Teadlased tõid just välja uue haavatavuse, mis mõjutab protsessorikiipe – ja seda nimetatakse Hertzbleediks. Kui seda kasutatakse küberturvalisuse rünnaku läbiviimiseks, võib see haavatavus aidata ründajal salajasi krüptovõtmeid varastada.
Sisu
- Mis täpselt on Hertzbleed ja mida see teeb?
- Kuidas veenduda, et Hertzbleed teid ei mõjuta?
Haavatavuse ulatus on mõnevõrra jahmatav: teadlaste sõnul on enamik Inteli ja AMD protsessorid võib mõjutada. Kas me peaksime Hertzbleedi pärast muretsema?
Uue haavatavuse avastas ja kirjeldas esmakordselt Inteli teadlaste meeskond oma sisejuurdluste raames. Hiljem võtsid UIUC, UW ja UT Austini sõltumatud teadlased sarnaste leidudega ühendust ka Inteliga. Nende leidude kohaselt võib Hertzbleed mõjutada enamikku protsessoreid. Kaks protsessorihiiglast Intel ja AMD on mõlemad haavatavust tunnistanud, Intel kinnitas, et see mõjutab kõik oma protsessoritest.
Soovitatud videod
Intel on välja andnud a turvanõuanne mis annab juhiseid krüptoarendajatele, kuidas tugevdada oma tarkvara ja teeke Hertzbleedi vastu. Seni pole AMD midagi sarnast välja andnud.
Mis täpselt on Hertzbleed ja mida see teeb?
Hertzbleed on kiibi haavatavus, mis võimaldab külgkanalite rünnakuid. Neid rünnakuid saab seejärel kasutada teie arvutist andmete varastamiseks. Seda tehakse protsessori võimsuse ja võimendusmehhanismide jälgimise ning krüptograafilise töökoormuse (nt krüptovõtmete) võimsussignatuuri jälgimise kaudu. Mõiste "krüptovõtmed" viitab turvaliselt failis salvestatud teabele, mida saab kodeerida ja dekodeerida ainult krüptoalgoritmi abil.
Lühidalt öeldes on Hertzbleed võimeline varastama turvalisi andmeid, mis tavaliselt jäävad krüpteerituks. Teie protsessori genereeritud võimsusteabe jälgimise kaudu saab ründaja selle teabe ajaandmeteks teisendada, mis avab neile võimaluse krüptovõtmeid varastada. Veelgi murettekitavam on see, et Hertzbleed ei vaja füüsilist juurdepääsu – seda saab kasutada eemalt.
On üsna tõenäoline, et selle haavatavusega puutuvad kokku ka teiste tootjate kaasaegsed protsessorid, sest nagu kirjeldatud teadlaste poolt jälgib Hertzbleed dünaamilise pinge sagedusskaalamise (DVFS) taga olevaid toitealgoritme. tehnikat. DVFS-i kasutatakse enamikus kaasaegsetes protsessorites ja seega on tõenäoliselt mõjutatud ka teised tootjad, näiteks ARM. Kuigi uurimisrühm teavitas neid Hertzbleedist, peavad nad veel kinnitama, kas nende kiibid on paljastatud.
Kõike eelnevat kokku pannes saab kindlasti murettekitava pildi, sest Hertzbleed mõjutab nii suurt hulka kasutajaid ja siiani pole kiiret lahendust selle eest kaitsmiseks. Intel on aga siin, et teie meelt sellel kontol rahustada – on väga ebatõenäoline, et te saate Hertzbleedi ohvriks, kuigi olete sellega tõenäoliselt kokku puutunud.
Inteli sõnul kulub krüptovõtme varastamiseks mitu tundi kuni mitu päeva. Kui keegi ikka tahaks proovida, siis võib-olla ei saagi, sest selleks on vaja edasijõudmist kõrge eraldusvõimega võimsuse jälgimise võimalused, mida on väljaspool laborit raske korrata keskkond. Enamik häkkereid ei häiriks Hertzbleedi, kui nii sageli avastatakse palju muid turvaauke.
Kuidas veenduda, et Hertzbleed teid ei mõjuta?
Nagu eespool mainitud, olete tõenäoliselt turvaline isegi ilma midagi konkreetset tegemata. Kui Hertzbleedi ära kasutatakse, on ebatõenäoline, et see mõjutab tavakasutajaid. Kui aga soovite seda eriti turvaliselt mängida, võite teha paar sammu, kuid need on kõrge jõudlushinnaga.
Intel on üksikasjalikult kirjeldanud mitmeid leevendusmeetodid kasutada Hertzbleedi vastu. Näib, et ettevõte ei kavatse ühtegi püsivara värskendust juurutada ja sama võib öelda ka AMD kohta. Inteli juhiste kohaselt on Hertzbleedi eest täielikuks kaitsmiseks kaks võimalust ja üks neist on ülilihtne teha – peate lihtsalt keelake Inteli protsessoritel Turbo Boost ja AMD protsessoritel Precision Boost. Mõlemal juhul nõuab see BIOS-i külastamist ja keelamist võimendusrežiim. Kahjuks on see teie protsessori jõudlusele väga halb.
Muud Inteli loetletud meetodid tagavad kas ainult osalise kaitse või on tavakasutajate jaoks väga raske, kui mitte võimatu rakendada. Kui te ei soovi BIOS-i selle jaoks kohandada ja oma protsessori jõudlust ohverdada, ei pea te seda tõenäoliselt tegema. Hoia aga silmad lahti ja ole terav — küberjulgeoleku rünnakud toimuvad kogu aeg, seega on alati hea olla eriti ettevaatlik. Kui olete tehnikatundlik, vaadake kogu paberit Hertzbleed, mida märkas esimesena Tomi riistvara.
Toimetajate soovitused
- Need kaks protsessorit on ainsad, millest peaksite 2023. aastal hoolima
- AMD võib lõpuks võita Inteli kiireima mobiilimängude protsessori osas
- Esimesed AMD Ryzen 7000 protsessorid on siin, kuid need pole need, mida ootate
- AMD võib uute 3D V-Cache protsessoritega anda Intelile tohutu löögi
- Intel Raptor Lake'i väljalaskekuupäev lekkis ja see on AMD jaoks hea uudis
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
