3 мин. чтения
8/3/2023 9:47:51 AM

Новая лазейка безопасности процессора: анализ энергопотребления приводит к краже данных

Article Preview Image Андреас Коглер из Института обработки и коммуникаций прикладной информации в Технологическом университете Грац.Кредит: Lunghammer - Tu Graz

Исследователи из Ту Грац и Хельмгольц Центр информационной безопасности обнаружили новый разрыв в безопасности во всех общих основных процессорах (процессоров) компьютеров, которые вряд ли можно смягчить.ЦП разработаны для одновременного запуска нескольких приложений.Это полезно для эффективности, но создает риск безопасности.

Исследователи из Ту Грац и Хельмгольц Центр информационной безопасности нашли новый метод, который позволяет злоумышленникам читать данные из памяти процессоров, анализируя потребление энергии процессора.Они называют этот метод атаки «Collide+Power».

В атаке Collide+Power, злоумышленники хранят пакет данных в сегменте процессора.На втором этапе злонамеренный код приводит к перезаписыванию собственных данных злоумышленника («Collide») с данными, на которые нападают злоумышленники.Эта перезапись потребляет власть - чем больше два пакета данных отличаются друг от друга, тем больше мощности потребляется.Затем весь процесс повторяется тысячи раз, каждый раз с минимально различными пакетами данных злоумышленника, которые должны быть перезаписаны.Наконец, целевой пакет данных может быть получен из немного разных потребностей мощности, которые происходят каждый раз во время этого процесса.

Хотя энергопотребление процессоров не может быть прочитано без прав администратора, злоумышленники могут обойти этот барьер безопасности: в дополнение к увеличению энергопотребления, перезапись пакетов данных также приводит к задержкам в вычислительных процессах на атакованном процессоре.Эти задержки могут использоваться для определения энергопотребления и, в свою очередь, целевых данных.

«На все компьютеры с современными процессорами влияют эта слабость безопасности», - говорит Андреас Коглер из Института обработки и коммуникаций прикладной информации (IAIK) в Технологическом университете Грац.«И этот риск безопасности очень трудно исправить».

Тем не менее, атака Collide+Power в настоящее время все еще чрезвычайно трудоемкая: из-за бесчисленных операций перезаписи, кража данных требует не менее 16 часов в бит, в других сценариях даже до года.Тем не менее, будущие скачки в технологическом развитии могут значительно сократить необходимое время, что делает Collide+Power Attack на повседневную безопасность.

В принципе, проблема так называемых силовых каналов была известна в течение долгого времени и является одной из исследовательских тем Стефана Мангарда, который возглавляет IAIK в Tu Graz и соавторил исследование Collide+Power.Тем не менее, исследовательская группа Daniel Gruss в IAIK только недавно обнаружила, что измерения мощности на современных компьютерах не требуют дорогостоящего оборудования для измерения и физического доступа, но могут быть сделаны непосредственно из программного обеспечения.

Основные производители чипов были проинформированы о риске Collide+Power заранее и соответственно скорректировали свои руководящие принципы.Для широкой публики исследователи создали веб -сайт, в котором подробно описывается разрыв в безопасности: collidepower.com

Больше информации: Collide+Power: утечка недоступных данных с помощью программных боковых каналов.www.usenix.org/conference/usen…/presentation/kogler 🔗

Получи бесплатную еженедельную рассылку со ссылками на репозитории и лонгриды самых интересных историй о стартапах 🚀, AI технологиях 👩‍💻 и программировании 💻!
Присоединяйся к тысячам читателей для получения одного еженедельного письма

Подписывайся на нас:

Нашли ошибку в тексте? Напишите нам.

Добавляй ЛРНЧ в свою ленту Google Новостей.
Читайте далее 📖

Легкое носимое устройство помогает пользователям перемещаться с помощью прикосновения к запястью.

8/30/2023 · 3 мин. чтения

Легкое носимое устройство помогает пользователям перемещаться с помощью прикосновения к запястью.

Достижения в области искусственного интеллекта и чипов улучшают распознавание голоса

8/29/2023 · 3 мин. чтения

Достижения в области искусственного интеллекта и чипов улучшают распознавание голоса

*Facebook, Instagram, Meta - запрещенные в РФ организации.