Обнаружены два типа атак на чипы TPM
Главная » Новости

Обнаружены два типа атак на чипы TPM

Олег Иванов 30 Августа 2018 - 09:40
...
Обнаружены два типа атак на чипы TPM

Четыре специалиста южнокорейского института, исследующего национальную безопасность, сообщили о двух возможных векторах для атак на чипы TPM. Пользователям, возможно, придется в ближайшие дни обновить прошивку материнской платы.

Обе атаки нацелены на компьютеры, использующие спецификацию Trusted Platform Module (TPM), эти чипы и криптопроцессоры обычно используются в высокопроизводительных компьютерах — например, в корпоративных или государственных сетях.

Однако персональные компьютеры обычных пользователей также бывают оснащены TPM. Роль TPM обычно заключается в проверке подлинности аппаратного обеспечения, для чего используются криптоключи RSA. Они аутентифицируют компоненты оборудования, которые участвуют в загрузке компьютера и его функционировании.

На данный момент весь процесс проверки диктуется спецификацией TPM 2.0, выпущенной в 2013 году.

Две недели назад исследователи южнокорейского института описали две атаки на чипы TPM, которые могут позволить злоумышленнику вмешаться в процесс загрузки компьютера. Эти атаки возможны из-за прерывания питания.

В частности, специалисты обнаружили проблемы, связанные с тем, как чипы входят в эти прерывания и восстанавливаются после них. На деле злоумышленник может сбросить TPM, а затем создать поддельную цепочку доверия для целевого устройства.

Первый тип такой атаки сработает против компьютеров, использующих статический корень измерения доверия (Static Root of Trust Measurement, SRTM).

Для противодействия уязвимости SRTM производители аппаратной составляющей должны пропатчить свою прошивку BIOS/UEFI.

Второй тип атаки уже использует динамический корень измерения доверия (Dynamic Root of Trust for Measurement, DRTM). В этом случае атаку будет реализовать труднее, она не будет так распространена, как первая версия, считают исследователи.

По словам экспертов, атака удастся только в том случае, если компьютер использует технологию Trusted eXecution Technology (TXT) от Intel.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Госдума приняла закон о криминализации дропов
Яков Шпунт 17 Июня 2025 - 15:05
МошенничествоДроп (дроппер)Соответствие законодательству РФ Домашние пользователиГосударство
Госдума приняла закон о криминализации дропов

Госдума 17 июня приняла в двух чтениях закон, вводящий уголовную ответственность за деятельность дропов — лиц, которые передают свои банковские или иные платёжные средства мошенникам.

Законопроект был внесён правительством 2 мая. Подробности новых норм стали известны за неделю до этого. Экспертное сообщество в целом положительно оценило инициативу.

Принятый закон дополняет статью 187 Уголовного кодекса РФ («Неправомерный оборот средств платежа») новым составом. Гражданам, передающим свои карты за вознаграждение для проведения мошеннических операций, может грозить штраф от 100 до 300 тысяч рублей (или в размере дохода за 3–12 месяцев), до 480 часов обязательных работ, исправительные работы сроком до двух лет либо ограничение свободы на тот же срок.

Аналогичные меры ответственности предусмотрены и для тех, кто использует собственные платёжные средства по указанию или в интересах другого лица.

Более строгое наказание предусмотрено в случае, если передача карты осуществляется из корыстных побуждений лицу, не являющемуся клиентом банка. В этом случае может грозить штраф от 300 тысяч до 1 миллиона рублей, принудительные работы сроком до четырёх лет или лишение свободы до шести лет с дополнительным штрафом от 100 до 500 тысяч рублей (либо в размере дохода за 1–2 года).

Наибольшая ответственность предусмотрена за неправомерные операции с чужими платёжными средствами — банковскими картами или электронными кошельками. Это может повлечь принудительные работы сроком до пяти лет или штраф до 1 миллиона рублей.

Под неправомерными операциями подразумеваются «переводы денежных средств, выдача и (или) получение со счёта наличных, зачисленных на счёт клиента оператора по переводу средств без предусмотренных законом, иными правовыми актами или сделкой оснований».

«Такое решение ограничит преступников в возможностях обналичивания похищенных денег. Это позволит более эффективно защищать граждан и их средства, — отметил председатель Госдумы Вячеслав Володин на пленарном заседании. — Мы с вами вводим жёсткое наказание в отношении тех, кто передаёт злоумышленникам свою карту, причём делает это осознанно, получая за это деньги».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Использование ИИ в преступных целях грозит 15 годами заключения
Новость
Использование ИИ в преступных целях грозит 15 годами заключе...
ИБ-рынку не хватает до 100 тыс. кадров, компании готовы платить больше
Новость
ИБ-рынку не хватает до 100 тыс. кадров, компании готовы плат...
СКБ Контур запустил бренд «Контур.Эгида» для защиты от внутренних угроз
Новость
СКБ Контур запустил бренд «Контур.Эгида» для защиты от внутр...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.