Исследователи безопасности из компании Google опубликовали информацию об уязвимости (CVE-2024-56161) в процессорах AMD, затрагивающей загрузчик микрокода и позволяющей обойти механизм проверки цифровой подписи при обновлений микрокода. Загрузка модифицированного микрокода позволяет скомпрометировать механизм AMD SEV (Secure Encrypted Virtualization), применяемый в системах виртуализации для защиты виртуальных машин от вмешательства со стороны гипервизора или администратора хост-системы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62668
фиксится элементарно: свои ключи sb и микрокод в UKI.
проблем не вижу.
Ага... Свои ключи и свой микрокод. )
?
если механизм верефикации в процессоре не работает, никто не мешает использовать механизм мат. платы для этого.
тем самым предотвратив возможность загрузки левых микрокодов(даже официальных, но не той версии, которую Вы в UKI зашили, условно) в принципе.
- персонал датацентров и облачных провайдеров не мог изменить или проанализировать содержимое памяти защищённых гостевых системImpossible. Just by design.
Но вы пытайтесь.
> персонал датацентровспециально будут использовать (откатываться на) дырявый старый подписаннй самим amd микрокод, расказывая клиентам, владельцам защищенных впс, сказки про как все секьюрно и сертифицированно.
сказки про как все секьюрно и сертифицированно.а чо для такого есть серьтификат встек?
От сИкРеТнЫхЪ инопланетных технологий взлома действительно невозможно защититься. От реальной модели угроз — а она, кстати, расписана вполне подробно, заспросите у своего аккаунт менеджера документацию — вполне защищает. Ну, пока дыру не обнаружат, но это дело такое, все ошибаются, поэтому security in depth и не полагаться на то, что щеколда удержит дверь.
Очередная бумажная уязвимость, до которой есть дело полутора колекам.
не, ну если бы позволяла удобно подглядывать что там у ло...состоятельного клиента виртуалочка майнит - было бы дело. Но оно ж еще и не работает...
> у ло......яльного гражданина?
>> у ло...
> ...яльного гражданина?да не, к лояльному гражданину с паяльником просто придут. Или на шампанское пригласят.
Мы тут за провайдеров болеем а не за товарищей с длинными ушами и холодными сердцами.
Лояльный гражданин приходит сам. со своим паяльником..
Зачем состоятельным виртуалочки?!
Вы что то путаете.
Нашему приятелю из одной э... враждебной страны, кто-то ж платит за хостинг.Значит, зачем-то нужны.
(наверное ведь не потому что состоятельные не в состоянии сами поддерживать себе инфру?)
Так столуйтесь дома за деревянные, раз до сих пор не осилили платежи через крипту.
да, всего-то теперь даже с логгерами в ramfs не надо возиться - можно сразу весь процессор брать под контроль.
а с ним - и все диски.
Так там по условиям он и так уже под контролем.
А если учесть что речь под админа хоста виртуализации то ему проще будет самому виртуалки продырявить через их образы на дисках.
> Так там по условиям он и так уже под контролем.
> А если учесть что речь под админа хоста виртуализации то ему проще
> будет самому виртуалки продырявить через их образы на дисках.блин, мне обещали что можно просто ж читать уже намайненые ethки! Какого хрена пердолить какие-то образы?!
кто сказал?
диски зашифрованы(следовательно, данные неизменяемы).
а вот получить полный контроль над процессором обычной EMA - это уже неплохое заявление "на победу".
Ты как то странно себе представляешь процесс :)Ну зашифрованы они, можешь ими утерется :)
Но тебе же надо чтобы там что то загрузилось, вот админ хоста виртуализации тебе может предоставить свой EFI биос, который будет содержать код который работает ну нулевом и ниже уровне защиты.
Скорее, очередной бэкдор, который засветился и пытаются показать как случайную ошибку.Вообще, компрометация RDRAND убивает очень много где криптографию, особенно если из-за веяний в systemd в ядре было включено доверие к RDRAND, что большинство дистрибутивов таки делает.
RDRAND мало где является единственным источником энтропии.
Собственно я не знаю где оно единственный, обычно собирают в пул энтропии много всякого разного, и на наличие RDRAND вообще пофиг.
> RDRAND мало где является единственным источником энтропии.
> Собственно я не знаю где оно единственный, обычно собирают в пул энтропии
> много всякого разного, и на наличие RDRAND вообще пофиг.См. https://www.kernelconfig.io/config_random_trust_cpu
Хуже того, по умолчанию доверие к случайным числам и от CPU, и от загрузчика включено:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux...Да, после инициализации системы будет пополнение пула энтропии и от других источников, но при их исчерпании снова будет всё на RDRAND. Так что большинство систем, где cpu и bootloader random.trust не выключены, уже скомпрометированы.
Спасибо systemd и засланному казачку Поттерингу, без которых эту хрень по-умолчанию не включали бы. А так формальной причиной стала нехватка энтропии на старте systemd.
Ну RDRAND тут просто для демонстрации.Но какой-то чел из PT (где вскрыли AMT) еще давно пояснял что обработка исключений производится именно микрокодом (как у интела, так и у амд) и намекал на существование бекдоров, которые изначально сделаны похожими на ошибки и срабатывают при соответствии содержимого регистров определенном уравнению-условию.
А теперь нам сообщают что можно загрузить любой микрокод из-за "ошибки".
микрокод вшит в ramfs. буквально. cat'ом напрвляется дамп бинаря в конец файла.
если у Вас можно было загрузить любой ramfs - Вы _уже_ в пролете.
Если я правильно понял фстек, то речь о том что вообще пофиг какой там микрокод и какие права, ибо чел из PT (Positive Technologies?) был прав и там вся защита в бекдорах, которые можно выдать за ошибки когда их раскроют/найдут.
Дело не в бумажности. А в том, что в датацентре по умолчанию персонал будет получать доступ к гостевым машинки. И не надо городить для этого всякие расширения. Это для сказок о том, что теперь точно ваши данные никто не увидеть, чтобы побольше получить денег с просточков.
> в датацентре по умолчанию персонал будет получать доступ к гостевым машинкиВаш залитый нечистотами подвал с двумя списанными стойками — это не датацентр. Я проходил стажировку в AWS, конкретно обеспечение безопасности и операционное управление ДЦ (security and operations management). Удачи подойти к стойке достаточно близко чтобы потрогать случайный сервер руками, не говоря уже залезть и что-то там раскурочить. Персонал ДЦ и охрана за неделю знают кто придёт, где, что и почему он будет делать.
1. От подготовленно вторжения людьми готовыми на любые статьи УК с финансированием это не поможет. Это против случайных одиночек-зодротов, которые с трудом готовы принять условное или домашний арест, максимум против уличной гопоты грабящей магазины.
Я тебе за час накидаю общий план как туда войти-выйти с желаемым и даже вероятно не встретить снаружи сват. Но это дорого в реализации (минимум 0,5м баксов) и не быстро по времени подготовки. Собственно самая большая проблема которую я вижу - как среди всего того мусора что у них есть найти физически нужное за фиксированное время.2. Для клиента ДЦ модель рисков может включать в себя и силовиков с ордером которым персонал ДЦ постелит ковровую дорожку до стойки с сервером, нальёт бухла и сам всё принесёт.
Да, нужны права админа. Но насколько понимаю, прикол железных уязвимостей вроде этой в том, что стоит только один раз малвари получить админа и уже ВСЁ, теперь ее с компьютера фиг выкуришь, комп можно смело отправлять на свалку. Ну или применить навыки работы с железом которыми 99% пользователей НЕ владеют
ну или хотя бы прочесть, что такое микрокод, прежде, чем глупости писать .. тоже, как вариант.
Зы. его ОС грузит .. сама. из ramfs.
Спасибо, не знал. Я думал что это работает как обновление прошивки у БИОСа.
Ну отчасти оно так и работает, т.е. можно залезть в UEFI-БИОС и оттуда заливать "правильный" микрокод.Только тут многое зависит от реализованных возможностей UEFI на конкретной платформе и наличию уязвимостей, см fwupdmgr.
если у Вам в efi залезди, это уже финишная.
не знаю, как у амд, а в новые интловские процессоры неподписанное зашивать в efi не дают.
> Спасибо, не знал. Я думал что это работает как обновление прошивки у БИОСа.У проца есть возможность грузануть новый микрокод вместо дефолтного в его ROM - в patch RAM. Накристальный.
BIOS/uefi может попользоваться возможностью и вгрузить более новый код из своего образа, если нужный микрокод там был. Дефолтный микрокод проца обычно столь кривой, что спасибо если проц вообще может хоть как-то работать. В адекват это приходит лишь через эн апдейтов микрокода как правило.
Далее - бутлоадер или ядро может и более новый микрокод вгрузить, если у них он есть. Это позволяет заметно более эффективный runtime update этого добра. Ибо рефлешить фирмвару - мало кто сподвигается.
Интел запинали ногами, теперь капитально взялись за АМД? :)
Новость из мира фантастики. Очень редкая уязвимость на очень редком железе. Процы в магаз завезли Ryzen 9950 по 106000 деревянных рублей, система в сборе тыщ 300 будет стоить. Что-то чуток дороговато.
> Процы в магаз завезли Ryzen 9950 по 106000 деревянных рублей,
> система в сборе тыщ 300 будет стоить.Вполне нормальная цена в сложившейся ситуации в стране.
Любой айтишник (в МСК) может себе такое позволить не напрягаясь.
Если у вас все настолько плохо... ну поработайте по вечерам доставщиком хавки, заодно заменит тренажерку.
> поработайте по вечерам доставщиком хавкиЭто надо поднять задницу со стула. А зачем... когда есть такой комфортабельный Core2Duo
Зачем core2duo, если есть Pentium D?
Зачем Pentium D, если есть Pentium III?
Сижу на Искра-1030, норм, для всего хватает. Шумит только сильно, но ничего, дело привычки.
700 евро ему цена сейчас.
Ну то есть да, "сложившаяся ситуация" - это полный Ц.
Проц без зондов стоил бы сильно дороже.
вопрос не в том, кто и что себе в принципе может позволить, а в соразмерности цены за товар
Вообще в Москве медианная зарплата за 2024 по разным данным примерно 55000-65000. Это означает что как минимум половина Москвичей получает столько или ещё ниже. Так что не так уж много людей могут такое позволить.
> Вообще в Москве медианная зарплата за 2024Это "медианная зарплата", а не "медианная зарплата среди айтишников".
А там цифры немного другие.
Ну и речь же не про обычных людей - нафиг им вообще 9950x???
> Вообще в Москве медианная зарплата за 2024 по разным данным примерно 55000-65000.
> Это означает что как минимум половина Москвичей получает столько или ещё
> ниже. Так что не так уж много людей могут такое позволить.Пенсионеры-охранники магазинов, работники (около)бюджетных предприятий типа водопроводчиков и электриков, вместе с какими там еще работниками складов - на опеннет не ходят. Зачем оно им? Они страшно далеки от разработки софта вообще - и идей опенсорса в частности.
Любой _прикормленный_ айтишник, обеспечивающий безопасность попилов и откатов. И только в МСК. Честный айтишник в любом месте планеты (!) -- нищий.
> Любой _прикормленный_ айтишник, обеспечивающий безопасность попилов и откатов. И только
> в МСК. Честный айтишник в любом месте планеты (!) -- нищий.ну логично, кому нужен айтишник, обеспечивающий айти самому себе? И зачем ему бы платили.
Как за произведение искусства? Ну, так себе перспектива, хотя... попробуй монетизацию на ютубе, у этого, вон, Линуса (не торвальдца) неплохо получается при крайне хреновых знаниях и умениях.Причем он уже достиг той стадии нирванны, когда кривляться и танцевать ему самому каждый раз не надо, можно нанять для этого рабов подешевле и остаться в прибыли.
> кому нужен айтишник, обеспечивающий айти самому себе? И зачем ему бы платили. Как за произведение искусства?А вдруг найдется щедрый меценат, что ценит мнение экспертов Опеннета...
Любой айтишник (в МСК)однако, кто-то и работать должен
Далеко не каждый.
>Процессор AMD Ryzen 9 9900X, OEM: 54'990 рублей
>Процессор AMD Ryzen 9 9950X, OEM: 85'990 рублейТы ценники в ЦУМ смотрел?
> Ты ценники в ЦУМ смотрел?Ты бы лучше ссылки на магазин привел.
Потому что что написать все что угодно можно.
А потом оказывается "в наличии нет", "под заказ от четырех недель" и так далее.
Ситилинк, в наличии.
> Ситилинк, в наличии.OEM конечно, но возражение принимается.
Тем лучше, не придется становиться яндекс-едаком))
ДНС, в наличии
AMD Ryzen 9 9950X OEM - 77к руб
https://www.dns-shop.ru/product/b28701d724a2d582/processor-a.../AMD Ryzen 9 9900X OEM - 55,3к руб
https://www.dns-shop.ru/product/02fda71c24a4d582/processor-a.../Есть коробочные версии, они дороже. Но их почему-то несколько и с разной ценой. Лень разбираться ибо даром не нужно
> Но их почему-то несколько и с разной ценой.- ОЕМ
- в коробке, но без куллера (не спрашивайте зачем тогда коробка...)
- в коробке и с куллером
> - в коробке, но без куллера (не спрашивайте зачем тогда коробка...)ну чтоб не надо было сразу засорять приротку выбрасыванием ненужной вертелки. Все равно ж башню свою ставить.
>> Лень разбираться ибо даром не нужно
>> Но их почему-то несколько и с разной ценой.
> - ОЕМ
> - в коробке, но без куллера (не спрашивайте зачем тогда коробка...)
> - в коробке и с куллером
>>Процессор AMD Ryzen 9 9900X, OEM: 54'990 рублей
>>Процессор AMD Ryzen 9 9950X, OEM: 85'990 рублей
> Ты ценники в ЦУМ смотрел?Может это с доставкой на какой-нибудь крайний север. Там процессор - во, горючка для самолета с большой земли - во!
> Процы в магаз завезли Ryzen 9950 по 106000 деревянных рублей, система в сборе тыщ 300 будет стоить. Что-то чуток дороговато.Как грязи и дешевле 100 в сборе.
Но там еще пяток уязвимостей на подходе, поэтому действительно дороговато, либо нужно с АНБ требовать отчисления ;)
А на амазоне что сильно дешевле?
Я в 2023 брал 5950х и 5750g в мск, потому что через али/ебэй они выходили заметно дороже, даже без учёта +20% при местной растаможке.
>Изменение приводит к возвращению инструкцией RDRAND только числа 4Классика
int getRandomNumber()
{
return 4; // chosen by fair dice roll.
// guaranteed to be random.
}
Гарантия ФСТЭК.
Скоро появиться новый вид уязвимостей - замена CPU
Для этого нужно иметь физический доступ к материнской плате, а так же иструменты:
- отвертка;
- паяльник;
- шприц;
- термо паста..Уязвимости подлежит весь спектр устройств ...
Замена проца паяльником? Я бы поорал с того как ты поставишь новый проц паяльником.
> Я бы поорал с того как ты поставишь новый проц паяльником.Ну ты как маленький.
Паяльник нужен для общения с админом.
И для солидности))
Скотч забыли чтоб камеры заклеивать.
И всё это сквозь охрану пронести... план понадежнее швейцарских часов)
Ну паяльная станция с двухсторонним подогревом.
Термопаста уже не нужна. Kryo Sheet даёт эффективность сравнимую с жидким металлом и не требует замены. Ломкий только, надо осторожно класть.
> Изменение приводит к возвращению инструкцией RDRAND только числа 4, вместо случайной последовательностиДолжно ж быть 42!
>> Изменение приводит к возвращению инструкцией RDRAND только числа 4, вместо случайной последовательности
> Должно ж быть 42!так это ж случайное! А 4 - неслучайное!
Должно быть именно 4, выше в комментах приведена выдержка из lore поясняющая выбор 4.
>> Изменение приводит к возвращению инструкцией RDRAND только числа 4, вместо случайной
>> последовательности
> Должно ж быть 42!Это они из XKCD взяли. Там был код, что-то типа:
int get_random()
{
return 4; // Chosen by fair dice roll
}
Не понял смысл этой уязвимости.Гостевая система не может проверить, что выполняется в защищенной среде? В тогда смысл AMDSEV?
Если может проверить, то гость сразу увидит, то процессор загрузил неправильно подписанный микрокод.
Кто надо все узнает, кто не надо ничего не узнает.
Хочешь сказать, AMD-SEV - это фикция?
always has been
Прошивка заменена и она всем говорит что всё норм.
А то что при всех серв надо выключить, перепрошить, сидеть и переть\мониторить что там унутрях при всех... ну это так, детали))
> В ходе атаки можно вклиниться ... AMD SEV (Secure Encrypted Virtualization) и SEV-SNP (Secure Nested Paging)
> Для устранения уязвимости на системах, в которых используется аттестация SEV-SNP...В ядре 6.13 появился новый параметр загрузки - nosnp:
Do not enable SEV-SNP (applies to host/hypervisor only). Setting 'nosnp' avoids the RMP check overhead in memory accesses when users do not want to run SEV-SNP guests.
Не поможет? Или наоборот? )