Google-forskere: Spectre-lignende angreb kan ikke bremses af software

Illustration: Lasse Gorm Jensen
Forskere fra Google konkluderer i ny rapport, at processorer stadig er sårbare over for Spectre, og at der endnu ikke er nogen god sikkerhed at finde i softwareløsninger.

Forskere fra Google har offentliggjort en rapport, hvori de konkluderer, at også fremtidige processorer vil være sårbare over for angreb som Spectre. De konkluderer yderligere, at en softwareløsning på sikkerhedsbristen vil medføre begrænsning af processoren og i praksis er urealistisk. Det skriver Ars Technica

En moderne processor gennemfører speculative execution - faktisk er det en af forudsætningerne for hurtig processorkraft. Eksempelvis begynder en moderne processor baseret på forskellige forventede scenarier at eksekvere både 'true'- og 'false'-scenarier til en 'if'-betingelse, før den er bekræftet. Når betingelsen bekræftes, anvendes det korrekte scenarie, og det falske forkastes. Alle disse valg er i princippet usynlige for de programmer, som køres, og det er ikke meningen, at de forkastede scenarier nogensinde skal registreres.

Læs også: Forskere bag Spectre og Meltdown publicerer syv nye processorangreb

Spectre viste dog, at speculativ execution ikke er helt usynligt, da de forkastede scenarier kan afkodes i prosessorens cache af en angriber. Dermed kan man også aflede, hvad der foregår i processoren – hvorved den er reelt er kompromitteret.

Ifølge Googles forskere er der endnu ikke nogen god beskyttelse. Blandt de foreslåede softwareløsninger har man forsøgt at gøre clocks mindre tilgængelige for applikationer og dermed angriberen. I princippet skulle det give mindre præcise tidsstempler og dermed gøre det vanskeligt at afkode de forskellige stadier i cachen, men forskerne fra Google fandt en teknik til at afkode små timingforskelle, hvorved dette forsvar relativt let kan omgås.

Læs også: NetSpectre kan aflure information fra netværks-enheder uden at installere skadelig kode – men langsomt

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize