Het u rekenaar 'n opdatering benodig om die beveiligingslek van die voorskadu te bestry?

'N nuut ontdekte verwerker kwesbaarheid kan potensiële inligting in gevaar stel in 'n Intel-gebaseerde rekenaar vervaardig sedert 2008. Dit kan gebruikers beïnvloed wat staatmaak op 'n digitale lockbox-funksie wat bekend staan ​​as Intel Software Guard Extensions, of SGX, sowel as diegene wat algemene wolkgebaseerde dienste gebruik.

"Solank as wat gebruikers die opdatering installeer, sal dit goed wees."

Navorsers het die SGX-veiligheidsgat, Foreshadow, in Januarie geïdentifiseer en Intel geïnformeerd. Dit het gelei dat Intel sy breër potensiaal in die wolk ontdek het. Hierdie tweede variant, Foreshadow-NG, fokus op Intel-gebaseerde virtualiseringsomgewings wat wolkrekenaarverskaffers soos Amazon en Microsoft gebruik om duisende virtuele PC's op 'n enkele groot bediener te skep.

Intel het sagteware en mikrokode updates vrygestel om te beskerm teen albei aanvalle. Wolkverskaffers sal die opdaterings moet installeer om hul masjiene te beskerm. Op individueel vlak sal die eienaars van elke SGX-geskikte Intel-rekenaar wat sedert 2016 vervaardig is, 'n update nodig hê om hul SGX te beskerm. Sommige van hierdie opdaterings sal outomaties geïnstalleer word, terwyl ander handmatig moet geïnstalleer word, afhangende van die konfigurasie van 'n masjien.

Navorsers sal die fout op Augustus 16 op die Usenix Security Symposium in Baltimore demonstreer. Dit is soortgelyk aan Specter and Meltdown, die hardeware-gebaseerde aanvalle wat die rekenaar sekuriteitswêreld in die vroeë 2018 geskud het. Navorsers kon verskeie beveiligingsfunksies wat in die meeste Intel-gebaseerde masjiene teenwoordig is, breek.

"Foreshadow-NG kan die fundamentele beveiligingseienskappe wat baie wolkgebaseerde dienste neem, vanselfsprekend oortref."

"SGX, virtualisasie-omgewings en ander soortgelyke tegnologieë verander die wêreld deur ons in staat te stel om rekenaarhulpbronne op nuwe maniere te gebruik, en om baie sensitiewe data op die wolk-mediese rekords, kriptokurrency, biometriese inligting soos vingerafdrukke te plaas," sê Ofir Weisse, nagraadse student navorsingsassistent in rekenaarwetenskap en ingenieurswese aan die Universiteit van Michigan en 'n skrywer van die koerant wat by Usenix verskyn. "Dit is belangrike doelwitte, maar kwesbaarhede soos hierdie wys hoe belangrik dit is om deeglik voort te gaan."

Die Software Guard Extensions-kenmerk wat die Foreshadow demonstrasie aanval teikens is vandag nie wyd gebruik nie. Omdat net 'n handjievol wolkverskaffers en 'n paar honderdduisend kliënte dit gebruik, lê dit dormant op die oorgrote meerderheid rekenaars wat daarmee toegerus is. Die masjiene is tans nie kwesbaar nie. Dit gesê, die navorsers waarsku dat die bedreiging sal groei met die gebruik van die produk.

"Solank as wat gebruikers die opdatering installeer, sal dit goed wees. En in werklikheid gebruik die oorgrote meerderheid PC-eienaars nie SGX nie, so dit gaan nie waarskynlik 'n groot probleem wees nie, "sê mede-outeur Thomas Wenisch, 'n professor in rekenaarwetenskap en ingenieurswese aan die Universiteit van Michigan. "Die werklike gevaar lê in die toekoms, as SGX meer gewild word en daar is steeds groot getalle masjiene wat nie opgedateer is nie. Daarom is hierdie opdatering so belangrik. "

SGX en Foreshadow-NG

SGX skep 'n digitale lockbox genaamd 'n "veilige enklave" in 'n masjien, en hou die data en toepassings binne van die res van die masjien af. Selfs as 'n sekuriteit kwesbaarheid die hele masjien kompromitteer, is die data wat deur SGX beskerm word, onbereikbaar vir almal behalwe die eienaar van die data.

Foreshadow-NG breek die digitale muur wat individuele virtuele wolk kliënte se virtuele rekenaars afsonderlik van mekaar op groot bedieners hou.

Die hooftoepassing van SGX is om die verwerking en berging van sensitiewe inligting, soos eiendomsbesigheidsinligting of gesondheidsdata, in die afgeleë derdeparty-datacenters in staat te stel, waar selfs nie data-sentrum werknemers toegang tot die beskermde data moet hê nie. SGX kan ook die verspreiding van kopiereg digitale inhoud beheer, byvoorbeeld om slegs 'n fliek op spesifieke masjiene te maak.

Foreshadow breek SGX se lockbox, wat 'n aanvaller in staat stel om die data binne te lees en te verander. Alhoewel dit nie die eerste aanval is wat SGX teiken nie, is dit tot dusver die mees skadelike.

"Vorige werk kon sommige van die data van die tyd kry. Foreshadow kry die meeste van die data die meeste van die tyd, "sê mede-outeur Daniel Genkin, assistent professor in rekenaarwetenskap en ingenieurswese. "Bykomend tot die lees van die data, Foreshadow ook uittreksels wat 'n getuigskrif sleutel genoem word. Die sleutel stel aanvallers in staat om as 'n veilige masjien maskerade te maak en mense te mislei om geheime data daarheen te stuur. "

Die tweede variant, Foreshadow-NG, breek die digitale muur wat individuele virtuele rekenaars se virtuele rekenaars van mekaar op groot bedieners afgesluit het. Dit kan 'n kwaadwillige virtuele masjien wat in die wolk loop, lees om data van ander virtuele masjiene te lees. Die virtualisering kode is teenwoordig in elke Intel-rekenaar wat sedert 2008 vervaardig is.

"Foreshadow-NG kan die fundamentele sekuriteits eiendomme wat baie wolk-gebaseerde dienste breek, vanselfsprekend breek," sê mede-outeur Baris Kasikci, assistent professor in rekenaarwetenskap en ingenieurswese.

Hoe die aanvalle werk

Albei variante van die kwesbaarheid verkry toegang tot die slagoffermasjien deur gebruik te maak van wat bekend staan ​​as 'n sykanaalaanval. Hierdie aanvalle lei tot inligting oor 'n stelsel se innerlike werking deur patrone in oënskynlike onskadelike inligting te waarneem - hoe lank neem dit die verwerker om byvoorbeeld die geheue van die masjien oop te maak. Dit kan gebruik word om toegang tot die binneste werking van die masjien te verkry.

Die aanval verwar dan die stelsel se verwerker deur die gebruik van 'n funksie genaamd spekulatiewe uitvoering. Gebruike in alle moderne SVE's, spekulatiewe uitvoering spoed verwerking deur die verwerker in staat te stel om te raai wat dit gevra word om volgende te doen en dienooreenkomstig te beplan.

Die aanval voer in vals inligting wat spekulatiewe uitvoering in 'n reeks verkeerde raai lei. Soos 'n bestuurder wat 'n foutiewe GPS volg, word die verwerker hopeloos verlore. Hierdie verwarring word dan uitgebuit om die slagoffer se sensitiewe inligting te laat lek. In sommige gevalle kan dit selfs inligting oor die slagoffer masjien verander.

Alhoewel hierdie kwesbaarhede opgedaag het voordat dit groot skade veroorsaak het, blootgestel hulle die broosheid van veilige enklave en virtualiseringstegnologieë, sê Ofir Weisse, die gegradueerde navorsingsassistent wat by die werk betrokke was. Hy glo dat die sleutel tot die behoud van tegnologie veilige leuens is om ontwerpe oop en toeganklik vir navorsers te maak sodat hulle kwesbaarhede vinnig kan identifiseer en herstel.

Ander navorsers op die projek is van die Belgiese navorsingsgroep Imec-DistriNet; Technion Israel Instituut vir Tegnologie; en die Universiteit van Adelaide en Data61.

Ondersteuning vir die werk is afkomstig van die Navorsingsfonds. KU Leuven, die Cyber ​​Security Research Center van die Technion Hiroshi Fujiwara, die Israel Cyber ​​Buro, die Nasionale Wetenskapstigting, die Amerikaanse Departement van Handel, die Nasionale Instituut vir Standaarde en Tegnologie, die 2017-2018 Rothschild Postdoktorale Genootskap. , en DARPA.

Meer inligting oor Foreshadow is beskikbaar by ForeshadowAttack.com.

Bron: Universiteit van Michigan

verwante Boeke

{amazonWS: searchindex = Boeke; sleutelwoorde = Sekuriteit van die rekenaar; maksimum resultate = 3}


 Kry die nuutste per e-pos

Weeklikse Tydskrif Daaglikse Inspirasie

Jy kan ook graag

INNERSELF VOICES

aurora borealis
Horoskoop huidige week: 27 September - 3 Oktober 2021
by Pam Younghans
Hierdie weeklikse astrologiese tydskrif is gebaseer op planetêre invloede en bied perspektiewe en ...
'n reënboog in die palm van 'n oop hand
Soek silwer voerings en reënboë
by Marie T. Russell, InnerSelf.com
Wees oop om die gawes te ontdek wat die lewe u bied - verwag silwer voerings en reënboë, wees op ...
'n swemmer in groot water
Vreugde en veerkragtigheid: 'n Bewuste teenmiddel vir stres
by Nancy Windheart
Ons weet dat ons in 'n goeie oorgangstyd is, dat ons 'n nuwe manier van wees, lewe en ...
vyf geslote deure, een geel, die ander wit
Waar gaan ons van hier af?
by Marie T. Russell, InnerSelf.com
Die lewe kan verwarrend wees. Daar is soveel dinge aan die gang, soveel keuses word aan ons voorgehou. Selfs 'n…
Inspirasie of motivering: watter werk die beste?
Inspirasie of motivering: wat kom eerste?
by Alan Cohen
Mense wat entoesiasties is oor 'n doelwit, vind maniere om dit te bereik, en dit is nie nodig dat hulle afgeskrik word nie ...
fotosilhouet van bergklimmer wat 'n pik gebruik om homself te beveilig
Laat die vrees toe, verander dit, beweeg daardeur en verstaan ​​dit
by Lawrence Doochin
Vrees voel laf. Daar is geen manier om dit te vermy nie. Maar die meeste van ons reageer nie op ons vrees in 'n ...
vrou wat by haar lessenaar sit en bekommerd lyk
My voorskrif vir angs en kommer
by Jude Bijou
Ons is 'n samelewing wat graag bekommerd is. Bekommernis kom so gereeld voor, dat dit amper sosiaal aanvaarbaar voel ...
krom pad in Nieu -Seeland
Moenie so hard teenoor jouself wees nie
by Marie T. Russell, InnerSelf
Die lewe bestaan ​​uit keuses ... sommige is 'goeie' keuses, en ander nie so goed nie. Elke keuse…
Laat die rivier van jou verbeelding vloei: speel om te skep
Laat die rivier van jou verbeelding vloei: speel om te skep
by Fabiana Fondevila
Baie mense beskou die verbeelding met agterdog as iets wat geen plek in die volwasse lewe het nie. In ...
Die Verenigde State van Amerika Deel 2: Die Storm Voor Die Storm
Die Verenigde State van Amerika Deel 2: Die Storm Voor Die Storm
by Robert Jennings, InnerSelf.com
Ek is onlangs 'n gladde stuk fossiel-brandstof-propaganda gestuur wat meestal vol halwe waarhede was om ...
Eris: Die Radical Feminine Awakens
Eris: Die Radical Feminine Awakens
by Sarah Varcas
Eris, in al haar magtige glorie, kom om dinge reg te stel. Eris ken die krag van die vroulike, ...

MEESTE LEES

Hoe die lewe aan die kus gekoppel is aan swak gesondheid
Hoe die lewe aan die kus gekoppel is aan swak gesondheid
by Jackie Cassell, professor in primêre sorg epidemiologie, erekonsultant in openbare gesondheid, Brighton en Sussex Medical School
Die bedenklike ekonomieë van baie tradisionele kusdorpe het sedert die ...
Die mees algemene kwessies vir Aarde Engele: Liefde, Vrees en Vertroue
Die mees algemene kwessies vir Aarde Engele: Liefde, Vrees en Vertroue
by Sonja Grace
As u ervaar dat u 'n aarde-engel is, sal u ontdek dat die weg van diens deurspek is ...
Hoe kan ek weet wat die beste vir my is?
Hoe kan ek weet wat die beste vir my is?
by Barbara Berger
Een van die grootste dinge wat ek daagliks met kliënte ontdek het, is hoe uiters moeilik dit is ...
Eerlikheid: die enigste hoop vir nuwe verhoudings
Eerlikheid: die enigste hoop vir nuwe verhoudings
by Susan Campbell, Ph.D.
Volgens die meeste singles wat ek tydens my reise ontmoet het, is die tipiese dateringsituasie belaai ...
Watter rolle in mans in die 1970's teen seksisme kan ons leer oor toestemming
Watter rolle in mans in die 1970's teen seksisme kan ons leer oor toestemming
by Lucy Delap, Universiteit van Cambridge
Die antiseksistiese mansbeweging uit die 1970's het 'n infrastruktuur van tydskrifte, konferensies, mansentrums ...
Chakra-genesingsterapie: Dans na die innerlike kampioen
Chakra-genesingsterapie: Dans na die innerlike kampioen
by Glen Park
Flamencodans is 'n plesier om na te kyk. 'N Goeie flamencodanser dans 'n uitbundige selfvertroue ...
Neem 'n stap na vrede deur ons verhouding met gedagte te verander
Stappe na vrede deur ons verhouding met denke te verander
by John Ptacek
Ons spandeer ons lewens gedompel in 'n vloed van gedagtes, onbewus daarvan dat 'n ander dimensie van bewussyn ...
'N Astroloog stel die Nege Gevare van Astrologie bekend
'N Astroloog stel die Nege Gevare van Astrologie bekend
by Tracy Marks
Astrologie is 'n kragtige kuns wat ons lewens kan verbeter deur ons in staat te stel om ons eie ...

volg InnerSelf op

facebook-ikoonTwitter-ikoonYouTube-ikooninstagram-ikoonpintrest-ikoonrss-ikoon

 Kry die nuutste per e-pos

Weeklikse Tydskrif Daaglikse Inspirasie

BESKIKBARE TALE

enafarzh-CNzh-TWdanltlfifrdeeliwhihuiditjakomsnofaplptroruesswsvthtrukurvi

Nuwe Houdings - nuwe moontlikhede

InnerSelf.comClimateImpactNews.com | InnerPower.net
MightyNatural.com | WholisticPolitics.com | InnerSelf Market
Kopiereg © 1985 - 2021 InnerSelf Publikasies. Alle regte voorbehou.