neprihlásený Štvrtok, 28. novembra 2024, dnes má meniny Henrieta
PC a smartfóny sa budú dať hackovať webmi aj bez softvérových zraniteľností

Značky: PCsmartfónybezpečnosť

DSL.sk, 4.1.2016


Dvojica bezpečnostných expertov Clémentine Maurice a Daniel Gruss pracuje na zaujímavej technike útoku, ktorá umožní útočníkom kompletne hacknúť počítač a pravdepodobne aj mobilné zariadenia iba po návšteve podvrhnutej webovej stránky a to bez akýchkoľvek softvérových zraniteľností v prehliadači, pluginoch a rozšíreniach alebo operačnom systéme.

Maurice a Gruss o tom informovali na minulotýždňovej bezpečnostnej konferencii 32c3 konanej v nemeckom Hamburgu.

Ich práca využíva techniku označovanú Rowhammer, neautorizované menenie hodnôt uložených v bunkách operačných DDR pamätí častým prístupom k iným bunkám pamäti v susedných riadkoch. Maurice a Gruss nadväzujú najmä na zistenia bezpečnostného tímu Project Zero spoločnosti Google, útok ale implementovali čisto pomocou JavaScriptu a je tak realizovateľný akoukoľvek webovou stránkou.

Rowhammer

Ako sme upozorňovali v tomto a tomto článku, v DDR pamätiach je možné vyvolať zmeny bitov opakovaným mnohonásobným rýchlym zvýšením a znížením úrovne napätia vodičov v susedných riadkoch. To je možné dosiahnuť opakovaným čítaním dát zo susedných riadkov, pričom kvôli bufferu aktuálneho sprístupňovaného riadku je potrebné čítať dáta na striedačku z dvoch susedných riadkov.

K nežiadúcim zmenám prichádza kvôli postupnej strate náboja pamäťových buniek a interferencii susedných vodičov.

Útok tak umožňuje meniť obsah pamäti, ku ktorému kód nemá oprávnenie na zápis. Problém bol v roku 2014 úspešne demonštrovaný na DDR3 pamätiach, pôvodne sa ale považoval za príliš nekontrolovateľný aby umožnil bezpečnostný útok. V minulom roku ale tím z Project Zero demonštroval praktický útok, keď takouto zmenou pamäte získal neprivilegovaný proces plný prístup v operačnom systéme Linux. Technika nie je pritom špecifická pre Linux a zrejme by sa dala aplikovať aj v iných operačných systémoch.


Jednoduchý natívny kód, ktorý dokáže vyvolať chyby v DDR3 pamätiach



Pri útoku Rowhammer musí kód vyvolať dostatočný počet prístupov k cieľovým riadkom v rámci jedného obnovovacieho cyklu DDR pamäte, ktorý sa pohybuje v desiatkach milisekúnd. Keďže opakované prístupy k rovnakým adresám CPU cachuje, útok Project Zero k vyprázdňovaniu cache pamätí využíva špecifickú x86 inštrukciu clflush. Tento útok je tak špecifický pre x86 architektúru a musí byť realizovaný natívnym kódom.

Rowhammer v JavaScripte

Maurice a Gruss ale začali vyvíjať útok bez takýchto obmedzení, ktorý by následne mohol byť realizovaný napríklad JavaScriptom vo webových stránkach.

Keďže JavaScript neumožňuje vykonať inštrukciu clflush a neumožňuje prístup k fyzickým adresám, v JavaScripte experti vyprázdňujú cache procesora opakovaným načítavaním iných adries pamäte, ktoré cieľové adresy z cache postupne vytlačia.

Technika musí byť dostatočne rýchla, aby stihla uskutočniť dostatočný počet čítaní cieľových adries v jednom cykle pamäte. Staršie procesory používajú algoritmus LRU, Least Recently Used, vyprázdňovania svojich cache pamätí, na novších architektúrach napríklad od Intel Haswellu ale používajú iné algoritmy a experti tak vyvinuli novú účinnú techniku efektívne a rýchlo vyprázdňujúcu cache.

Prvú zmenu hodnôt pamäte, ku ktorej nemal na základe oprávnení JavaScript kód prístup, pomocou útoku Rowhammeru dosiahol tím v júli. Množstvo dosahovaných zmien bitov v pamäti je za rovnaký čas na danej platforme menšie ako pri natívnom útoku, stále ale pri obnovovacej dobe viac ako 40 ms dosahuje napríklad na Intel Haswell viac ako desať zmien za sekundu a je praktické pre zrealizovanie útoku.

Následne začal tím pracovať na praktickom bezpečnostnom útoku, pričom za týmto účelom modifikuje útok tímu Project Zero. Ten je technicky pomerne komplikovaný. Útočiaci kód najskôr spôsobí v pamäti rozsiatie množstva tzv. stránkovacích tabuliek pamäte s informáciami o mapovaní z virtuálnych adries na fyzické. Následne sa Rowhammer útokom snaží vyvolať zmenu bitov, ktorá v niektorej položke takejto tabuľky zmení pamäťovú fyzickú adresu na fyzickú adresu obsadenú niektorou inou tabuľkou. Proces následne môže túto svoju stránkovaciu tabuľku ľubovoľne meniť, zrejme cez virtuálnu adresu pôvodnej stránky, a prideliť si práva na zápis do celej fyzickej operačnej pamäte. To už umožňuje jednoduché získanie najvyšších oprávnení.

V JavaScripte museli experti prekonať viaceré ďalšie obmedzenia, ktoré znemožňujú presne rovnaký útok. Najmä rozsievanie stránkovacích tabuliek nie je možné uskutočniť rovnakým spôsobom, dokázali ho dosiahnuť ale vďaka deduplikácii stránok pamäte so samými nulami operačným systémom.

K týmto stránkam má proces ale práva len na čítanie a Rowhammer útok je potrebné využiť naraz na zmenu aj adresy aj oprávnení v položke stránkovacej tabuľky, čo je náročnejšie ako pri natívnom útoku.

Podľa aktuálnych informácií zatiaľ kompletný úspešný útok ešte nezrealizovali, avizujú ale že by sa im to malo čoskoro podariť.

Mobily

Experti sa zatiaľ zamerali na testovanie útoku vo Firefoxe pod Linuxom na Intel procesoroch x86 architektúry. Ich metóda je ale principiálne použiteľná aj na iných platformách, vyžaduje len menšie úpravy a samozrejme zistenie reálnej efektívnosti. Podľa pôvodných zistení z roku 2014 sa napríklad na AMD platforme objavovali zmeny v pamätiach menej častejšie ako na Intel platforme.

Gruss sa v diskusii vyjadril aj k otázke realizovateľnosti útoku na smartfónoch. Za týmto účelom, pre spomalenie obnovovacieho cyklu pamäte, testovali smartfón umiestnený v chladničke. Zatiaľ ale na smartfóne nezrealizovali ani praktický Rowhammer útok, keď zatiaľ na využívanom smartfóne nezistili mapovanie medzi fyzickými adresami pamäte a fyzickým umiestnením buniek na čipoch.

Obrana

Proti Rowhammer útoku začali výrobcovia pamätí implementovať niektoré účinné opatrenia. Napríklad DDR4 štandard podporuje dynamické obnovovanie riadkov pamäti, ktoré by mohli byť útokom ovplyvnené. Či sú ale ochrany reálne implementované vo všetkých DDR4 pamätiach nie je jasné.

Zároveň v používaní je množstvo existujúcich zariadení so skoršími generáciami pamätí.

V závislosti na tom ako často zmenené bity pri Rowhammer útoku vznikajú môže byť efektívnym riešením pre koncových užívateľov skrátenie obnovovacej doby pamätí zmenou nastavení v BIOSe, ak daný BIOS samozrejme takéto nastavenie podporuje.

Maurice a Gruss navrhli aj softvérové riešenie na úrovni operačných systémov, ktoré spočíva v rozdelení pamäte na regióny s rozličnými režimami prístupu a ich fyzickom oddelení nepoužívanými medzerami v pamäti.

Zaujímavú prezentáciu expertov na 32c3 si je možné pozrieť na media.ccc.de.


      Zdieľaj na Twitteri



Najnovšie články:

Austrália už schválila zákaz sociálnych sietí všetkým mladým do 16 rokov
Na Slovensko.sk sa nebude dať cez víkend platiť
Jedna stanica v DVB-T zmenila rozlíšenie na HD
Telekom pridal 5G sieť vo viacerých mestách a množstve obcí
Predaje smartfónov tento rok výrazne narastú


inzercia



Diskusia:
                               
 

Toto sú tie istoty?
Odpovedať Známka: 3.6 Hodnotiť:
 

Isté je, že zomrieš.
Odpovedať Známka: 8.7 Hodnotiť:
 

ma niekto aspon predstavu ako moze vyzerat javascriptovy kod ktory nejakym spôsobom cielene manipuluje s konkretnymi stránkovacími tabulkami, pamatovymi adresami..?

Odpovedať Známka: 7.6 Hodnotiť:
 

use jQuery
Odpovedať Známka: -4.3 Hodnotiť:
 

chyba, install arch
Odpovedať Známka: 1.1 Hodnotiť:
 

1+1=3
Odpovedať Hodnotiť:
 

a že budeš platiť dane.
Odpovedať Známka: -1.1 Hodnotiť:
 

A čo ak zomrie skôr než začne platiť dane?
Odpovedať Známka: 0.9 Hodnotiť:
 

neni mozne
Odpovedať Známka: 6.7 Hodnotiť:
 

Pohrebnej službe, ktorá je s.r.o., čiže platca DPH jeho rodina vycáluje 300-1000€, z čoho 20% budú danéééééééééé. Ibaže by sa na to vykašlali a nechali pohrem zaplatiť mestu. :P
Odpovedať Hodnotiť:
 

Lenže to už toho mŕtveho akosi trápiť nemusí.
Odpovedať Hodnotiť:
 

Nie. Iba odpoveď na otázku v diskusii o obmedzení pohybu dronov "Od: Káblik | Pridané: 3.1.2016 21:24 ".
Odpovedať Známka: -7.8 Hodnotiť:
 

SyntaxterrorX čo máš s nickom?
Odpovedať Známka: 8.5 Hodnotiť:
 

Nadobudol som dojem, že prestávam byť braný vážne.
Odpovedať Známka: 0.0 Hodnotiť:
 

Myslel som, že si si zvykol :D
Odpovedať Známka: 8.2 Hodnotiť:
 

Veď to. Mission completed.
Odpovedať Známka: -2.0 Hodnotiť:
 

Teba niekto bral vazne? Pre mna si bol velmi humorna vlozka v diskusii ! DONT LEAVE ME NOW
Odpovedať Známka: 3.3 Hodnotiť:
 

Nevem si predstavit uhackovat PC webom
Odpovedať Známka: 3.3 Hodnotiť:
 

Rowhammer
created by
Clémentine Maurice & Daniel Gruss



sponsored by
NSA
Odpovedať Známka: -6.0 Hodnotiť:
 

to je od nich milé
Odpovedať Známka: 0.0 Hodnotiť:
 

Hmm, jedol som už kopec raw vecí, ale raw kladivo ešte nie. Musím vyskúšať!
Odpovedať Známka: 6.0 Hodnotiť:
 

Dodá ti železo a vlákninu
Odpovedať Známka: 8.9 Hodnotiť:
 

Keď oblizuje kladivo Miley Cyrus tak je to "sexy" a "umenie".
Keď to robím ja tak som "opitý" a mám "doživotný zákaz vstupu do Hornbachu"
Odpovedať Známka: 9.5 Hodnotiť:
 

http://i.imgur.com/L8rkF8v.png
Odpovedať Známka: 5.4 Hodnotiť:
 

Nailed it!
Odpovedať Známka: -3.3 Hodnotiť:
 

Jožo, to si ty?
Odpovedať Známka: 6.7 Hodnotiť:
 

http://dopice.sk/fXl
Odpovedať Známka: 6.7 Hodnotiť:
 

Ti železo a vlákninu dodá.
Odpovedať Hodnotiť:
 

vyhravate cenu najtrapnejsi prispevok roka 2016, gratulujeme.
Odpovedať Známka: -7.1 Hodnotiť:
 

nie tak zhurta
Odpovedať Známka: 8.5 Hodnotiť:
 

"nie tak zhurta"

Tak teda pomalsie:

10.. 9.. 8.. 7.. 6.. 5.. 4.. 3.. 2.. 1..

Vyhravate cenu najtrapnejsi prispevok roka 2016, gratulujeme.

Odpovedať Známka: -6.9 Hodnotiť:
 

Noc je ešte mladá...
Odpovedať Známka: 7.8 Hodnotiť:
 

Pravda, tak si este pockame na dalsich kandidatov. Zpociatku ma premohla sila zvyku, na Slovensku je bezne ze vo verejnych sutaziach sutazi jeden kandidat sam so sebou.
Odpovedať Známka: 7.8 Hodnotiť:
 

10,9,8,7,6 a 5 je 11
Odpovedať Hodnotiť:
 

ale tam je Row ako riadok :D Riadkové kladivo! asi niečo na vyklepanie rezňov...
Odpovedať Známka: 10.0 Hodnotiť:
 

mobily ale nemaju x86 procesory
Odpovedať Známka: -10.0 Hodnotiť:
 

1. Intel
2. "Experti sa zatiaľ zamerali na testovanie útoku vo Firefoxe pod Linuxom na Intel procesoroch x86 architektúry. Ich metóda je ale principiálne použiteľná aj na iných platformách, vyžaduje len menšie úpravy a samozrejme zistenie reálnej efektívnosti. "
Odpovedať Známka: 8.0 Hodnotiť:
 

Čo sa človek nedozvie, keď si prečíta článok, ktorý komentuje!
Odpovedať Známka: 10.0 Hodnotiť:
 

niektore maju. je v nich intel.
Odpovedať Známka: 6.0 Hodnotiť:
 

utok nevyuziva sw ale hw zranitelnost, no a? Ano, je to ina kategoria zranitelnosti, ale je to tiez zranitelnost. Ked niekto nema priretazeny a zamknuty pocitac o stol, zavareny kryt usb portov, tiez sa daju podnikat rozne utoky a moze mat aky chce prehliadac a nezranitelne pluginy i OS. Je to skratka ina kategoria a hotovo. Bud sa vymyslia lepsie izolovane DDR, a mozno sa to jednoducho osetri softverovo (firmverovo?), napr. antivirusy by to mohli nejako detegovat.
Odpovedať Známka: 1.4 Hodnotiť:
 

tu je sranda v tom, ze hw chybu dokazu vyuzit SW-ovo
Odpovedať Hodnotiť:
 

A čo tak ECC pamäte? Tie sú tiež zraniteľné?
Odpovedať Známka: 10.0 Hodnotiť:
 

ECC zhasne. Ked sa prekoci jeden bit, snazi sa ho opravit, ak sa nepodari, alebo 2 bity sa prekocia, tak pocitac zhasne (resp restartuje sa - nastavenie v BIOSe definuju spravanie)
a ked prekocia 3 bity, tak je sanca, ze to "prejde", tak ako v CPU.
Odpovedať Hodnotiť:
 

ešte že používam sd-ram
Odpovedať Známka: 10.0 Hodnotiť:
 

ešte že používam pero a papier :)
Odpovedať Známka: 7.8 Hodnotiť:
 

Ja mam stare dobre Edo. Ak si este niekto pamata co to je.
Odpovedať Známka: 3.3 Hodnotiť:
 

EDO ram to uz bolo nieco ale co tak SIPP :P pamatam na svoje chuda 386sx 25MHz 1MB SIPP ram hecules vga a jantarovy monitor 40MB HDD to boli casy
Odpovedať Známka: 6.0 Hodnotiť:
 

SIP? Si mal drôtové vývody z RAM? V čase 386-tiek?
Vymýšľaš si...
Odpovedať Hodnotiť:
 

DDR3 je predsa DDR3 SDRAM
Odpovedať Hodnotiť:
 

zabite ho niekto
Odpovedať Hodnotiť:
 

ak je toto cudo funkcne len na podvrhnutej sranke tak to si staci len castejsie aktualizovat blacklist podvrhnutych stranok a je po probleme o) či?
Odpovedať Známka: -6.0 Hodnotiť:
 

Reklamne systemy. Nehovorim, ze sa to tyka teba, ale ovce bez ad-blockera su v riti.
Odpovedať Hodnotiť:
 

ako este som ani nedocital clanok.. a uz som tusil, ze "obrana" bude v DDR4...sak ako inak zrychlit presun na /predaj DDR4...
Odpovedať Známka: 6.7 Hodnotiť:
 

Volá sa:
https://NoScript.net/
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár