Új tech trendek és egyebek...

ÚJTECHKOR...

Sebezhetőségek amik "csak" százmilliókat érintenek

2020. március 11. - GABOR2

Már írtam róla, hogy miért is ne akarnád a pénzügyeidet digitálisan intézni, ha ilyen klassz esetek történtek. De miért ne emelnénk a tétet és tennénk még több dolgot digitálissá és netrekötötté? Mitől is kéne félni? Hát ez a hét is kitermelt pár dolgot, ami nem ad okot bizalomra...

"Milliárdnyi eszközt érintő Wi-Fi sebezhetőséget csípett el az Eset"

Mobilitás, okostelefon... menő, intézzünk azzal mindent.

"Hónapokon át kínos rés tátongott több millió androidos telefonon"

"Valójában már egy évvel korábban felfedeztek egy olyan sebezhetőséget, ami sok millió androidos telefont tett és még most is tesz kiszolgáltatottá."

"A sebezhetőség kihasználása lehetővé teheti a rosszindulatú alkalmazások számára, hogy például bármilyen alkalmazást telepítsenek, megváltoztassák a meglévő alkalmazások engedélyeit, sőt akár személyes adatokhoz is hozzáférhessenek. "

A PC-k is remekeltek, sőt kiderült, hogy a Micorosft csak 3000-ig tervez, mert utánna idokolatlanul kinyúvad... és mivel már nem lesz több Windows, ezért már csak kevesebb mint ezer évig akarnak... "innoválni" nekünk.

"Y3K bugtól szenved a Windows 10, teljesen megbénítja a hiba"

"Mindenesetre ha egy ilyen dátumú gépre megpróbálja valaki felrakni a Windows 10-et, az nem hajlandó felmenni rá. De ezt nem hibaüzenettel hozza a felhasználó tudomására, hanem helyette nemes egyszerűséggel újra és újra lefagy, amikor másodszor indulna újra a telepítés részeként - végső soron ellehetetlenítve a folyamat lezárását és a gép, illetve a rendszer használatba vételét."

"Az egyetlen megoldást a jelek szerint csakis az jelenti, ha a felhasználó törli a létrehozott Windows 10 telepítést, beállítja a helyes dátumot, majd immár ez mellett újraindítja az egész installációs folyamatot. Ilyenkor a rendszer végre hajlandó felmenni és elindulni - legalábbis addig, amíg el nem érkezünk a 3000-as évig."

Aztán ha már nagyon uncsi lenne az Intel-t érintő processzor sebezhetőségek, itt van egy AMD-s... hisz rájuk is áll... minden digitális cucc sebezhető:

"Súlyos biztonsági hibákat találhattak az AMD processzoraiban is"

"az elmúlt évtizedben kiadott gyakorlatilag összes AMD processzort érinti, és lehetővé teszi az azokon futó programok számára az általuk elvileg hozzá nem férhető memóriaterületekről is információk kifejtését - tehát végső soron a chipek biztonsági rendszerének teljes kijátszását."

Hehe, azt hitted, hogy akkor meg is úszod Intel sebezhetőség nélkül? Neeeem...

"Fordított Meltdown sebezhetőségként gúnyolják a legújabb biztonsági rést"

Sőt ez egy bónuszos sebezhetőség, mert már megint az van, hogy az elvileg biztonságosságot növelő megoldás segíti, hogy még kevésbé legyen biztonságos a cucc:

"Ami érdekes, hogy az Intel SGX (Software Guard Extensions) technológiája megkönnyíti a támadás kivitelezését, miközben elméletben pont arra szolgálna, hogy egy olyan védett környezetet teremtsen az adott program számára, amelyben az allokált memóriaszelethez se az operációs rendszer, se a hypervisor nem tud hozzáférni, nem beszélve a többi futtatott alkalmazásról. A memóriának ezeket a privát régióit beékelt területnek szokás nevezni. Egyszerűen összefoglalva az SGX segítségével a programfejlesztő biztosíthatja, hogy az alkalmazás olyan szoftvereket futtasson, amelyeknél alapvetően problémás lenne ha bármi más hozzáférne a lefoglalt, beékelt memóriaterülethez. Ugyanakkor az LVI támadási technika az előbb említett elméleti előnyt a rendszer hátrányává fordítja, mivel a támadó jellegű kód könnyebben tud laphibákat generálni a beékelt memóriaterületen, ami a visszatérő adatokkal lehetővé teszi magát a támadást."

Felhők különösen érintettek, de azokat a sok korábbi se érdekelte, tovább mondták, hogy biztonságosak... ezután is folytatják majd valószínű:

"Az LVI főleg nagyvállalati szinten, illetve az adatközpontoknál jelent problémát."

Vajon mi lesz majd... a felhős cégek veszteségként leírják a kapacitásuk 50%-át és befoltozzák ezt a rést, vagy... lapítanak és azt mondják, hogy náluk biztonságban vannak az adataid továbbra is:

" a kutatók szerint eléggé sok teljesítményvesztést okozna, ha a rést befoltoznák. A valós körülmények között tapasztalható sebesség 5-50%-a is odaveszne."

Lehet, hogy nemcsak az Intel érintett:

"A kutatók szerint az LVI támadási technikát egyelőre Intel processzorokon tudták a gyakorlatban alkalmazni, de elméletben elképzelhető, hogy bevethető bármilyen, Meltdown sebezhetőséggel szemben sérülékeny rendszeren, így például bizonyos ARM dizájnok sem feltétlenül védettek, ugyanakkor ezekre vonatkozóan még nincs hivatalos álláspont."

Na, ezekből az esetekből is látszik, hogy mennyire okos dolog minden fontos dolgot rábízni ezekre az eszközökre, hisz bízhatunk a biztonságosságukban... Miért is ne akarnák, hogy pl. az autónkat is ilyen megbízható rendszerek vezessék?

A bejegyzés trackback címe:

https://ujtechkor.blog.hu/api/trackback/id/tr3815515854

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.