Boring !

Kan je dit forum niet vervuilen met *onzin* topics ?

Niet echt een serieuze opmerking voor iemand die pretendeert slimmer dan karma4.

Niet nodig om direct je computer te hacken, ze kunnen je Wetware hacken op meerdere manieren. Ook contactloos.

De computer hackten ze om bij jou te komen.

Trouwens niets is unhackable. De buitenste laag crypto van Morpheus moet een algoritme zijn, of verzint deze chip compleet nieuwe crypto elke XX millisec? Nee dus. Het is gedeeltelijk gedecrypt en die data morpht zichzelf steeds. Maar de vraag is of die tijdelijke unencrypted data over een databus gaat die je kunt piggybacken om de ongecodeerde stromen alsnog af te tappen voor patroonherkenning. Als je dus zo'n chip kunt onderzoeken kun je misschien de hele productielijn ontmantelen.


Je wetware is ook te hacken. Maar je mag er niets over zeggen anders #verwardepersonen

Het is een bloedserieus project waar heel veel geld is ingestoken! Misschien moet je het artikel eens proberen te lezen voordat je met onzin reageert.


Bloedserieus project! En iedereen hier is slimmer dan karma4, dus dat is niet zo moeilijk.

Onderaan het door Kapitein Haddock gelinkte artikel staat een link naar de University of Michigan, die weer een link naar het (paywalled) onderzoeksverslag bevat:
https://news.umich.edu/unhackable-new-chip-stops-attacks-before-they-start/
https://dl.acm.org/citation.cfm?doid=3297858.3304037

Zo te zien is het geen onzin.

Waar haal je vandaan dat dit over cryptografie gaat? Dit gaat over low-level afhandeling van programmacode en vermoedelijk andere data, die patronen kan vertonen waar hackers op inhaken. Deze chip verandert die patronen voortdurend waardoor die bron van aanvalsvectoren onvoorspelbaar wordt voor hackers in een vooralsnog niet bij te benen tempo.

Dit verwijdert geen bugs uit software. Een bug in een algoritme waardoor bijvoorbeeld 2FA omzeild kan worden is niet afhankelijk is van hoe de hardware iets afhandelt. De suggestie in de titel dat security.nl wel opgedoekt kan worden is onzin. Er staat wel een knipoog in.

Communicatief is het niet handig van Kapitein Haddock om het onderwerp zo te presenteren dat het lijkt of hij een grapje maakt, maar om hem af te branden voor je zelfs maar tot je door hebt laten dringen dat het onderwerp wel degelijk serieus is ook niet fraai.

We hebben hiervoor een /fantasie forum nodig.

In ieder geval betere teksten of uitleg zou al een hoop schelen.

Ik heb het gelinkte stuk gelezen: heel veel claims, heel weinig onderbouwing en totaal geen specificatie van wat ze met unhackable bedoelen. En ik zie niet in hoe (omkeerbare) versleuteling een bufferoverflow kan tegenhouden.

Nee maar het kan wel de exploitatie van die buffer overflow tegenhouden. Hier het bronartikel met verwijzing naar een publicatie: https://news.umich.edu/unhackable-new-chip-stops-attacks-before-they-start/

Forum postings, met meer dan 3 woorden, zijn ook welkom. Of is dat teveel moeite ?

Eerst zien, dan geloven...

Was er laatst ook niet een artikel van een onkraakbare USB stick, welke achteraf zeer gemakkelijk te kraken was.
Daarom eerst zien, dan geloven en dat zegt nog steeds niet over het werkelijke nuttige gebruik er van.

Klinkt allemaal heel leuk. Ik heb het artikel ook gelezen, maar het gaat allemaal over andere werkwijze van de hardware. Over dingen die fout zitten in de software zegt dat niet noodzakelijkerwijs iets. Een fout in een programma of een mee verpakte foute dll (o.i.d.) kan nog steeds voor een probleem zorgen, wanneer die zo in het proces meedraait, dat alles denkt dat dit de bedoelde werking is.

Het staat er toch echt in (waartegen zij pogen te beschermen en waarbij - telegraafkop - een 'unhackable' systeem ontstaat):


Daarmee houd je (lang) niet alles maar wel veel tegen.

Ik denk dat er wel enig verschil in geloofwaardigheid is tussen wat een commerciëel bedrijf claimt om geld mee te verdienen en wat onderzoekers van een universiteit claimen die mede gefinancierd worden door DARPA, de tak van de Amerikaanse defensie die zich met ontwikkeling van nieuwe technologie bezighoudt.
Waar het toe leidt is inderdaad afwachten, maar het is wel interessant om te horen dat er aan dit soort ontwikkelingen gewerkt wordt.

Helaas zitten alle papers achter een paywall, voorlopig.
Een paar hints van wat ze doen achter de hype termen uit
https://www.researchgate.net/scientific-contributions/2102883377_Todd_Austin

Morpheus: A Vulnerability-Tolerant Secure Architecture Based on Ensembles of Moving Target Defenses with Churn

quote:
"Attacks often succeed by abusing the gap between program and machine-level semantics-- for example, by locating a sensitive pointer, exploiting a bug to overwrite this sensitive data, and hijacking the victim program's execution. In this work, we take secure system design on the offensive by continuously obfuscating information that attackers need but normal programs do not use, such as representation of code and pointers or the exact location of code and data. Our secure hardware architecture, Morpheus, combines two powerful protections: ensembles of moving target defenses and churn. Ensembles of moving target defenses randomize key program values (e.g., relocating pointers and encrypting code and pointers) which forces attackers to extensively probe the system prior to an attack. To ensure attack probes fail, the architecture incorporates churn to transparently re-randomize program values underneath the running system. With frequent churn, systems quickly become impractically difficult to penetrate. We demonstrate Morpheus through a RISC-V-based prototype designed to stop control-flow attacks. Each moving target defense in Morpheus uses hardware support to individually offer more randomness at a lower cost than previous techniques. When ensembled with churn, Morpheus defenses offer strong protection against control-flow attacks, with our security testing and performance studies revealing: i) high-coverage protection for a broad array of control-flow attacks, including protections for advanced attacks and an attack disclosed after the design of Morpheus, and ii) negligible performance impacts (1%) with churn periods up to 50 ms, which our study estimates to be at least 5000x faster than the time necessary to possibly penetrate Morpheus."

Ik _speculeer_ dat het voortbouwt op ASLR (address space layout randomization) , maar dan dynamisch.
Ik twijfel wel over de geclaimde beperkte performance impact - als er data herschreven wordt in het geheugen kan zoiets heel erg merkbaar zijn.
Verder is het nogal gebruikelijk in het academisch klimaat in de VS om nogal grote beloften te doen omtrent de potentie van een researchproject . (oa om sponsors te werven voor het onderzoek).
Hoe goed of hoe slecht dit project is kan ik niet zeggen, maar dat er nog wel eens claims en beloften gedaan worden die uiteindelijk met een heleboel randvoorwaarden alleen in heel specifieke gevallen wat opleveren is niet nieuw.
(zie bv 'VLIW processoren" en hoe goed Itanium uitpakte )

Unhackable … echt ongeloofwaardig. Ik lees voortborduren op bestaande goedkope flat memory architecture en dan met trucjes de boel verborgen zien te houden. Je had ook processor affinity cache affinitiy memory ring kernel in harware cpu processors kunnen verzinnen. Je voelt hopelijk aan een complete hardware verandering hem niet gaat worden.

Wat een "giftige" discussie. Je hoopt gewoon dat de professionele security mensen niet meelezen. Bijvoorbeeld die van onze overheid die ons zogenaam "veilig" moeten houden.

Ik citeer nogmaals:

DARPA-funded; elke bekende variant van control-flow aanvallen. En jij denkt dat het een luchtballonnetje is?

DARPA fund een hele hoop 'beloftevolle' researchprojecten - Dat is hun missie.
DARPA funded wil niet zeggen 'gegarandeerd nuttig en succesvol' . Het zegt min of meer dat het serieuze research is , waar , afgezien van een aantal papers en proefschriften - misschien iets werkelijk bruikbaars uit komt. En anders is de wetenschap een stapje verder geholpen - leren dat een bepaalde aanpak om deze of andere reden in de praktijk_niet_ werkt is ook vooruitgang.

Ik koop niet achter wilde beweringein aan. Ze moeten begrijpelijk en onderbouwd zijn.

Je verwijst naar Darp https://www.darpa.mil/about-us/about-darpa Het is de geldbron dan van alles aanbesteed.
De lockheed jsf onwerpen ze niet maken ze niet. https://www.darpa.mil/our-research
Het maakt ze weinig uit of iets succesvol kan worden of niet, Juist omdat ze het niet weten gaat het in het wilde weg.

Loop even de controlflow aanvallen door. https://crypto.stanford.edu/cs155old/cs155-spring16/lectures/02-ctrl-hijacking.pdf De oorzaak lig in het onveilig coderen. De voorwaarden:
https://crypto.stanford.edu/cs155old/cs155-spring16/lectures/02-ctrl-hijacking.pdf
De basis: Er staat niet voor niets in jouw gelinkte artikel de opmerking over elk bij hun bekende aanvalstechniek.
Het gaat echter om de aanvalstechnieken die nog niet bekend zijn.
Een flat memorymodel is een zwakte by deaign. Ik kan me herinneren, toen ik dat zie dat hier de reactie was dat met DEP ASLR alles perfect veilig zou zijn. Nu kom jij met het vehaal dat DEP ASR geen bescherming zou bieden met dat je het dynamisch moet veranderen.

Wat ik lees: "Undefined semantics are part of a processor’s most basic machinery, and legitimate programmers don’t generally interact with them. But hackers can reverse-engineer them to uncover vulnerabilities and launch an attack."
Wat er aan code van developers OS dbms of applicatie als PHP draait blijft onveranderd, dezelfde gatenkaas.

Leesbaarder voor je: De zelfde insteek en al wat ouder, Als het wondermiddel zou zijn dat wat het al lang doorgekomen. http://privesfeer.arnoschrauwers.nl/2017/12/21/morpheus-voor-darpa-zou-onkraakbaar-zijn/

Een prachtverhaal https://nl.wikipedia.org/wiki/Jan_Sloot . Verrek die namen die daar staan, zie je het verband, dan:
andere vraag. Hoe zou het met de projecten van Centric vergaan?.

https://nl.wikipedia.org/wiki/These-antithese-synthese

alles wat de label made in china heeft is al van het moment dat het de loopband af gaat al te hacken.
en dan ligt het nog niet in de winkel en in gebruik bij de klanten.
* bier en chips inslaan dus *

Dit riekt naar Beyond the Matrix. Daar lees je deze these-antithese-synthese (uit Hegel, Engels of cultureel Marxisme club) elke dag want dat is de enige intellectuele constructie die de blogger van Btm probeert te verkopen.

Over Marx, er gaat een hersenvirus rond op internet want communisme is al lang dood. Het is gewoon ordinaire corporate warfare. Maar als er straks 1 corporation overblijft dan kunnen ze inderdaad weer die oude boeken opendoen...

Denk je dat hij is vermoord is door het militair industrieel complex? Het begint mij langzaam te dagen hoe het mogelijk is voor mega investeerders om miljarden te verdienen en in tientallen totaal verschillende bedrijven hun handen hebben.

Vroeger dacht ik dat deze mensen slimme duizendpoten waren.

Natuurlijk denk is dat niet. Het bewijs dat het niet klopte om een willekeurige video met een bepaalde resolutie zo te comprimeren staat gewoon. Ik kreeg ooit een email toegestuurd dat het wel degelijk waar zo zijn. De link in de mail was een shortcut naar zijn eigen voor mij onbereikbare machine. Overeenkomst met de mechanische schakende turk ;<).

Met Sloot speelde het in een tijd dat de chaostheorie hot was. Simple formules die een veelheid van fraaie beelden konden geven (mandelbrot). Zo'n patent zou toch nog best heel waardevol kunnen zijn, niet voor videocompressie maar voor beeld generatie van cyber werelden.

Als je de link naar Sloot Wikipedia opent zie je de namen M.Boekhoorn, R,Pieper en Eric Smit met die laatste kom je bij worldonline (nina brink) ftm als meest bekende. Daar hebben als laatste het Sanderink Centric verhaal wat nu speelt.
https://fd.nl/ondernemen/1300336/nieuwe-cfo-moet-rust-laten-terugkeren-bij-automatiseerder-centric

@ vorige

Ik heb geen abonnement op FD dus ik kan dit helaas niet nalezen.

Kwaliteitskranten zijn op dit moment niet te betalen voor mij. Ik moet het met al die inferieure sites doen als Facebook News waar je de ene meme na de andere om de oren vliegt.

Het aantal kwalitatief en kwantitatief intelligente mensen, zoekers, vinders, rebels, enz neemt af. Ik ben benieuwd hoe "modern" de samenleving is over 10 jaar. Als je niet bij de Google Academy bent inschreven val je buiten de boot.

@karma4 Met een paar negatieve voorbeelden denk je simplistische conclusies over de hele groep te kunnen trekken. Typerend dom weer. Net als je correlatie 'causatie' gelul.

Er zijn een paar kanttekeningen bij te plaatsen.
Wat wordt de verspreidingsgraad?
Gaan de grote jongens het globaal omhelzen en ile masz lat i nvoeren?
Google vnml.
Als een soort veredelde zandbak gaat het de weg van alle totaal oplossingenl.
Zoals https everywhere, tokenizing, third party script blocking, CSP etc.
Als iedereen de nieuwe security evangelie oplossing omhelst,
komt pas de verlossing uit de gatenkaas situatie van nu. Iemand?
luntrus

Misschien een goede om nog eens het subject van dit topic te lezen?

Het gaat namelijk nu nergens meer over, afgezien ego's

Hoe is men in staat een draad zo te vernaggelen?
Is dat opzettelijk? Zitten hier lui met een specifieke agenda?
In wiens belang is dat? Stelletje ontregelneven.

Hallo, ik zie dit ook steeds vaker terug op security.nl.

Verkapte dreigementen, vreemde topics vooral in Community, onderwerpen bedoeld om wat? Te triggeren en shitposten afgewisseld met aluhoedjes en distortie van aluhoedjes praat, dat is duidelijk.

Agenda? Welke agenda dienst dit ontregelen? Is het beinvloeden of is het een aanval op deze site (ik hoef het onderwerp van deze thread, met of zonder smiley, niet te citeren en ga er vanuit dat het grappig bedoeld is).

Op andere security forums is dit veel minder of gewoon niet.

Ron

Unne gooie daeg!

@Ron,
+1. Je ziet meer en meer de strijd om globale suprematie van het Oceania (1984) onzer dagen versus HUAWEI en Kaspersky etc. Alles dat dat paradigms my mom just asked verstoort wordt gefrustreerd, geblokkeerd, gecensureerd, geridiculiseerd. Het Is vaak vechten tegen de bierkaai. Men wil geen transparante techniek. Dan kan er niet meer voldoende worden gerotzooid.
luntrus