Hirdetés
- AMD Navi Radeon™ RX 9xxx sorozat
- Azonnali VGA-s kérdések órája
- Kettő együtt: Radeon RX 9070 és 9070 XT tesztje
- Milyen processzort vegyek?
- AMD Navi Radeon™ RX 7xxx sorozat
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- DDR5-ös Ryzenekhez való, fapados deszka tűnt fel a Colorful portfóliójában
- 5.1, 7.1 és gamer fejhallgatók
- Samsung LCD és LED TV-k
- Milyen egeret válasszak?
Új hozzászólás Aktív témák
-
#50
xeon forever
addikt
xeon forever
addikt
A lenyeg, hogy maradjon eroforrasom a kovetkezo kartyamhoz, a tobbi le van tojva. -
Lacika112
aktív tag
válasz
#38075904
#46
üzenetére
Az intel 2 + éve amikor kiderült 10 + évre visszamenőleg tervezési hibásak a prociaik biztonsági rést keresnek az amd procikon.
CTSLabs-t létrehozták amit se előtte, se azóta semmi mást nem tudni mint ez az egy "húzása"
Egy intel fiókcég ami a saját biztonsági hiányosságairól próbálta elterelni a figyelmet.Amikor kibukott a botrány intel miről beszélt? Az amd, arm, power stb cpukkal mivan. A sajátjukat meg se említették mert kínos lett volna beismerni "lebuktunk a sebességért feláldoztuk a biztonságot".
3%? hmmm az hány ezer? tízezer? gépet jelent? Még a mai napig se találtak olyat ami kihasználható a nélkül hogy már fel lenne törve a rendszer.
Mutass kérlek egy olyan vidit, forrást, prezentációt akármit ahol úgy törik a piros rendszert hogy nincs már valamilyen más módon feltörve.
Nem találsz. Hány linket, forrást, vidit, prezentációt mutassak ahol intelt törnek? Dugig velük a net. Jelenleg valami 100+ biztonsági résnél tart az intel és hétről hétre bővül a lista.Ha nem tudsz érvelni ne erőltess valamit mert csak kinevetteted magad.
CTSLabs nak kérlek írj..... majd szólj ha visszaírt a megszűnt fantomcég.
Torvalds nem egy hoki zugprogramozó, konkrétan kinevette azt a rést amire célzol.
Biztosan okosabb vagy nála
-
#38075904
törölt tag
Az intelt nem úgy tervezték?
Nem lehet hogy inkább azokon a dolgokon szokták keresni a rést ami a világot mittom 80% ban fedi le? Senki nem fog erőlködni a maradékon.
Kijönne egy fuzsijama V1 es CIRMOS processzor, 1 lenne belőle a világon, az lenne a leg biztonságosabb. Mert az a kutyát nem érdekli.Illetve százalékos arányban ez mekkora veszélyt jelent (az összes biztonsági rés )egy facebook regisztrációhoz képest? Amin van x milliárd user. Melyik a nagyobbik rettegés.
-
wattafaka
senior tag
-
holczy
aktív tag
Értem. Gyanítom, akinek az a hobbija, hogy szerverekre tör be megfelelő hozzáféréssel, és talán, lehet, de nem biztos, hogy éppen ki tudja találni a jelszavamat a karakterek számolása alapján, annak spontán kifejezetten az én gépemet mely előtt ülök sem lenne kihívás.
Innentől nyugodtan alszom, mer ha valaki meh akar cumiztatni, akkor mindegy mi előtt ülök. Ha csak az ami előttem van nem papír, meg ceruza. -
Abu85
HÁZIGAZDA
Nem tagadták, miért is tennék, viszont ha már emelt szintű rendszergazdai jogosultságot szereztél egyszer, akkor elértél a célodhoz. Nincs szükség semmi további résre, mert uralod a gépet. Márpedig a CTSLabs felfedezései csak akkor működnek, ha emelt szintű rendszergazdai joghoz jutottál. Anélkül nem érnek semmit. Ezért szemetezte le Linus, mert ez így hülyeség. Ilyet tényleg napi több tucatot fedeznek fel. Azért nem kapnak figyelmet, mert eleve be kell törnöd, hogy betörhess.
-
-
holczy
aktív tag
“A CTS Labs szerint a hibák kihasználásával a támadók például teljesen átvehetik az irányítást a Secure Processor működése felett, folyamatosan jelenlévő kártevőt telepíthetnek a Secure Processzora, kilophatják a vállalati hálózatokba való belépéshez szükséges neveket és jelszavakat a Windowsból, kiolvashatják a rendszermemória védett részeit.
A Promontory chipset két hátsó kaput is tartalmaz, az egyik hardveres, a másik pedig szoftveres.”Ja várj. Beugrott. Ez csak egy új feature.
Egyébként ez a folyamatos sw-bug jó mentség. Minden Amd-s topicban gyakran előfordul.Bármit rá lehet fogni. Viszont nem mentség... -
Dißnäëß
nagyúr
Majd 10 év múlva nézzük meg ugyanezt, amikor nem ember lesz a "gonosz hacker", hanem egy combos AI.
Persze ez a jelen problémája, addigra már sem ez a hiba, sem a procik nem lesznek fasorban sem, amiket érint, így egyelőre egyetértek Veled, de defaultból 100% közröhejet nem tennék rá. Inkább úgy mondanám: ma még 99% közröhej, 1% valóságalap. Vagy talán ennyi sem.
De jó mégis szokni, hogy az egyre inkább automatizált-robotizált-script-elt-AI-zott jövőben az emberek számára abszurdnak tűnő sebezhetőségek gép-gép között már kb. olyan mértékű lesz, mintha egy tárt kapun sétálnék be a középkori vár bevételekor a lovon úgy, hogy akik nyilaznak rám, félre lőnek, a kapu nyitva, a híd ugyan fel van húzva, de ott van egy komp az én partonom, ami átvisz a másikra.. Szóval .. a milliszekundumok szintjén ha nem is ez, de ilyen jellegű problémák és a mögé tett analitika igenis ki fogja deríteni és jól prediktálni fogja, mi lesz a köv parancs. Pláne, ha tudja, hogy az adott betört rendszeren mi fut - ez ugye eléggé determinálja a várhatóan beütött parancsokat.
No, szóval no flame, egyetértek, hogy kis túlzás még ma, de ha kicsit kitekintünk a jövőbe, elgondolkodtató.
-
-Skylake-
addikt
Ez oké , de ami a cikkben említve van az nem apróság ? Most komolyan , hogy lehet ezt kihasználni , mi kell ehez ? Ezzel a metódussal adatot lopni , olyan adatot ami nem szemét , nagyjából úgy indul , hogy igyál meg egy korsó Felix Felicis-t. Szóval a támadó csapatnak először Prof. Slughornt kell leigazolnia, hogy ebből bármi is legyen. Akkor ez most nem apróság amúgy ?
-
holczy
aktív tag
Ezt most úgy adod elő, mintha már 2018 januárjában a Cts labs (aki az intelt is folyamatosan bünteti) a ryzennél sem talált volna sebezhetőséget. De nagy a gyanúm, hogy olvastad te is a cikket. Tisztában vagy vele, hogy Secure processorban, és a Promonotry chipsetben találtak rést.Nyugodt lehetsz benne, hogy az eladott darabszám miatt, akik erre szakosodtak, meg akik nagyon ráérnek, fognak még réseket találni. 😉
-
Puma K
nagyúr
Majd szóljatok ha lesz olyan ember-cég akinek kára származott _bármelyik_ megtalált-felfedezett biztonsági résből adódóan foltozás előtt-után.
Mert eddig minden cikkben feltételezhetően lehet megcsinálni az adott résen keresztül valamilyen mozzanatot az ember gépén-gépével.
-
#22
hombre[EU]
veterán
hombre[EU]
veterán
Elméletileg,ha berendelek egy virtuális gépet onnan,ahol nincs deaktiválva a DDIO és RDMA akkor ezzel az exploittal átvehetem az irányítást a többi server felett?
-
Lacika112
aktív tag
(többieknek bocsi az offért)
Csak a tényszerűség kedvéért, mert olvasni nem olvasol, max. láthatóan trollkodni jársz a kommentjeimre a fórumokba.
Konkrétan ha nem azt írom le : az intel a legjobb mert "kék" megjelensz és személyeskedni kezdesz velem, kicsit uncsi már de ha neked ez a fétised....... Nem bánom ha erre önkielégítesz
Van aki a szőkékre, van aki a dús keblűekre, láthatóan te meg erre izgulsz.
Nem tetszik a pofám? Tilts le vagy hagyj figyelmen, kívül nem bonyolult ez
https://www.vusec.net/projects/netcat/
Ott van a cikkben.
-
joysefke
veterán
Ez egy tisztán adatközpontokat érintő sebezhetőség.
Szerverekben ez amiről szó van (DDIO) alapból be van kapcsolva, a lehetőség teljes mértékben adott és az alkalmazhatóságát prezentálták is.A sebezhetőség azért alacsonyabb kockázatú, mert ez a támadás -SSH csomagok amelyek a password egy-egy karakterét szállítják késleltetését vizsgálni és ebből következtetni a szállított karakterre- hasonló formában már régóta jelen van. Pld egy feltört routeren keresztül is meg lehet valósítani pont ugyanezt (és még sokkal többet is).
-
-Skylake-
addikt
Bar ha most valtanek kizarolag ryzen-en gondolkodnek, azert azt meg kell hagyni , hogy ez mar tenyleg csak trollkodas. Olyan szinten kicsi az eselye , hogy teljesuljon a cikkben levezetett feltetelrendszer, hogy tenyleg felesleges rajta rugozni. Ugyan ezen az elven a galamb is lehet halalos, mert ha nekifujja a szel egy hirdetotablanak, amin pont annyira van elrohadva a tartocsavar hogy emiatt leesik, a tabla alatt meg all egy fekete parduc aki ijedteben elugrik es pont az autopalyara ugrik ahol teleibeveri egy kamion , na ha az a kamion pont gazolajat szallit te meg beleszallsz hatulrol mert pont facebook posztot olvasol es kigyullad, benn egsz a kocsiba. Ez siman megtortenhet ha adott a szel, a galamb, a hirdetotabla, alatta a fekete parduc, a gazoljaszallito kamion , meg te , egy kocsiban, facebookot olvasva , a kamion mogott. Ezek alapjan mit kellene patchelni ? A szelet vagy a galambot ?
-
Egon
nagyúr
Csak a tényszerűség kedvéért, mert olvasni nem olvasol, max. láthatóan örömködni jársz az ilyen fórumokba.
Az első feltétel, hogy a támadó számára szükséges egy RDMA (remote direct memory access) hozzáférés az aktív DDIO-val rendelkező szerver felé, méghozzá nagy teljesítményű, InfiniBand hálózaton keresztül.
Várom az erre bemutatott megoldásokat, sok sikert...![;]](//cdn.rios.hu/dl/s/v1.gif)
És ez még csak az első feltétel a cikk szerint ugyebár... Más.
Ez már önmagában elég problémás, de maga a NetCAT is predikcióból él, vagyis konkrétan nem látja, hogy milyen billentyűt üt le a felhasználó, viszont a billentyűleütések időzítéséből kitalálható, hogy milyen szót került beírásra. Ezt számos kutatás bizonyítja már, és itt jön egy nagyon fontos tényező. Ezt a támadási formát valószínűleg jelszavak ellopására használnák, ami sikeres is lehet, ha ez egy szótárban létező szó, pár számmal és speciális karakterrel kiegészítve, de magán a NetCAT sebezhetőségen keresztül nem igazán lehet nagyon véletlenszerű jelszavakat ellopni. Ezekre egyszerűen nincs szótári minta, így valamilyen adat ugyan keletkezik a támadó gépén, de jó esély van arra, hogy az több karakter tekintetében is eltér a valós jelszótól.
Csak nekem nem tiszta, hogy a fenti szöveg (ami az előző idézet folytatása, egy bekezdésben vannak) milyen módon kapcsolódik az első feltétel kezdetű mondathoz? -
#11
Devid_81
félisten
Dr. Romano
#10
Devid_81
félisten
válasz
Dr. Romano
#10
üzenetére
A resek betomve a legjobbak.
10 fogorvos kozul 10 ezt ajanlja 
-
#10
Dr. Romano
veterán
Dr. Romano
veterán
Bár egyszer valaki végre kihasználná azt a tonnányi biztonsági rést a procimban. Most ott hevernek benne parlagon.
-
gabor7th
addikt
Úgyis van egy csomó másik; egy részüket ráadásul szoftveresen nem is lehet javítani.
-
#7
Plexicushio
senior tag
Plexicushio
senior tag
Máris dobom mikróba a popcorn-t...
-
Lacika112
aktív tag
Tényleg hetente derülnek ki friss biztonsági rések, (persze trollkodok mert a tényt közlöm).
Különösen tetszik az intel hozzá állása, "vedd továbbra is a szemetem max feltörnek" ja hát tényszerűen nem hangzik olyan jól mint a marketing szöveg az biztos.
Friss rés, friss lassulás, azt tanultam a minőség definíciójánál hogy az "állandóságot" jelent.
Ha úgy vesszük minőségi termék hisz állandóan friss rést találnak -
Rover623
félisten
Vihar a biliben! Nagy szükség van a biztonsági rések feltárására, de ez már a túlzás kategória!
"More precisely, with NetCAT, we can leak the arrival time of the individual network packets from a SSH session using a remote cache side channel. Why is this useful? In an interactive SSH session, every time you press a key, network packets are being directly transmitted. As a result, every time a victim you type a character inside an encrypted SSH session on your console, NetCAT can leak the timing of the event by leaking the arrival time of the corresponding network packet. Now, humans have distinct typing patterns. For example, typing ‘s’ right after ‘a’ is faster than typing ‘g’ after ‘s’. As a result, NetCAT can operate statical analysis of the inter-arrival timings of packets in what is known as a keystroke timing attack to leak what you type in your private SSH session. "
Bejutni a szerverre, megfelelő jogosultsággal/paraméterekkel, aztán szerencsésen elcsípni egy SSH kapcsolatot, aztán a hálózati csomagok érkezési idejéből találgatni hogy milyen betűket ütött le egymás után valaki a világ másik végén?
Belekalkulálták a teljes adatátviteli lánc különböző (1000+1) pontjain fellépő esetleges késleltetéseket, jittert, stb.? 
Vagy hogy nekem megsérült a bal kezem egyszer, ezért kétkezes gépelésnél az átlagnál lassabban találok meg, nyomok le bizonyos billentyűket!? Közröhej, pánik keltés, hitelrontás, önfényezés.
-
Predatorr
őstag
Énem aggódom, 1 éve 2600X-em van.
Cythyel: Én ős intelesként is nézem, mikor lehet érdemes egyáltalán az elgondolkodás puszta lehetőségének szikráját hagyni talán felcsillanni elmém egy nagyon eldugott zugának árnyékos sarkában, hátha egyszer ismét Inteles gépem lesz.
-
#1
Jesus_Shaves
aktív tag
Az ilyen sebezhetőségek súlyosságánál nem szokták figyelembe venni a kihasználhatóság körülményeit? Úgy értem, ez így olyan, mintha azt mondom, a pestis egy rendkívül veszélyes kór, noha manapság szinte lehetetlen elkapni.
Természetesen gond, hogy ilyen és ennyi hardveres biztonsági rés lát mostanában napvilágot, de én személy szerint sokkal jobban aggódnék a még fel sem fedezett, vagy legalábbis nyilvánosságra nem hozott sebezhetőségek miatt.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
ph Maga a probléma ugyan súlyos, de a NetCAT sebezhetőséget rendkívül nehéz a gyakorlatban kihasználni.
- Teljes verziós játékok letöltése ingyen
- Elektromos autók - motorok
- AMD Navi Radeon™ RX 9xxx sorozat
- CADA, Polymobil, és más építőkockák
- általános iskolai rendszergazda
- Április 2-án indul a Steel Hunters korai hozzáférése
- Parfüm topik
- Azonnali VGA-s kérdések órája
- Kettő együtt: Radeon RX 9070 és 9070 XT tesztje
- Milyen processzort vegyek?
- További aktív témák...
- BESZÁMÍTÁS! GIGABYTE Z390 AORUS ULTRA alaplap garanciával hibátlan működéssel
- Steam, EA, Ubisoft és GoG játékkulcsok, illetve Game Pass kedvező áron, egyenesen a kiadóktól!
- Gamer PC új 12 hónap jótállás/Áfá-s számlával!
- ÁRGARANCIA!Épített KomPhone i5 12400F 16/32/64GB RAM RTX 4060 8GB GAMER PC termékbeszámítással
- LG 32GR93U-B - 32" IPS - UHD 4K - 144Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDR 400
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest