Intel CPUs impacted by new PortSmash side-channel vulnerability

https://www.zdnet.com/article/intel-cpus-impacted-by-new-portsmash-side…

"Researchers say PortSmash impacts all CPUs that use a Simultaneous Multithreading (SMT) architecture, a technology that allows multiple computing threads to be executed simultaneously on a CPU core."

"AMD CPUs likely impacted"

PoC: https://github.com/bbbrumley/portsmash

( Carter | 2018. 11. 03., szo – 08:13 )

PortSmash [ez a sérülékenység] definitely does not need root privileges," he said "Just user space.

Elég jó :)

Kik és hogy találnak ilyen sebezhetőséget? Állatok :)

( hajbazer v | 2018. 11. 03., szo – 10:23 )

Már azt is el tudom képzelni, hogy vannak, akiket azért fizetnek, hogy megtalálják, szétkürtöljék ezeket a sebezhetőségeket, hogy ezen keresztül (FUD) multiék mindenkivel új hardvert vetethessenek. Emellett meg jó marketing-tevékenység, hogy a számítógépes rendszerek biztonságáért dolgoznak, miközben meg inkább azok mielőbbi elavulásáért (Spectre, Meltdown javításoknak köszönhető lassulások), továbbá a Föld tönkretételéért és az erőforrások elpazarlásááért.

Én továbbra is úgy látom, hogy nincs különösebb jelentősége ezeknek a sebezhetőségeknek. Pláne nem felhasználói oldalon, ha a felhasználó tudatos és nem orrba-szájba kattintgat. Ha meg igen, azt a víruskereső se védi meg, mert előbb-utóbb a kernel joggal futó víruskeresőben is lesz szebezhetőség, amit a random pornó oldalról böngészőn keresztül bekukucskáló féreg kihasznál. A lufiként felfújt és a tech-lakájmédia által hisztériakeltésre használt biztonsági kockázatok már csak a gyorsabb elavulást szolgálják, amik meg végső soron egy alapvetően fenntarthatatlan rendszer lélegeztetőgépen tartását és extraprofittal való megtömését. Új gépek minél gyakoribb megvásárlását és a régiek mielőbbi kidobását (természetesen még működő állapotukban).

Szerintem sokkal célszerűbb a tipikusan elavulást, sebességcsökkenést okozó sebezhetőségeket szimplán nem foltozni, és a rendszert céleszközökkel vagy az emberi tényező megerősítésével bevédeni, amik azt garantálnák, hogy ne indulhasson el kártékony kód. A legtöbb sebezhetőség nem veszélyeztet stabilitást, ergo nincs vele semmi baj, amennyiben nem indul el rosszindulatú kód, ami kihasználja. Utóbbit kell garantálni. Egy lakókörnyezetet sem úgy kell bevédeni, hogy minden házra páncélajtót, meg golyóálló ablakot rakunk. Hanem úgy, hogy nem engedünk be gyanús alakokat a házunkba és rendvédelmi szervekkel (vagy polgárőrséggel) garantáljuk a környék biztonságát.

Vannak, akik úgy tekintenek egy PC-re, Mobilra, F.gépre, Hi-Fi-re, stb., mint egy jól bevált metszőollóra. Ha kell éleztetnek, de nem rohannak újat venni, ha véletlenül valami lugasdróton kicsorbul. Vagy azért, mert a pénztárca erre már üres, v. azért mert egyszerűen vagyunk néhányan a világon, akik megszerettünk dolgokat, asszonyokat, és egy életen keresztül, - zömében emócionális okból, - ragaszkodunk is hozzájuk.

Nem vagyunk egyformák, én is jobban szeretem a régi, nehezebb fajsúlyú gépeket, mint a mai papírnehezéknek sem valókat. - Cipelés esetén inkább a lumbágó, mint hogy kibontásig azon kelljen gondolkodni, vajon a HP kifelejtette-e a csomagolásból a laptopot. - Az határozott infarktustényező számomra. :)

Részemről egyetértek. Tele van a rendszer sokkal súlyosabb sebezhetőségekkel, rengeteg példát láttunk erre (heartbleed és társai, nem beszélve a direkt elhelyezettekről meg amiről még nem tudunk), ezt vírus meg egyéb tűzfal védelem nem fogja meg, átmegy mint kés a vajon.

Felhasználói környezet tekintetében a legnagyobb gyárkapu az internet, és így a böngésző. Azt körbe kell betonozni MAC védelemmel vagy virtualizálni, illetve a telepítendő új programokat feltolni a virustotal-ra, és ez már a támadások nagy részét kezeli.

Részemről egy olyan védelmi megoldást üdvözölnék, amelyet 2011-ben elkezdtem fejleszteni (tomld), hogy figyeli a rendszeren futó komponensek kéréseit és beszigorítja azok jogait a minimális szükségesre. Így idővel bekeményedik a rendszer, ha pedig kivétel van (elvileg ritkán), akkor az egyedileg mérlegelhető és feloldható. Mindezt persze belső rendszer komponensek használatával.

Meg lehetne spékelni gépi tanulással, mely viselkedés minták alapján további előrejelzésekkel tudna szolgálni. Nincs kedve valamelyikőtöknek fejleszteni egy ilyet Ubuntuhoz Apparmor szigorítással? Sok ötlettel tudnék szolgálni.

Nem is rossz ötlet. Része kellene legyen minden operációs rendszernek hogy a rendszerbe bekerülő bármilyen új kódot, telepítendő programot előbb tolja fel a virustotal-ra ellenőrzésre. Miért nem csináltak még ilyet? Lehet nem érdeke senkinek valójában hogy ilyen megoldással olcsón védhessük magunkat?

Én is már régóta azon gondolkozom hogy ez a nagyüzemi rémisztgetés a számítógépes biztonsággal már átesett a ló túlsó oldalára. Már inkább szolgálja a biztonsággal foglalkozó és/vagy új software, hardware eladásban érdekelt cégek bevételeit mint a valódi IT biztonságot.

Ok, definiáld a "kód" fogalmát úgy, hogy az algoritmikusan eldönthető legyen ;)

ELF fájl? Buktál minden script nyelvet. ELF fájl vagy shebang line-al rendelkező szövegfájl? Ott a .jar, egy fájltársítás kérdése. Egy weboldalon elért JavaScript kódnak minősül? Egy LibreOffice makró? Egy... és szép lassan eljutottunk oda, hogy gyakorlatilag minden fájl potenciálisan kód, vagyis _minden_ fájlodat fel akarod küldeni a VirusTotalra. Vagyis feltaláltad az aktív vírusvédelmet, csak a létezőknél is még pár nagyságrenddel lassabban, mert netre is ki kell hozzá menned :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Hát ezzel nem vagyunk előrébb :) Ha megnyitok egy jnlp fájlt, amiben szerepel, hogy hozzon létre asztali ikont, az telepítésnek minősül? Ott a jnlp-t kéne vizsgálni, vagy a benne hivatkozott .jar fájlokat? (vagy ugyanez ClickOnce-al, hogy ne csak Java legyen)

Ha lefuttatok egy cmd fájlt, ami telepítőnek mondja magát (pl. abevjava_install.bat, vagy ilyesmi...), annak így fel kéne mennie, nem? És ha egy saját cmd fájlt indítok? Mi alapján döntöd el, hogy egy script egy telepítő vagy tényleg csak egy script [és a legtöbb zárt forrású Linuxra elérhető cucc .sh telepítővel jön].

STb. stb.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( XMI | 2018. 11. 04., v – 14:20 )

Egy jó leírás nem ártana.

Ez (https://www.openwall.com/lists/oss-security/2018/11/01/4), finoman szólva nem tette sokkal világosabbá:

# Report
We steal an OpenSSL (<= 1.1.0h) P-384 private key from a TLS server
using this new side-channel vector. It is a local attack in the sense
that the malicious process must be running on the same physical core
as the victim (an OpenSSL-powered TLS server in this case).

## Affected hardware
SMT/Hyper-Threading architectures (verified on Skylake and Kaby Lake)

## Affected software

OpenSSL <= 1.1.0h (but in general, software that has secret dependent
control flow at any granularity; this particular application is a
known vulnerability since 2009 only recently fixed)

Egyelőre eléggé úgy tűnik, hogy ez csak egy N+1-edik módszer egyébként is meglevő sidechannel leak-ek kihasználására. Kérdés, hogy mennyire jelent ez új problémát. Ehhez tényleg kéne egy alaposabb leírás.
---
Régóta vágyok én, az androidok mezonkincsére már!