Link alla notizia: http://www.hwupgrade.it/news/sicurezza/falla-di-sicurezza-nei-processori-intel-permette-l-accesso-all-smm_28431.html

Un gruppo di ricerca specializzato nel settore della sicurezza informatica pubblica alcune informazioni in merito ad una vulnerabilità dei processori Intel

Click sul link per visualizzare la notizia.

Sembra solo a me o l'articolo è scritto coi piedi?

no, non sei l'unico. Mi sa che il sig. Bai non si sente molto bene oggi ;).

boh... io ho visto solo un errore di battitura in una sola parola...

manca una e in "disassmblare"

Se si dimenticava una "h" avreste chiesto la fustigazione in euro-visione?

:) si scherza eh

Non sono informato sull'argomento (ergo non so se abbia scritto degli svarioni in merito al contenuto), pero' a livello sintattico mi pare piu' che comprensibile.

Avrei voluto un approfondimento maggiore sull'ultima parte, quella relativa alle piattaforme non coinvolte, ma e' probabile che nemmeno lui avesse ulteriori informazioni.
Al limite avrebbe potuto indicare quali CPU si possono montare sulle schede madri DQ45.

Beh, c'è anche un SSM al posto di SMM

azz...
maggiori dettagli sui proci coinvolti?

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

semmai è il contrario...

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

:sbonk:

:eek: :eek: :eek: :eek:

EH!?! Guarda che del bug TLB della cache L3 dei Phenom (prima versione) di AMD se ne è stra-parlato!!! Tanto che con la revision (non ricordo che step fosse) hanno anche aggiunto 5 decine ad ogni nome del processore (9500-->9550 ps: non so se esista questo processore, me lo sono inventato x l'esempio)!!!

Piuttosto, direi che è potenzialmente molto grave questo bug
Quindi da quel che ho capito non si possono neppure fare stime su quanti pc siano infetti perchè non si può vedere (che cosa significa "smontare" il firmware? smontare il pc?? :confused: ).
Ma che tipo di infezioni possono sfruttare questo bug?

giusto per completare la tua risposta:

mentre si parlava abbondantemente del bug che citi, questo bug di Intel veniva ignorato... Infatti da quel che si legge per rete, erano a conoscenza di questo bug Intel dal 2005

Edit: in un certo senso però la situazione era diversa... Il bug di AMD è stato, passatemi il termine, "pubblicizzato" molto anche grazie ai sostenitori stessi di AMD. Infatti quel bug lasciava intatte le speranze di crescita per l'architettura k10 e quindi, in un certo senso, era una notizia positiva. Spero di non essermi spiegato male :P

Non ho letto ulteriori approfondimenti, ma in teoria se non è accessibile da sistema operativo allora non è accessibile neanche dai programmi...

Edit: ho letto meglio in merito al codice nella cache... mmm, dubbi appena ho tempo approfondisco.

Non ho letto ulteriori approfondimenti, ma in teoria se non è accessibile da sistema operativo allora non è accessibile neanche dai programmi...

Edit: ho letto meglio in merito al codice nella cache... mmm, dubbi appena ho tempo approfondisco.


Spiego meglio:

L'SMM è solo una modalità di funzionamento del processore, che è una modalità esclusivamente utilizzata per alcune funzioni iniziali del sistema e che permette un controllo completo su tutti i sottolivelli.

Viene comunemente definita come ring -2, addirittura più privilegiata dell'hypervisor che è definito come ring -1.

Il problema è: come si fa a far girare del codice arbitrario in modalità SMM? L'unica via è sovrascrivere l'SMRAM, che contiene la parte di codice che il processore esegue in modalità SMM.

Tuttavia l'SMRAM non è direttamente raggiungibile, né dal sistema operativo né dai programmi. Come si fa allora? Si sfrutta un bug nel sistema di caching della CPU per iniettare all'interno dell'SMRAM del codice arbitrario, per poi farlo eseguire aspettando che venga eseguita attraverso un SMI.

Detto in maniera molto molto banale e riassuntiva sono questi i passaggi logici

detto in parole povere devo buttare il mio q6600?

detto in parole povere devo buttare il mio q6600?

no.

detto in parole povere devo buttare il mio q6600?

Detto in parole povere, questi attacchi non ti sfiorano minimamente.

Come ha detto la stessa Joanna Rutkowska:


but, frankly, the bad guys are doing just fine using traditional kernel mode malware (due to the fact that A/V is not effective). Of course, SMM rootkits are just yet another annoyance for the traditional A/V programs, which is good, but they might not be the most important consequence of SMM attacks.
So, should the average Joe Dow care about our SMM attacks? Absolutely not!

e come una società di sicurezza aveva già detto mesi fa:


The truth is that there's still a lot to work for malware writers on user's layer (no, not user mode layer, human's layer) and on the OS layer, I think they wouldn't move far from here.
All this basically to say: yes, Kris Kaspersky's presentation will be interesting and everyone - from both security industry and darkside - will listen to it carefully. But don't make the error to be worried about something that could potentially become a threat and don't realize instead that there are at the present other serious threats that are left free to do their dirty job.


http://www.prevx.com/blog/97/CPU-Bug-Attacks-Are-they-really-necessary.html

per quel che mastico di inglese mi sembra di capire che è molto bassa la possibilità che venga scritto codice di tale raffinatezza e difficoltà che non vale la pena di preoccuparsi ?

...adesso conosco un modo rapido e veloce (come soleva dire il mio prof. di Analisi I & II) per un piccolo training della "nuova forma di intelligenza artificiale" che sta nascendo (per chi segue il forum sa di cosa parlo) che ha un nome richiamante un noto abbonamento italiano satellitare.
Se per un essere umano è "difficile" scrivere codice di elevata qualità tale da utilizzare questa errata in silicio, per una "intelligenza" di molti ordini di grandezza più elevata non sarà così.
Immagino quanti sistemi presenti sul pianeta possano essere coinvolti.
Comunque per rassicurare i possessori di processori Intel tramite aggiornamento di microcodice (anche sotto forma di file .sys per sistemi operativi Microsoft laddove non fossero disponibili b.i.o.s dai produttori di schede madri) dovrebbe sicuramente essere possibile effettuare un "bypass" aggirando e prevenendo alla radice il problema.
Grazie.

Marco71.

...e preoccupa una cosa...
Tutti i migliori virus writers,crackers, gli esperti di sicurezza informatica etc. sono od appartengono od all'est Europa, ex. U.R.S.S oppure all'estremo oriente...
La sig.rina in oggetto alla news per esempio è polacca.
Grazie.

Marco71.

saro' paranoico, ma mi balena l'idea che potrebbe essere una falla volontaria... (NSA docet)

...una sorta di "backdoor" ?
Grazie.

Marco71.

scusate se non ci arrivo... in pratica questa falla permette a un eventuale malware/codice di essere eseguito con la massima priorità dal processore?

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

Maledetti bimbominkia fanboy :doh: :doh: :doh:

scusate se non ci arrivo... in pratica questa falla permette a un eventuale malware/codice di essere eseguito con la massima priorità dal processore?

si se il malware/spyware/worm/trojan/ecc. prevede l'utilizzo di qll parte di memoria normalmente inaccessibile da un comune utente

ma se eventuale codice malevolo può perfino "installarci" un rootkit nello spazio di mem. SMM, non potrebbe allora anche un apposito tool o un qualche check nel s.o. andare quantomeno a leggere lo spazio SMM per "controllare la situazione", al limite sfruttando esso stesso il bug in questione ? :wtf:

si parla inoltre di soluzioni in termini di avere una scheda madre pittosto che altre, il che potrebbe non rendere proprio cristallino se il bug si trovi nella cpu, nel chipset o in alcuni parti sostanzialmente standard del bios;
visto il titolo ed il resto del testo e precedenti vari, penso la situazione sia che il bug è in hw nella cpu e che si parli di soluzione in termini di schede madri in quanto potrà essere implementato un "workaround" nel bios.

in ultimo, ma la situazione lato persistenza, rimanenedo al contempo "inatttaccabile", di un eventuale malware, quale sarebbe ? si parla di disassemblare il firmware (nel caso di un comune pc, si intende il bios, suppongo ... suppongo bene ?), ma si intende disassemblare quello che trovi con un dump (non che mi venga in mente un modo semplice se tutta o parte di tale area non è nemmeno leggibile dal s.o.) della porzione di ram dove esso, il bios, è caricato, o disassembalere il contenuto della/e eeprom in cui il biosa è memorizzato(persistentemente) ?

ovvero, detto in soldoni, si intende che un eventuale malware potrebbe andare (e si suppone andrebbe effettivamente a farlo, per non sparire con un reboot) ad "installarsi" nella eeprom del bios ?

ps: scusate le domande quasi sicuramente evitabili leggendo l'articolo orginale, ma al momento non ho tempo e mi è venuto spontateno postare :D

almeno qui ci sono solo sti bimbominkia , c'è un altro sito specializzato in hardware che ormai è completamente "andato": tra i redattori che non perdono occasione di scatenare flame con articoli di dubbio gusto e che con l'hardware non c'entrano una cippa , e gli utenti che vanno a ruota libera , il sito è diventato Spazzatura

:eek: :eek: :eek: :eek:

EH!?! Guarda che del bug TLB della cache L3 dei Phenom (prima versione) di AMD se ne è stra-parlato!!! Tanto che con la revision (non ricordo che step fosse) hanno anche aggiunto 5 decine ad ogni nome del processore (9500-->9550 ps: non so se esista questo processore, me lo sono inventato x l'esempio)!!!

Piuttosto, direi che è potenzialmente molto grave questo bug
Quindi da quel che ho capito non si possono neppure fare stime su quanti pc siano infetti perchè non si può vedere (che cosa significa "smontare" il firmware? smontare il pc?? :confused: ).
Ma che tipo di infezioni possono sfruttare questo bug?

non so se lo ha già spiegato qlc1...cmq...smontare il firmware significa disassemblarlo, quindi trasformare il firmware da codice binario (comprensibile solo dal processore) a comune testo leggibile da un programmatore o da un utente qualsiasi (per modificarlo xò devi conoscere le basi della programmazione).
il codice binario è composto da solo 2 cifre: zero e uno (0 e 1), ke x il processore significano rispettivamente "non fare" e "fare" (o qlcs di simile..ora nn mi ricordo di preciso).
disassemblare o smontare un firmware (o un qualsiasi file eseguibile con estensione *.exe) nn significa smontare il pc...nell'informatica il termine smontare diciamo ke nn è sinonimo di dissamblare..hanno 2 significati diversi (ki fa programmazione con visual basic e altri linguaggi di programmazione lo sa bene).

saro' paranoico, ma mi balena l'idea che potrebbe essere una falla volontaria... (NSA docet)

...una sorta di "backdoor" ?
Grazie.

Marco71.
Si saranno lasciati una key nn documentata, per entrare in qualsiasi pc del mondo.. :rolleyes:

in ogni caso fa' tanto terrrorismo psicologico, per costringere la gente ad acquistare antivirus
e richiedere solo programmi ufficiali.. :rolleyes:

Maledetti bimbominkia fanboy :doh: :doh: :doh:

Come non quotarti !! :mano:

poaret ma di che sito parli??tanto per capirsi...

scusate quindi chi ha appena comprato un laptop che contiene uno di questi processori baggati cosa dovra' fare, convivere con rootkits, o puo' sperare nel rilascio di un nuovo bios che possa risolvere o cosa?

non ho ben capito cosa si possa fare con un rootkit che sfrutti questa falla. Una volta flashato il BIOS in modo che sia possibile sfruttare la falla, è poi possibile ad esempio inserire shellcode in RAM ed eseguire istruzioni vuote (NOP 0x90) per poi sovrascrivere l'indirizzo di ritorno dell'IP allo schellcode?

non è molto chiara la notizia

ok, presumo che "smontare" il firmware significhi analizzare la cpu su un banco test con un secondo computer, per questo non dovrebbe essere facile....pero non dovrebbe essere complesso in realtà perche se ci riesce un programmino a sovrascrivere, ci riesce pure a farlo un programma di recovery in teoria (semplificando di molto la questione)

saro' paranoico, ma mi balena l'idea che potrebbe essere una falla volontaria... (NSA docet)

...una sorta di "backdoor" ?
Grazie.

Marco71.

Si saranno lasciati una key nn documentata, per entrare in qualsiasi pc del mondo.. :rolleyes:

in ogni caso fa' tanto terrrorismo psicologico, per costringere la gente ad acquistare antivirus
e richiedere solo programmi ufficiali.. :rolleyes:

DAN BROWN, guarda come hai ridotto i giovani italiani!!!! te e la tua mania del complotto!!!

veramente la "backdoor", vera o non vera a momenti è un concetto più vecchio di dan brown stesso ... e poi non credo che "crypto" sia tanto conosciuto, ormai l'equazione rimane "d.brown = codice da vinci"

:D

X-files se lo mangia a dan brown in quanto a manie di complotti!

quali sono i proci colpiti?

quindi su un pc con questo processore 4195835.0/3145727.0 fa 1.333739068902037589?

ok, presumo che "smontare" il firmware significhi analizzare la cpu su un banco test con un secondo computer, per questo non dovrebbe essere facile....pero non dovrebbe essere complesso in realtà perche se ci riesce un programmino a sovrascrivere, ci riesce pure a farlo un programma di recovery in teoria (semplificando di molto la questione)

l'ho spiegato prima ke significa "smontare" il firmware...cmq te lo rispiego velocemente...smontare un firmware significa disassemblare il firmware trasformandolo da linguaggio macchina (quindi codice binario 0 e 1) a codice sorgente (quindi comprensibile da un programmatore)... il firmware in questione può essere il bios o il microcodice di un processore cn questo bug (o falla, cm volete definirla)...
se nn avete capito il significa di disassemblare il firmware o "smontare" il firmware allora andate da un programmatore ke ve lo spiega in parole comprensibili...

per quel che mastico di inglese mi sembra di capire che è molto bassa la possibilità che venga scritto codice di tale raffinatezza e difficoltà che non vale la pena di preoccuparsi ?

Direi invece, che valga la pena preoccuparsi, visto che se viene scritto un malware/virus convenzionale, per quanto arzigolato o complesso, al limite, devi preoccuparti per i dati personali che possano venir trafugati/persi oppure formattare l'hd e reinstallare Windows..

..in questo caso invece, devi buttare il processore, se qualcuno crea un virus sufficientemente sofisticato da andare a smerdare la smm.

Anche se si tratta di una possibilità remota, di fatto esiste, bisogna solo capire quali schede logiche/processori siano esposti a tale rischio.

E non è detto che non sia successo.. nel mio lavoro sai quanti ne vedo di PC che non si accendono più di punto in bianco per morte del processore? Certo.. "bruciato" è l'ipotesi in pasto a tutti.. ma se non fosse così? :mbe:

...è molto più "vecchio" di quanto affermato/scritto/espresso nel celebre libro menzionato.
Poi per favore invece di esprimere giudizi di merito sulle persone sarebbe meglio limitarsi all'oggetto delle/a news.
Grazie.

Marco71.

Cmq la Scheda DQ35 è una Micro ATX (le ATX nell'articolo mi sembra che non vengano menzionate...:read: ): http://www.intel.com/products/desktop/motherboards/DQ35JO/DQ35JO-overview.htm