Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (64)
  • добавить в избранное
    Добавить в закладки

Процессор как объект атаки

Прочитали: 1953 Комментариев: 93 Рейтинг: 87

Какой интересный пример искреннего удивления:

Совсем недавно я решил освоить python. Подучив основы, я решил написать приложение для автоматизации своих рутинных задач. Я не программист, но знания PL/pgSQL помогли быстро освоиться.

Я удивился, когда скомпилированная в .exe и .bin программа без каких-либо вопросов запустилась с флешки на другом компьютере, выполнив все, что в ней прописано:

  • удалить файлы из папки «Мои документы»
  • прочесть и заменить буфер обмена
  • вывести информацию о файлах в других каталогах
  • обратиться к интернету
  • выключить компьютер и прочие «шалости»

https://habr.com/post/426217/

Хороши «рутинные задачи»! Но вопрос не в этом. Многие по-прежнему склонны считать антивирус неким всемогущим искусственным интеллектом, который способен обнаружить даже такую опасность, с которой он еще не сталкивался.

На Linux редко кто ставит антивирус и прочие средства защиты, т.к. пользователи Linux обычно не качают что-либо из сомнительных источников. Обычно все устанавливается из доверенных репозиториев. Наверное, поэтому он не усыпан вирусами.

Но в Windows(8/10) я наивно ожидал какого-либо диалога о подтверждении запуска, визга антивируса и прочих прелестей. Я привык думать, что я надежно защищен, т.к. с моим компьютером ничего особо опасного не случалось.

Я пробовал запускать программу на разных компьютерах друзей, используя запись гостя и нового простого пользователя, ставил разные средства защиты — эффект тот же.

Исповедь ламера:

Я почему-то наивно полагал, что буфер обмена — это нечто «святое», т.к. в нем часто мелькает важная информация, и мне казалось, что я сам регулирую вставку данных.

Однако, как я понял, для ОС это просто программа, как PuntoSwitcher, Teamviewer и прочие, которые спокойно выполняют разного рода действия.

В общем, рекомендуем почитать эту статью всем, кто хочет понять, что думают о безопасности и антивирусах простые пользователи.

Вижу тут минусов много но не понимаю почему…

Столько умных людей но никто так и не ответил, автору на вопрос что делать то?

О том, что антивирус – не волшебник, мы говорили не раз и не два, это тоже одна из вечных тем.

Есть множество способов обойти защиту, если та ограничивается только антивирусом. Приведем лишь один пример – благо для практической реализации он сложен.

Вот вы задумывались о том, как работает процессор? Нет, мы вполне допускаем, что многие читали сообщения об очередном прорыве, когда новый процессор содержит столько-то миллионов транзисторов. Которые, понятное дело, щелкают и переключаются. Но что делать, если внезапно обнаружилось, что некий процессор делает ошибки? Неужели всем пользователям придется менять процессор? Нереально!

Ошибка Pentium FDIV — это ошибка в модуле операций с плавающей запятой в оригинальных процессорах Pentium, выпускавшихся фирмой Intel в 1994 году. Ошибка выражалась в том, что при проведении деления над числами с плавающей запятой при помощи команды процессора FDIV в некоторых случаях результат мог быть некорректным.

Наглядный способ воспроизведения:

4195835*3145727/3145727 = 4195835 (при умножении и делении на одно и то же число получаем исходное число)

4195835*3145727/3145727 = 4195579 (ошибочное значение, возвращаемое процессором, содержащим дефект)

https://ru.wikipedia.org/wiki/Ошибка_Pentium_FDIV

Группа немецких ученых из немецкого сообщества hardwaluxx.de обнаружила ошибку в работе процессоров Intel Skylake, приводящую к зависанию компьютера в процессе осуществления сложных вычислений. Позднее математики из проекта добровольных вычислений по поиску простых чисел Мерсенна (GIMPS) подтвердили наличие проблемы.

https://habr.com/company/pt/blog/274939

#drweb

https://habr.com/post/427757/

И вот был придуман микрокод (и даже нано-). С давних времен процессоры – это не только собственно железо с жестко «забитыми» возможностями, но и работающее внутри них программное обеспечение.

Я вам больше скажу: микрокод появился задолго до x86. Даже какой-нибудь разнесчастный Z80 (не говоря уже о всяких 68k или PDP-11) был построен на базе микрокода!

https://habr.com/company/pt/blog/274939/

А если в современных процессорах микрокод может заменить команду – скажем, из числа арифметических – и активироваться по определенным условиям? Да это же мечта для банковских троянцев!

Изначально микрокод отвечал в основном за то, чтобы управлять декодированием и выполнением сложных ассемблерных инструкций: операции с плавающей точкой, MMX-примитивы, обработчики строк с префиксом REP и т.п. Однако с течением времени на микрокод возлагается всё больше и больше ответственности за обработку операций внутри процессора. Так например, современные расширения процессоров Intel, такие как AVX (Advanced Vector Extensions) и VT-d (аппаратная виртуализация) – реализованы на микрокоде.

https://habr.com/post/427757/

Естественно, производители принимают меры для защиты микрокода – он обязательно снабжается подписью.

Микрокод обязательно должен быть подписан Intel, иначе процессор его просто не примет. Применяется RSA-2048, удачи злоумышленнику в попытках сбрутить.

У AMD тоже проверяется подпись, если мне не изменяет память.

И тут возникает вопрос паранойи:

Полагаю что в работах такого уровня не обходится без слитой(добытой) информации от разработчика и тесного сотрудничества с серьезными дядями.

#антивирус #взлом #миф

Dr.Web рекомендует

Что же касается многочисленных аппаратных уязвимостей процессоров, то они позволяют киберзлоумышленнику осуществлять эскалацию привилегий [3], извлекать криптографические ключи [4], создавать новые ассемблерные инструкции...

Киберзлоумышленник может активировать свою вредоносную полезную нагрузку – в том числе и удалённо. Например, когда необходимое для активации условие выполняется на веб-странице, контролируемой злоумышленником. Это возможно благодаря компиляторам Just-in-Time (JIT) и Ahead-of-Time (AOT), встроенным в современные веб-браузеры. Эти компиляторы позволяют испускать предопределённый поток ассемблерных инструкций машинного кода – даже если вы пишете программу исключительно на высокоуровневом JavaScript.

https://habr.com/post/427757/

А разработчики прикладного ПО по умолчанию считают, что процессор не может быть вредоносным!

Так и живем…

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: