Zraniteľnosť súvisiaca so spektrom otvára Intel's Software Guard Extension ako oriešok
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Rozšírenie Intel Software Gaurd (SGX) je technológia spoločnosti Intel pre vývojárov aplikácií, ktorí sa snažia chrániť vybraný kód a údaje pred zverejnením alebo úpravou vytváraním bezpečných enkláv, ktoré sú chránenými oblasťami vykonávania v pamäti. Aplikačný kód je možné vložiť do enklávy pomocou špeciálnych inštrukcií a softvéru sprístupnených vývojárom prostredníctvom Intel SGX SDK. SDK je zbierka rozhraní API, knižníc, dokumentácie, vzorového zdrojového kódu a nástrojov, ktoré umožňujú vývojárom softvéru vytvárať a ladiť aplikácie povolené pre Intel SGX v C a C++.
Kód spustený v SGX zostáva chránený aj v prípade, že dôjde k ohrozeniu systému BIOS, VMM, operačného systému a ovládačov, čo znamená, že útočníka s plnou kontrolou spustenia nad platformou možno zadržať. Hardvérovú technológiu možno použiť na ochranu dešifrovacieho kódu, napríklad aj vtedy, keď je počítač napadnutý.
Nanešťastie sa zdá, že napriek všetkej ochrane, ktorú Intel povolil, údaje chránené SGX zostávajú zraniteľné voči modifikovanej verzii útoku na špekulatívny postranný kanál Spectre.
Výskumníci z Ohio State University s názvom SgxPectre publikovali výskumný dokument, ktorý ukazuje, že zraniteľnosť je skutočná, takže Intel sa snaží o opravu.
Intel reagoval vo vyhlásení:
„Vieme o výskumnom dokumente zo štátu Ohio a už predtým sme online poskytli informácie a usmernenia o tom, ako môže byť Intel SGX ovplyvnený zraniteľnosťami analýzy bočných kanálov. Očakávame, že existujúce zmiernenia pre Spectre a Meltdown v spojení s aktualizovanou súpravou nástrojov na vývoj softvéru pre poskytovateľov aplikácií SGX – ktorú plánujeme začať sprístupňovať 16. marca – budú účinné proti metódam opísaným v tomto výskume. Odporúčame zákazníkom, aby sa uistili, že vždy používajú najnovšiu verziu súpravy nástrojov.“
Zraniteľnosť Meltdown a Spectre tento rok obrátili bezpečnostný svet hore nohami, ale našťastie sa zatiaľ neobjavili žiadne správy o zneužití tejto technológie vo voľnej prírode.
Celý papier si môžete prečítať tu.
cez ZDNet, Neowin
