¿Error de CPU significa "gameover" para toda la computadora? [cerrado]

2

Estoy buscando una respuesta a esa pregunta.

Imagine que la CPU está dañada en la fábrica simplemente como Blue Pill , pero para las interconexiones de la red.

¿Cómo exactamente el servidor de seguridad del sistema operativo podría proteger la estación contra la intercomunicación de Hardware Trojan Horse?

Por ejemplo, iptables bloquea cualquier nuevo paquete entrante. iptables -A INPUT -p tcp -m state --state NEW -s 0.0.0.0/0 -j DROP

El paquete Ethernet con message A cambia la CPU al modo controlable remoto. De tal manera que cualquier siguiente message X con prefijo secreto se aceptaría como un comando de control en el lenguaje de bajo nivel (ensamblador).

¿El paquete entrante de bajo nivel pasa a través de todo el circuito a la CPU para la decisión DROP / ACCEPT?

Por ejemplo, Internet -> Ethernet(PCI) -> North Bridge(Chip) -> CPU

¿La CPU leerá todo el paquete, antes de marcarlo como NEW y DROP it?

Quiero decir que message A llenaría los registros de la CPU y lo cambiaría al modo malicioso.

HTH en mi escenario inyectado en la CPU como este uno .

Editar. Estoy tratando de aclarar. ¿Hay algo que el sistema operativo pueda hacer con el paquete de control malicioso (Ethernet) en la CPU con error?

    
pregunta polar bear on the white snow 23.10.2013 - 09:52
fuente

2 respuestas

3

Su pregunta no es muy clara.

Si te refieres a que la CPU principal incluye alguna puerta trasera para escuchas, entonces en principio, todas las apuestas se pierden. Independientemente de las protecciones que pueda incluir el sistema operativo, la CPU simplemente no puede ejecutarlas (sino que lo pretende). En la práctica, si se identificó una puerta trasera de este tipo, podría haber una forma de evitarla, ya que la CPU está configurada en piedra y no puede evolucionar, mientras que el software puede diseñarse teniendo en cuenta la puerta trasera de la CPU.

Si te refieres a que el procesador del controlador Ethernet contiene un espía, entonces el espía ve todos los paquetes entrantes. No sirve de nada dejar caer los paquetes en el sistema operativo ya que el controlador de Ethernet ve los paquetes antes de la CPU principal; su trabajo es enviarlos a la CPU principal. El espía no podría decodificar las comunicaciones cifradas ya que estas son descifradas por la CPU.

Sin embargo, el malware en un controlador Ethernet podría hacer cosas más interesantes que solo escuchar el tráfico de la red. El controlador Ethernet generalmente tiene acceso a buses internos, como PCI, que le permite transferir datos hacia y desde la memoria, por lo que en la mayoría de las arquitecturas puede leer la memoria RAM de la computadora.

Ha habido controladores de Ethernet con errores en la naturaleza. Por ejemplo, ha habido implementaciones incorrectas de Wake-on-LAN . En este caso particular, una máquina era vulnerable solo cuando estaba conectada a la red pero apagada. Por lo general, un atacante debería haber estado en la red local, ya que la mayoría de los cortafuegos filtran estos paquetes.

    
respondido por el Gilles 23.10.2013 - 11:34
fuente
1

Sí, sin duda lo hace.

Los principios operativos de una instalación práctica de Blue Pill normalmente asumirían el control de la interfaz de red, por lo que los paquetes podrían usarse para proporcionar una puerta trasera y / o teléfono a casa. Los paquetes mágicos se pueden enviar a la puerta trasera con una carga útil para la ejecución de shell. Los paquetes están diseñados para ser vistos por un controlador de excepciones de depuración modificado cada vez que el hipervisor recibe un paquete.

Debido a que opera en un nivel muy bajo en la pila de red del hipervisor, el sistema operativo virtualizado nunca ve la puerta de atrás.

Sería posible determinar la presencia de una puerta trasera analizando el tiempo de recepción de los paquetes de red, sin embargo, tendría que verificar esto con un sistema externo de "buena reputación".

Este PDF explica en detalle las posibles puertas traseras que podrían implementarse con un sistema operativo virtualizado, con la intención de evitar que el sistema operativo sepa que se está virtualizando.

enlace

    
respondido por el deed02392 23.10.2013 - 11:31
fuente

Lea otras preguntas en las etiquetas