Počítače s DDR3 je možné hacknúť aj bez chýb v softvéri

Značky: PCbezpečnosť

DSL.sk, 11.3.2015

Problém v moderných DDR3 pamätiach, ktorý umožňuje iba opakovaným čítaním zmeniť v pamätiach uložené informácie, má reálne bezpečnostné dôsledky a je ho možné zneužiť aj na získanie kontroly nad PC.

Preukázali to experti z tímu Project Zero spoločnosti Google.

Problém v DDR3 pamätiach

V DDR3 pamätiach je podľa zistení tímu z Carnegie Mellon University a Intel Labs z konca minulého roka možné vyvolať zmeny bitov opakovaným mnohonásobným rýchlym zvýšením a znížením úrovne napätia vodiča fyzického riadku pamäte v rámci jedného obnovovacieho cyklu.

Takéto mnohonásobné opakovanie v rámci jedného obnovovacieho cyklu pamäte, teda skôr ako sa uložené hodnoty v DDR pamäti obnovia, môže postupne v moderných pamätiach s čoraz menšími bunkami a ich väčšou hustotou zmeniť uložený náboj a teda uložené hodnoty v pamäťových bunkách v okolitých riadkoch.

Jednoduchý program, ktorý dokáže vyvolať chyby v DDR3 pamätiach

V 2 GB moduloch tím dokázal vyvolať na Intel platformách až 16 až 22 tisíc zmien hodnôt, na AMD Piledriver platforme počet chýb dosahoval 58.

O probléme sme detailne informovali v tomto článku.

Bezpečnostné dôsledky

Potrebné čítanie pre zmenu hodnôt môže iniciovať program bežiaci s oprávneniami bežného užívateľa a zmeniť pamäť patriacu jadru operačného systému.

Problém tak takmer automaticky znamená možnosť zhodiť operačný systém.

Tím Googlu ale dokázal problém využiť na reálne získanie root oprávnení na 64-bitovom Linuxe bežným neprivilegovaným procesom.

Proces to dokázal pomerne komplikovaným mechanizmom, keď zmenou bitov pamäte v tzv. stránkovacích tabuľkách pamäte získal prístup na zapisovanie do vlastnej stránkovacej tabuľky a tým si dokázal zabezpečiť právo na zápis do celej fyzickej operačnej pamäte. Ten je samozrejme možné využiť na získanie root oprávnení.

Google problém testoval na 29 notebookoch, pričom na 15 sa mu podarilo spôsobiť zmenu bitov v pamätiach. Ako spoľahlivý je exploit kód pri získaní root oprávnení a či exploit nekončí v niektorých prípadoch pádom operačného systému spoločnosť neuvádza.

Podľa Google by exploit mohol byť portovaný aj na iné operačné systémy.




Najnovšie články:



Diskusia:

výmena Od reg.: Trololoooo | Pridané: 11.3.2015 12:34 A to akože mi teraz predajca môjho notebooku vymení moju pamäť za nehacknuteľnú ? alebo akože zaplatil som si 1000evri za dačo čo mi bude dakto len tak zhadzovať lebo súdruhovia spravili chybu pri návrhu ? nemajú povinnosť mi to vymeniť za nevadný produkt ? Odpovedať Známka: -3.8 Hodnotiť:

Re: výmena Od: ceko2 | Pridané: 11.3.2015 12:37 Si realny ? Vymeni ti ju za core rope memory tu ti nahacknu. Odpovedať Známka: 6.0 Hodnotiť:

Re: výmena Od: dfdfs | Pridané: 11.3.2015 13:00 to ma za to ze kupuje cinske sunty Odpovedať Známka: -2.9 Hodnotiť:

Re: výmena Od: party | Pridané: 11.3.2015 13:04 treba kúpiť AMD piledriver a z intelovských 16.000 - 22.000 zmenených buniek je to len 58. Odpovedať Známka: 3.9 Hodnotiť:

Re: výmena Od: madmen | Pridané: 11.3.2015 13:16 aspon vidis, ktory procesor je rychlejsi :) intel, ktory zvlada 20+K zmien alebo AMD ktore dokaze spravit rovno 58 chyb :) Odpovedať Známka: -2.4 Hodnotiť:

Re: výmena Od: party | Pridané: 11.3.2015 13:30 tu nejde o rýchlosť procesora, ale zrejme o odlišnosť radičov Odpovedať Známka: 7.7 Hodnotiť:

Re: výmena Od: 4Maniak. | Pridané: 11.3.2015 14:09 Zaujímavé, lebo konštrukcia RAMky je pre obe platformy rovnaká. Z toho mi vychádza to, že AMD to nejako skamuflovali a tu zhodou okolností vyšiel menšia chybovosť, čo vôbec nemusí korešponodvať s tým, že by mohol byť kvalitnejší. Skôr by ma zaujímalo, aké časté sú refreše alebo akým spôsobom v tej ktorej platforme robené... Odpovedať Známka: -2.0 Hodnotiť:

Re: výmena Od: PCnityXXX | Pridané: 11.3.2015 14:32 Mozno som uplne mimo, ale nebude to tym ze intel na radice pamate priamo na CPU die a AMD ma radice na zakladnej doske? Odpovedať Známka: -4.7 Hodnotiť:

Re: výmena Od: Wil | Pridané: 11.3.2015 14:35 Si úplne mimo. AMD mali ako prvý radič v CPU za čias K8 soc.754 a Intel ich mal ešte dlho v čipsete na doske. Tu ide asi o rozdielný návrh radiča Odpovedať Známka: 7.3 Hodnotiť:

Re: výmena Od: nou | Pridané: 11.3.2015 15:03 tak AMD myslim ze dokaze bezat na vyssom napeti a tiez som videl spekulaciu ktora hovoril o tom ze clush sposobi flush len L1+L2 ale L3 nie. Ocividne ma AMD iny radic ktory nie je tak nachylny na tento typ utoku. Odpovedať Známka: 7.8 Hodnotiť:

Re: výmena Od: 345345 | Pridané: 11.3.2015 15:04 jj pretoze amd nemoze spravit nieo lepsie ako intel Odpovedať Známka: -2.3 Hodnotiť:

Re: výmena Od: Wil | Pridané: 11.3.2015 15:07 Ty Inteldiot je to práveže naopak. Citujem kolegu s DSL --------- Od: Mir | Pridané: 30.12.2014 14:23 Intel nevyrobil poriadny DDR3 pamatovy radic od doby co zacali s cipsetmi X38. Prekracovali JEDEC Standardy tym ze ludom tlacili ramky s napatim 1,9v (standard je 1,5v) a predavac vam s usmevom povedal "tak z nich aspon viac dostanete OCckom". Potom vezmete poriadne ramky ktore na Intely sli na 1600Mhz CAS 8, ale s chybami, date ich na AMD a funguje to na 1600 CAS 7 bez najmensich problemov. Odpovedať Známka: 2.0 Hodnotiť:

Re: výmena Od reg.: Pjetro de | Pridané: 11.3.2015 21:26 Inak Intel zvysoka sere na standardy, lebo je to defacto monopol a moze si to dovolit. On tvori standardy tym, na ktore standardy sa do akej miery vysere. - Podpora HEVC 265? Krista na to treba zvlatsny clanok na DIIT.CZ a rozsirenu tabulku, ktora z tych pol-generacii a stvrt-generacii pridrbanych Haswelov, Broadwelov a Skylakov bude podporovat tu-ktoru vlastnost HEVC. AMD je sice opozdene, ale ked podpora, tak plnohodnotna. - Ako pises RAM. Mame v riti 1,5-1,65 volta. - Nech zapojim akykolvek notebook na platforme Intel+nVidia k TV cez HDMI, vzdy mam po okrajoch orezanych minimalne 16 pixelov. Z kazdej posratej strany. Ked toto iste spravim na AMD, na TV NENI OREZANY ANI JEDINY PIXEL. Odpovedať Známka: 0.5 Hodnotiť:

Re: výmena Od: hyperlink | Pridané: 11.3.2015 22:44 Citit z teba flustraciu, kazdy vie, ze mas podtaktovany Phenom X6 a na vsetko ti staci, ale meles piate cez deviate. Ano Intel urcuje standardy, staci sa poziret na pocet jeho patentov, vlastne fabriky, prinos pre linux a mnoho dalsich, Intel tlaci vyvoj dopredu a z tvojho pohladu mozno pomaly, ale to si neuvedomujes, ze je to cim dalej narocnejsie. AMD a plna podpora? WTF? CPU bug v Kaveri sa nesnazili ani vyriesit, hsa funkcne len v promo letakoch, archaicke AM3 sockety tu mame uz patrocnicu, dalej ani nema zmysel pokracovat. A s tym okrajom si zatal, lebo to bol dlhodoby problem AMD grafik, ktory sa tahal snad 10 rokov, kym sa ho racili vyriesit. Nvidia ten problem nema ani nemala. A vypni si caps-lock, takto len zvyraznujes svoje bludy:) Odpovedať Známka: -1.6 Hodnotiť:

Re: výmena Od reg.: Pjetro de | Pridané: 12.3.2015 8:11 Vyvoj dopredu tlaci konkurencia a nie jedna firma. Aj ked to na prvy pohlad tak nevyreza a na trh sa v zapale boja dostavaju katastrofalne nedorobky a slepe ulice (RIMM RAM, Pentium 4, HD 2900, Buldozer ...), v konecnom dosledku to vyvoj pohlo dopredu. Avsak od roku pana 2006, ked konkurencia na poli CPU (uvedenim Core architektuty pre desktop) defacto niet, sa cisto na poli CPU udialo vies co? Velke hovno. Aj to ze existuje APU ma na svedomi KONKURENCIA a nie jedna firma. Pre Intel by bolo nemyslitelne aby AMD malo APU a Intel nie. HSA - je prevratny koncept. Co v letakoch? A co? Sak ked ma byt az v R9 390/390X ktore pridu az v juni tak co ... Odpovedať Známka: 0.0 Hodnotiť:

Re: výmena Od reg.: Pjetro de | Pridané: 12.3.2015 8:11 To akoze jeden socket 5 rokov je nevyhoda? OMYL !!! Mam 6-rocnu fosnu so socketom AM2+ (ten socket je o trocha starsi) a mozem dat do nej prvucicky CPU na baze K8 z roku pana 2003-2004, ako aj posledneho mohykana K10.5 Ph II X6 1100T z roku 2011. Jedine co tam nejde su FX CPU, ponivac tie uz maju len DDR3 radic a ja mam DDR2 platformu. Tomu kua hovorim zivotnost a kompatibilita !!! Povedz mi socket Intelu, kde mozes drbnut CPU po 8. rokoch, pretoze sa CPU po tych 8. rokoch stale pre ten socket vyrabali !!! Taky socket NEEXISTUJE !!! Aj u AMD je to jedine AM2+, nie AM2 (kde mozu mat K10.5 Phenomy problem) ani novsi AM3 (prilis mlady na veterana) a tym duplom uz nie "novy" AM3+. AMD je opozdene - ano, aj obycajne prehravanie H264 4K bolo pred Kaveri hardverovo nemozne, ale svoju robotu si robi. Odpovedať Známka: 2.0 Hodnotiť:

Re: výmena Od reg.: Pjetro de | Pridané: 12.3.2015 8:23 Aha, a nefuncknu TSX instrucnu sadu s Haswelloch a Broadweloch (ktore vlastne pre desktop ani nikdy nebudu existovat, lebo hned pride Skylake) Intel vyriesil ako? Odpoviem si sam: odporucanou deaktivaciou v BIOSe a odporucanym cakanim na dalsie pol-stvrt-osminkove pol-stvrt-generacie Nebeskeho Jazera. To sa koniec koncov ani inak riesit neda. A co ma AMD TERAZKY riesit v Kaveri? Sak cochcila je to Carrizo. Zaoberat sa s Kaveri by bola hovadina na n-tu. ZAMYSLENIE: davno tu mal byt v septembri 2014 hypotetický 14 nm Broadwel Ci7 5770K (ktory by schoval Haswell) a na jesen 2015 hypotetický 14 nm Skylake Ci7 6770K. A kde je ten 14 nm Broadwel Ci7 5770K zo septembra 2014? Nikde, miesto neho v roku 2014 vysiel Haswell Refresh. Priciny su 2: neskutocne problemy so 14 nm a nulova konkurencia. Odpovedať Známka: 3.3 Hodnotiť:

Re: výmena Od: 4Maniak. | Pridané: 12.3.2015 8:58 Možno že je dobre byť bez konkurencie. Lebo nedorobky má najmä Ťamťung. Myslím kvalitatívne. Konkurencia by vás tlačila do istej záhuby, pretože kto robí rýchlo, robí najmä chybne. Odpovedať Známka: -10.0 Hodnotiť:

Re: výmena Od: Aladin | Pridané: 11.3.2015 15:42 Tie radiče sa tiež odlišujú len rýchlosťou :D Odpovedať Známka: -7.5 Hodnotiť:

Re: výmena Od reg.: nemam a nebudem mat | Pridané: 11.3.2015 14:29 pobavilo :D :D Odpovedať Známka: 2.5 Hodnotiť:

Re: výmena Od: Burans Killer | Pridané: 11.3.2015 15:36 Nie je to tak, precitaj si original clanok, ved napokon tu studiu vypracoval Intel a nie AMD. Bola pouzita testovacia platforma s FPGA cipmi s rozdielnymi metodikami vzhladom na rozdielne architektury. Pri zrovani metodickych postupov mal Intel len 40 zmien, teda menej ako AMD. Studia je komplexna a niekolkostranova, je problem z toho urobit parriadkovy vycucovy clanok, moze dost k vytrhavaniu veci z kontextu, co je tento pripad. Odpovedať Známka: 4.7 Hodnotiť:

Re: výmena Od: linux-man | Pridané: 11.3.2015 12:51 ale iba ak ficis na linuxe Odpovedať Známka: -7.4 Hodnotiť:

Re: výmena Od: party | Pridané: 11.3.2015 12:52 čítame s porozumením. posledná veta článku. Odpovedať Známka: 6.3 Hodnotiť:

Re: výmena Od: linux-man | Pridané: 11.3.2015 13:12 citame s porozumenim: "by mohol byt" neznamena "moze byt" a vonkoncom nie "je". Odpovedať Známka: -6.3 Hodnotiť:

Re: výmena Od reg.: WinstonSmith | Pridané: 11.3.2015 13:59 linux-man, Ty si pred tým robil cukrára? Vo svete bezpečnosti je snáď jasné, že ak je niečo možné, skôr, či neskôr to niekto zneužije. Odpovedať Známka: 7.0 Hodnotiť:

Re: výmena Od reg.: K-NinetyNine | Pridané: 11.3.2015 14:09 chyba je hardwarova, nie softwarova. takze je veeeelmi, ale fakt ze veeeelmi pravdepodobne ze "je". Odpovedať Známka: 7.1 Hodnotiť:

Re: výmena Od reg.: K-NinetyNine | Pridané: 11.3.2015 14:11 tiez tam pise ze tento exploit je (zrejme) portovatelny. ak by aj nebol, s najvacsou pravdepodobnostou hraniciacou s istotou bude mozne vyvinut ine exploity specificky pre kazdu platformu. Odpovedať Známka: 5.7 Hodnotiť:

Re: výmena Od: linux-man | Pridané: 12.3.2015 13:47 inymi slovami - nie si si isty, ci vobec je, a preto automaticky musi byt? nie si ty nahodou jeden zo svedkov liehovovych? Odpovedať Známka: -3.3 Hodnotiť:

Re: nie si si isty, ci vobec je Od: Rudolf Dovičín | Pridané: 12.3.2015 15:30 Ja som si istý. Preto, že pri tejto chybe ide o to, že rýchlim čítaním pamäte môžeš zmeniť inú blízku pamäť (čo je dané používanou štruktúrou pamäťových buniek na čipe). Neviem o tom, že by nejaký operačný systém oddeľoval sám seba od spustených programov čo sa týka umiestnenia vo fyzickej adrese. Odpovedať Hodnotiť:

Re: výmena Od reg.: K-NinetyNine | Pridané: 12.3.2015 20:06 ktory debil moze povedat ze "s najvacsou pravdepodobnostou hraniciacou s istotou" je to iste ako "nie si si isty, ci vobec je"? akoze vazne, zamysli sa nad sebou. Odpovedať Hodnotiť:

Re: výmena Od: 4Maniak. | Pridané: 11.3.2015 14:10 Alebo vonzačiatkom, že? Odpovedať Známka: 0.0 Hodnotiť:

Re: výmena Od: Src | Pridané: 11.3.2015 12:56 chyba je obecne v DDR3, takze vymena za inu DDR3 pamät asi nepomoze... vela moznosti teda nemas :) Odpovedať Známka: 8.9 Hodnotiť:

Re: výmena Od: jews bells | Pridané: 11.3.2015 13:21 i7 5820K a ddr4 :) Odpovedať Známka: -2.6 Hodnotiť:

Re: výmena Od reg.: jebebejbe | Pridané: 11.3.2015 13:22 si si isty, ze ddr4 nema obdobny problem? Odpovedať Známka: 8.6 Hodnotiť:

Re: výmena Od: jews bells | Pridané: 11.3.2015 13:59 'probatio diabolica' samozrejme, dokial sa nedokaze, ze ne/trpi, treba s tym podvedome ratat... sanca je, ze moze, sanca je, ze nie :) Odpovedať Známka: 5.6 Hodnotiť:

Re: výmena Od: PCnityXXX | Pridané: 11.3.2015 14:34 DDR4 tym netrpia, JEDEC tam uz hodil nejake ochrany ako refresh rowov. Odpovedať Známka: 4.3 Hodnotiť:

Re: si si isty, ze ddr4 nema obdobny problem? Od: Rudolf Dovičín | Pridané: 12.3.2015 15:38 Veď si pozri originál: JEDEC’s recently-published LPDDR4 standard for DRAM (where “LP” = “Low Power”) specifies two rowhammer mitigation features that a memory controller would be expected to use. (See JEDEC document JESD209-4 — registration is required to download specs from the JEDEC site, but it’s free.) “Targeted Row Refresh” (TRR) mode, which allows the memory controller to ask the DRAM device to refresh a row’s neighbours. A “Maximum Activate Count” (MAC) metadata field, which specifies how many activations a row can safely endure before its neighbours need refreshing. Naviac (ale nepíšu či DDR3 alebo DDR4): We found that at least one DRAM vendor indicates, in their public data sheets, that they implement rowhammer mitigations internally within a DRAM device, requiring no special memory controller support. Odpovedať Hodnotiť:

Re: chyba je obecne v DDR3 Od: Rudolf Dovičín | Pridané: 12.3.2015 15:43 Na to si ako prišiel? Google Project Zero píšu: "We found that at least one DRAM vendor indicates, in their public data sheets, that they implement rowhammer mitigations internally within a DRAM device, requiring no special memory controller support." Odpovedať Hodnotiť:

Re: výmena Od: Ja. | Pridané: 11.3.2015 13:06 Na tvojom aute je možné rozbiť okno, okamžite si ho choď vymeniť za hummera! Odpovedať Známka: 7.5 Hodnotiť:

Re: výmena Od: ejha | Pridané: 11.3.2015 13:31 Už keby si mám vybrať, asi by ma viac bavilo rozbíjať okná na hummerovi.. Odpovedať Známka: 6.7 Hodnotiť:

ECC ram Od: ttr | Pridané: 11.3.2015 13:42 Nevie niekto ci by to teoreticky fungovalo aj na ECC ram. Alebo ci samotne ECC zaisti konzistenciu ? Odpovedať Známka: 8.8 Hodnotiť:

Re: ECC ram Od: lakdjf | Pridané: 11.3.2015 13:50 to je dobra otazka, tiez by ma to zaujimalo... Odpovedať Známka: 8.7 Hodnotiť:

Re: ECC ram Od: PCnityXXX | Pridané: 11.3.2015 14:35 ECC tym netrpia... Aspon podla testu boli platofrmy s multi bit ECC celkom imunne. Odpovedať Známka: 7.5 Hodnotiť:

Re: ECC ram Od: nou | Pridané: 11.3.2015 15:00 ECC ram by mala byt voci takymto chybam odolna. Odpovedať Známka: 6.0 Hodnotiť:

Re: ECC ram Od: Slavius | Pridané: 11.3.2015 15:28 A ak ti tieto vyroky nestacia tak si nakonfiguruj memory mirroring... Odpovedať Hodnotiť:

ECC šťandardný typ SECDED nezaistí Od: Rudolf Dovičín | Pridané: 12.3.2015 15:55 http://goo.gl/AOr10Y Flipping Bits in Memory Without Accessing Them: An Experimental Study of DRAM Disturbance Errors (PDF 828 KiB) "While most words have just a single victim, there are also some words with multiple victims. This has an important consequence for error-correction codes (ECC). For example, SECDED (single error-correction, double error-detection) can correct only a single-bit error within a 64-bit word. If a word contains two victims, however, SECDED cannot correct the resulting double-bit error. And for three or more victims, SECDED cannot even detect the multi-bit error, leading to silent data corruption. Therefore, we conclude that SECDED is not failsafe against disturbance errors." Odpovedať Hodnotiť:

root root Od: android handroid | Pridané: 11.3.2015 16:10 takze uz konecne pojde androida rootnut obycajnou appkou? :) Odpovedať Známka: 8.5 Hodnotiť:

ECC RAM Od: Johny456 | Pridané: 12.3.2015 7:40 Takze ECC (ovela drahsie) pamate sa zle ptedavaju, zvlast ked ddr3 uz ma prakticky kazde zariadenie s ARM chipmi. Odpovedať Hodnotiť:

Re: ECC RAM Od: 4Maniak. | Pridané: 12.3.2015 10:04 Čo si chcel napísať? Nerozumiem Tvojej vete. Odpovedať Hodnotiť:

Klucova informacia Od: Jarko 214477 | Pridané: 12.3.2015 10:29 Toto je klucova informacia: "zmeny bitov vznikaju opakovaným rýchlym zvýšením a znížením úrovne napätia vodiča fyzického riadku pamäte...". To je klasicky elektrikarsky problem. Z technickeho pohladu na vec by stacilo zabezpecit DDR3 pamati tvrdsie a stabilnesie napajacie napatie a je po probleme. Naco tu riesite kraviny. Odpovedať Hodnotiť:

Re: Klucova informacia Od: Ferikuš | Pridané: 12.3.2015 13:35 hahaha, ty si dobrý, vieš tie úrovne sa tam vnútri na niečo používajú a rýchle sa striedajú, to neni o blbom napájaní Odpovedať Hodnotiť:

Wikipédia má o probléme celkom slušný článok Od: Rudolf Dovičín | Pridané: 12.3.2015 15:58 Samozrejme s kvalitnými referenciami: http://en.WikiPedia.org/wiki/Row_hammer Odpovedať Hodnotiť:

Rusenie susednych buniek Od: Jarko 214477 | Pridané: 12.3.2015 18:36 Problem rusenia susednych pamatovych buniek je znamy aj u FLASH pamati. Tam sa to prejavuje ak FLASH bukna ma uz blizie ku koncu svojej zivotnosti. NAND FLASH MLC ma typicky 20 000 prepisov, rusenie od suseda sa prejavuje uz od 3000 vykonanych zapisov na FLASH sektore. Odpovedať Hodnotiť:

Pridať komentár