PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hardware-Sicherheitslücke "RAMBleed"


Exxtreme
2019-06-12, 09:19:01
https://blog.fefe.de/?ts=a3fec4f7

https://rambleed.com/

Eine neue Rowhammer-basierende Sicherheitslücke mit der man benachbarte Speicherzellen auslesen kann. Ich finde es erstaunlich was man so alles nutzen kann um fremde Daten auszulesen. :eek:

Screemer
2019-06-12, 14:21:07
rowhammer war ja schon scheiße. das hier hat aber noch mal ne andere qualität.

sei laut
2019-06-12, 15:46:56
Ist bekannt, wie effektiv das ist? Mir ist klar, dass es Zufall ist, ob und wann man was sinnvolles erhält, aber ich frag mich, von was für einer Zeit wir hier im Groben reden..

Milchkanne
2019-06-12, 19:24:07
Man muss schon mit tricks versuchen den Interessanten Speicherbereich an die gewünschte Stelle zu schieben. Dafür muss man das Angriffsziel schon ziemlich gut kennen. Dann geht es aber einigermaßen gut. Den Private Key konnten die dann in ~5 Minuten auslesen. Im Paper stand was von knapp einem Bit pro Sekunde.

Cubitus
2019-06-12, 19:55:26
Kommt das aus Russland..?

sei laut
2019-06-13, 08:26:11
Kommt das aus Russland..?
Weder der RAM, noch die Software/Treiber, noch die Unis von Michigan und Graz.
Aber die Russen haben bestimmt die Lücke eingeschmuggelt.

@Milchkanne: Danke, war zu faul das Paper zu lesen. :D Ein Glück hab ich immer dedizierte Maschinen.

Badesalz
2019-06-13, 23:50:15
Ja. Ok. Die Systeme sind wirklich, real, praktisch so sicher wie wir es theoretisch schon länger vermutet haben. Und nu?

sei laut
2019-06-14, 10:27:15
Ja. Ok. Die Systeme sind wirklich, real, praktisch so sicher wie wir es theoretisch schon länger vermutet haben. Und nu?
Theoretisch kannst du viel vermuten, ohne praktischen Beweis ist es egal.
Wenn aber nun der praktische Beweis erbracht wurde, kann es zu einer Verbesserung der Situation kommen.

Was man konkret tun kann: Darauf achten, in welche Cloud man seine Daten haut. Im besten Fall in keine.

Badesalz
2019-06-14, 11:09:05
Theoretisch kannst du viel vermuten, ohne praktischen Beweis ist es egal.Das ist so natürlich nicht richtig. Selbstverstänldich gehören Überlegungen wie auch auf Erfahrungen basierende Vorahnungen zum Thema, was alles auf einen zukommen könnte, mit dazu.

Deswegen auch Was man konkret tun kann: Darauf achten, in welche Cloud man seine Daten haut. Im besten Fall in keine. erzähl ich das seit es Clouds gibt. Übrigens, wie fefe, Rieger und viele andere ja auch.