Meltdown and Spectre con respecto a Firewalls y Sandboxing [duplicado]

3

No entiendo muy bien a Meltdown y Spectre; todo lo que sé es que son básicamente vulnerabilidades similares a las de un registro de teclas dentro de la CPU, que evitan cualquier elemento de la capa de aplicación; corrígeme si me equivoco.

Quiero saber lo siguiente:

  1. ¿Por qué el sandboxing de aplicaciones no es efectivo contra Meltdown y Specter? En otras palabras, (según mi comprensión anterior), ¿por qué se omite la capa de aplicación?

  2. Digamos que algunas vulnerabilidades de Meltdown y Spectre son utilizadas por algunos programas maliciosos y el malware envía información de registro de teclas a un host remoto. Si tengo un firewall, como Iptables, y restringo el tráfico saliente, ¿será suficiente para evitar que el autor del malware robe información?

    En otras palabras, ¿podrá un firewall evitar que las 2 vulnerabilidades pasen información a un destino remoto?

pregunta izb3st 01.04.2018 - 17:10
fuente

1 respuesta

0

Meltdown y Specter son vulnerabilidades de hardware. En realidad, residen en su procesador y están interesados en información confidencial.

Meltdown es específico para Intel Processors .

Spectre es para procesadores que no sean Intel (no Intel).

  1. Meltdown omite el 'modo de protección' que está presente cuando desea acceder a datos confidenciales almacenados en su procesador. El ataque imita el rol de un usuario normal que está accediendo al datos. La razón por la cual la caja de arena es inútil es porque el sistema operativo cree que es un usuario normal, no un atacante.
  2. Es posible que el firewall detecte el malware. Esto requerirá parches de software (actualizar la versión de su sistema operativo).

En conclusión

La mayoría de los proveedores de computadoras han lanzado parches de software para superar estos problemas. Ya que estos están relacionados con el hardware, significa que el hardware es lo que necesita ser mejorado. El software puede ayudar, pero no completamente.

ACTUALIZAR

Los firewalls incorporados se actualizan junto con el sistema operativo (OS), ya que los firewalls son programados por humanos, necesitan saber cómo se comporta la actividad de malware. Por lo tanto, si la versión más reciente del sistema operativo se está ejecutando en su dispositivo, es probable que su Firewall sepa que este malware está realizando Meltdown o Spectre 'activity' es alta. Esto se debe a que ahora están conscientes de cómo actuarán estas vulnerabilidades.

En cuanto a tráfico saliente , y en términos de Iptables , es poco probable que sepa qué dirección IP está intentando acceder a sus datos. .

También me gustaría enfatizar, nuevamente: El software puede ayudar, pero no completamente.

Espero que esté claro ahora.

Fin de ACTUALIZACIÓN

Referencias:

Kocher, Paul, et al. "Ataques de espectro: explotando la ejecución especulativa". preimpresión arXiv arXiv: 1801.01203 (2018).

Meltdown and Spectre. (2018). Meltdownattack.com. Consultado el 1 de abril de 2018, de enlace

    
respondido por el Kosovic 01.04.2018 - 19:53
fuente

Lea otras preguntas en las etiquetas