Intel не планирует устранять новую CPU-уязвимость TLBleed

Олег Иванов 25 Июня 2018 - 08:19

Домашние пользователи

...

Intel пока не планирует устранять новую уязвимость процессоров, открывающую возможность для атаки по сторонним каналам. Получившая имя TLBleed, брешь может быть использована вредоносными программами для извлечения ключей шифрования и другой конфиденциальной информации из приложений.

Над демонстрацией эксплуатации бреши потрудилась команда нидерландских исследователей из Systems and Network Security Group. Эксперты заявили, что им удалось использовать уязвимость в процессоре Intel Skylake Core i7-6700K для извлечения криптографических ключей из другой запущенной программы в 99 % тестов.

В случае с процессором Intel Broadwell Xeon E5-2620 v4 процент успешной эксплуатации зафиксировался на 98. Coffeelake — успешная эксплуатация также составила 99 %.

В итоге код исследователей смог извлечь 256-битный ключ, используемый для криптографической подписи данных, из другой программы. Согласно опубликованному специалистами документу, потребовалось всего 17 секунд, чтобы определить каждый из ключей с помощью программы с машинным обучением и брутфорса.

Эта вредоносная техника не зависит от спекулятивного исполнения и, следовательно, не связана с Meltdown и Spectre. TLBleed использует технологию CPU Hyper-threading (гиперпоточность), от которой на днях отказался проект OpenBSD.

Новая вредоносная техника атакует буфер ассоциативной трансляции (Translation lookaside buffer, TLB), отсюда и ее название. Есть две основных причины, по которым не стоит паниковать из-за TLBleed:

Уязвимость можно использовать только с помощью вредоносной программы, либо сам злоумышленник должен быть подключен к вашей машине.
На данный момент киберпреступники не используют TLBleed в реальных атаках, так как есть гораздо более простые способы получения данных с компьютеров пользователей.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Олеся Афанасьева 09 Августа 2022 - 18:21

Утечки информации Умышленные утечки информации Кража данных Соответствие законодательству РФ Малый и средний бизнес Соответствие требованиям регуляторов

Барбершопы и пекарни тоже хотят обсуждать законопроект о штрафах за утечки

Оборотные штрафы за утечки данных обойдутся малому и среднему бизнесу в 400 млрд руб. в год. Цифры озвучили в Институте развития предпринимательства и экономики. Организация просит Минцифры подключить к обсуждению законопроекта не только крупные ИТ-компании, но и младших товарищей.

О письме АНО “Институт развития предпринимательства и экономики” (ИРПЭ) в Минцифры сегодня пишет “Ъ”.

У малого бизнеса нет столько денег на ИБ, как у больших игроков, “в том числе ввиду более низкой квалификации предпринимателей, ограниченных финансовых ресурсов для найма персонала и обслуживания информационных систем”.

Подсчитанные 400 млрд рублей в год за утечки малый бизнес могут разорить. Минцифры приступило к обсуждению законопроекта о введении оборотных штрафов в конце мая.

Новеллой предполагается ввести в КоАП поправки, по которым компания, допустившая утечку, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если бизнес попытается скрыть от регулятора факт потери данных.

“Мы опасаемся, что после такого кулуарного обсуждения инициативы субъекты МСП окажутся перед лицом законопроекта, к которому не успеют направить отзывы”, — отмечает директор ИРПЭ Наталья Назарова.

По ее словам, организация в первую очередь настаивает, чтобы в обсуждении инициативы участвовал не только узкий круг представителей крупнейших ИТ-компаний, но также бизнес-омбудсмены, эксперты комитета Госдумы по малому и среднему предпринимательству и профильные бизнес-объединения.

В Минцифры “Ъ” подтвердили получение письма, отметив, что инициатива “находится в проработке, в том числе с представителями бизнес-сообщества”.

Законопроект вызывает опасения у представителей индустрии красоты и ресторанного рынка. Омбудсмен Ассоциации предпринимателей индустрии красоты Лялья Садыкова говорит, что с ними новелла не обсуждалась, а у салонов красоты на развитие систем безопасности “однозначно не хватит ни сил, ни ресурсов”.

Омбудсмен ресторанного рынка Москвы Сергей Миронов добавляет, что малым предприятиям будет сложно закупать и обслуживать дорогостоящие системы хранения данных:

“Кроме того, в ресторанном бизнесе высокая текучка персонала, и увольняющиеся сотрудники могут продавать базы данных, наказать их за это практически невозможно”.

Малый бизнес боится и возможного шантажа: конкуренты могут угрожать жертвам кибератаками и утечками.