Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ÆPIC Leak

16-08-2022, 16:41 door Anoniem, 6 reacties
https://aepicleak.com/

De meeste omgevingen zullen niet kwetsbaar zijn, maar interessante paper om te lezen
Reacties (6)
16-08-2022, 18:31 door Anoniem
Mag ik twee hints geven voor goede communicatie?

1. Geef even in een paar woorden aan waar de website waar je naar verwijst over gaat. Zoiets als "Deze website beschrijft ÆPIC Leak, een bug in Intel-CPU's". Zonder dat zal iemand die niet al weet wat ÆPIC is geen idee hebben waarom hij/zij interesse in die URL zou moeten hebben.

2. Als je een URL geeft met het doel dat mensen die ook gaan bekijken, maak er dan een hyperlink van: https://aepicleak.com/.

Met maar heel weinig moeite kan je je post zo een stuk interessanter en bruikbaarder maken voor je beoogde publiek.
17-08-2022, 12:18 door Anoniem
ik was al bang dat er een lek zat in het EPD systeem van een bekende fabrikant :-)
gelukkig iets in iNTEL processoren wat ik gelukkig kan vermijden...
(ja, is nog een grudge die ik heb richting iNTEL vanwege jarenlange dubieuze (maar niet veroordeelde) activiteiten om de concurentie van AMD om zeep te helpen)
17-08-2022, 13:28 door Anoniem
Vulnerabilities met een eigen website, logo en fancy naam zijn zooooo 2017 .... :-)
17-08-2022, 14:09 door Anoniem
Door Anoniem: ik was al bang dat er een lek zat in het EPD systeem van een bekende fabrikant :-)
gelukkig iets in iNTEL processoren wat ik gelukkig kan vermijden...
(ja, is nog een grudge die ik heb richting iNTEL vanwege jarenlange dubieuze (maar niet veroordeelde) activiteiten om de concurentie van AMD om zeep te helpen)
Klopt daarin tegen heb je met AMD weer te maken bij sommige generaties met Scheduler Queue Usage via Interference Probing (SQUIP) En guess what AMD gaat het zelf niet oplossen.
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1039


En op het compleet of topic deel van Intel die AMD om de zeep zou willen helpen wees dan wel zo eerlijk het hele verhaal te vertellen met bronnen.

Er zijn rechtzaken geweest waarbij AMD enkele heeft gewonnen en enkele zijn via schikking geregeld inclusief het grote onderzoek van de FTC. Daarnaast was er een inmiddels teruggedraaide boete van meer dan een miljard (al was dit nog een schijntje voor Intel uiteraard)
https://ec.europa.eu/competition/elojade/isef/case_details.cfm?proc_code=1_37990
https://ec.europa.eu/commission/presscorner/detail/en/IP_09_745

Dat is echter in hogerberoep ongedaan gemaakt en verwezen naar Europees hof
https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-09/cp170090nl.pdf
https://curia.europa.eu/juris/documents.jsf?num=C-413/14

Die heeft vervolgens op 26-01-2022 dat de boete ongegrond is.
https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-01/cp220016nl.pdf

Als je daarom een grudge wil hebben tegen een leverancier moet je uiteraard zelf weten maar dit is orde van de dag in de secto.Als je die grudge toepast op elke leverancier die niet is veroordeeld voor buigen van spelregels kun je al je electronica zowat in de prullenbak gooien. Inclusief AMD welke een rechtzaak gaat krijgen omdat ze met mogelijke opzet zich stil hebben gehouden over het redbleed SPECTRE debakel. https://regmedia.co.uk/2018/01/17/amd_cpu_design_lawsuit.pdf

Maar zou me eerst maar even focussen op SQUIP mitigation.
21-08-2022, 16:35 door Anoniem
@Anoniem 14:09 - Bedankt voor de links, leuk leesvoer!
22-08-2022, 10:24 door Erik van Straten
Ik heb de publicatie (nog) niet gelezen, maar in https://www.theregister.com/2022/08/09/intel_sunny_cove/ schrijft Thomas Claburn onder meer:
[...] determine an RSA-4096 key in about 38 minutes [...]
OK stop maar met ontwikkelen van quantum computers, niet meer nodig ;-)

Ook sommige AMD CPU's zijn kwetsbaar, het artikel eindigt met:
"An attacker running on the same host and CPU core as you, could spy on which types of instructions you are executing due to the split-scheduler design on AMD CPUs," explained Gruss. "Apple's M1 (probably also M2) follows the same design but is not affected yet as they haven't introduced SMT in their CPUs yet."

A spokesperson for AMD said the vulnerability has been designated medium severity and is being referred to as "AMD-SB-1039: Execution Unit Scheduler Contention Side-Channel vulnerability on AMD Processors."

AMD's 1st, 2nd, 3rd Gen Zen processors are affected.

"AMD recommends software developers employ existing best practices [1][2], including constant-time algorithms and avoiding secret-dependent control flows where appropriate to help mitigate this potential vulnerability," the company spokesperson told The Register. ®
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.