyttyä.
Ominaisuus tuli takautuvasti saataville ainakin osalle X470 ja sitä uudempia emolevyjä.

7000-sarjan ja sitä uudemmilla prosessoreilla ominaisuutta on laajennettu siten, että NOR:n sisältö on ohjelmallisesti kirjoitettavissa ainoastaan, kun alusta käynnistetään erityisessä moodissa.
 
AMD:lla on ollut vuosia saatavilla ja käytössä "ROM Armor" ominaisuus. Suojauksen aktivointi kytkee FCH:n SPI-ohjaimen kirjoitussuojattuun tilaan heti prosessorin PSP:n käynnistyttyä.
Ominaisuus tuli takautuvasti saataville ainakin osalle X470 ja sitä uudempia emolevyjä.

7000-sarjan ja sitä uudemmilla prosessoreilla ominaisuutta on laajennettu siten, että NOR:n sisältö on ohjelmallisesti kirjoitettavissa ainoastaan, kun alusta käynnistetään erityisessä moodissa.

Mitkään tällaiset softapohjaiset ratkaisut eivät ole varmoja, koska ne saa aina kierrettyä softalla.

Haittaohjelma joka on pwnannut käyttiksen kernelin voi rebootata sen koneen siinä "erityisessä moodissa".

Näiden kriittisten suojausten pitäisi olla täysin rautapohjaisia, siellä pitää olla kirjoitussuojauksessa johto johon on ainoastaan mekaaninen kytkin, siten että se flash-piiri ei voi saada ohjelmoinnin enabloivaa kontrollisignaalia tai muistin nollaukseen tarvittavaa lisäjännitettä mitenkään muuten kuin sen kytkimen kautta. Ja se kytkin pitää oletuksena olla asennossa "suojattu" kun emolevy myydään asiakkaalle, että asiakas sitten itse käy kääntämässä sen auki bios-päivityksen ajaksi.


Se, mikä tässä on typerää on, että nämä asiat on ennen tehty oikein ja myöhemmin pilattu, 486- ja peruspena-emolevyillä oli yleensä se BIOSin flashäyksen kirjoitussuojajumpperi. Mutta nykyään lisäillään prossupiireille ja emolevyille kaiken maailman totaalisen turhia hallintaprosessoreita joita mainostetaan tietoturvan nimissä mutta jotka tosiasiassa vain huonontavat tietoturvaa,.

ja sitten kun niistä löytyy bugeja, korjataan firmware-päivityksellä uusista tuotteista ne yksittäiset bugit (ja jätetään korjaamatta vanhoista) mutta ei suostuta millään myöntämään sitä, että koko konsepti on fundamentaalisesti väärä.

Tietoturvaa ei edelleenkään oteta tarpeeksi tosissaan, koska tietoturvariskejä markkinoidaan tietoturvana.
 
Viimeksi muokattu:
Joskus yli 10 vuotta sitten totesin: BIOS tai vastaava, tulee kirjotussuojata siten, että sinne ei voi tallentaa mitään tai muuttaa mitään. Kirjoitussuojan poiston tulee tapahtua mekaanisella napilla, joka vaikutttaa suoraan flashiin siten, että kun se on "protect", niin sitä ei toiseen tilaan saa ohjelmallisesti..

Vieläkö muutewn biokset lataavat windowkseen (netistä) (valmistajien) haitakkeita automaattisesti?
Jotain vastaavaa myös itse totesin kauan sitten, onko tällaista kytkinratkaisua käytössä missään, empä ole edes isoilta serverivalmistajilta tällaista toteutusta nähnyt vaan saman idrac/ibmi/jne kilkkeen läpi firmikset päivitellään. Luulisi yleistyvän
 
Vieläkö muutewn biokset lataavat windowkseen (netistä) (valmistajien) haitakkeita automaattisesti?
OEM bloat tulee suoraan UEFI muistista, ei tarvitse edes nettiä. Lataa sieltä system32 kansioon tyypillisiä OEM update avustimia ym. sekä käynnistelee servicejä taustalle. Asuksen tapauksessa armoury crate asennustiedosto tulee koneelle sekä asus update service lähtee käyntiin vaikkei nettiä olisikaan. MSI:llä myös saman tapaista.
Nämä saa kaikki onneksi biosista pois ettei asentele mitään.


ja sen kautta asentaa jopa kiintolevyn formatoinnista ja käyttöjärjestelmän uudelleenasennuksesta selviäviä rootkit-tyyppisiä haittaohjelmia
Pystyykö tällä ajamaan sitten dataa tuonne biosin muistiin ja mahdolliset häkkerit käyttäisi hyväkseen noita samoja UEFI muisteja mistä OEM:t lataa omat rootkittinsä?
vaatisi se hyökkääjältä ensin pääsyn käyttöjärjestelmän kerneliin
Eikö tällä jo onnistu kyseinen homma?
mitäs kaikkea tuolla haavoittuvuudella voi tehdä jota kernel tason pääsyllä järjestelmään ei jo voisi?
 
Pystyykö tällä ajamaan sitten dataa tuonne biosin muistiin ja mahdolliset häkkerit käyttäisi hyväkseen noita samoja UEFI muisteja mistä OEM:t lataa omat rootkittinsä?
Käsittääkseni ne on jossain ihan muualla. SMM-tilassa ladataan joitain alustakohtaisia ajureita/asetuksia suojatusta SMRAM-muistista, joka suojataan taas heti kun UEFIn bootloaderi (ja sen myötä käyttiksen bootloaderi) ottavat ohjat.
Eikö tällä jo onnistu kyseinen homma?
mitäs kaikkea tuolla haavoittuvuudella voi tehdä jota kernel tason pääsyllä järjestelmään ei jo voisi?
Ei, kernelioikeuksilla ei pääse sörkkimään SMM-tilan suojaamaa SMRAM-muistia (paitsi nyt sitten hyödyntämällä tätä haavoittuvuutta)
 
Tosissaanneko mietitte ratkaisuks että huolto ukko käy muutaman sata tuhatta kertaa ronkkimassa jotain bios update jumpperia servereissä?
 
Tosissaanneko mietitte ratkaisuks että huolto ukko käy muutaman sata tuhatta kertaa ronkkimassa jotain bios update jumpperia servereissä?

Kotikoneessa emolevyllä olevaa jumpperia, räkkipalvelimessa ei jumpperia vaan koneen paneelissa olevaa kytkintä.

Jos oletetaan, että
* räkkiserverin hinta on vaikka 10000 euroa,
* sen serverin BIOS tarvii sen eliniän aikana päivittää kaksi kertaa (yhteensä 4 kertaa flipata se kytkin)
* huoltomies pystyy kääntämään räkkiservereistä 1000 kytkintä tunnissa, ja hänen palkkansa on tältä tunnilta 30 euroa.

Niin 120 euron työllä päivitellään 10 miljoonan arvosta servereitä koko niiden eliniän ajan.

En näe tätä suurena kustannuseränä.

Ja toki voi vetää sen kytkimen releboksiin vaikka siten että on yhteinen vaikka koko räkille ja koko räkki päivitetään sitten kerralla.
 
Kotikoneessa emolevyllä olevaa jumpperia, räkkipalvelimessa ei jumpperia vaan koneen paneelissa olevaa kytkintä.

Jos oletetaan, että
* räkkiserverin hinta on vaikka 10000 euroa,
* sen serverin BIOS tarvii sen eliniän aikana päivittää kaksi kertaa (yhteensä 4 kertaa flipata se kytkin)
* huoltomies pystyy kääntämään räkkiservereistä 1000 kytkintä tunnissa, ja hänen palkkansa on tältä tunnilta 30 euroa.

Niin 120 euron työllä päivitellään 10 miljoonan arvosta servereitä koko niiden eliniän ajan.

En näe tätä suurena kustannuseränä.

Ja toki voi vetää sen kytkimen releboksiin vaikka siten että on yhteinen vaikka koko räkille ja koko räkki päivitetään sitten kerralla.
Eli sen bios updaten voi tehä servereihin koska vaan, bios päivityksen ajaminen ei vie ollenkaan aikaa ja sen kytkimen voi flipata samantien takaisin.
Ihan näin homma ei datacenter infran kanssa toimi. Kyseessä ei siis ole yhden miehen muutaman tunnin työ tuhansiin servereihin ja kaiken lisäksi tuhat serveriä on konesalissa hyvin vähän, niitä on satoja tuhansia.
 
Kotikoneessa emolevyllä olevaa jumpperia, räkkipalvelimessa ei jumpperia vaan koneen paneelissa olevaa kytkintä.

Jos oletetaan, että
* räkkiserverin hinta on vaikka 10000 euroa,
* sen serverin BIOS tarvii sen eliniän aikana päivittää kaksi kertaa (yhteensä 4 kertaa flipata se kytkin)
* huoltomies pystyy kääntämään räkkiservereistä 1000 kytkintä tunnissa, ja hänen palkkansa on tältä tunnilta 30 euroa.

Niin 120 euron työllä päivitellään 10 miljoonan arvosta servereitä koko niiden eliniän ajan.

En näe tätä suurena kustannuseränä.

Ja toki voi vetää sen kytkimen releboksiin vaikka siten että on yhteinen vaikka koko räkille ja koko räkki päivitetään sitten kerralla.
Jättäisin ehkä kommentoimatta datacentereiden helpot päivitykset ja keskittyisin aiheisiin joista tiedät paljon kun niitäkin on.
 
Eli sen bios updaten voi tehä servereihin koska vaan, bios päivityksen ajaminen ei vie ollenkaan aikaa ja sen kytkimen voi flipata samantien takaisin.
Ihan näin homma ei datacenter infran kanssa toimi. Kyseessä ei siis ole yhden miehen muutaman tunnin työ tuhansiin servereihin ja kaiken lisäksi tuhat serveriä on konesalissa hyvin vähän, niitä on satoja tuhansia.
Ja kun ohjelmallinen kirjoitussuoja kierretään, niin sitten on suuri määrä koneita saastutettu siten, että aikaa vierähtääkin reippaasti, eikä koneet ole käytettävissä silläaikaa..
 
Eli sen bios updaten voi tehä servereihin koska vaan, bios päivityksen ajaminen ei vie ollenkaan aikaa ja sen kytkimen voi flipata samantien takaisin.

Mitä ihmettä nyt oikein olkiukkoilet? En ole sanonut mitään tuollaista.

Juuri tuon takia, että siihen bios-päivitykseen menee aikaa laskin sen kytkimen päällelaittamisen ja pois päältä laittamisen erikseen, laskin että se pitää tehdä neljään kertaan kahteen BIOS-päivitykseen.

Ihan näin homma ei datacenter infran kanssa toimi. Kyseessä ei siis ole yhden miehen muutaman tunnin työ tuhansiin servereihin ja kaiken lisäksi tuhat serveriä on konesalissa hyvin vähän, niitä on satoja tuhansia.

Laskin kustannusta per huoltomies per tunti, en per datakeskus.


Jos on satoja tuhansia servereitä, niiden serverien arvo on vähintään satoja miljoonia, käytännössä usein miljardeja.

Jos miljardien arvoisten serverien BIOSien päivittämiseen ei ole varaa palkata vähän suurempaa määrää huoltomiehiä kuin yhtä, jotain on datakeskuksen ylläpidossa pahasti pielessä.

Ja hienosti kokonaan ignorasit sen pointtini siitä relerasiasta. Voidaan esim. aukoa kirjoitussuoja yhdeltä räkilliseltä palvelimia kerralla, ajaa BIOS-päivitykset sen räkin koneisiin kerralla, pistää kirjoitussuoja takaisin kerralla. Tällöin sen kirjoitussuojan aukominen ja sulkeminen on parin sekunnin työ koko räkille kerralla.
 
Viimeksi muokattu:
Ja kun ohjelmallinen kirjoitussuoja kierretään, niin sitten on suuri määrä koneita saastutettu siten, että aikaa vierähtääkin reippaasti, eikä koneet ole käytettävissä silläaikaa..

Ja jo siinä vaiheessa kun on päästy niin syvälle että yritetään sitä ohjelmallista kirjotussuojaa kiertää niin ollaan jo aika monta layeriä päästy kiertämään melkoisilla hakkeri taidoilla.


Laskin kustannusta per huoltomies per tunti, en per datakeskus.


Jos on satoja tuhansia servereitä, niiden serverien arvo on vähintään satoja miljoonia, käytännössä usein miljardeja.

Jos miljardien arvoisten serverien päivittämiseen ei ole varaa palkata vähän suurempaa määrää huoltomiehiä, jotain on datakeskuksen ylläpidossa pahasti pielessä.

Ja hienosti kokonaan ignorasit sen pointtini siitä relerasiasta. Voidaan esim. aukoa kirjoitussuoja yhdeltä räkilliseltä palvelimia kerralla, ajaa BIOS-päivitykset sen räkin koneisiin kerralla, pistää kirjoitussuoja takaisin kerralla. Tällöin sen kirjoitussuojan aukominen ja sulkeminen on parin sekunnin työ koko räkille kerralla.

Hyvä että sinulla on vuonna 2024 ratkaisu näin yksinkertaiseen ongelmaan. Jostain kumman syystä tällaista ratkaisua ei kuitenkaan missään ole. Voitko laittaa schemat vaikka sellaisesta 200000 releen boksista niin saadaa edes joku datacenter tuotua tälle vuosituhannelle bios päivitysten osalta.
 
Hyvä että sinulla on vuonna 2024 ratkaisu näin yksinkertaiseen ongelmaan. Jostain kumman syystä tällaista ratkaisua ei kuitenkaan missään ole. Voitko laittaa schemat vaikka sellaisesta 200000 releen boksista niin saadaa edes joku datacenter tuotua tälle vuosituhannelle bios päivitysten osalta.

Voisitko nyt lopettaa tämän typerän olkiukkoilun?

Yhdessä räkissä on suuruusluokkaa sata palvelinta, ei 200000 palvelinta.

Niitä räkkejä on siellä datakeskuksessa sitten se suuruusluokkaa tuhat tai parituhatta kappaletta, jolloin koko datakeskuksessa on se satatuhatta tai parisataatuhatta konetta.

Ja esim. virransyötölle siellä saattaa olla juuri tuontyylinen releboksi.
 
Ymmärrän tuon pc emon suojaamisen fyysisellä kytkimellä. En tiedä onko se mahdollista nykytekniikalla, Jos on, niin on selvää, ettei tuolle ole tarpeeksi kysyntää. Ja palvelinten osalta on aika hassua, että mietitään jotain 1800 luvun teknologiaa. Saman voi suorittaa ehkä myäs mahdollisimman yksinkertaisella, mutta silti nykypäiväisellä tavalla.
Kertoohan tuo jotain, että AMD on erikseen pyytänyt vielä ylimääräistä lisäaikaa, ettei teknisiä tietoja julkistaisi.

Tämä Intelin tapaus kertoo jotain. Ja ehkä miksi x86 aletaan vihdoin karsimaan. vaikka suorituskykyyn tai hintaan ei vaikuttaisi, mutta tästä tietoturvaan vaikuttaa. Ja ring 0 on kernel, joten uutisessa on virhe.
aika lyhyt

1
July 20, 2015
Abstract— In x86, beyond ring 0 lie the more privileged realms
of execution, where code is invisible to AV, we have unfettered
access to hardware, and can trivially preempt and modify the OS.
The architecture has heaped layers upon layers of protections on
these ‘negative’ rings, but 40 years of x86 evolution have left a
labyrinth of forgotten backdoors into the ultra-privileged modes.
Lost in this byzantine maze of decades-old architecture
improvements and patches, there lies a design flaw that’s gone
unnoticed for 20 years. Exploiting the vast, unexplored
wasteland of forgotten x86 features, we demonstrate how to jump
malicious code from ring 0 into the deepest, darkest realms of the
processor. The attack is performed with an architectural 0-day
built into the silicon itself, and directed against a uniquely
vulnerable string of code widely deployed on modern systems.
I. INTRODUCTION
HE x86 architecture is traditionally divided into “rings” of
privilege, with ring 3 designated the least privileged realm
of execution, and ring 0 the most. As the architecture evolved,
and deeper levels of privilege became necessary, additional
privilege separation mechanisms were developed to confine
and restrict ring 0 code from even more powerful modes of
execution, colloquially dubbed the negative rings. Ring -1,
more commonly known as the hypervisor, is capable of
preempting and isolating ring 0 code. Ring -2, System
Management Mode (SMM), can further preempt ring -1, has
unrestricted access to platform hardware, and in many cases
can bypass Trusted Execution Technology (TXT), positioning
it as the most privileged level of execution on modern x86
processors. Due to an extreme potential for abuse, SMM is
protected through innumerable security mechanisms.
However, the complexity of the architecture precludes the
simple separations found in higher rings, and SMM security
circumventions can be constructed through elaborate
configurations of unexpected architectural features.
...jatkuu linkisssä...
 
Ryzen 3000 -sarja on yhtiön mukaan ja ohjelmistotuen ulkopuolella eikä siten tule saamaan päivitystä.

Tyypilliseen AMD tapaan ensin koitetaan luistaa ja kun nousee älämölöä niin tehdään se mitä olis pitänyt jo muutenkin, eli kolmetonnisetkin on saaneet/saamassa korjauksen:

 
Se, mikä tässä on typerää on, että nämä asiat on ennen tehty oikein ja myöhemmin pilattu, 486- ja peruspena-emolevyillä oli yleensä se BIOSin flashäyksen kirjoitussuojajumpperi. Mutta nykyään lisäillään prossupiireille ja emolevyille kaiken maailman totaalisen turhia hallintaprosessoreita joita mainostetaan tietoturvan nimissä mutta jotka tosiasiassa vain huonontavat tietoturvaa,.

Tai sitten niitä vain markkinoidaan tietoturvana mutta todellinen syy niiden lisäämiselle on se, että niillä saadaan yhä enemmän hallittua sitä, mitä koodia käyttäjä voi ajaa koneellaan, yhä uusia tapoja rajoittaa käyttäjän toimintaa erilaisilla DRM tekniikoilla, yhä uusia mahdollisuuksia takaporteille joilla NSA ja kumppanit pääsevät tunkeutumaan koneeseen ja niin edelleen. :comp:

"Security", "trusted"... juuh okei. :comp:

AMD on erikseen pyytänyt vielä ylimääräistä lisäaikaa, ettei teknisiä tietoja julkistaisi.

"Responsible disclosure"-paske hiiteen ja kaikki julkiseksi heti. Mitä enemmän lukee näitä juttuja, sitä enemmän toivoisi että kaikki julkiseksi heti. Ei IT ala muuten opi. :comp:


Tässä nimenomaisessa tapauksessa tosin heräsi pieni toivo, että jos SMM tilaa hyödyntämällä kerran päästään melko rajoituksetta käyttämään muistia, ehkä noiden "trusted" ympäristöjen sisältäkin, niin ehkäpä tätä hyödyntämällä voitaisiin murtaa joitakin DRM järjestelmiä esimerkiksi? :comp:
 

Statistiikka

Viestiketjuista
261 385
Viestejä
4 536 583
Jäsenet
74 793
Uusin jäsen
Sasu Heikkilä

Hinta.fi

Back
Ylös Bottom