mboost-dp1

unknown

Hack fra 1980 kan sløve alle computere

- Via The Selim and Rachel Benin School of Computer Scie - , redigeret af Acro , indsendt af McPeter

Ifølge en rapport fra israelske forskere har der siden 1980 været et sikkerhedshul, som kan påvirke alle computere – uanset operativsystem.

Sikkerhedshullet blev oprindeligt beskrevet på idéplan af forskeren Tsutomu Shimomura fra Princeton University, og de israelske forskere fra IBM T. J. Watson Research Center i New York har nu undersøgt disse idéer nærmere.

Der er tale om en CPU-hijacker, der er bevidst om, hvornår CPU’ens scheduler kører et tick, som tjekker for processorens CPU-forbrug. Hver gang, scheduleren ticker, sørger CPU-hijackeren for at være inaktiv.

Af samme årsag vil det høje CPU-forbrug, endsige årsagen til det, ikke blive opdaget.

Nyhedslinket peger på en PDF-fil, der også viser, hvordan man kan beskytte sig mod den type angreb.





Gå til bund
Gravatar #1 - Jace
14. jul. 2007 12:07
Okay, men det kræver vel stadig at der er et sikkerhedshul i softwaren, så man kan komme ind og udnytte dette sikkerhedshul?

Der er vel mere tale om en metode til at skjule sig for brugeren af den computer som man har taget kontrollen over.
Gravatar #2 - mireigi
14. jul. 2007 12:08
"Tsutomu Shimomura" er det ikke også ham der var med til at "fange" Kevin Mitnick i sin tid, og også er en af hovedrollerne i filmen derom: "Operation Takedown"?

On-topic:
Skal disse hijackere ikke først forbi den hardware firewall der sidder i de fleste routere?
Gravatar #3 - andreasg
14. jul. 2007 12:09
Men dette er vel under forudsætning af at brugeren selv har installeret noget malvare, eller er blevet installeret gennem et andet sikkerhedshul.
Gravatar #4 - Jace
14. jul. 2007 12:09
#2 - Joh, det har du sku da vist egentlig ret i :)

Russell Wong ... Tsutomu Shimomura

http://imdb.com/title/tt0159784/
Gravatar #5 - KaW
14. jul. 2007 13:00
#3 >
Ja, men jeg læste om at lignende metoder var brugt i nogle Multimedie programmer for at få en mere flydende afspilning.

Det læste jeg om her

Og ifølge nyheden gør Linuxs nye scheduler "Completely Fair Scheduler" et forsøg på at adressere dette problem. Det er også nævneværdigt at Mac OS X går fri.
Gravatar #6 - Sattie
14. jul. 2007 13:21
Ja, det kræver ganske rigtigt at man har adgang til systemet i forvejen - men lad os lige tænke på hvor tit det faktisk sker med folks computere på Internettet idag.
Der findes utalige af folk som har diverse malware på deres computere, og hvis dette først er kommet ind, kan dette hack vel også.

Så er spørgsmålet, hvorfor skulle en person ønske sig så meget datakræft uden at blive set?
To umiddelbare eksempler kunne være:
1. 'Teorister' der skal have udregnet noget (det ord får bare folk op, ik?)
2. En person i noget computerregneskabdyst, eks seti eller folding@home, der bare ønsker at blive den første og største af alle.

Kan godt være at det kræver at noget har adgang til computeren, men det kan da fandme godt misbruges!
Gravatar #7 - NFX
14. jul. 2007 13:31
Som #5 nævner, kan Mac OS X ikke rammes af dette. De nyere versioner af Linux kernelen (siden 2.6.21 eller sådan noget) har også en alternativ scheduler, der ligeledes er immun overfor dette. Årsagen er i begge tilfælde at de simpelt hen ikke bruger "ticks".
Gravatar #8 - Hack4Crack
14. jul. 2007 15:14
Ååååh neej... jeg må hellere sømme min yderdør til, så der ikke kommer en mand og sætter en diskette i drevet uden jeg opdager det... :o (hvis jeg stadig har et diskettedrev til at lægge et sted)
Gravatar #9 - jl
14. jul. 2007 16:13
Har i overhovedet ikke tænkt på at denne sårbarhed kan bruges til er f.eks. til at undslippe enhver cpu mæssig restriktion i en virtual maskine?
Gravatar #10 - jack_call
14. jul. 2007 16:26
de israelske forskere fra IBM T. J. Watson Research Center i New York


Jeg ved godt at New York har en stor jødisk befolkning, men at kalde new yorkere for israelere er vel lige lovligt langt ude.
Gravatar #11 - rackbox
14. jul. 2007 16:39
#10 man kan vel godt være israeler, selvom man er knyttet til et amerikansk forskningscenter?

On topic: Det handler muligvis ikke om at hive så meget CPU-kraft som overhovedet muligt, men måske om ikke at blive opdaget. Der er da malware, som udfører operationer, som er CPU-krævende, men med et formål andet end blot at tage CPU-tid. Disse malwares vil heller ikke umiddelbart blive opdaget.

Næste skridt er vel så at skjule sig fra process-listen.
Gravatar #12 - ScumBag
14. jul. 2007 16:53
#6

Ja de satans "teorister" og deres satans teorier :)
Gravatar #13 - tadeusz
14. jul. 2007 21:09
Lyder da som om (hvis man kan finde ud af det) man kan få ret meget kontrol over systemet i forhold til at det er så svært for administratoren at finde ud af hvad der helt præcis er galt.

Hvis admin ikke kan adressere den "rigtige" process er man da lidt på herrens mark ? men nu er jeg heller ikke admin nogen steder end hjemme ...
Gravatar #14 - DeXTRoN
15. jul. 2007 07:23
#11 Der er da allerede flere viruser, trojanere osv. der ikke kan ses i Process-linien. En anden ting er rootkits som heller ikke altid er synlige. men den mest morsomme er Microsoft eget modul der hedder YouShouldNotSeeMe, som jeg har set et par gange når jeg vil genstarte maskinen hvor den ikke vil lukke ned.
Gravatar #15 - Cuulthang
15. jul. 2007 12:03
Sidder med den tanke at I unge mennesker læser hvad der står på en sjov måde.
Skrev jeg at mælkevejen var fyldt med stjerner ville I antageligt tro at det handlede om at der kom en mælkebil med Brad Pitt og andre stjerner kørende på vejen.

Det her hack har intet med internettet at gøre. Hacket er fra en tid før det og handler om udelukkende at stjæle CPU kraft til egne processer. Og på en måde så det ikke opdages af brugeren. Tænk på at det i 1980 ikke var små personlige PC'er, men kraftige servere, som havde utallige brugere og hvor det at have regnekraft var noget man deltes om.
Klart at hacket kan bruges på PC'er også, men det er nu ikke så farligt endda som der lægges op til her.
I den sidste ende vil dette hack bare betyde at en proces vil få mere tid end andre processer, men det er jo ret så ligegyldigt eftersom indtrængeren allerede er inde i systemet.

Cuulthang... sommetider undres man over hvor lidt de unge ved.
Gravatar #16 - sphinx3r
15. jul. 2007 13:53
"Ifølge en rapport fra israelske forskere [...] og de israelske forskere fra IBM T. J. Watson Research Center i New York"

Forskernes nationalitet er vel irellevant i forhold til historien? Faktum er at nogle forskere fra IBM T. J. Watson Research Center har fundet ud af noget. Om de er fra Israel, USA, Danmark eller Månen, bidrager absolut intet af værdi til nyheden. Det eneste formål med overhovedet at nævne det er at forsøge at skabe en "uuuha de slemme israelere kommer og hacker din maskine"-stemning, som så mange andre historier her på sitet.
Gravatar #17 - skumhest
15. jul. 2007 15:21
#15
Er der på noget tidspunkt nogen der har antydet, at det her har noget som helst med interettet at gøre ?
Gravatar #18 - Cuulthang
15. jul. 2007 17:41
#17
Joda... kig de første indlæg.... og se på historien med Kevin Mitnick... det er da indirekte henvisninger til den slags indtrængen. Og seriøst.. hvor meget tror du at denne debattråd ville betyde hvis der ikke var noget der hed nettet? Ikke en døjt for hovedparten af alle privat-brugere har internettet som deres væsentligste formål med pc.
Cuul
Gravatar #19 - kasperd
15. jul. 2007 20:17
For dem der ikke har tid til at læse artiklen var der på slashdot en kommentar med et ultrakort resume af, hvordan angrebet virker:
it run when OS not looking


Nogen nyhed er det ikke, jeg så en mp3 afspiller gøre det i slutningen af 90'erne. Det var først da jeg på et tidspunkt eksperimenterede med at ændre HZ værdien, at jeg fandt ud af, hvad der foregik.

På grund af tilfældigheder i timingen brugte mp3 afspilleren næsten aldrig en fuld timeslice. Dermed kom det af top til at fremgå som om den kun brugte 0.1% af CPU tiden. Meget lidt for en mp3 afspiller på datidens CPUer.

Men i virkeligheden brugte den 10%, hvilket jeg opdagede da jeg prøvede at sætte HZ op fra 100 til 1000. Da jeg så den forskel prøvede jeg at måle hvor stor inflydelse mp3 afspilleren havde på systemets performance ved afvikling af CPU intensive programmer. Og så kunne jeg se, at afspilningen brugte reelt 10% af CPU tiden i begge tilfælde, men kun med den højere HZ værdi blev det vist korrekt.

Men som andre også har påpeget, så er dette ikke noget alvorligt angreb. Det skal selvfølgelig udbredres, men systemer med denne svaghed holder ikke mig vågen om natten.

[url=#7]#7[/url] NFX
Årsagen er i begge tilfælde at de simpelt hen ikke bruger "ticks".
Det er så en anelse oversimplificeret. At få afskaffet ticks vil være en rar ting af flere grunde, hvilket jeg vist nok har påpeget i nogle mailingliste indlæg back in the day. (Har desværre skrevet flere indlæg en jeg er i stand til at huske). Men den konkrete svaghed kunne sagtens udbedres selvom man bruger ticks. Det kræver blot, at man aflæser clockcycletælleren ved hver schedulering, og at man så lige sørger for at bruge de oplysninger man aflæser til at forhindre en process i at bruge for meget CPU tid.

Men i det øjeblik man afskaffer ticks er man jo nødt til at finde en anden enhed at måle tid i. Og de mest oplagte måder at lave et tickløst system på vil ikke have denne svaghed. Så et tickløst er ingen garanti for at man undgår problemet, men det er overvejende sandsynligt.

At man overhovedet laver systemer med timerticks skyldes naturligvis, at sådan et design er langt simplere, end et tickløst system. Desuden stiller et tickløst system større krav til hardwaren. Jeg er ikke sikker på at det ville være muligt at lave et tickløst system på en Intel CPU fra før RDTSC instruktionen blev indført.

Brugte man en 8253 ville der være et pænt stort overhead ved at sætte one shot timers op. Og jeg er ikke sikker på, om man ville kunne aflæse hvor lang tid der var tilbage, men sandsynligvis er det muligt at aflæse. Men udover den CPU tid man spilder på at konfigurere hvert eneste timer interrupt på sin 8253 har man også et andet problem. Hvordan måler man tid, når man ikke mere har sine timerticks. Man ved ikke præcist hvor lang tid der gik fra timerinterruptet fyrede indtil man fik sat det næste op. Så timerinterrupts kan ikke mere bruges til at måle tiden.

Der ville RDTSC instruktionen være handy. Den er mere præcis end et ur baseret på timer interrupts af den simple grund at tælleren kører hele tiden uafhængigt af om man misser et interrupt.

De problemer man kan rende ind i er for det første systemer med en variabel clockrate, og for det andet, at man konstant skal omregne mellem forskellige tidsskalaer. En 8253 kører med en basisfrekvens på 1193180Hz (det er i hvert fald hvad den bioskode jeg disassemblede antog). Diverse API kald regner i sekunder, millisekunder, mikrosekunder og nanosekunder. Og endeligt har man sin TSC som er forskellig fra maskine til maskine.

Hvis nu man helt kunne droppe sin 8259 og få one shot interrupts baseret på TSC timeren, så ville man have løst et problem. (Og jeg tror nok at de nyeste CPUer kan sådan noget). Så mangler vi bare, at man ved hvad rate tælleren kører med.
Gravatar #20 - Sattie
16. jul. 2007 00:57
#15
Mit indlæg var nu ment til at forstå hvad sådanne et 'hack' kunne bruges til. Dog var netop lige præcist de ting jeg nævnte som eksempel, også krævet at computeren havde en Internet adgang. Det kan godt lade sig gøre at hente og aflaste data på en computer uden internet, korrekt - men hvis den står og cruncher data hele dagen, havde du vel ikke tænkt dig at en lille mand løber rundt og tjekker om den er færdig med sit arbejde? Ideen med dette hack' er jo netop at man gør det "usynligt for andre", og hvis du nu begynder at opholde dig ved en computer hver time for at tjekke hvor langt den er nået med sit cpu intensive arbejde, tror jeg nok folk ville lægge mærke til det!
Gravatar #21 - chult
16. jul. 2007 04:36
Ja okay, jeg syntes nok at min Matrix har lagget efter Roskilde.
Gravatar #22 - poulseye
16. jul. 2007 07:00
hvorfor dog prøve at skjule forbruget når man bare kan skjule hele processen (inkl. forbrug)? jeg ville nu nok blive lidt mistænksom hvis der i min processlist stod MEGAHACK.exe 0%.. det er da bare at downloade et FU rootkit og skjule alt hvad man kan..
Gravatar #23 - cyandk
16. jul. 2007 07:35
gud bevare mig vel, det har jo været kendt i flere årtier :S
Gravatar #24 - [Phr3ak]
16. jul. 2007 07:59
Jeg læste også engang at hackere kunne lave computere om til bomber !
Også i 1980'erne. Håber ikke dette stadig er gældende.
Gravatar #25 - Mukke
16. jul. 2007 15:01
Agurketid...
Gravatar #26 - themuss
16. jul. 2007 15:13
Altså Mitnick kan jo launche global atomkrig med en mønttelefon. (det er ihvertfald anklagerens begrundelse for at han ikke skulle have adgang til "fange"-telefonen mens han sad i varetægt... og dommeren købte den).

Utroligt hvad de der l33t h4x0rs kan.
Gravatar #27 - kasperd
16. jul. 2007 17:38
[url=#22]#22[/url] poulseye
hvorfor dog prøve at skjule forbruget når man bare kan skjule hele processen
Fordi man ikke bare kan skjule en process. Angrebet kan udføres af en upriviligeret process.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login