Здравствуйте, ononim, Вы писали:
O>Дыра интересна своей концептуальностью..... Просто никто не искал до сих пор уязвимости плана "сделаю ка я на микроконтроллере хитрый девайс, который будет слать хосту хитрые URBы"
Да давно уже продемонстрирована система взлома которая 100% взламывает систему при доступе к USB 3.0 (да по моему и 2.0) через DMA.
Кроме того как можно включить отладочный режим?
Мне понравились комментарии к статье — "русские хакеры наконец то дочитали документацию до конца".
Вот интересно можно ли такое назвать взломом — с помощью газовой горелки вскрыть сейф, с помощью отвертки открыть корпус и подключить свой винчестер. Сенсация — из низкопривелегированного пользователя не устанавливая никакие программы взламываем почти любую систему.
AWW>Вот интересно можно ли такое назвать взломом — с помощью газовой горелки вскрыть сейф, с помощью отвертки открыть корпус и подключить свой винчестер. Сенсация — из низкопривелегированного пользователя не устанавливая никакие программы взламываем почти любую систему.
Не надо сводить все к абсурду. Реальная жизнь дисктует реальные, а не сферические, условия. И условия эти не сводятся к одному if(has_physical_access()). Реальный пример — клиент пришел в банк и общается с оператором. Оператор сидит за компом. Иногда пишет документы. Указанная уязвимость позволяет злоумышленнику _незаметно_ установить трояна в комп оператора, вставив девайс в порт пока оператор отвлеклась на печать документов. Это значит что вся система уязвима. Если же для установки трояна нужно раскурочивать системник — оператор это заметит и вызовет охрану и взлом не удасться. -> Система неуязвима
Как много веселых ребят, и все делают велосипед...
O>>Впрочем если не нравится такая ситуация — можно придумать другую. Берем ноутбук, на ноутбуке важные данные, диск надежно зашифрован корпоративным софтом, стоящим кучу бабла. AWW>Давайте не будем ничего придумывать.
Это реальные ситуации, для защиты от которых существуют реальные продукты за реальные деньги.
AWW>Если есть физический доступ к компу — то все можно взломать, не исключая тему криптографии.
Информационная безопасность оперирует такими вещами как "вектор атаки" и "поверхность атаки", а не по-программерски-наивными "можно взломать" и "нельзя взломать"
Эта дыра просто _значительно_ увеличивает поверхность атаки, с вектором "получить доступ к данным к компу с физическим доступом".
AWW>И считать что есть хоть что-то что защищает в случае физического доступа это наивно, и так в безопасности нельзя. Тут в безопасности или 100% или это просто авто сигнализация ау-ау-уа которая мешает спать. Да слабая защита все равно полезна и нужна, хотя бы для защиты от дилетантов или от вандалов.
дада. Вот это и есть программерская наивность
AWW>Но безопасность надо строить в первую очередь на том, что физического доступа к компу не давать.
То есть — не ездить в поездки с ноутбуком. А если ездить — всегда его носить с собой и ни в коем случае не спать. Впрочем, поверхность атаки все еще ненулевая даже в этом случае. Злоумышленник может огреть вас по башке и вы заснете.
Да, информационная система должна быть безопасна в некоторых математически выверенных рамках. НО это не повод вне этих рамок класть болт на безопасность, дескать все равно мы все умрем.
Как много веселых ребят, и все делают велосипед...
O>>Не надо сводить все к абсурду. Реальная жизнь дисктует реальные, а не сферические, условия. И условия эти не сводятся к одному if(has_physical_access()). Реальный пример — клиент пришел в банк и общается с оператором. Оператор сидит за компом. Иногда пишет документы. Указанная уязвимость позволяет злоумышленнику _незаметно_ установить трояна в комп оператора, вставив девайс в порт пока оператор отвлеклась на печать документов. Это значит что вся система уязвима. Если же для установки трояна нужно раскурочивать системник — оператор это заметит и вызовет охрану и взлом не удасться. -> Система неуязвима AWW>Вот это, что вы привели и есть как раз нереальная ситуация.
Это как раз таки самая что ни на есть реальная ситуация. Нереальная ситуация — это системник с важной инфой, стоящий в пустой комнате без всякого надзора.
Впрочем если не нравится такая ситуация — можно придумать другую. Берем ноутбук, на ноутбуке важные данные, диск надежно зашифрован корпоративным софтом, стоящим кучу бабла. Ноутбук стоит в отеле и залочен. Хозяин ушел завтракать. Приходит уборщица, которая хочет стырить корпоративные секреты чтобы знать когда слить свои опционы. Дорогущий корпоративный софт как раз защищает от такой ситуации, т.к. первое что увидит уборщица, тыркнув клаву ноутбука — разлочьте плз системник. Пароль она не знает, если разберет и доберется до веника (что само по себе долгая и потому рискованная операция — хозяину завтрак может не понравится и он возьми да приди раньше обычного) — данные там зашифрованы и бесполезны без пароля. А тут вуаля — вставляем "флэшку" и тырим все корпоративные секреты.
Можно конечно предположить, что уборщица может стырить комп и свалить с ним в неизвестном направлении к друзьям из спецслужб, у которых есть девайсик, способный подключиться к PCI шине на лету и сделать там чтонить черное. НО скорее всего хозяин к тому времени позавтракает, обнаружит пропажу ноутбука, позвонит в свой хелпдеск, и там залочат акаунт юзера на корпоративном сервере, где и хранится самая важна инфа.
Как много веселых ребят, и все делают велосипед...
AWW>>>Давайте не будем ничего придумывать. O>>Это реальные ситуации, для защиты от которых существуют реальные продукты за реальные деньги. AWW>Дайте мне физически ноутбук с любой системой защиты и через 15 минут у вас будут права рута.
Во-первых не дам, это требует публичной деанонимизации, чего делать не хочется. Во-вторых даже еслиб дал уверен за 15 минут прав рута не появилось бы (если не и спользовать эту уязвимость). В-третьих вы вот сами указали тут 15 минут. Необходимое для атаки время между прочим — тоже ключевая характеристика, которую необходимо по возможности увеличивать.
Впрочем, есть идея. Получите за 15 мин рутовый доступ к банкомату. Физический доступ же есть .
AWW>>>Если есть физический доступ к компу — то все можно взломать, не исключая тему криптографии. O>>Информационная безопасность оперирует такими вещами как "вектор атаки" и "поверхность атаки", а не по-программерски-наивными "можно взломать" и "нельзя взломать" O>>Эта дыра просто _значительно_ увеличивает поверхность атаки, с вектором "получить доступ к данным к компу с физическим доступом". AWW>Можно придумать кучу наивных, красивых и трудно произносимых терминов, но это не меняем самой сути того что я сказал — если есть система защиты в которой есть дыра, то правильнее считать что системы защиты нет. Так как нельзя сравнивать стойкость физического замка и стойкость софтовой защиты. Замок может быть стойким, но современная программная система защиты, при наличии дыры не имеет стойкости, так как ломает ее автоматика, и дело это секунд. Тут я не говорю про криптографию — ее стойкость или столь высока что не имеет смысла ее ломать либо это наивная криптография и у нее нет стойкости.
Эти термины не я придумывал. Я про них узнал чуть более десятка лет назад, устроившись в одну контору, которая как раз таки и специализируется на:
" AWW>Наличие продуктов (особенно в России,... хотя ))) — думаю я заберу свои слова про Россию — в других еще хуже ). Ну так вот наличие продуктов и даже за деньги не означает что они защищают. "
Если вы с такой терминологией не знакомы и до сих пор рассуждаете на уровне "я построил систему, которую никакой злодей не взломает, если только он не додумаете перейти вот эти вот красные флажки" то все печально. Любая система, которая взаимодействует с реальным миром, потенциально имеет огромный набор векторов атак. И строить безопасность исключительно в тех векторах, которые можно защитить математически выверенно, забивая на реальные угрозы в других векторах — по сути сизифов труд, т.к. атакер — это всегда реальный человек и он выберет такой способ, который ему обойдется дешевле, а не тот, от которого вы защиту строили лучше всего.
O>>дада. Вот это и есть программерская наивность AWW>Ну да — ГОСТы и сертификаты это круто я всегда знал.
Дада, те самые продукты засертифицированы по самое небалуй.
AWW>>>Но безопасность надо строить в первую очередь на том, что физического доступа к компу не давать. O>>То есть — не ездить в поездки с ноутбуком. А если ездить — всегда его носить с собой и ни в коем случае не спать. Впрочем, поверхность атаки все еще ненулевая даже в этом случае. Злоумышленник может огреть вас по башке и вы заснете. AWW>То есть я не буду рассказывать как сейчас делают системы защиты — мне за это никто не платит. )
O>>Да, информационная система должна быть безопасна в некоторых математически выверенных рамках. НО это не повод вне этих рамок класть болт на безопасность, дескать все равно мы все умрем.
AWW>Очень хорошо, что вы поняли про что я говорю, раз вы заговорили про рамки, но поймите нельзя переносить аналогии физического мира на мир защиты информации (сознательно не пишу про ИБ, про ГОСТы я уже сказал). Близкий аналог реального мира тут такой — вы что-то спрятали в кладе, где именно клад никто не знает, но будем считать что он буквально у всех под носом. И вот как только обнаружится уязвимость (кто-то узнает где именно клад) то его стырят через 5 минут. А в варианте рамок из реального мира — клад спрятан на далеком острове в океане, и даже узнав где он (уязвимость железного замка) вы его затрахаетесь тырить — вот для этого и рамки — рамки это удаленность вашего таинственного острова. Но в софтовой защите клад не на острове у всех рядом.
Ох, реальные ситуации из реального мира я уже писал, причем ситуации прямые, то есть реально эксплуатируемые проблемы, через которых происходят самые массовые утечки данных. Строить безопасность без учета таких проблем — это своеобразный аутизм от секурити.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, IID, Вы писали:
V>>>Например, человек решил подзарядить свой смартфон или планшет, увидел на остановке USB, а вместо этого его устройство взломали.
IID>>Шёл по лесу, смотрит — машина горит...
W>В Нью-Йорке полно таких киосков.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Обсудим?
Хз что там в докладе конкретно, но если возможно нарушение домена безопасности, то это относится к хаку.
По сути, если мы из низкопривилегированного акка получаем абсолютный контроль над системой на уровне JTAG-Debug, то это таки хак.
AWW>Когда взлом физически доступной машины стал взломом?
AWW>Когда взлом физически доступной машины стал взломом?
Система может быть физически изолирована (стоять в сейфе), на ней может быть установлен ограниченный юзер, и USB при этом может торчать наружу — для флэшек и т.п.
Дыра интересна своей концептуальностью. По факту думаю драйвера многих USB контроллеров а так же более высокоуровневые драйвера USB устройств имеют свои собственные, хардварно-независимые, уязвимости. Просто никто не искал до сих пор уязвимости плана "сделаю ка я на микроконтроллере хитрый девайс, который будет слать хосту хитрые URBы"
Как много веселых ребят, и все делают велосипед...
Здравствуйте, ononim, Вы писали:
O>Не надо сводить все к абсурду. Реальная жизнь дисктует реальные, а не сферические, условия. И условия эти не сводятся к одному if(has_physical_access()). Реальный пример — клиент пришел в банк и общается с оператором. Оператор сидит за компом. Иногда пишет документы. Указанная уязвимость позволяет злоумышленнику _незаметно_ установить трояна в комп оператора, вставив девайс в порт пока оператор отвлеклась на печать документов. Это значит что вся система уязвима. Если же для установки трояна нужно раскурочивать системник — оператор это заметит и вызовет охрану и взлом не удасться. -> Система неуязвима
Вот это, что вы привели и есть как раз нереальная ситуация. Но ведь тут разговор совсем не о том — тут в этой новости рассказывается о том, что если в разъем JTAG воткнуть адаптер, то можно взломать систему. Что же это круто — именно так в документации и написано. )) Причем это очевидно ровно на столько же, насколько очевидно, например то систему можно взломать воткнув в USB еще кучу всего, например вин или флешку.
Ну вот прямо из описание способов взлома из новости от хакеров — вдруг в BIOS эта фича (DCI) разрешена, или вы сумели перезагрузить комп и разрешили ее (DCI) через EFI или с правами админа ее разрещили.
То есть разговор только о том, что кто-то прочитал доку и неожиданно для себя обнаружил, что у компов бывает JTAG отладчики.
Тот факт что intel сделал интерфейс к JTAG через USB ровно НИ О ЧЕМ не говорит. До этого был другой способ железного отладчика.
Все это высосанная из пальца новость, и распиаренная по просторам инета.
Здравствуйте, ononim, Вы писали:
O>Впрочем если не нравится такая ситуация — можно придумать другую. Берем ноутбук, на ноутбуке важные данные, диск надежно зашифрован корпоративным софтом, стоящим кучу бабла.
Давайте не будем ничего придумывать.
Если есть физический доступ к компу — то все можно взломать, не исключая тему криптографии. И считать что есть хоть что-то что защищает в случае физического доступа это наивно, и так в безопасности нельзя. Тут в безопасности или 100% или это просто авто сигнализация ау-ау-уа которая мешает спать. Да слабая защита все равно полезна и нужна, хотя бы для защиты от дилетантов или от вандалов.
Но безопасность надо строить в первую очередь на том, что физического доступа к компу не давать.
Здравствуйте, ononim, Вы писали:
AWW>>Давайте не будем ничего придумывать. O>Это реальные ситуации, для защиты от которых существуют реальные продукты за реальные деньги.
Дайте мне физически ноутбук с любой системой защиты и через 15 минут у вас будут права рута.
Наличие продуктов (особенно в России,... хотя ))) — думаю я заберу свои слова про Россию — в других еще хуже ). Ну так вот наличие продуктов и даже за деньги не означает что они защищают.
AWW>>Если есть физический доступ к компу — то все можно взломать, не исключая тему криптографии. O>Информационная безопасность оперирует такими вещами как "вектор атаки" и "поверхность атаки", а не по-программерски-наивными "можно взломать" и "нельзя взломать" O>Эта дыра просто _значительно_ увеличивает поверхность атаки, с вектором "получить доступ к данным к компу с физическим доступом".
Можно придумать кучу наивных, красивых и трудно произносимых терминов, но это не меняем самой сути того что я сказал — если есть система защиты в которой есть дыра, то правильнее считать что системы защиты нет. Так как нельзя сравнивать стойкость физического замка и стойкость софтовой защиты. Замок может быть стойким, но современная программная система защиты, при наличии дыры не имеет стойкости, так как ломает ее автоматика, и дело это секунд. Тут я не говорю про криптографию — ее стойкость или столь высока что не имеет смысла ее ломать либо это наивная криптография и у нее нет стойкости.
O>дада. Вот это и есть программерская наивность
Ну да — ГОСТы и сертификаты это круто я всегда знал.
AWW>>Но безопасность надо строить в первую очередь на том, что физического доступа к компу не давать. O>То есть — не ездить в поездки с ноутбуком. А если ездить — всегда его носить с собой и ни в коем случае не спать. Впрочем, поверхность атаки все еще ненулевая даже в этом случае. Злоумышленник может огреть вас по башке и вы заснете.
То есть я не буду рассказывать как сейчас делают системы защиты — мне за это никто не платит. )
O>Да, информационная система должна быть безопасна в некоторых математически выверенных рамках. НО это не повод вне этих рамок класть болт на безопасность, дескать все равно мы все умрем.
Очень хорошо, что вы поняли про что я говорю, раз вы заговорили про рамки, но поймите нельзя переносить аналогии физического мира на мир защиты информации (сознательно не пишу про ИБ, про ГОСТы я уже сказал). Близкий аналог реального мира тут такой — вы что-то спрятали в кладе, где именно клад никто не знает, но будем считать что он буквально у всех под носом. И вот как только обнаружится уязвимость (кто-то узнает где именно клад) то его стырят через 5 минут. А в варианте рамок из реального мира — клад спрятан на далеком острове в океане, и даже узнав где он (уязвимость железного замка) вы его затрахаетесь тырить — вот для этого и рамки — рамки это удаленность вашего таинственного острова. Но в софтовой защите клад не на острове у всех рядом.
Здравствуйте, Stanislaw K, Вы писали:
pva>>Представим себе ПК с системой в криптоконтейнере. Любой ребут и SK>и ты максимум можешь начать пытаться подобрать пароль к контроллеру доверенной загрузки.
Зачем? Инжектим имплант и льем все что надо. Подбор паролей — бестолковое занятие.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Ну да ладно, подведем итог так — все системы безопасности помогающие защитить при злодея физически овладевшим компьютером, которые я видел (а я видел) ломаются специалистом за пять минут. Пять минут тут сугубо фигуральное выражение. )
Гонишь же. Айфон террориста ломали долго. И дорого. Ты бы не сломал.
То, что твой телефон лочится полезная фишка или бесполезная?
Здравствуйте, velkin, Вы писали:
V>Например, человек решил подзарядить свой смартфон или планшет, увидел на остановке USB, а вместо этого его устройство взломали.
Здравствуйте, pva, Вы писали:
pva>Хз что там в докладе конкретно, но если возможно нарушение домена безопасности, то это относится к хаку. pva>По сути, если мы из низкопривилегированного акка получаем абсолютный контроль над системой на уровне JTAG-Debug, то это таки хак.
Господа, эти все действия штатно предусмотрены. Например вы можете взять свой винт, вставить его в систему, загрузиться с него, ну и далее вы делаете со старой системой все что хотите. Это не взлом это обычная переустановка системы. )
Здравствуйте, pva, Вы писали:
pva>По сути, если мы из низкопривилегированного акка получаем абсолютный контроль над системой на уровне JTAG-Debug, то это таки хак.
Ну как из низкопривилегированного
Для получения доступа на компьютере жертвы не нужно устанавливать какие-либо программные или аппаратные агенты, достаточно всего лишь активировать DCI…
Здравствуйте, Sinix, Вы писали:
pva>>По сути, если мы из низкопривилегированного акка получаем абсолютный контроль над системой на уровне JTAG-Debug, то это таки хак. S>Ну как из низкопривилегированного S>
Для получения доступа на компьютере жертвы не нужно устанавливать какие-либо программные или аппаратные агенты, достаточно всего лишь активировать DCI…
S>(с) по ссылке топикстартера.
Не читал, но осуждаю. Из комента ТС следовало что через обычный USB 3.0 порт можно было получить аналог аппаратного JTAG отладчика.
Представим себе ПК с системой в криптоконтейнере. Любой ребут и инфа потеряна. Условно — аттачимся на УСБ и сливаем данные.
Здравствуйте, ononim, Вы писали:
O>Впрочем, есть идея. Получите за 15 мин рутовый доступ к банкомату. Физический доступ же есть .
Не будем растекаться мыслями по древу — грабить банкоматы, ... мне это не надо и не интересно. )
И еще раз — НЕТ никакой той уязвимости, сотни людей втыкают JTAG адаптеры каждый день. Они даже не подозревают что это уязвимость. Воткнуть USB дангл флешку с рековери системой, и в BIOSе выбрать откуда загрузиться, это и есть ваша новая уязвимость.
O>Эти термины не я придумывал. Я про них узнал чуть более десятка лет назад, устроившись в одну контору, которая как раз таки и специализируется на:
Поймите, про что я... — безопасники придумывают термины, а хакеры взламывают системы без терминов, это разное мышление. )
AWW>>Очень хорошо, что вы поняли про что я говорю, раз вы заговорили про рамки, но поймите нельзя переносить аналогии физического мира на мир защиты информации (сознательно не пишу про ИБ, про ГОСТы я уже сказал). Близкий аналог реального мира тут такой — вы что-то спрятали в кладе, где именно клад никто не знает, но будем считать что он буквально у всех под носом. И вот как только обнаружится уязвимость (кто-то узнает где именно клад) то его стырят через 5 минут. А в варианте рамок из реального мира — клад спрятан на далеком острове в океане, и даже узнав где он (уязвимость железного замка) вы его затрахаетесь тырить — вот для этого и рамки — рамки это удаленность вашего таинственного острова. Но в софтовой защите клад не на острове у всех рядом.
O>Ох, реальные ситуации из реального мира я уже писал, причем ситуации прямые, то есть реально эксплуатируемые проблемы, через которых происходят самые массовые утечки данных. Строить безопасность без учета таких проблем — это своеобразный аутизм от секурити.
Ну да ладно, подведем итог так — все системы безопасности помогающие защитить при злодея физически овладевшим компьютером, которые я видел (а я видел) ломаются специалистом за пять минут. Пять минут тут сугубо фигуральное выражение. ) Впрочем и да, ... задачи тут давно уже другие — не взломать на минутку, а взломать на всегда.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Господа, эти все действия штатно предусмотрены. Например вы можете взять свой винт, вставить его в систему, загрузиться с него, ну и далее вы делаете со старой системой все что хотите. Это не взлом это обычная переустановка системы. )
А как ты системник откроешь? На нём замок висит вообще-то.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Воткнуть USB дангл флешку с рековери системой, и в BIOSе выбрать откуда загрузиться, это и есть ваша новая уязвимость.
Допустим получится как-то быстро вскрыть ThinkPad'овский supervisor и загрузиться с флешки — дальше что? Диски под Full Drive Encryption — данные не слить — толку-то?
Это нужно к живой системе как-то подцепляться, морозить память и прочие жонглирования
Здравствуйте, ononim, Вы писали:
O>Реальный пример — клиент пришел в банк и общается с оператором. Оператор сидит за компом. Иногда пишет документы. Указанная уязвимость позволяет злоумышленнику _незаметно_ установить трояна в комп оператора,
Эээ? как ты установишь трояна на компьютер, где нет "носителя долговременного хранения"? Где система грузится по сети из R\O образа. и вообще является скорее всего кастомной сборкой линукса единственное что умеющая делать это запускать преднастроенный rdp клиент на терминальный сервер.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Современные процессоры Intel имеют уязвимость, которая позволяет получить полный контроль над процессором через порт USB 3.0. Атака проводится через отладочный интерфейс и не отслеживается системой безопасности. AWW>Когда взлом физически доступной машины стал взломом?
Например, человек решил подзарядить свой смартфон или планшет, увидел на остановке USB, а вместо этого его устройство взломали.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, ononim, Вы писали:
O>>Реальный пример — клиент пришел в банк и общается с оператором. Оператор сидит за компом. Иногда пишет документы. Указанная уязвимость позволяет злоумышленнику _незаметно_ установить трояна в комп оператора,
SK>Эээ? как ты установишь трояна на компьютер, где нет "носителя долговременного хранения"?
А он и не нужен. Компьютер будет работать ещё несколько часов. За это время можно попробовать вылезти дальше в сеть. Ну или натворить дел прямо вот с этого компа. Даже ещё лучше — после выключения исчезнут все следы вмешательства.
SK>Где система грузится по сети из R\O образа. и вообще является скорее всего кастомной сборкой линукса единственное что умеющая делать это запускать преднастроенный rdp клиент на терминальный сервер.
Потеоретизируем: есть флеши в девайсах, BIOS, сетевая плата, Firmware видеоадаптера, жёсткого диска, и т.д.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Да давно уже продемонстрирована система взлома которая 100% взламывает систему при доступе к USB 3.0 (да по моему и 2.0) через DMA.
Здравствуйте, IID, Вы писали:
V>>Например, человек решил подзарядить свой смартфон или планшет, увидел на остановке USB, а вместо этого его устройство взломали.
IID>Шёл по лесу, смотрит — машина горит...
Но конкретики по целевой платформе нет (по их словам: вендоры материнских плат подтвердили наличие проблемы и до фикса уязвимые из коробки ситемы не называются)