Печать

Пожалуйста, войдите или зарегистрируйтесь.

[emusic]

Оказывается, у процессоров Intel, начиная со SkyLake, предусмотрен доступ к отладочному интерфейсу JTAG через порт USB 3.0. Это чертовски удобно для отладки кода ядра, но одновременно является и серьезной брешью в безопасности. Уже известен алгоритм атаки, который может быть реализован в любом USB-устройстве, подключаемом к компьютеру.

Как обстоит дело с таким доступом в ноутбуках MSI? В BIOS Setup на эту тему ничего нет. Беглое гугление по ключевым словам вообще ничего не находит.

[3loy4eL]

Оказывается, у процессоров Intel, начиная со SkyLake, предусмотрен доступ к отладочному интерфейсу JTAG через порт USB 3.0. Это чертовски удобно для отладки кода ядра, но одновременно является и серьезной брешью в безопасности. Уже известен алгоритм атаки, который может быть реализован в любом USB-устройстве, подключаемом к компьютеру.

Как обстоит дело с таким доступом в ноутбуках MSI? В BIOS Setup на эту тему ничего нет. Беглое гугление по ключевым словам вообще ничего не находит.

Я очень вам советую обратиться сюда: rusupport@msi.com
Если и подскажут, то только там.

[EUGENEY]

лучше этот вопрос задать интел, если она сочтет это багом, то выпустит код исправляющий эти ошибки и остальные вендоры обновят биос

[emusic]

лучше этот вопрос задать интел, если она сочтет это багом, то выпустит код исправляющий эти ошибки

Боюсь, Вы не понимаете, как это устроено. На уровне Intel никаких ошибок нет - они сделали чрезвычайно удобный и полезный механизм отладки, которого не хватало разработчикам BIOS, загрузчиков, гипервизоров, ядерных компонент ОС и подобного низкоуровневого софта. Но этот механизм с тем же успехом может быть использован для скрытой атаки, поэтому он нуждается в контроле. То есть, если он реализован аппаратно в некотором чипсете и компьютере на его основе, то по умолчанию он должен быть отключен, а в BIOS Setup должен быть переключатель для управления. Заботиться об этом должны исключительно производители компьютеров и BIOS, но никак не Intel.

[Дмитрий Кучинский]

А зачем пользователю отладка ? Вы верно все пишете - по умолчанию должно быть отключено. НО я вижу что вы просто так поговорить ибо зачем пользовательскому классу иметь защиты такого уровня ?  Ведь по факту доступ у к процессору идет через отладку по USB / Значит нужно иметь прямой доступ к устройству а тут проще получить инфу на прямую с диска. В общем галактика в опасностЕ , мы все умрем .
По мне так пофигу. MSI никогда не выпускала защищенных устройств а потому угроза не состоятельна в данном случае. Угроза она как и мусор всегда в голове.

[emusic]

А зачем пользователю отладка ? Вы верно все пишете - по умолчанию должно быть отключено.

Верно, пользователю отладка не нужна, и по умолчанию она должна быть отключена. Вот я и спросил, отключена ли она в ноутбуках MSI, поскольку аппаратных средств проверить это у меня нет.

НО я вижу что вы просто так поговорить

Из чего Вы это видите? Я вот вижу, что меня заботит безопасность, прежде всего - собственная.

зачем пользовательскому классу иметь защиты такого уровня ?

Что Вы называете "защитами такого уровня"?

Ведь по факту доступ у к процессору идет через отладку по USB / Значит нужно иметь прямой доступ к устройству а тут проще получить инфу на прямую с диска.

Сразу видно, что Вы не понимаете уровня проблемы. "Доступ через отладку по USB" - это снаружи, через разъем USB, а не через пользовательский интерфейс. То есть, целевой вариант атаки - изготавливаем USB-устройство, с виду неотличимое от обычной флешки, и записываем туда прошивку, которая реализует функции и накопителя, и клиента JTAG. Даем эту флешку пользователю атакуемого компьютера, которую он вставляет с соблюдением всех известных ему предосторожностей, избегая исполнения кода, и считает, что ничего опасного не происходит. Код в устройстве тем временем получает прямой доступ к процессору и памяти, находит в системных таблицах нужную информацию, меняет настройки BIOS Setup, устанавливет трояны и т.п. - насколько хватит фантазии у разработчика. Пользователь при этом ничего не подозревает.

Возможна также и нецелевая атака путем выпуска крупной партии USB-устройств любого типа - от мышек до внешних HDD, которые собирают и пересылают информацию, устанавливают закладки, портят содержимое и т.п. Нет никаких проблем разместить такой заказ в ЮВА. А на то, что у банальной мышки вдруг оказался разъем 3.0, почти никто не обратит внимания, а обратившие подумают, что это веяние моды или стремление к унификации.

А еще может быть и атака "второго уровня" - когда вредоносный код внедряется в прошивку популярного устройства тайком, помимо воли производителя. Это гораздо проще, чем внедрить закладку в какую-нибудь ОС, ибо аудитом контроллерных прошивок специально никто не занимается.

Подобная дырка в безопасности имелась (а может, и до сих пор имеется) в контроллерах IEEE1394 (FireWire). Но устройства, подключаемые через FireWire, распространены на несколько порядков меньше, чем устройства USB.

[Дмитрий Кучинский]

Вот именно я- я писал что нужен прямой доступ к устройству.
Вам нужен защищенный бук ?  Тогда это не MSI по той простой причине что без аппаратной защиты имея прямой доступ не надо мудрить с USB а просто снять диск и получить к нему доступ.  А вот доступ в прошивку это уже интересно но , во первых только на уровне исполняемого модуля но ни как не в код ядра ( ибо зашифрован) , а тут уже есть sequre  boot и ваш модуль светится как рождественская елка.
Так что как я уже сказал - мы все умрем.

[emusic]

без аппаратной защиты имея прямой доступ не надо мудрить с USB а просто снять диск и получить к нему доступ.

Вы всерьез считаете, что возможность скопировать/изменить состояние чьего-либо ноутбука путем физического съема диска, и возможность подсунуть его пользователю безобидное с виду USB-устройство, которое сделает то же самое - это одинаковый уровень угрозы? Если так, то у Вас дома не должно быть никаких замков - ведь прямой доступ к двери по определению дает возможность вскрыть ее, не имея ключей.

А вот доступ в прошивку это уже интересно но , во первых только на уровне исполняемого модуля но ни как не в код ядра ( ибо зашифрован)

Вы имеете в виду ядро EFI?

а тут уже есть sequre  boot и ваш модуль светится как рождественская елка.

Вмешательство в загрузку - лишь один из множества способов воздействия. Подчеркиваю: скрытого воздействия, при котором у пользователя сохраняется впечатление полного контроля над компьютером.

[Дмитрий Кучинский]

Ну точно мы все умрем. Марс атакуэ . Вредоносные флешки убивают человеков.
Разумно просто не давать свой комп в чужие руки и не пихать всякую дрянь в рот ой в комп. И уровень паранойи резко снизится - удачи вам в поисках инопланетян и всемирного заговора.  Поверьте что дыр в компе не меряно и без прямого доступа и стоит это значительно дешевле чем делать микруху с процом и програматором .  За сим удалюсь - у меня не гулян внук и собака .

[emusic]

не пихать всякую дрянь в рот ой в комп.

И как же Вы на глазок отличаете дрянь (например, веб-страницу с эксплойтом под Ваш браузер) от не-дряни? Браузеры Вы, очевидно, не обновляете, антивирусов не держите, уязвимостей в системе не исправляете?

Поверьте что дыр в компе не меряно и без прямого доступа и стоит это значительно дешевле чем делать микруху с процом и програматором.

Каждая реализация атаки когда-то стоила дорого. Двадцать лет назад идея руткита казалась настолько сложной и дорогой, что ее считали оправданной лишь для атаки на уровне государства или крупного бизнеса. Сейчас руткит может поймать любая домохозяйка. А поделите стоимость реализации атаки на количество потенциальных жертв, и получите высоконадежный метод за ничтожные деньги.

По сути, картина почти в точности повторяет ситуацию середины 90-х, когда в Win95 появился автозапуск - конечно же, включенный по умолчанию. Поначалу он очень нравился пользователям, и многие искренне не могли понять, чем может быть опасно простое вставление диска в лоток. Пока MS раскачалась сделать Autoplay выключенным по умолчанию, прошло несколько лет, за которые изрядное количество пользователей успело поймать вирусы/трояны. И далеко не все "пихали дрянь" - многие вставляли совершенно кошерные с виду фабричные диски, которые тогда никому не приходило в голову проверять.

Конкретно сейчас, разумеется, риски ничтожные. Но, если их игнорировать - через некоторое время можно получить такое же развитие ситуации.