Thangrycat:严重的Cisco漏洞

总结

Thangrycat是由Cisco信任锚模块中的一系列硬件设计缺陷引起的。2013年首次投入商业运营,Cisco Trust Anchor Module(TAM)是一种专用的硬件安全模块,广泛用于Cisco产品。包括企业路由器,交换机和防火墙。TAM是支持这些设备中所有其他Cisco安全和值得信赖的计算机制的信任的根源。thangrycat允许攻击者通过fpga位流修改对信任锚模块进行持久修改,因此,破坏了安全引导过程,并在其根源上使Cisco的信任链失效。虽然缺陷是基于硬件的,可以远程利用thangrycat,而无需物理访问。由于缺陷存在于硬件设计中,任何软件安全补丁都不太可能完全解决基本的安全漏洞。

从A新闻文章

打黑猫可怕有两个原因。首先,如果黑客利用这个弱点,他们可以对你的路由器做任何他们想做的事情。第二,攻击可以远程发生——这是一个软件漏洞。但修复只能在硬件级别应用。像,物理路由器。亲自。耶西。

这就是说,只有当您对设备具有管理访问权限时,Thrangerycat才能工作。你需要两步攻击才能让Thrangrycat工作。攻击1使您可以远程管理访问,攻击2是鞭打猫。攻击2没有攻击不可能发生1。Cisco可以通过发送软件更新来保护您免受攻击。如果你的身份证明人们已经很好地保护了您的系统,并且一直在应用更新和补丁,您不是国家行为体的常规目标,你相对安全,不受攻击1,因此,很安全,不会被毒打。

不幸的是,攻击#1是一个普通的漏洞。许多系统甚至没有正确配置管理访问。有机会利用鞭打黑猫。

波音波音

Thangrycat依赖于攻击者能够以系统管理员的身份运行进程,还有红气球,披露该漏洞的安全公司还发现了一个允许攻击者以管理员身份运行代码的缺陷。

人们很容易忽略对可信计算模块的攻击,认为这是一种胡闹式的繁荣:毕竟,一旦攻击者在您的系统上有根目录,所有赌注都取消了。但是,可信计算的承诺是计算机能够检测并撤销这种妥协,通过使用一个单独的,独立计算机调查和报告主系统的状态(黄和斯诺登称之为反省引擎)一旦这个系统被破坏,它可以被强制提供关于系统状态的错误报告:例如,它可能报告说,它的操作系统已经成功更新,以修补一个漏洞,而实际上更新刚刚被丢弃。

查理·沃泽尔和莎拉·琼在纽约时报上讨论,这是一种可以远程执行的攻击,但只有在受影响的系统存在的情况下(并且只有在经过非常仔细的检查之后,而且,除了替换系统或至少是受损的组件之外,可能仍然没有别的办法来解决这个问题)。

发表于5月23日,2019年上午11:52•27条评论

评论

史提芬克拉克·5月23日,2019年十二13点

基于FPGA的信任根?从SPI flash读取比特流?是否有一些OTP是建立在信任标准最佳实践的基础上的?我要说我很惊讶,但这些人毕竟是硬连接SSH密钥的人。

艾伯特·5月23日,2019下午3点33分

为什么不呢?

我们已经让用户*能够远程重新编程闪存,为什么不让FPGA也可用呢?让我们邀请大家参加聚会。

--------
*用户我指的是任何能获得管理员权限的人。
。…。…---…

克莱夫鲁滨孙·5月23日,2019点8:30

@布鲁斯,

这个“两步”正如我在过去所指出的那样,如果我把后门放进一个系统中,方法就是我要做的事情(回到布隆伯格在苹果公司做一个数字的时候)。

@,

对于那些不相信这次攻击的人,你必须意识到它在计算和安全堆栈中的地位到底有多低。因此,攻击的能力越强,就越能从堆栈中冒泡出来,消除可能从自上而下的安全过程(如正式方法)中获得的任何收益。

这是令人讨厌的,它有着重要的范围和我的“思维暗示”腺体发痒,实际上说“很难否认”“意外地”因此,如果没有进一步的证据,否则我将假定“按设计”。

哦,在人们都变得防御性之前,问问自己,如果它是在中国公司的产品中发现的,而不是在美国公司的产品中发现的,你会怎么想。

爱国者·5月23日,2019年9:03点

我们所做的一切几乎都无关紧要,我们希望拥有一个互联网和设备,让每个人都能保密,匿名性,身份验证,等。

在某个地方,有一个满是聪明人的房间,他们点外卖,拿高薪来获取你的数据。他们有足够的带宽来想出非常聪明的方法来监视你。

它不会在不久的将来停止。

RealFakeNews·5月23日,2019下午9点08分

因此,华为被禁止的真正原因是,本土产品最终会受到“糟糕设计”的影响。所以为了迫使人们购买,他们就会阻止竞争?

听起来可疑。

正如克莱夫所说,这似乎有点太基本了,不可能是个意外。这比公开私钥更糟糕。

最终信任的设备可能会被破坏,从而提供绝对控制权和访问它应该监视的设备的权限。

没什么“大哥”关于这一点。

伊斯玛·5月23日,下午2019点37分

是时候问一下为什么似乎不可能设计任何独立于底层硬件的安全软件来提供这种安全性的基础?
有人尝试过这样做吗?为什么(明显的)原因不起作用?

埃斯特班·5月23日,下午2019点43分43分

@ SpaceLifeForm
你成功地完成了一项不可能完成的任务。有人能证明某些东西是不可利用的吗?如果你读过这个博客或者至少十年了,你显然知道答案。如果不是,那么你只是在这里针对你不喜欢的公司提出一个个人的理由。无论哪种方法都要干净。

约翰史密斯·5月23日,2019下午9点46分

我曾与后来为思科工作的工程师合作过。非常聪明,他们所做的一切都是专家。

这个“硬件设计缺陷系列”气味测试不合格。

爱国者·5月24日,2019上午12时17分

那篇文章的这一部分特别引人注目:

“我们必须开始将隐私作为一个集体来考虑,环境问题,不是针对个人的东西,当然不是个人有责任保护自己的事情。隐私开始看起来像一个类似于气候变化的问题-在过去的时代,类似于食品安全的东西。”

克莱夫鲁滨孙·5月24日,2019年一18点

@ Ismar,

是时候问一下为什么似乎不可能设计任何独立于底层硬件的安全软件来提供这种安全性的基础?

计算机体系结构目前的方式是,一旦软件位于不完全受信任的硬件上(其中没有任何可用性),就无法编写安全的软件。

当你意识到为什么,你会说“为什么我错过了这个”的时候,原因是显而易见的。.

软件与数据不可区分,因为它们都只是记忆中的一部分,无法区分。这是一个“比特包”只不过是另一个“比特包”所有的意思都来自元数据,而元数据并不在“位包”中为了得到完整的范围,这样的元数据必须是“带外”的。因此,数据可以是指令,指令也可以是数据,你无法区分它们。

最大的问题是所有这些位都存储在内存中,一般来说,定义必须是可写的(如图灵机中的磁带)。

因此,你必须问一个在计算机早期出现的问题,

    如果存储在内存中的位在程序运行时发生更改,会发生什么情况?

在当前的体系结构中,答案从“无”到“完全混乱”,在这两个点之间,程序将明显地按照它应该的方式运行,但实际上做了一件或多件不同的事情。本质上,这是一些形式的恶意软件所做的,以获得某种形式的特权。

因此,下一个问题通常是,

    什么可以改变记忆中的任何一点?

答案是任何能进入记忆的东西,包括高场强非电离,电离辐射和高能粒子。

同样,电源和信号总线上的瞬变,甚至在某些外部情况下,机械振动[1]。

所有这些通常被认为是“随机的”即使他们有威慑力,因为它们与正在运行的程序的功能不相关(异常是主动的EM故障注入攻击)。

但也有其他的缺点需要考虑,逻辑门在其输入开关阈值周围存在问题,可能并确实会导致“软故障”[2]落入“亚稳态”之下。关注。就像所有的电子设备都有可能影响内存内容的其他故障一样。

有没有办法减轻这些“随机的”影响?是的,我们可以增加每个存储字的大小来包含额外的位。然后定义各种被认为是好的和坏的值。

例如,我们可以向一个字节添加一个位来存储奇偶校验位。因此,对于9位,512值的一半是有效的,其他表示“奇偶错误”在记忆中。但是,仅对奇数位错误(如1、3、5、7、9)检测,偶数位错误(如2、4、6、8)从IBITialky有效内容生成有效值,因此不会检测到此类错误。

还有更复杂的系统,但最终,位的任何更改在任何给定的内存位置都有效,不会检测到产生有效但不正确的值。

同样,任何直接将整个新值写入内存位置的进程都不会被检测到。这类问题用于处理编程不良的直接内存访问(DMA)控制器,这些控制器用于在不影响CPU功能的情况下进行大规模数据传输。

许多未命中的点是,任何内存位置的内容只有在读取内存位置时才会在该级别上被删除。因此,所做的任何更改都很容易被检测不到。尤其是当它们不仅低于计算堆栈中的CPU层,而且低于MMU层,甚至低于Nemory接口层时。

大多数现代计算机系统无法检测到内存的篡改,除非其他硬件,如奇偶校验,椭圆曲线密码体制ETC硬件检测到无效值并引发某种异常。

因此,什么“形式方法”并不重要使用这些工具设计的软件有效地达到了计算堆栈中CPU级别正上方的ISA级别。任何“自上而下”都是如此安全的方法,它们都是最新的计算机体系结构,可以“自下而上”接受。攻击和当前的架构不提供针对这些“冒泡”的保护攻击。

这让我们,

有人尝试过这样做吗?为什么(明显的)原因不起作用?

答案是肯定的,我有,原因是如上所述的CPU和以上的安全CPU故障和以下篡改内存。我很久以前就开始研究减轻这些问题的方法,我发现了一些,这在之前的博客中已经讨论过了。

如果你想到基本的电子元件,例如电感和电容,它们的性能由固定在正常机械排列中的导体来定义。然而,如果你能干扰这种机械排列,你就改变了它们的电性能,从而引入了一个相互干扰的信号。这种行为在“自由运行振荡器”中最常见。并被归为一个共同的术语“microphonics”。

[2]事实上,没有“数字电子”它实际上是“模拟电子”有很高的增益,很少或没有负面反馈。如果你看看早期的CMOS逆变器,你会发现你可以把它们当作模拟放大器,只要把它们的输入偏置到开关阈值,这实际上是它们的模拟增益特性的中间。你可以用其他逻辑门做类似的事情,你看到的最常见的用法,适用于XTAL或RC振荡器。

潜伏者·5月24日,2019下午3点13分

@ RealFakeNews

因此,华为被禁止的真正原因是,本土产品最终会受到“糟糕设计”的影响……

所以思科等,所有被推过的人,轻推,眨眼,从高处眨眼,故意在他们的系统中留下漏洞。上流社会对华为很生气,因为他们不会玩那个游戏。但是华为仍然可以/应该被排除在外,因为他们的版本控制很差,更新程序不完善,给任何人留下洞,任何地方,能在自己的好时光里找到并利用,达到自己无法控制的目的。啊,这与信任无关,这是关于控制。

乔治·5月24日,2019下午11点39分

@RealFakenews写道,

“所以华为被禁止的真正原因是本土产品最终被“糟糕的设计”所破坏,所以为了迫使人们购买,他们就会阻止竞争?

听起来可疑。

如果第一步是设计一个牢不可破的系统,第二步是设计一个只有设计师和他的代表才能利用的设计。

思科无疑是由“聪明人”经营的乡亲们,就像华为一样。贸易战看起来更像是一场政治特技秀,旨在掩盖眼前的现实问题。中国在技术上已经发展得太大,无法对美国在控制系统上的主导地位构成威胁。

阿尔克斯特·5月25日上午2019点

那么,我们是否可以说,几乎所有使用不到10年的思科设备都应该尽快报废?

真的!

乔恩·5月25日2019点6:53

@克莱夫·罗宾逊

“软件和数据没有什么区别,因为它们都是内存中的位,无法区分它们。”

在某些微控制器架构中,这是不太正确的,程序被烧录到非易失性存储器中,数据在RAM中保持独立。例如,Atmel(现在是Microchip)AVR上的缓冲区溢出只会损坏其他数据,不是程序本身。

但是(你知道会有一个但是,嗯?)有些指令会让AVR修改代码本身,类似于我们这里所拥有的——正在篡改FPGA配置流。

如果你在没有这些指令的情况下编写代码,然而,数据区域中的任何内容都不能执行。除了数据区之外,没有地方可以放置任何输入。

如果你想要一个引导程序,你必须把这些指示写进去,一个损坏的引导加载程序映像可以编程任何你想要的东西。所以不要这样做-但是接受你不能在现场更新芯片,除非更换它们。

如果你不把这些指令写进代码,芯片不能执行任何数据。

总之,只是一点点,

乔恩

克莱夫鲁滨孙·5月25日2019点8:59

潜伏者

但是华为仍然可以/应该被排除在外,因为他们的版本控制很差,更新程序不完善,给任何人留下洞,任何地方,能在他们自己的好时机找到并利用…

这是英国一家机构在一份报告中给出的理由。这很奇怪,因为秘密报道不同。但现在突然间,由于目前的美国政府正高高在上,它正试图做一个“5G我们的方式或没有办法”一家鲜为人知的英国机构突然宣布这家公司很糟糕…巧合?

也许吧,也许不是。请记住,制作该报告的英国机构非常重视英国IC机构,即GCHQ。

还要记住,在"特殊关系"下英国GCHQ IC机构得到美国NSA IC机构的报酬,为他们进行间谍活动。

这不仅仅是为了监视英国及其公民,但大多数欧洲国家及其公民,哦,还有许多其他国家和他们的公民。为什么?因为各种原因,英国是世界上许多海底通信电缆的发源地。由于路径时间较短,许多商业公司优先使用这些电缆,而不是地球静止卫星。记住它是“商业”的“经济活动”支持这些较短路径长度的公司,所以间谍活动主要是“商业经济活动”…这可不像美国声称的那样,它在从事间谍活动,所以你不得不想,为什么他们要付钱让别人为他们做这件事……

因此,当现任美国政府开始他们的“这家公司一定是邪恶的”胡说八道的人真的应该问的问题是,

    公司是如何被评判的?

这是对其他行业不利的吗?或者是一些深奥的或神话般的理想,有人因为一些完全不同的、潜在的腐败原因而想到?

任何业内人士都知道答案,这不是对其他行业不利的吗?

因此,人们对该公司的评价与一些神话般的理想相悖,即即使在一个完美的宇宙中,也不可能存在这种理想。因此,这份报告充其量只是一个“稻草人论证”用于完全不同的原因。或者换句话说,b组的某个人使竞争环境对公司不利到目前为止,它被设计成“粉碎和掩埋”公司…

让我们这么说吧,如果华为是根据这个残酷的行业的现实来判断的话,他们将与其他“卓越领袖”并驾齐驱。至于思科,我想他们的认证记录可以作为一个起点,毕竟思科和他们的其他品牌公司是我们一直听到的硬编码用户名和密码等事情。你可能会问思科的“版本控制”是什么和“更新过程”是为了公平…但是所有的认证咨询,哦,还有他们的设备被国家间谍机构篡改的证据,也许大多数人都能做出有根据的猜测,他们不如华为……

或者只是一个“烟幕”因为思科是由美国政府秘密资助的,所以所有购买思科的国家和公民都可以被监视?

如果我考虑像美国政府对中国公司的要求一样要求所有的美国电信公司,这可能会在某些地方引起一些道德上的愤怒。但正如他们所说的“强硬”,这正是我要求人们做的。

为什么?因为,如果人们想在公平竞争的环境中玩耍,并且在他们的交流中有机会保持隐私,那么无论他们来自哪个国家,所有市场进入者都必须公开询问和核实相同的问题和相同的审查。

某些民族国家显然没有这样做,当你提到这一点时,它们会勃然大怒,这说明了真正的问题在哪里,也很好地表明了它们的立场是否诚实。

从另一条路走到你得出的几乎相同的结论,

啊,这与信任无关,这是关于控制。

让我们看看什么是信任realy的意思是,如果你的目标是作为一个民族国家的通信隐私。这并不意味着举行一场人气竞赛,为那些你认为最不可能背叛你“盲目信仰”的人而奋斗。这就是“青少年女孩的方法”充其量,我们知道这有多不可靠。所以“信任”必须以更可靠的方式实现。

中情局的座右铭“我们相信上帝”,有一个古老的真理。因为它真正的意思是“每隔一个bu99我们检查”。也就是说,他们总是试图建立信任,而不是使用盲目的信仰。

这就是你必须采取的方法,如果你想在通讯中保密,您假设所有参赛者及其产品都是恶意的,并采取相应的行动。

当英国政府发表声明说他们正在考虑将华为用于5G时,有很多愤怒的声音。把美国政府或历史放得更平淡些,毫无疑问,B组的利益,把玩具扔出婴儿车和“有一个大嘶嘶适合”关于英国政府的决定。

事实上,这不仅仅是一个“山峰动画拟合”为了宣传/旋转。从本质上讲,这是真正的b级团队对“特殊关系”的默许。不是“扼链狗”的线索吗?他们以为是,由于他们的失败,这意味着对现任美国政府来说是一个相当公开的打击。

事实上,英国GCHQ的立场是“我们假设所有国家的公司的所有‘设备’都可以并且将被用来监视我们,因此,我们根据这一假设采取一般缓解措施”。这是他们多年来一直担任的一个职位,从来都不是秘密。

但是要注意的是,这是关于“设备”,而不是公司或他们来自哪里。那是GCHQ很清楚他们,美国国家安全局和世界各地的许多其他国家和私人情报机构“作为政策的一部分”黑客/植入他们能“使用的任何设备”。

本博客的大多数读者应该从“希腊奥运会”中了解到这一点一名中情局特工的轻率行为最终导致一名为希腊手机网络供应商工作的雇员的可疑死亡,以及为中情局特工发出的国际逮捕令。同样,德国总理手机等的窃听。

人们应该停下来问,为什么GCHQ长期以来的这种常识性态度对美国代表如此陌生?因为它说的更多的是当前美国政府的观点和活动,而不是英国,GCHQ或者是有问题的公司。

“技术”或“安全”人们应该接受的观点是,

    任何商业设备都不受国家级间谍活动的影响。

这是一个清楚,简单的,事实立场,它背后没有偏见或别有用心或议程。

因此,从我的角度来看,GCHQ向英国政府提出的建议基本上是“我们假设,不管植入物来自何方。”假设一个公平的竞争环境。正如我们“减轻一切”的后续行动。

鉴于现代商用设备市场的性质,“减轻一切”是确保各国安全的唯一合理的技术对策,不仅仅是关于通信的隐私。

然而,“政治”的棘手问题仍然存在。考虑一下。

以美国公司为例,这个话题是关于“思科”。让我们面对的是,那些对美国集成电路实体添加植入物的照片感到尴尬的人出现在了媒体上。同样的,经常出现的外星生物报告了他们的设备,这不仅是州一级的情报机构,但几乎所有其他的网络公司都在滥用思科的产品,损害其产品在全世界的用户。

思科是全球众多电信设备的主要制造商之一,因此,它们与其他主要制造商一样,是“选择的目标”。简单地说,投资回报率表明,你花在扭曲一家大公司产品上的每一美元,他们拥有的客户数量越多,他们就会成为你的受害者……

因此,网络不发达国家的一个普遍规则是“大进攻是值得的”。你可能还记得,我们在PC恶意软件早期的游戏中看到了“微软是首选目标”假设安全专家告诉人们“买苹果电脑”为了安全…

这也意味着,大型电信制造商不仅是其总部所在国家的IC的目标,而且是所有国家的SIGINT代理机构等。就思科而言,他们的祖国是美国,美国的政策是监视世界和他的狗,因此,这些照片并非完全出乎意料。

所以,

1,我们知道Cisco设备在全球范围内的客户中存在大量的植入物,这些植入物是由软件漏洞造成的。

2,我们也碰巧知道,美国IC公司在思科设备中植入芯片,也获得了思科产品的非法进入和控制。

因此,

三,美国公司思科是否要把矛头指向美国的植入物和网络攻击?

大多数人会说不,但问问你自己,如果我换了“我们”,他们会怎么说?“中国”“思科”“华为”?

美国现任政府表示,如果华为设备被发现有植入物,你应该指责华为,而不是植入或利用这些植入物的国家或机构……

那么,为什么我或者其他人应该对思科有什么不同的看法呢?

因此,根据美国政府的规定,我应该声明思科不仅知道美国IC对其设备做了什么,而且还知道他们积极负责,甚至与他们串通。因此,世界上任何地方都不应该购买思科设备。

美国人认为这是一个公平的观点吗?

在一天结束的时候,关键是,目前的美国政府实际上是在说,

    一条规则适用于美国政府和美国军团,另一条规则适用于其他所有人。

因此只表现出我们例外论的另一种形式。

所以现在的美国政府不仅不想在他们的国家有一个公平的竞争环境,他们还想坚持认为,其他所有国家都在同一个战场上作战,这样才有利于美国……

非美国人民对此有何看法?

很明显,英国政府认为当前美国政府的观点是错误的,尽管美国国家安全局给了英国情报机构GCHQ资金和设备来为他们进行间谍活动。很明显,英国政府的推理是基于其SIGINT机构GCHQ的常识性推理,在很多人的记忆中,这并没有真正的改变。这也是基于事实的推理,而不是偏见或隐藏的议程等。

噢,更重要的是,目前美国行政部门的B组似乎准备为之进行真正的激战……不管装在尸体袋里要多少钱。

对于美国的人,问问自己,你真的想让你所爱的人和朋友装在背包里吗?因为B队想打仗。任何战争都要把他们的名字写在历史书上?

[1]实际上,当你考虑到这些信息是如何发布的时,它很可能被设计成“拉扯当前美国政府的链条”。提醒他们“他们没有制定英国国家通信政策”。然而,它的发生是因为一个“泄漏”这源于英国国家安全委员会的一次会议,在那里,GCHQ就英国应该如何在“国家安全”的所有细节下推进5G提出了他们的观点。那次演讲的基本内容既不是秘密,也不是机密,电信业的大多数人都知道这是基于"常识"至少在过去的半个世纪左右。不幸的是,MSM参与其中,并没有说出真正的信息,而是决定“英国部长在脱欧分歧问题上对首相不忠”。会带来更多的销售等。

克莱夫鲁滨孙·5月25日2019下午12点32分

@乔恩,

如果你在没有这些指令的情况下编写代码,然而,数据区域中的任何内容都不能执行。除了数据区之外,没有地方可以放置任何输入。

你知道这是康明斯;-)

微芯片最初的PIC架构是哈佛大学的,因此一条总线上的指令进入指令解码逻辑,另一条总线上的数据进入ALU/寄存器和I/O。

它确实提高了安全性,除非指令构成“代码”的解释程序。在数据存储器中。

几年前,在开发安全内存加密狗时,我为其中一个pic24芯片编写了一个非常简单的基本风格的解释器。它仅使用VT52终端作为测试仪器/控制面板就实现了相对快速的设计。最后,我用forth解释器的一个变体替换了它,在它上面运行多任务/线程,并获得了大量的“代码压缩”。

基于堆栈的解释器是一个技巧,程序员必须写多任务嵌入式系统的SoC的,而没有MMU的可以找到相当有用的。但在大学课程结束后,几乎没有人听说过基于堆栈的口译员……

潜伏者·5月25日2019下午4点13分

@克莱夫·罗宾逊
谢谢你在我那几行字之间充实了细节。当然,中国不谋求全球霸权的主张不应受到太多的重视。这是霸权国家的本性,特别是当前,他们害怕对手。所以他们绝不允许任何外人取代他们现在的拉普狗,这条线的主题。

乔恩·5月25日2019点10点40分

@克莱夫·罗宾逊——实际上,我想到了一个AVR,它是由微芯片购买的,在那里没有发展。但无论如何,你写道:

它确实提高了安全级别,除非指令构成“代码”的解释程序在数据存储器中。”

我称之为引导装载程序。AVR确实在数据存储器中包含堆栈,粉碎这个堆栈将导致程序疯狂地跳跃,但它不会改变“到达那里后要做什么”。如果程序中没有任何地方可以让您着陆,上面写着“我们在这里将信息从数据移动到程序”,这不可能发生。

这导致了一个有趣的想法,即一些AVR指令占用多个位置,跳到其中一个中间用,说,一个操作码的最后一个字节和下一个操作码的第一个字节可以用来构造修改程序所需的操作码。狡猾的,那。

除上述之外,我的观点是,除非您在开始时故意包含允许数据从数据移动到程序的指令(例如,说,一个自编程引导程序);数据不能写自己的指令-因此没有可以执行的数据。

你也写了很多,稍后我会仔细阅读。我觉得我有点同意你的看法——所有这些华为的偏执狂都是虚伪的。

J

阿尔克斯特·5月26日,2019年13点

我很抱歉坚持,但我的理解正确吗
1。这是一个硬件设计问题,很可能不是“可修复的”(我相信思科的工程师们正在绞尽脑汁寻找缓解措施)
2.可以远程利用

鉴于思科在市场上的盛行,我发现其后果是惊人的。

目前可能存在或可能不存在活跃的攻击,但正如本博客的主人所主张的,“攻击只会变得更好”。考虑到可能的回报,这将是最肯定的落泪。

再一次,我是错过了什么,还是这绝对是个大问题?

克莱夫鲁滨孙·5月26日,2019年24点

潜伏者

谢谢你在我那几行字之间充实了细节。

没关系,这是一个许多读者可能已经非常思考的话题,所以有一点背景可以帮助他们赶上一点或采取惊吓和头上的封面。

克莱夫鲁滨孙·5月26日,上午2019点03分

@乔恩,

我的观点是,除非您在开始时故意包含允许数据从数据移动到程序的指令…数据不能写自己的指令-因此没有可以执行的数据。

几年前有一个假设,哈佛的体系结构不仅“更安全”但“安全”许多人接受了这个想法,在某种程度上仍然是这样。

然而在后来的“淘气”时期奇怪的事情发生了,2007年,一篇题为“骨头上无辜肉体的几何学”的论文出现在学术界踢了回归导向程序(ROP),在接下来的50年里被谈论了很多,但因为许多人认为这是一个“已解决的问题”你往往不太了解这件事。

但它并没有消失[1]而更微妙的变化仍然是成熟的解释,即使当指令不能改变,因为它们是在老式的只读存储器,必须从板上取下,并重新编程在某些情况下与烙铁(绳和二极管记忆或重新调整用于书写的别针)。

关键是,除了一些专业软件,如状态机和DSP风格的程序,一般来说,尤其是那些指令从编译器发出的指令需要RAM来存储它们的堆栈和做出分支决策的数据。

因此,如果程序本身或其所基于的库代码包含“有用的代码”那么恶意活动是可能的。

正如你所认识到的,上面提到的“有用的代码”可能不明显。扩展x86指令集的一个弱点是,一个占用5字节ROM的指令也可能是4字节,三字节双字节或单字节指令。是的,人们以前也利用过这一点(通常只是作为一个单字节或有时是两字节的初始指令)。

然而,ROP有一个新的变化,我们可能会听到更多关于在不久的将来,这是我目前正在玩的东西。

毫无疑问,你听说英特尔为每个人都准备了一点圣诞节的预赛,圣诞节回来了。正如我当时所说,它变成了“不断给予的圣诞礼物”,可能会在未来的50年左右。问题是“走快点”围绕CPU的ALU和指令解码单元实际上比核心CPU功能更复杂。

这种复杂性需要提高效率,正如我在这个博客上十年多以来一直警告的那样,在其他地方存在“效率-v-安全”的问题。效率越高,一般来说,除非你真的知道自己在做什么,否则你打开的侧通道越多[2]。

但大多数人都认为“效率—V—安全”只表示“简单的基于时间的边通道”尽管我警告过有其他类型的。其中之一是“系统过度偏执”Matt Blaze和他的一些学生展示了从输入到输出的过程,我还谈到过反向通过数据二极管,使用“错误和异常”的防火墙和其他安全措施练习技巧。但大多数人仍然没有意识到,在“效率-v-安全”方面,英特尔AMD和ARM遭遇的灾难和幽灵只是另外两个问题。名单。哦,还有很多其他的研究者,当他们进一步思考的时候会发现。我可以向你保证,其中一些将会是真正的小玩意儿,并且会归结到硬件上,这些硬件对系统来说是如此的错综复杂和关键,以至于它们既不能被移除,也不能被减轻,除非受到重大的惩罚。思科面临的这个问题只是一个更大的问题…

要了解为什么要考虑高硬件复杂性的CPU系统,比如老式x86的64位变量。它们非常复杂它们有"虚拟图灵引擎"的基础在他们里面。例如,更现代的x86变量内存控制硬件已经被证明是一个虚拟图灵复杂引擎,可以并且已经被设计成这样工作。因此,有可能制造出如此复杂的图灵引擎,它只需要数据RAM就可以像磁带一样工作。

这是恶意软件的未来…

〔1〕https://securityintelligence.com/return-oriented-programming-rop-contemporary-explotives/

[2]你可能会认为没有人和我的意思是没有人知道他们在这方面做了什么。原因是“已知,知道“通过“未知,未知”提议,这就是我们所知道的比我们将来知道的要少得多。一般来说,很少有设计高端CPU硬件的人知道已知的这就是熔毁和Spector变量存在的原因。至于那些人,我们知道,解决这些问题的方法会导致相当严重的性能下降。任何一个在“市场优势”中提到它的人或亚质素“实现”“工程”会议不仅不可能被邀请回来,他们可能很快就会在保安办公室的一个纸箱里发现自己所有的私人物品。

克莱夫鲁滨孙·5月26日,2019点7:58

@,

所以你知道思科不应该为这个问题找借口。

早在2012年,剑桥大学计算机实验室就在CHS上发表了一篇论文,该论文表明,即使是在mil级的高安全部件中,FPGA比特流也存在安全问题。

网址:https://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdf

如果你读到这篇文章,你会发现FPGA对于这种“现场编程”的攻击有多脆弱。方法。在某种程度上,这与恶意软件能够覆盖flash bios-rom一样,这样旧的ibm/microsoft“在引导时加载I/O驱动程序并使其持久化”。几年前,联想曾对其消费者级笔记本电脑进行过类似的测试,引起了轩然大波。当一个恶意软件研究人员试图弄清楚我们现在所说的BadBIOS时,他想要寻找的是一种利用人类无法听到的高频音频信号进行网络连接的方法,这种方法可以很好地跨越传统的高安全性的“空中gapps”。

可以肯定的是,思科的工程师和安全从业人员已经阅读了CHS的论文,并且能够得出所需的结论。因此,思科当时不必进行设计变更的唯一原因是,他们出于“商业原因”而进行了设计变更。不用费心了。同样,Badbios和联想的安全问题不仅得到了很好的宣传,而且在技术上经常被详细分析(在这个博客以及其他许多地方)。

这些“商业原因”最可能的原因不是放弃一些被感知的“营销优势”。这就是为什么我们有熔毁和斯佩克特变异。

通常是“营销优势”基于“理想绩效”的概念哪种安全策略几乎总是让你陷入“效率-v-安全”的中间一个问题领域,各种各样的讨厌的旁道问题正等待着被激活,然后被那些有兴趣找到它们的人发现。

希望看到更多的安全问题来自于“效率—V—安全”问题领域。与许多人所认为的相反,这个领域不仅仅是通过基于时间的侧通道泄漏信息。

在过去的博客中,我已经多次提到过它,而且不可否认,比我预期的要晚,学术界和开放安全社区终于意识到它的真正含义……

这不仅仅是在泄露信息,但是系统的过度偏执,以及通过错误控制和信号通道进行的故障和类似注入攻击,以及那些例外情况。正如我之前提到的,你可以通过数据二极管建立一个可行的秘密通信通道,防火墙类似的安全屏障很多人错误地认为是“单向的”所以他们不采取安全措施。

这种缺乏准备的情况在未来相当长的一段时间里会一直咬人咬人。作为安全工程师,你应该让上面的人知道这些问题。但是你不会受到任何人的欢迎,所以我会尽可能谨慎地做,只是为了“盖住你的屁股”(青色)当棕色的东西撞到墙上,就像它几乎总是与安全漏洞。

克莱夫鲁滨孙·5月26日,2019下午12点05分

@亚历克斯T,

再一次,我是错过了什么,还是这绝对是个大问题?

这在一定程度上取决于你的观点,对了,有些人在唱“不听话”的时候把手指放在耳朵里一次又一次,或者选择去别处看看。而其他许多人还不知道这是怎么回事。当然有些会像他们处理熔毁和斯佩克特变量一样,耸耸肩,希望事情能解决…

所以,

1。这是一个硬件设计问题,很可能不是“可修复的”

好吧,首先要记住“所有人造的东西都可以修理或替换”,真正的问题是如何最好地利用这些资源。回想一下Pentium Math Bug的例子,我相当肯定,这将是思科许多管理人员的想法,或者类似于平托油箱。

从别人的说法来看,这是软件无法修复的故障,我一点也不惊讶。关于现代PC BIOS芯片,它们是可以电擦除的,在许多情况下,没有硬件写保护,所以你可以很容易地改变它因为你不需要打开箱子等等。

所以很有可能这个思科系统是类似的,这意味着,唯一真正的修复是替换董事会或整个单位。

但是,从上面所说的,您需要某些软件特权,这将使我们了解您的第二点。

2.可以远程利用

只有在远程获得系统特权的情况下。

这意味着尽管实际的硬件故障可能无法修复,在硬件故障修复之前,将所需的特权与远程攻击者隔离可能是可能的。

我怀疑思科会很快发布某种软件升级,如果没有其他原因,而是为自己争取更多的时间…

我们现在需要的是更深入的硬件信息来判断。


阿尔克斯特·5月26日,2019下午3点09分

@克莱夫:谢谢你的详细回复。

我想这里确实需要一些限制,但这有可能变成一场可怕的灾难。

乔恩·5月28日,2019上午10点59分

@ Clive -太棒了!但我不认为它现在适用于我。

幸运的是,我使用的是非常便宜的“不快乐”的8位AVR,它没有“流线型”功能。在他们的Alus周围,或同时穿线的任何借口。没有操作系统。没有壳。有一个特权升级(“我可以重写我自己吗?”),这需要一些非常具体的操作码,我很少包括。

除非对操作码进行字节切片,使程序跳转只能执行其中的操作码。

拒绝服务似乎是可行的——迫使某个分支不断地向自身分支——或者混合使用不同的操作,从这里到那里变成“你好世界”。变成淫秽,但是程序本身,除非*包含自修改操作码,无法强制修改自身。重启时,它将保持原样。

我使用的大多数图书馆我都很清楚,因为我写过它们。前几天发现了一个bug。哎哟。所以一般来说,我不太担心图书馆的意外行为。

拉焊针会有点棘手,考虑到程序ROM在单片机内部,但是,如果你想去伪装和胡闹,你可能会……

这实际上是FPGA的一个问题——配置ROM通常是在芯片外部,让拦截信号变得微不足道。希林克斯在我怀疑的其他人中,声称他们的配置数据流是用商业机密算法加密的,但我不知道。

基于熔丝的可编程逻辑没有这个问题,但它们的密度通常很小,所以彻底搜索并不难。

总之,考虑到我无情的输入验证(HEHE)和这些芯片运行的系统,我不太担心。

玩得高兴!

J

*请参见字节切片操作码。

留下评论

允许的HTML:····

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性