www.svethardware.cz
>
>
>
>
>

NetSpectre, známá chyba procesorů jde zneužít i po síti

NetSpectre, známá chyba procesorů jde zneužít i po síti
, , aktualita
Vědci z Technické univerzity ve Štýrském Hradci našli způsob, jak zneužít chybu Spectre i po síti bez spuštění kódu v napadeném procesoru. Naštěstí je provedení útoku komplikované, zdlouhavé a je proti němu snadná obrana.
K oblíbeným
reklama
Vědci našli další způsob, jak zneužít chyby Spectre, o kterých je v poslední době pořád řeč. Na problém se podívali akademici z Technické univerzity ve Štýrském Hradci, mezi nimiž byli i ti, kteří našli už původní chyby Spectre a Meltdown. "Nová" varianta dostala jméno NetSpectre, protože k útoku využívá přístup po síti a nemusí na napadeném CPU spouštět žádný speciální kód. Chyba se dá využít dvěma způsoby, buď na základě odezvy cache paměti nebo AVX2 registrů. V druhém případě pomáhá testování stavu AVX2 registrů, tedy zda jsou používány, uspány nebo plně vypnuty.
 
Spectre logo
 
Spekulativním využíváním AVX2 instrukcí zjišťuje rozdíly v odezvě registrů a tyto rozdíly jsou měřitelné i po síti. Aby však byla dostatečná jistota, musí se toto provést opravdu mnohokrát. Vědci hovoří, že pro získání jednoho bitu potřebují tento krok provést 100 tisíc krát a ideální je mít spíše milion opakování. Z toho je jasné, že v praxi tento útok naráží na jeden velmi zásadní problém, a tím je rychlost. Jeden bajt tak v případě měření odezvy cache zabere půl hodiny, u AVX2 je to pak kolem 8 minut při použití gigabitové sítě (tj. 60 bitů za hodinu).
 
Vědci dokonce zkusili útok na virtuální systémy na Google Cloud. Tady už na jediný bit potřebovali 20 milionů opakování, aby měli dostatečnou jistotu o správnosti. Bylo spočítáno, že "rychlý" útok na AVX2 na rychlé lokální síti by pro zisk 1 MB dat zabral 15 let. Je jasné, že takto rozhodně nemůže uniknout nějaké větší množství dat, nicméně např. šifrovací klíč je stále docela proveditelná věc v řádu hodin. 
 
Dobré je však to, že proti tomuto typu útoku je velmi snadná obrana. Protože využívá stejného nedostatku jako Spectre 1 (CVE-2017-5753), aktualizované procesory už by měly být chráněny. Druhou věcí je, že útoku se dá velmi jednoduše bránit i správným nastavením firewallu a např. detekcí DDoS útoků (úspěšný útok NetSpectre totiž vyžaduje miliony dotazů, což se velmi snadno detekuje).
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
NASA pátrá po zbytcích Beresheet, přežít mohlo laserové "zrcátko" NASA pátrá po zbytcích Beresheet, přežít mohlo laserové "zrcátko"
Beresheet narazil do Měsíce rychlostí, že neměl šanci přežít v celku, ovšem NASA předpokládá, že zařízení Lunar Retroreflector Array (LRA) přežít mohlo. Jeho úkolem je odrážet laserové paprsky a přesně tak se jej NASA pokusí najít.
19.4.2019, aktualita, Jan Vítek
Sega Mega Drive Mini jsou k předobjednání Sega Mega Drive Mini jsou k předobjednání
Nedávno byly představeny nové mini-retro konzole Sega Mega Drive Mini, které mají dorazit na trh během letošního září. Sega přitom změnila vývojářský tým, který na nich pracuje a slíbila další hry nad rámec těch původně slíbených. 
19.4.2019, aktualita, Jan Vítek
NASA konečně detekovala nejstarší typ molekul vesmíru NASA konečně detekovala nejstarší typ molekul vesmíru
Už dlouho se předpokládá, že pravděpodobně nejstarší typ molekul ve vesmíru byla HeH, čili prostý dvouprvkový hydrid helia. Je to celkem logické uvažování, když helium a vodík jsou nejstarší prvky. Až nyní to ale máme potvrzeno pozorováním.
19.4.2019, aktualita, Jan Vítek
Jiří Olšanský 'Rik_Leah': co to znamená být streamer? Jiří Olšanský 'Rik_Leah': co to znamená být streamer?
YouTube je sice coby platforma pro upload videí nadále velmi populární, ale v případě pravidelného streamování (živého vysílání i několik hodin v kuse) se těší větší oblibě Twitch.tv. Přinášíme vám tak rozhovor s někým, kdo se tomu už delší dobu věnuje.
19.4.2019, rozhovor, Karel Polívka
Video: Kolik robotů SpotMini od Boston Dynamics utáhne náklaďák? Video: Kolik robotů SpotMini od Boston Dynamics utáhne náklaďák?
Společnost Boston Dynamics, která je známá svými pokročilými roboty, zveřejnila na YouTube krátké video, ve němž předvádí další kousky, které jsou její stroje schopné vykonat. Tentokrát se zaměřila na celou smečku robotů SpotMini. 
18.4.2019, aktualita, Kateřina Hoferková