Hirdetés
- Negyedszerre is Zen: itt a Ryzen 9 7900X és Ryzen 5 7600X
- Milyen SSD-t vegyek?
- Azonnali alaplapos kérdések órája
- Azonnali fotós kérdések órája
- Elavultnak minősítette a kiszivárgott Xbox konzolterveket a Microsoft
- Hobby elektronika
- Hogy is néznek ki a gépeink?
- Milyen monitort vegyek?
- Milyen házat vegyek?
- ThinkPad (NEM IdeaPad)
Hirdetés
Új hozzászólás Aktív témák
-
#1
Jesus_Shaves
tag
Jesus_Shaves
tag
Az ilyen sebezhetőségek súlyosságánál nem szokták figyelembe venni a kihasználhatóság körülményeit? Úgy értem, ez így olyan, mintha azt mondom, a pestis egy rendkívül veszélyes kór, noha manapság szinte lehetetlen elkapni.
Természetesen gond, hogy ilyen és ennyi hardveres biztonsági rés lát mostanában napvilágot, de én személy szerint sokkal jobban aggódnék a még fel sem fedezett, vagy legalábbis nyilvánosságra nem hozott sebezhetőségek miatt. -
Predatorr
őstag
Énem aggódom, 1 éve 2600X-em van.
Cythyel: Én ős intelesként is nézem, mikor lehet érdemes egyáltalán az elgondolkodás puszta lehetőségének szikráját hagyni talán felcsillanni elmém egy nagyon eldugott zugának árnyékos sarkában, hátha egyszer ismét Inteles gépem lesz.
"Amely probléma nem megoldható, azt meg kell szüntetni."
-
Rover623
félisten
Vihar a biliben! Nagy szükség van a biztonsági rések feltárására, de ez már a túlzás kategória!
"More precisely, with NetCAT, we can leak the arrival time of the individual network packets from a SSH session using a remote cache side channel. Why is this useful? In an interactive SSH session, every time you press a key, network packets are being directly transmitted. As a result, every time a victim you type a character inside an encrypted SSH session on your console, NetCAT can leak the timing of the event by leaking the arrival time of the corresponding network packet. Now, humans have distinct typing patterns. For example, typing ‘s’ right after ‘a’ is faster than typing ‘g’ after ‘s’. As a result, NetCAT can operate statical analysis of the inter-arrival timings of packets in what is known as a keystroke timing attack to leak what you type in your private SSH session. "
Bejutni a szerverre, megfelelő jogosultsággal/paraméterekkel, aztán szerencsésen elcsípni egy SSH kapcsolatot, aztán a hálózati csomagok érkezési idejéből találgatni hogy milyen betűket ütött le egymás után valaki a világ másik végén?
Belekalkulálták a teljes adatátviteli lánc különböző (1000+1) pontjain fellépő esetleges késleltetéseket, jittert, stb.? 
Vagy hogy nekem megsérült a bal kezem egyszer, ezért kétkezes gépelésnél az átlagnál lassabban találok meg, nyomok le bizonyos billentyűket!? Közröhej, pánik keltés, hitelrontás, önfényezés.
primus inter pares
-
Lacika112
aktív tag
Tényleg hetente derülnek ki friss biztonsági rések, (persze trollkodok mert a tényt közlöm).
Különösen tetszik az intel hozzá állása, "vedd továbbra is a szemetem max feltörnek" ja hát tényszerűen nem hangzik olyan jól mint a marketing szöveg az biztos.
Friss rés, friss lassulás, azt tanultam a minőség definíciójánál hogy az "állandóságot" jelent.
Ha úgy vesszük minőségi termék hisz állandóan friss rést találnak
ha meghúzom a kocsidat az oc-nek számít?
-
#7
Plexicushio
senior tag
Plexicushio
senior tag
Máris dobom mikróba a popcorn-t...
[ Szerkesztve ]
-
gabor7th
addikt
Úgyis van egy csomó másik; egy részüket ráadásul szoftveresen nem is lehet javítani.
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
#10
Dr. Romano
veterán
Dr. Romano
veterán
Bár egyszer valaki végre kihasználná azt a tonnányi biztonsági rést a procimban. Most ott hevernek benne parlagon.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Ez....e...ee...ez egy.... ez egy FOTEL???
-
#11
Devid_81
nagyúr
Dr. Romano
#10
Devid_81
nagyúr
-
wwenigma
Jómunkásember
Teljesen levert a víz de megnyugodtam akkor hogy ez se probléma mint eddig egyik sem. Ja de.
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
Egon
nagyúr
Csak a tényszerűség kedvéért, mert olvasni nem olvasol, max. láthatóan örömködni jársz az ilyen fórumokba.
Az első feltétel, hogy a támadó számára szükséges egy RDMA (remote direct memory access) hozzáférés az aktív DDIO-val rendelkező szerver felé, méghozzá nagy teljesítményű, InfiniBand hálózaton keresztül.
Várom az erre bemutatott megoldásokat, sok sikert... És ez még csak az első feltétel a cikk szerint ugyebár... Más.
Ez már önmagában elég problémás, de maga a NetCAT is predikcióból él, vagyis konkrétan nem látja, hogy milyen billentyűt üt le a felhasználó, viszont a billentyűleütések időzítéséből kitalálható, hogy milyen szót került beírásra. Ezt számos kutatás bizonyítja már, és itt jön egy nagyon fontos tényező. Ezt a támadási formát valószínűleg jelszavak ellopására használnák, ami sikeres is lehet, ha ez egy szótárban létező szó, pár számmal és speciális karakterrel kiegészítve, de magán a NetCAT sebezhetőségen keresztül nem igazán lehet nagyon véletlenszerű jelszavakat ellopni. Ezekre egyszerűen nincs szótári minta, így valamilyen adat ugyan keletkezik a támadó gépén, de jó esély van arra, hogy az több karakter tekintetében is eltér a valós jelszótól.
Csak nekem nem tiszta, hogy a fenti szöveg (ami az előző idézet folytatása, egy bekezdésben vannak) milyen módon kapcsolódik az első feltétel kezdetű mondathoz?"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-Skylake-
addikt
Bar ha most valtanek kizarolag ryzen-en gondolkodnek, azert azt meg kell hagyni , hogy ez mar tenyleg csak trollkodas. Olyan szinten kicsi az eselye , hogy teljesuljon a cikkben levezetett feltetelrendszer, hogy tenyleg felesleges rajta rugozni. Ugyan ezen az elven a galamb is lehet halalos, mert ha nekifujja a szel egy hirdetotablanak, amin pont annyira van elrohadva a tartocsavar hogy emiatt leesik, a tabla alatt meg all egy fekete parduc aki ijedteben elugrik es pont az autopalyara ugrik ahol teleibeveri egy kamion , na ha az a kamion pont gazolajat szallit te meg beleszallsz hatulrol mert pont facebook posztot olvasol es kigyullad, benn egsz a kocsiba. Ez siman megtortenhet ha adott a szel, a galamb, a hirdetotabla, alatta a fekete parduc, a gazoljaszallito kamion , meg te , egy kocsiban, facebookot olvasva , a kamion mogott. Ezek alapjan mit kellene patchelni ? A szelet vagy a galambot ?
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
joysefke
veterán
Ez egy tisztán adatközpontokat érintő sebezhetőség.
Szerverekben ez amiről szó van (DDIO) alapból be van kapcsolva, a lehetőség teljes mértékben adott és az alkalmazhatóságát prezentálták is.A sebezhetőség azért alacsonyabb kockázatú, mert ez a támadás -SSH csomagok amelyek a password egy-egy karakterét szállítják késleltetését vizsgálni és ebből következtetni a szállított karakterre- hasonló formában már régóta jelen van. Pld egy feltört routeren keresztül is meg lehet valósítani pont ugyanezt (és még sokkal többet is).
-
Lacika112
aktív tag
(többieknek bocsi az offért)
Csak a tényszerűség kedvéért, mert olvasni nem olvasol, max. láthatóan trollkodni jársz a kommentjeimre a fórumokba.
Konkrétan ha nem azt írom le : az intel a legjobb mert "kék" megjelensz és személyeskedni kezdesz velem, kicsit uncsi már de ha neked ez a fétised....... Nem bánom ha erre önkielégítesz
Van aki a szőkékre, van aki a dús keblűekre, láthatóan te meg erre izgulsz.
Nem tetszik a pofám? Tilts le vagy hagyj figyelmen, kívül nem bonyolult ezhttps://www.vusec.net/projects/netcat/
Ott van a cikkben.
[ Szerkesztve ]
ha meghúzom a kocsidat az oc-nek számít?
-
#22
hombre[EU]
veterán
hombre[EU]
veterán
Elméletileg,ha berendelek egy virtuális gépet onnan,ahol nincs deaktiválva a DDIO és RDMA akkor ezzel az exploittal átvehetem az irányítást a többi server felett?
Life, Uh, Finds A Way
-
Abu85
HÁZIGAZDA
Vannak benne biztosan, de az AMD eléggé védekezik hardveresen a side-channel rések ellen, mivel szándékosan úgy tervezték az architektúrát, hogy sok potenciális rés ne is legyen kihasználható. [link]
Senki sem dől be a hivatalos szóvivőnek, de mindenki hisz egy meg nem nevezett forrásnak.
-
Puma K
veterán
Majd szóljatok ha lesz olyan ember-cég akinek kára származott _bármelyik_ megtalált-felfedezett biztonsági résből adódóan foltozás előtt-után.
Mert eddig minden cikkben feltételezhetően lehet megcsinálni az adott résen keresztül valamilyen mozzanatot az ember gépén-gépével.
[ Szerkesztve ]
"Cuccok: csattogós lepke és tiki-taki" └[ʘヘʘ]┘
-
wwenigma
Jómunkásember
Ú, esetleg egy nobel díjat neki mert alapvetően sebezhetonek tervezték? :D
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
holczy
aktív tag
Ezt most úgy adod elő, mintha már 2018 januárjában a Cts labs (aki az intelt is folyamatosan bünteti) a ryzennél sem talált volna sebezhetőséget. De nagy a gyanúm, hogy olvastad te is a cikket. Tisztában vagy vele, hogy Secure processorban, és a Promonotry chipsetben találtak rést.Nyugodt lehetsz benne, hogy az eladott darabszám miatt, akik erre szakosodtak, meg akik nagyon ráérnek, fognak még réseket találni. 😉
-
wwenigma
Jómunkásember
Apróság de sebesség csökkenés nélkül javítható sw bug volt és root hozzáférés kellett hozzá. De apróságokkal ne foglalkozzunk. ;)
[ Szerkesztve ]
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
-Skylake-
addikt
Ez oké , de ami a cikkben említve van az nem apróság ? Most komolyan , hogy lehet ezt kihasználni , mi kell ehez ? Ezzel a metódussal adatot lopni , olyan adatot ami nem szemét , nagyjából úgy indul , hogy igyál meg egy korsó Felix Felicis-t. Szóval a támadó csapatnak először Prof. Slughornt kell leigazolnia, hogy ebből bármi is legyen. Akkor ez most nem apróság amúgy ?
[ Szerkesztve ]
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
Dißnäëß
veterán
Majd 10 év múlva nézzük meg ugyanezt, amikor nem ember lesz a "gonosz hacker", hanem egy combos AI.
Persze ez a jelen problémája, addigra már sem ez a hiba, sem a procik nem lesznek fasorban sem, amiket érint, így egyelőre egyetértek Veled, de defaultból 100% közröhejet nem tennék rá. Inkább úgy mondanám: ma még 99% közröhej, 1% valóságalap. Vagy talán ennyi sem.
De jó mégis szokni, hogy az egyre inkább automatizált-robotizált-script-elt-AI-zott jövőben az emberek számára abszurdnak tűnő sebezhetőségek gép-gép között már kb. olyan mértékű lesz, mintha egy tárt kapun sétálnék be a középkori vár bevételekor a lovon úgy, hogy akik nyilaznak rám, félre lőnek, a kapu nyitva, a híd ugyan fel van húzva, de ott van egy komp az én partonom, ami átvisz a másikra.. Szóval .. a milliszekundumok szintjén ha nem is ez, de ilyen jellegű problémák és a mögé tett analitika igenis ki fogja deríteni és jól prediktálni fogja, mi lesz a köv parancs. Pláne, ha tudja, hogy az adott betört rendszeren mi fut - ez ugye eléggé determinálja a várhatóan beütött parancsokat.
No, szóval no flame, egyetértek, hogy kis túlzás még ma, de ha kicsit kitekintünk a jövőbe, elgondolkodtató.
Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá
-
holczy
aktív tag
“A CTS Labs szerint a hibák kihasználásával a támadók például teljesen átvehetik az irányítást a Secure Processor működése felett, folyamatosan jelenlévő kártevőt telepíthetnek a Secure Processzora, kilophatják a vállalati hálózatokba való belépéshez szükséges neveket és jelszavakat a Windowsból, kiolvashatják a rendszermemória védett részeit.
A Promontory chipset két hátsó kaput is tartalmaz, az egyik hardveres, a másik pedig szoftveres.”Ja várj. Beugrott. Ez csak egy új feature.
Egyébként ez a folyamatos sw-bug jó mentség. Minden Amd-s topicban gyakran előfordul.Bármit rá lehet fogni. Viszont nem mentség... -
Abu85
HÁZIGAZDA
A CTSLabs sosem tárt fel semmit az Intelről. Egyetlen feltárásuk volt az AMD-ről, de arra is azt mondták a szakemberek, például Torvalds, hogy egy szemét: [link]
Azóta a CTSLabs gyakorlatilag megszűnt, nem is válaszolnak az emailekre.
[ Szerkesztve ]
Senki sem dől be a hivatalos szóvivőnek, de mindenki hisz egy meg nem nevezett forrásnak.
-
wwenigma
Jómunkásember
Az is meg lett erősítve hogy egy egyszerű troll vagy akit nem szabad etetni. Egy szánalmas próbálkozás volt. Erre nincs mentség...
[ Szerkesztve ]
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
Abu85
HÁZIGAZDA
Nem tagadták, miért is tennék, viszont ha már emelt szintű rendszergazdai jogosultságot szereztél egyszer, akkor elértél a célodhoz. Nincs szükség semmi további résre, mert uralod a gépet. Márpedig a CTSLabs felfedezései csak akkor működnek, ha emelt szintű rendszergazdai joghoz jutottál. Anélkül nem érnek semmit. Ezért szemetezte le Linus, mert ez így hülyeség. Ilyet tényleg napi több tucatot fedeznek fel. Azért nem kapnak figyelmet, mert eleve be kell törnöd, hogy betörhess.
[ Szerkesztve ]
Senki sem dől be a hivatalos szóvivőnek, de mindenki hisz egy meg nem nevezett forrásnak.
-
holczy
aktív tag
Értem. Gyanítom, akinek az a hobbija, hogy szerverekre tör be megfelelő hozzáféréssel, és talán, lehet, de nem biztos, hogy éppen ki tudja találni a jelszavamat a karakterek számolása alapján, annak spontán kifejezetten az én gépemet mely előtt ülök sem lenne kihívás.
Innentől nyugodtan alszom, mer ha valaki meh akar cumiztatni, akkor mindegy mi előtt ülök. Ha csak az ami előttem van nem papír, meg ceruza. -
syberia
veterán
Csak ki kell kapcsolni a VT-HT párost, problem solved. 🤪
(#38) Abu85: Indian scammers likes this!
[ Szerkesztve ]
People will forgive you for being wrong, but they will never forgive you for being right, especially when events prove you right while proving them wrong
-
wattafaka
senior tag
-
#42
BerserkGuts
őstag
Abu85
#23
BerserkGuts
őstag
-
#38075904
törölt tag
Az intelt nem úgy tervezték?
Nem lehet hogy inkább azokon a dolgokon szokták keresni a rést ami a világot mittom 80% ban fedi le? Senki nem fog erőlködni a maradékon.
Kijönne egy fuzsijama V1 es CIRMOS processzor, 1 lenne belőle a világon, az lenne a leg biztonságosabb. Mert az a kutyát nem érdekli.Illetve százalékos arányban ez mekkora veszélyt jelent (az összes biztonsági rés )egy facebook regisztrációhoz képest? Amin van x milliárd user. Melyik a nagyobbik rettegés.
[ Szerkesztve ]
-
wwenigma
Jómunkásember
válasz
#38075904
#43
üzenetére
Engedd el barátom, túlságosan izzadtságszagu...
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
wwenigma
Jómunkásember
válasz
#38075904
#46
üzenetére
Amiben nincs abból nem lesz.
Steam: http://bit.ly/1rRuf8p , Origin: wwenigma -- | -- Jiayu F1 / G3C / OT995 cuccok: http://bit.ly/1w44CI2 -- | -- ZTE V5 Red Bull -> http://bit.ly/1mgtfrd -- | -- Xiaomi RN3SE -> http://bit.ly/2r8DlV7 -- | -- Live Stream: twitch.tv/wwenigma
-
Lacika112
aktív tag
válasz
#38075904
#46
üzenetére
Az intel 2 + éve amikor kiderült 10 + évre visszamenőleg tervezési hibásak a prociaik biztonsági rést keresnek az amd procikon.
CTSLabs-t létrehozták amit se előtte, se azóta semmi mást nem tudni mint ez az egy "húzása"
Egy intel fiókcég ami a saját biztonsági hiányosságairól próbálta elterelni a figyelmet.Amikor kibukott a botrány intel miről beszélt? Az amd, arm, power stb cpukkal mivan. A sajátjukat meg se említették mert kínos lett volna beismerni "lebuktunk a sebességért feláldoztuk a biztonságot".
3%? hmmm az hány ezer? tízezer? gépet jelent? Még a mai napig se találtak olyat ami kihasználható a nélkül hogy már fel lenne törve a rendszer.
Mutass kérlek egy olyan vidit, forrást, prezentációt akármit ahol úgy törik a piros rendszert hogy nincs már valamilyen más módon feltörve.
Nem találsz. Hány linket, forrást, vidit, prezentációt mutassak ahol intelt törnek? Dugig velük a net. Jelenleg valami 100+ biztonsági résnél tart az intel és hétről hétre bővül a lista.Ha nem tudsz érvelni ne erőltess valamit mert csak kinevetteted magad.
CTSLabs nak kérlek írj..... majd szólj ha visszaírt a megszűnt fantomcég.
Torvalds nem egy hoki zugprogramozó, konkrétan kinevette azt a rést amire célzol.
Biztosan okosabb vagy nála ha meghúzom a kocsidat az oc-nek számít?
-
#50
xeon forever
addikt
xeon forever
addikt
A lenyeg, hogy maradjon eroforrasom a kovetkezo kartyamhoz, a tobbi le van tojva.[ Szerkesztve ]
PS5 jobb lenne Intellel+Nvidiaval? :P
Belekalkulálták a teljes adatátviteli lánc különböző (1000+1) pontjain fellépő esetleges késleltetéseket, jittert, stb.? 
Vagy hogy nekem megsérült a bal kezem egyszer, ezért kétkezes gépelésnél az átlagnál lassabban találok meg, nyomok le bizonyos billentyűket!? 
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Van aki a szőkékre, van aki a dús keblűekre, láthatóan te meg erre izgulsz.
Új hozzászólás Aktív témák
ph Maga a probléma ugyan súlyos, de a NetCAT sebezhetőséget rendkívül nehéz a gyakorlatban kihasználni.
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: Morgan Stanley
Város: Budapest