Intelin prosessoreista löytyi jälleen sukupolvia jatkunut haavoittuvuus

  • Keskustelun aloittaja Keskustelun aloittaja Kaotik
  • Aloitettu Aloitettu
Millä aikataululla (oletettavasti) nämä pci-e 4.0 ja 5.0 ovat tulossa, ja kuinka helppoa näitä on tuoda olemassa oleviin valmiisiin arkkitehtuureihin? Google antaa vastaukseksi Ryzen 2 + pci-e 4.0 lähinnä vanhoja vuoden 2017 juttuja ja kysymysmerkkejä niiden otsikoiden perään. Onko näistä mitään ajantasaista kevät 2018 tietoa vielä olemassa? Kun ei ole pakko vielä mitään ostaa, ja on jo näin pitkälle sinnitellyt vanhoilla koneilla, niin ajattelin antaa tämän kehityksen murroksen mennä kokonaan ohitse.

T -.-
Jos vuodot pitävät paikkaansa niin 7nm Vega 20 (tulossa ammattilaiskäyttöön koneoppimiseen sun muuhun, ei kuluttajille nykytiedon mukaan) tukisi PCIe 4.0:aa. Niissä jutuissa mitä olet haeskellut on tod.näk. kyse Zen 2:sta mikä on eri asia kuin Ryzen 2, samojen vuotojen mukaan Rome-koodinimelliset Epycit tukisivat PCIe 4.0:aa, jolloin myös luonnollisesti Zen 2 -arkkitehtuuriin perustuvat Ryzenit (todennäköisesti Ryzen 3000 -sarja) tukisi sitä
 
Yllätys yllätys, nyt on löytynyt uusi versio Intel-prosessoreiden haavoittuvuuksista (NetCAT)
New NetCAT Vulnerability Exploits DDIO on Intel Xeon Processors to Steal Data
UdQkXwKZ9dk1O8tk.jpg
 
Yllätys yllätys, nyt on löytynyt uusi versio Intel-prosessoreiden haavoittuvuuksista (NetCAT)
New NetCAT Vulnerability Exploits DDIO on Intel Xeon Processors to Steal Data

Ottamatta vielä kantaa itse haavoittuvuuteen, on melkoista idiotismia tuon nimeäminen: Netcat on yleinen työkalu verkkoyhteyksien luomiseen ja datan streamaamiseen verkon yli, eikä tällä haavoittuvuudella ole sen kanssa mitään tekemistä. Ja sitten pitänyt antaa tälle sama nimi :(

Kivasti sotketaan asioita.


Sitten itse haavoittuvuuteen:

Hyödyntää intelin palvelinprossujen ominaisuutta tehdä DDMAta L3-välimuistiin sen sijaan että se DMA tehtäisiin DRAMiin (DDIO). DDIO on ainakin helppo kytkeä pois päältä, mutta tämä voi haitata verkkoliikenteen suorituskykyä järeillä verkkokuormilla.

Ja tällä tosiaankin voi vain suoraan selvittää koneen muun verkkoliikenteen ajoituksia, ei mitään muuta. Tätä pidetään kuitenkin ongelmana, koska kun verkon yli liikkuu ihmisen kirjoittamia kirjaimia reaaliaikaisena, kirjaimien välisistä ajoituksista voi päätellä, mitä kirjaimia on mahdollisesti kirjoitettu. Tältä voisi hyvin suojautua vaikka lisäämällä ssh-yhteyden yli jokaisen kirjoitetun kirjaimen lähettämiseen satunaisen 0-70ms viiveen.
 
Viimeksi muokattu:
Ottamatta vielä kantaa itse haavoittuvuuteen, on melkoista idiotismia tuon nimeäminen: Netcat on yleinen työkalu verkkoyhteyksien luomiseen ja datan streamaamiseen verkon yli, eikä tällä haavoittuvuudella ole sen kanssa mitään tekemistä. Ja sitten pitänyt antaa tälle sama nimi :(

Kivasti sotketaan asioita.


Sitten itse haavoittuvuuteen:

Hyödyntää intelin palvelinprossujen ominaisuutta tehdä DDMAta L3-välimuistiin sen sijaan että se DMA tehtäisiin DRAMiin (DDIO). DDIO on ainakin helppo kytkeä pois päältä, mutta tämä voi haitata verkkoliikenteen suorituskykyä järeillä verkkokuormilla.

Ja tällä tosiaankin voi vain suoraan selvittää koneen muun verkkoliikenteen ajoituksia, ei mitään muuta. Tätä pidetään kuitenkin ongelmana, koska kun verkon yli liikkuu ihmisen kirjoittamia kirjaimia reaaliaikaisena, kirjaimien välisistä ajoituksista voi päätellä, mitä kirjaimia on mahdollisesti kirjoitettu. Tältä voisi hyvin suojautua vaikka lisäämällä ssh-yhteyden yli jokaisen kirjoitetun kirjaimen lähettämiseen satunaisen 0-70ms viiveen.
Kun taas AMD: AMD EPYC processors don't support DDIO ->no problem
 
Enpäs ole moisesta random viiveestä merkkien lähetyksessä koskaan kuullut tai lukenut edes aiemmin.

Putty muutoksia joskus tullut luettua pitkällä aikavälillä, mutta ei ole tullut kyllä vastaan.
 
Suurinosa näistä tuntuu koskevan vain Inteliä. Johtuukohan se siitä että Intelillä on priorisoitu suorituskykyä tietoturvan kustannuksella vai han puhtaasti siitä että Intelin markkinaosuuden takia niiden prosessoreja tutkitaan enemmän ja siten niistä löydetään enemmän aukkoja?
 
Suurinosa näistä tuntuu koskevan vain Inteliä. Johtuukohan se siitä että Intelillä on priorisoitu suorituskykyä tietoturvan kustannuksella vai han puhtaasti siitä että Intelin markkinaosuuden takia niiden prosessoreja tutkitaan enemmän ja siten niistä löydetään enemmän aukkoja?

Enemmän jälkimmäistä, tosin vielä enemmän sitä, että intel on vaan ehtinyt kehittää hienompia arkkitehtuurillisia ominaisuuksia (jotka valitettavasti on hyödynnettävissä sivukanavahyökkäyksillä). Että AMDllä oli vasta TODO-listalla monta juttua, jotka Intel ehti toteuttaa, mutta jotka myöhemmin osoittautuivatkin tieoturvan kannalta ongelmallisiksi.

Eli esimerkiksi tämä tuorein on tällainen; Se koskee vain inteliä siksi, että ominaisuus mitä se hyödyntää, löytyy vain intelin prosessoreista. Jos se ominaisuus kytketään pois päältä (jolloin intelin prosessori toimi kuin AMDn prosessori), intel on tältä täysin turvassa. Ja jos AMD olisi toteuttanut saman ominaisuuden prosessoreihinsa, (tai kun toteuttaa), AMD olisi/on samalla tavalla haavoittuvainen tälle.

Zenin CCX-pohjainen rakenne jossa ei ole yhtä kaikille yhteistä L3-välimuistia oikeastaan "vahingossa" suojelee tältä; Koska ei ole mitään yhtä yhteistä L3-välimuistia jonne se verkkokortti voisi sen datan DDIOlla tunkea, DDIOta ei voi järkevästi toteuttaa zen1/zen2-pohjaisille prosessorilla, joten niistä jätetiin DDIO pois.

Mutta jos AMDllä on joskus tulossa sellainen zen3/zen4/zen5-pohjainen piiri, jossa olisi esim. kaikille ytimille yhteinen L4-välimuisti, tähän varmaan olisi (ainakin alkuperäisen suunnitelman mukaan) DDIO tulossa. Tosin tuoreimpien uutisten takia se varmaan kytkettäisiinkin oletuksena pois päältä..


Meltdownissa taas kyse vaikutti olevan oikeastaan enemmän siinä, että intel optimoi prosessorin hiukan yksinkertaisempaa toteutusta, AMD virrankulutusta, ja pienemmän virrankulutuksen mukana vahingossa saatiin tämän osalta parempi tietoturva
 
Vielä tästä tuoreimmasta:

Tämän hyödyntäminen siis vaatii sen, että on root/administrator-oikeudet lähiverkossa olevassa koneessa, eikä kummallakaan koneella ole paljoa verkkokuormaa.

Tämä ei toimi internetin yli.

Ja monet uuriset otsikoi tätä virheellisesti väittäen että tällä voisi lukea muistia tai "varastaa dataa", tällä nimenomaan ei voi varastaa "dataa" vaan vain muun verkkoliikenteen aikataulutietoja, eli voidaan yrittää ajoituksista päätellä, mitä toisessa verkkoyhteydessä reaaliaikaisesti kirjoitetaan.
 

Statistiikka

Viestiketjuista
264 291
Viestejä
4 578 672
Jäsenet
75 404
Uusin jäsen
MiikaK82

Hinta.fi

Back
Ylös Bottom