Architetture x86: una falla vecchia di 20 anni espone al rischio rootkit

[cdimauro]

Quote:

Originariamente inviato da Pier2204

questo punto mi chiedo se è possibile fixare la falla con un aggiornamento firmware rilasciato da Intel.
Ma mi sembra di capire che non sia possibile a meno di non sostituire il processore con uno recente...

Dovrebbe bastare un aggiornamento del firmware, esattamente come avviene quando si rilascia un nuovo processore che potrebbe funzionare sulla scheda madre che hai acquistato, ma il cui BIOS/UEFI non riesce a riconoscerlo correttamente e caricargli il firmware col microcodice più aggiornato.

Se vedi nei siti di produttori di schede madre, alcune volte nella descrizione del nuovo BIOS/UEFI c'è scritto: "introdotto supporto al nuovo processore XYZ".

[cdimauro]

Quote:

Originariamente inviato da Benjamin Reilly

paghi tu o chi è responsabile della falla?

The software is provided as is.

Quote:

tra 5 anni scopriranno la falla negli attuali processori, sicchè le falle se esistono, le fanno apposta e quando le rivelano costringono agli acquisti con la paura: così attraverso il terrore la gente compra. Se non hanno altri metodi per vendere i loro prodotti, chiudessero.

Il solito fantacomplottismo spicciolo...

Quote:

Cmq i sistemi linux possono installare loro microcode. Se ciò previene da rischi si passi ai sistemi linux.

Tranquillo, giovane padawan linuxaro: è un problema generale.

Quote:

Spero che qualcuno faccia cause milionarie.

Aspetta e spera.

[cdimauro]

Quote:

Originariamente inviato da Benjamin Reilly

quind i firmware delle cpu possono essere aggiornati?

Sì: vedi anche i precedenti commenti.

Quote:

nel caso perchè intel non rilascia tali aggiornamenti? e cosa indicherebbe la presenza del malware!?

Intel rilascia aggiornamenti dei firmware dei suoi processori. Nello specifico, SE ha senso farlo, non vedo perché non dovrebbe.

[cdimauro]

Quote:

Originariamente inviato da Pier2204

Ho capito molto poco, ma penso di aver capito la sostanza.
Se qualcuno riesce a sfruttare questo bug ottiene privilegi che neanche l'amministratore ha, quindi può agire completamente indisturbato visto che nessun antivirus è in grado di riconoscerlo, può agire a basso livello e in completo anonimato.

L'SMM lavora a livello di privilegio -2: il più elevato in assoluto, e superiore anche a quello Hypervisor (-1). Puoi chiamarlo "God mode".

Quote:

Scusate, ma questa non sarebbe una falla da sistema operativo che normalmente si chiude con un bugfix negli aggiornamenti, questo è proprio un errore madornale progettuale del processore, a cui non c'è rimedio se non cambiando PC, e sticazzi...

E' una falla, esattamente come può capitare con qualunque software, e che è venuta fuori dopo diversi anni (e innumerevoli code review): dunque tutt'altro che "madornale".

Poi, come già detto, non si può prevedere se un software abbia o meno bug. Vedi precedente commento sull'argomento.

[cdimauro]

Quote:

Originariamente inviato da Benjamin Reilly

VMBRs operate in protected mode with paging enabled,
while SMBRs operate in a 16 bit environment similar to Real Mode without
paging. Finally, both VMBR’s and SMBR’s can be classified as
non-persistent rootkits. Non persistent rootkits exist only in
memory and lack the ability to persist across reboots on the
machine they are installed on. Although on the surface this
seems like a significant disadvantage, when one considers that
many server systems run for weeks or months at a time between
reboots, it becomes less of an issue. Due to the complex nature
of the SMBR, it is unlikely that such a rootkit will appear on the
more frequently rebooted systems (e.g. home user machines)
anytime soon.

Se ho compreso bene spento il computer la minaccia muore... quindi il problema è che se hai il file d'origine che lo carica lo ricarichi, ma a questo punto dovrebbe essere il file di origine rintracciabile come rootkit da un software anti-rootkit.

Solo per capire: paging sarebbe la funzione NX o XD!?

No. La paginazione viene usata per suddividere logicamente la memoria in blocchi di (in genere) eguale dimensione (dimensione della pagine).

NX e XD, invece, è un flag per una specifica pagina che impedisce l'esecuzione di codice proveniente da essa. Serve a evitare di sfruttare falle di buffer overflow con annessa possibilità di eseguire il codice iniettato in quella porzione di memoria.

[cdimauro]

Quote:

Originariamente inviato da -Maxx-

Ho letto più o meno tutti i post che avete scritto e da ciò mi è sorta una domanda: se la falla può essere sfruttata da un malware che ha privilegi di un certo tipo su un sistema operativo per insediare un rootkit a livello hardware non si può usare la stessa procedura a fin di bene su un sistema sano per renderlo sicuro con una patch del produttore della CPU?

Perché l'articolo sembra dire così ma poi ho letto la discussione e mi è venuto qualche dubbio a riguardo...

Un sistema è sicuro... finché non si trova una falla che non lo rende più tale.

Dunque i produttori di CPU lavorano per fornire un sistema sicuro già in partenza.

Poi i bug sono imprevedibili per loro natura: vedi gli altri commenti.

[Benjamin Reilly]

cmq è specificato dagli analisti che il rootkit non è persistente e che nel caso operi, è sufficiente l'ibernazione ad eliminare l'eventuale minaccia (Se presente).

L'elaborazione della minaccia è particolarmente complessa e coinvolge altri tipi di malware tipo keylogger. Se il keylogger opera nel caso è sufficiente verificare l'uscita di pacchetti nel momento in cui si digiti da tastiera. Il malware non è ritenuto pericoloso per l'utente comune che spegne ed accende la macchina, piuttosto è pericoloso per server e mainframe.

Altro aspetto: se non si intende essere "spiati" etc... bisogna evitare internet: i pacchetti viaggiano, si trasmettono non solo da un ip all'altro, ma anche da un mac address all'altro adiacente con incapsulamenti vari.

Infine, come il complottismo è sbagliato anche l'estremo opposto lo è: si definisce superficialità, o incapacità deduttivo logica.

epilogo: se si attende che il FUD (terrorizzare l'utenza) sia metodo efficacie per modificare comportamenti ricattando, si finirà molto male... e l'SMMR e consimili diverranno l'ultimo dei problemi "esistenziali" di cui preoccuparsi.

(significherà iniziare a fare liste di soggetti e loro siti che puzzano... di marketing becero).

[cdimauro]

Il nocciolo della questione, che poi è ciò che ho detto nei precedenti commenti, è che ciò di cui abbiamo parlato finora fa parte della normale natura del software. Con bug o falle che si voglia, bisogna conviverci.

Ciò non vuol dire che si debba minimizzare le problematiche, sia chiaro. Ma bisogna capire che... sono cose che capitano. Pur con tutta la buona volontà e professionalità che ci si possa mettere nello scrivere il codice.

Tutto qui.

[bobafetthotmail]

Quote:

Originariamente inviato da Benjamin Reilly

cmq è specificato dagli analisti che il rootkit non è persistente e che nel caso operi, è sufficiente l'ibernazione ad eliminare l'eventuale minaccia (Se presente).

Se il rootkit è solo nella ram (SMM è ram) basta un riavvio, questa è la scoperta dell'acqua calda. Quella cosa lì era che dei bios vecchi non settano la SMM come non scrivibile all'avvio.

Il punto è che è abbastanza difficile che un rootkit che richiede di avere privilegi kernel o OS per essere installato (quindi che ha già compromesso in modo più o meno irreparabile l'OS) poi esista solo nella ram e quindi quando riavvi sparisce.

Quote:

epilogo: se si attende che il FUD (terrorizzare l'utenza) sia metodo efficacie per modificare comportamenti ricattando l'utenza si finirà molto male..

Come già detto, se neanche tu che un pò sei interessato comprendi l'entità della minaccia senza forte assistenza dall'esterno, figurati il 99.9999% dell'utenza.

Ergo usare questi mezzucci come marketing è fondamentalmente... inutile, quindi non lo fanno per quello. è solo per ridurre i costi.

Quote:

E' una falla di quasi VENTI anni fa,

Rimasta presente fino ai prodotti del 2010. non sono 20 anni fa il 2010.

Quote:

Un sistema è sicuro... finché non si trova una falla che non lo rende più tale.
Dunque i produttori di CPU lavorano per fornire un sistema sicuro già in partenza.

Logic fail.
Spiega perchè la prima frase dovrebbe giustificare la seconda, sennò non metterci "dunque".