Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Udało się podejrzeć mikrokod procesorów Intela. Nieznane konsekwencje dla bezpieczeństwa

Rekomendowane odpowiedzi

Po raz pierwszy w historii udało się zdobyć klucz szyfrujący, którym Intel zabezpiecza poprawki mikrokodu swoich procesorów. Posiadanie klucza umożliwia odszyfrowanie poprawki do procesora i jej analizę, a co za tym idzie, daje wiedzę o luce, którą poprawka ta łata.

W tej chwili trudno jest ocenić rzeczywisty wpływ naszego osiągnięcia na bezpieczeństwo. Tak czy inaczej, po raz pierwszy w historii Intela udało się doprowadzić do sytuacji, gdy strona trzecia może wykonać własny mikrokod w układach tej firmy oraz przeanalizować poprawki dla kości Intela, mówi niezależny badacz Maxim Goryachy. To właśnie on wraz z Dmitrym Sklyarovem i Markiem Ermolovem, którzy pracują w firmie Positive Technolgies, wyekstrahowali klucz szyfrujący z układów Intela. Badacze poinformowali, że można tego dokonać w przypadku każdej kości – Celerona, Pentium i Atoma – opartej na mikroarchitekturze Goldmont.

Wszystko zaczęło się trzy lata temu, gdy Goryachy i Ermolov znaleźli krytyczną dziurę Intel SA-00086, dzięki której mogli wykonać własny kod m.in. w Intel Management Engine. Intel opublikował poprawkę do dziury, jednak jako że zawsze można przywrócić wcześniejszą wersję firmware'u, nie istnieje całkowicie skuteczny sposób, by załatać tego typu błąd.

Przed pięcioma miesiącami badaczom udało się wykorzystać tę dziurę do dostania się do trybu serwisowego „Red Unlock”, który inżynierowie Intela wykorzystują do debuggowania mikrokodu. Dzięki dostaniu się do Red Unlock napastnicy mogli

zidentyfikować specjalny obszar zwany MSROM (microcode sequencer ROM). Wówczas to rozpoczęli trudną i długotrwałą procedurę odwrotnej inżynierii mikrokodu. Po wielu miesiącach analiz zdobyli m.in. klucz kryptograficzny służący do zabezpieczania poprawek. Nie zdobyli jednak kluczy służących do weryfikacji pochodzenia poprawek.

Intel wydał oświadczenie, w którym zapewnia, że opisany problem nie stanowi zagrożenia, gdyż klucz używany do uwierzytelniania mikrokodu nie jest zapisany w chipie. Zatem napastnik nie może wgrać własnej poprawki.

Faktem jest, że w tej chwili napastnicy nie mogą wykorzystać podobnej metody do przeprowadzenia zdalnego ataku na procesor Intela. Wydaje się jednak, że ataku można by dokonać, mając fizyczny dostęp do atakowanego procesora. Nawet jednak w takim przypadku wgranie własnego złośliwego kodu przyniosłoby niewielkie korzyści, gdyż kod ten nie przetrwałby restartu komputera.

Obecnie najbardziej atrakcyjną możliwością wykorzystania opisanego ataku wydaje się hobbistyczne użycie go do wywołania różnego typu zmian w pracy własnego procesora, przeprowadzenie jakiegoś rodzaju jailbreakingu, podobnego do tego, co robiono z urządzeniami Apple'a czy konsolami Sony.

Atak może posłużyć też specjalistom ds. bezpieczeństwa, który dzięki niemu po raz pierwszy w historii będą mogli dokładnie przeanalizować, w jaki sposób Intel poprawia błędy w swoim mikrokodzie lub też samodzielnie wyszukiwać takie błędy.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Intel ogłosił, że wybuduje w Polsce supernowoczesny zakład integracji i testowania półprzewodników. Stanie on w Miękini pod Wrocławiem, a koncern ma zamiar zainwestować w jego stworzenie do 4,6 miliarda dolarów. Inwestycja w Polsce to część obecnych i przyszłych planów Intela dotyczących Europy. Firma ma już fabrykę półprzewodników w Leixlip w Irlandii i planuje budowę drugiej w Magdeburgu w Niemczech. W sumie Intel chce zainwestować 33 miliardy euro w fabrykę w Niemczech, zakład badawczo-rozwojowo-projektowy we Francji oraz podobne przedsięwzięcia we Włoszech, Hiszpanii i Polsce.
      Zakład w Polsce ma rozpocząć pracę w 2027 roku. Zatrudnienie znajdzie w nim około 2000 osób, jednak inwestycja pomyślana została tak, by w razie potrzeby można było ją rozbudować. Koncern już przystąpił do realizacji fazy projektowania i planowania budowy, na jej rozpoczęcie będzie musiała wyrazić zgodę Unia Europejska.
      Intel już działa w Polsce i kraj ten jest dobrze przygotowany do współpracy z naszymi fabrykami w Irlandii i Niemczech. To jednocześnie kraj bardzo konkurencyjny pod względem kosztów, w którym istnieje solidna baza utalentowanych pracowników, stwierdził dyrektor wykonawczy Intela, Pat Gelsinger. Przedstawiciele koncernu stwierdzili, że Polskę wybrali między innymi ze względu na istniejącą infrastrukturę, odpowiednio przygotowaną siłę roboczą oraz świetne warunki do prowadzenia biznesu.
      Zakład w Miękini będzie ściśle współpracował z fabryką w Irlandii i planowaną fabryką w Niemczech. Będą do niego trafiały plastry krzemowe z naniesionymi elementami elektronicznymi układów scalonych. W polskim zakładzie będą one cięte na pojedyncze układy scalone, składane w gotowe chipy oraz testowane pod kątem wydajności i jakości. Stąd też będą trafiały do odbiorców. Przedsiębiorstwo będzie też w stanie pracować z indywidualnymi chipami otrzymanymi od zleceniodawcy i składać je w końcowy produkt. Będzie mogło pracować z plastrami i chipami Intela, Intel Foundry Services i innych fabryk.
      Intel nie ujawnił, jaką kwotę wsparcia z publicznych pieniędzy otrzyma od polskiego rządu. Wiemy na przykład, że koncern wciąż prowadzi negocjacje z rządem w Berlinie w sprawie dotacji do budowy fabryki w Magdeburgu. Ma być ona warta 17 miliardów euro, a Intel początkowo negocjował kwotę 6,8 miliarda euro wsparcia, ostatnio zaś niemieckie media doniosły, że firma jest bliska podpisania z Berlinem porozumienia o 9,9 miliardach euro dofinansowania. Pat Gelsinger przyznał, że Polska miała nieco więcej chęci na inwestycję Intela niż inne kraje.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Od lat 70. XX wieku wykonywane są testy zderzeniowe z wykorzystaniem manekinów. Służą one do oceny efektywności systemów zabezpieczeń, ogólnego bezpieczeństwa pojazdu czy ryzyk związanych z różnymi rodzajami wypadków. Problem jednak w tym, że najczęściej używany manekin bazuje na średniej budowie i wadze ciała mężczyzny.
      Tymczasem kobiety równie często jeżdżą samochodami i są bardziej narażone na odniesienie obrażeń. Używane w testach manekiny, mające odpowiadać kobietom, to po prostu przeskalowane do wzrostu 12-latki manekiny męskie. Mają one 149 cm wzrostu i ważą 48 kg. Już w połowie lat 70. taka waga i wzrost reprezentowały zaledwie 5% najdrobniejszych kobiet.
      Szwedzcy specjaliści pracują nad manekinem bardziej reprezentatywnym dla kobiecej budowy ciała. Ma on 162 cm wzrostu i waży 62 kg. Powstanie manekina bardziej reprezentatywnego dla przeciętnej kobiety jest niezwykle ważne. Z danych amerykańskiej Narodowej Rady Bezpieczeństwa Transportu Drogowego wynika na przykład, że przy uderzeniach z tyłu kobiety 3-krotnie częściej niż mężczyźni odnoszą obrażenia kręgosłupa szyjnego. Co prawda rzadko są one śmiertelne, ale mogą prowadzić do trwałego kalectwa.
      "Ze statystyk wiemy, że przy zderzeniach z niewielką prędkością, kobiety częściej odnoszą obrażenia. Dlatego też, jeśli chcemy sprawdzić, jakie zabezpieczenia najlepiej chronią ludzi, musimy uwzględnić tę część populacji, która jest bardziej narażona na zranienie", mówi Astrid Linder, dyrektor ds. bezpieczeństwa ruchu w Szwedzkim Narodowym Instytucie Badawczym Dróg i Transportu. Doktor Linder kieruje programem testów zderzeniowych prowadzonym w laboratorium w Linköping.
      Kobiety są przeciętnie niższe i lżejsze niż mężczyźni, mają słabsze mięśnie, inaczej rozłożoną tkankę tłuszczową. To wszystko wpływa na zachowanie się ciała podczas wypadku. Istnieją między nami różnice w kształcie tułowia, umiejscowieniu środka ciężkości, budowie bioder i miednicy, wyjaśnia Linder.
      Specjalistka zauważa jednocześnie, że nie wystarczy wyprodukowanie odpowiedniego manekina. Konieczne są też zmiany prawne dotyczące testów zderzeniowych. Obecnie nie ma w nich bowiem mowy o wymogu używania manekinów odpowiadających budowie przeciętnej kobiety.
      Szef amerykańskiej firmy Humanetics, największego na świecie producenta manekinów do testów zderzeniowych przyznaje, że mimo coraz większego zaawansowania systemów bezpieczeństwa w samochodach, podczas ich opracowywania nie brano pod uwagę różnic pomiędzy kobietami a mężczyznami. Nie można przetestować kobiety i mężczyzny za pomocą tego samego urządzenia. Nie określimy miejsc powstawania urazów, dopóki nie umieścimy czujników na manekinie i tego nie zbadamy, stwierdza. Dodaje, że dopiero testy z udziałem manekinów reprezentatywnych dla kobiet pozwolą na opracowanie systemów równie dobrze chroniących obie płci.
      Od pewnego czasu trwają też prace nad manekinami lepiej reprezentującymi dzieci, osoby starsze czy otyłe.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Zakaz poruszania się po mieście elektrycznych hulajnóg i rowerów może zmniejszyć zagęszczenie na chodnikach i zwiększyć bezpieczeństwo pieszych oraz użytkowników elektrycznych pojazdów, jednak ma też swoje negatywne konsekwencje, informują naukowcy z Georgia Institute of Technology.
      W 2019 roku Atlanta zakazała poruszania się elektrycznymi hulajnogami i rowerami w godzinach od 21 do 4 rano. Zakaz wprowadzono po tym, jak cztery osoby korzystające z takich pojazdów zginęły w wyniku kolizji z samochodami. Naukowcy z GaTech postanowili sprawdzić, jakie były skutki zakazu. Okazało się usunięcie tych pojazdów spowodowało, że przeciętny czas podróży po mieście wydłużył się przeciętnie o około 10%. Dla mieszkańców Atlanty oznacza to, że w godzinach, w których obowiązuje zakaz, stracą dodatkowych 784 000 godzin na przemieszczanie się. Gdyby zakaz rozszerzono na godziny szczytu, straty byłyby jeszcze większe, ostrzega główny autor badań, Omar Asensio. W Atlancie godziny szczytu trwają od 6 do 10 rano i od 15 do 19 po południu.
      Naukowcy z Georgii szacują, że w skali całego kraju elektryczne hulajnogi, rowery i inne podobne środki lokomocji oszczędzają obywatelom około 17,4% czasu przeznaczonego na podróże. Mają więc one duży wpływ na zmniejszenie ruchu na drogach, co odczuwają wszyscy z nich korzystający.
      Wcześniej prowadzono już co prawda podobne badania, jednak były to badania ankietowe. Asensio i jego zespół oparli się na rzeczywistych danych o ruchu i skorzystali przy tym z faktu, że miasto zastosowało geo-fencing, co całkowicie uniemożliwiło korzystanie z zakazanych pojazdów w wyznaczonych godzinach. Mamy tutaj świetną okazję, by przeprowadzić badania, gdyż w wyniku działań miasta i policji mamy niemal 100-procentowe przestrzeganie zakazu. Powstało pytanie, co zrobią ludzie, którzy nagle nie mogą wypożyczyć hulajnogi lub użyć własnej. To wielki naturalny eksperyment, który pozwolił nam zbadać warunki na drogach przed i po jego wprowadzeniu. Pozwoliło nam to przetestować teorie dotyczące zmiany zachowań, dodaje Asensio. Naukowcy uzyskali też dostęp do danych Ubera, które pozwoliły im na ocenę czasu przemieszczania się po mieście.
      Z badań wynika, że o ile rzeczywiście zakaz używania hulajnóg zmniejsza liczbę wypadków z ich udziałem, to jednocześnie wydłuża czas podróży po mieście, zwiększa korki na drogach, a co za tym idzie, zanieczyszczenie powietrza w mieście, co również negatywnie wpływa na zdrowie mieszkańców.
      Możliwość łatwego wypożyczenia elektrycznej hulajnogi czy roweru i pozostawienia pojazdu w mieście przyczynia się do zmniejszenia korków i zanieczyszczeń, gdyż część mieszkańców rzadziej korzysta z własnego samochodu i transportu publicznego. Skraca się więc czas podróży po mieście samochodem. Zespół Asensio wylicza, że wartość zaoszczędzonego w ten sposób czasu wynosi, w skali całego kraju, 536 milionów dolarów. Naukowcy mówią, że dla lepszego planowania miast i życia w nich potrzebne jest lepsze zrozumienie wpływu różnych środków transportu oraz motywów stojących za decyzjami o wykorzystaniu danego pojazdu. Sądzę, że kolejnym etapem tego typu badań mogłoby być modelowanie wpływu zanieczyszczeń, mówi Asensio.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Intel potwierdził, że kosztem ponad 20 miliardów dolarów wybuduje nowy kampus w stanie Ohio. W skład kampusu wejdą dwie supernowoczesne fabryki półprzewodników, gotowe do produkcji w technologii 18A. To przyszły, zapowiadany na rok 2025 proces technologiczny Intela, w ramach którego będą powstawały procesory w technologii 1,8 nm. Budowa kampusu rozpocznie się jeszcze w bieżącym roku, a produkcja ma ruszyć w 2025 roku.
      Intel podpisał też umowy partnerskie z instytucjami edukacyjnymi w Ohio. W ich ramach firma przeznaczy dodatkowo 100 milionów dolarów na programy edukacyjne i badawcze w regionie. "To niezwykle ważna wiadomość dla stanu Ohio. Nowe fabryki Intela zmienią nasz stan, stworzą tysiące wysoko płatnych miejsc pracy w przemyśle półprzewodnikowym", stwierdził gubernator Ohio, Mike DeWine.
      To największa w historii Ohio inwestycja dokonana przez pojedyncze prywatne przedsiębiorstwo. Przy budowie kampusu zostanie zatrudnionych 7000 osób, a po powstaniu pracowało w nim będzie 3000osób. Ponadto szacuje się, że inwestycja długoterminowo stworzy dziesiątki tysięcy miejsc pracy w lokalnych firmach dostawców i partnerów.
      Kampus o powierzchni około 4 km2 powstanie w hrabstwie Licking na przedmieściach Columbus. Będzie on w stanie pomieścić do 8 fabryk. Intel nie wyklucza, że w sumie w ciągu dekady zainwestuje tam 100 miliardów dolarów, tworząc jeden z największych na świecie hubów produkcji półprzewodników.
      Tak olbrzymia inwestycja przyciągnie do Ohio licznych dostawców produktów i usług dla Intela. Będzie ona miała daleko idące konsekwencje. Fabryka półprzewodników różni się od innych fabryk. Stworzenie tak wielkiego miejsca produkcji półprzewodników jest jak budowa małego miasta, pociąga za sobą powstanie tętniącej życiem społeczności wspierających dostawców usług i produktów. [...] Jednak rozmiar ekspansji Intela w Ohio będzie w dużej mierze zależał od funduszy w ramach CHIPS Act, stwierdził wiceprezes Intela ds. produkcji, dostaw i operacji, Keyvan Esfarjani.
      Nowe fabryki mają w 100% korzystać z energii odnawialnej, dostarczać do systemu więcej wody niż pobiera oraz nie generować żadnych odpadów stałych.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      W ciągu ostatnich kilku dni ze stanowisk redakcyjnych w recenzowanym piśmie Vaccines zrezygnowało co najmniej 6 wirusologów i wakcynologów, w tym współzałożycielka pisma Diane Harper z University of Michigan. Do rezygnacji uczonych doszło po tym, jak w piśmie ukazał się artykuł, którego autorzy stwierdzili, że na każde 3 zgony na COVID19, którym szczepionki zapobiegły, przypadają 2 zgony spowodowane przez szczepionki.
      Z pracy dla Vaccines zrezygnowali m.in. Florian Krammer, wirusolog z Icahn School of Medicine, immunolog Katie Ewer z University of Oxford, która brała udział w pracach nad szczepionką AstraZeneca czy Helen Petousis-Harris, wakcynolog stojąca na czele Vaccine Datalink and Research Group na University of Auckland.
      Dane zostały nieprawidłowo zinterpretowane, gdyż wynika z nich, że każdy zgon, który nastąpił po szczepieniu został spowodowany szczepieniem. Teraz artykuł ten jest wykorzystywany przez antyszczepionkowców i osoby zaprzeczające istnieniu pandemii, jako argument, że szczepionki nie są bezpieczne. Publikacja takiego artykułu jest wysoce nieodpowiedzialna, szczególnie ze strony pisma specjalizującego się w publikacjach na temat szczepionek, stwierdziła Katie Ewer.
      Fala rezygnacji rozpoczęła się w piątek, po opublikowaniu artykułu zatytułowanego The Safety of COVID-19 Vaccinations—We Should Rethink the Policy. Jego autorami są Harald Walach z Uniwersytetu Medycznego w Poznaniu, Rainer J. Klement ze Szpitala Leopoldina w Niemczech oraz Wouter Aukema z Holandii. Żaden z autorów nie jest wirusologiem, wakcynologiem czy epidemiologiem.
      Harald Walach to psycholog kliniczny i historyk nauki, Rainer Klement specjalizuje się w diecie ketogenicznej w leczeniu nowotworów, zaś Wouter Aukema jest niezależnym specjalistą od analizy danych. Ich artykuł był recenzowany przez trzech naukowców. Dwoje z nich jest anonimowych. Trzecim recenzentem jest Anne Ulrich, chemik z Instytutu Technologii w Karlsruhe.
      W swojej recenzji pani Ulrich napisała, że analiza wykonana przez autorów artykułu jest odpowiedzialna, bez błędów metodologicznych, a wnioski zostały sformułowane z odpowiednimi zastrzeżeniami. Z kolei jeden z anonimowych recenzentów napisał, że artykuł jest bardzo ważny i powinien być pilnie opublikowany. To niemal cała recenzja.
      Z recenzji tych jasno wynika, że recenzenci nie mają żadnego doświadczenia na polu, którego dotyczy artykuł. Również autorzy artykułu takiego doświadczenia nie posiadają, komentuje Petousis-Harris.
      Autorzy artykułu obliczyli liczbę zgonów, którym zapobiegły szczepionki przeciwko COVID-19, biorąc pod uwagę wcześniejsze badania nad 1,2 milionami Izraelczyków, z których połowa otrzymała szczepionkę Pfizera, a połowa była niezaszczepiona. Z obliczeń wynikało, że średnio konieczne było zaszczepienie 16 000 osób, by zapobiec jednemu zgonowi. Krytycy zauważają, że wyliczenia są błędne, gdyż w miarę, jak coraz więcej osób jest zaszczepianych, trzeba zaszczepić coraz więcej, by zapobiec każdemu dodatkowemu przypadkowi śmierci.
      Kolejny błąd popełniono przy obliczaniu liczby zgonów spowodowanych przez szczepionki. Autorzy badań wzięli bowiem pod uwagę holenderską narodową bazę danych dotyczącą niepożądanych skutków przyjmowania środków medycznych. Baza ta, Lareb, jest podobna do amerykańskiego systemu VAERS, który opisywaliśmy przed kilkoma miesiącami.
      Do Lareb, podobnie jak VAERS, każdy może wpisać wszelkie niepokojące objawy, jakich doświadczył po przyjęciu szczepionki. To jednak nie oznacza, że sygnalizowany problem rzeczywiście został spowodowany przez lek czy szczepionkę. Dlatego też tego typu baz nie wykorzystuje się do oceny ryzyk spowodowanych przez środki medyczne, a do poszukiwania wczesnych sygnałów ostrzegawczych o tego typu ryzykach. Sygnały takie są następnie weryfikowane pod kątem ich związku z przyjętą szczepionką czy lekiem. Zresztą w bazie Lareb wyraźnie zawarto informację, że umieszczenie w niej wpisu nie oznacza, iż istnieje rzeczywisty związek pomiędzy szczepionką lub lekiem, a raportowanymi objawami.
      Mimo to autorzy badań stwierdzili w artykule, że w bazie tej znaleźli 16 poważnych skutków ubocznych na 100 000 zaszczepionych oraz 4,11 śmiertelnych skutków ubocznych na 100 000 zaszczepionych. Zatem na każde trzy zgony, którym szczepionki zapobiegły, przypadają 2 zgony, które spowodowały.
      Eugene van Puijenbroek, dyrektor ds. naukowych i badawczych Lareb już dzień po publikacji kontrowersyjnego artykułu napisał do redakcji Vaccines, krytykując artykuł i domagając się jego poprawienia lub wycofania. Zgłoszone do bazy wydarzenie, do którego doszło po zaszczepieniu, niekoniecznie musi być spowodowane przez szczepienie. Tymczasem autorzy zaprezentowali nasze dane tak, jakby istniał związek przyczynowo-skutkowy. Sugerowanie, że we wszystkich wpisach, w których poinformowano o zgonie po szczepieniu, istnieje związek przyczynowo-skutkowy, jest dalekie od prawdy.
      Co więcej, van Puijenbroek zauważa, że w artykule pada stwierdzenie, że dane z holenderskiego rejestru, szczególnie informacje dotyczące zgonów, zostały potwierdzone przez specjalistów. To po prostu nieprawda. Wydaje się, że autorzy artykułu mają tutaj na myśli opublikowane przez nas zasady tworzenia Lareb. Tymczasem w zasadach tych nigdzie nie pada stwierdzenie, że wpisy znajdujące się w bazie są certyfikowane przez specjalistów, mówi van Puijenbroek.
      Harald Walach broni artykułu. Mówi, że szczepionki zostały dopuszczone do użytku w trybie przyspieszonym, a liczba osób uczestnicząca w testach klinicznych nie była wystarczająco duża, a testy nie trwały wystarczająco długo, by ocenić bezpieczeństwo. Wszyscy trzej autorzy stoją na stanowisku, że ich artykuł nie zawiera błędów.

      « powrót do artykułu
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...