» »

Tudi DDR4 in DDR3 z ECC ranljiva na obračanje bitov

Tudi DDR4 in DDR3 z ECC ranljiva na obračanje bitov

Slo-Tech - Ranljivost rowhammer, ki so jo raziskovalci na Carneige Mellon University odkrili predlani in za katero je Google praktično izvedbo pokazal lani, napada tudi pomnilniške čipe DDR4 in DDR3 z ECC. Doslej so ti veljali za odporne, a nove raziskave to demantirajo, so povedali na konferenci Semicon China.

Gre za zanimivo ranljivost, kjer programsko izkoriščamo pomanjkljiv fizični dizajn, ki je posledica miniaturizacije čipov. Ob večkratnem zaporednem dostopu do nekega mesta v pomnilniku (hammering) se namreč z neko verjetnostjo zgodi, da to spremeni bite v sosednjih celicah. To pa ni nujno, da povzroči lahko opazne posledice, kot je zrušitev sistema oziroma ponovni zagon. Kot je pokazal Google lani, je mogoče na ta način z eskalacijo privilegijev pridobiti dostop do računalnika.

Ob razkritju ranljivosti so proizvajalci novih čipov DDR4 zagotavljali, da so ti varni, ker uporabljajo TRR (targeted refresh row) in MAC (maximum access count), ki določata zgornjo mejo števila dostopov do iste pomnilniške celice v časovnem intervalu in osvežujeta sosednje celice. ECC pa tako ali tako uporablja paritetni bit za popravljanje enobitnih napak in zaznavanje dvobitnih.

Preizkus 12 različnih čipov DDR4 je pokazal, da so ranljivi tudi ti čipi. Ne sicer vsi, večina pa. Raziskovalcem je uspelo napad izvesti tudi na procesorskih DDR3 čipih, ki so imeli ECC. V tem primeru so se že v nekaj minutah po začetku napada strežniki sesuli ali ponovno zagnali, pa četudi so nekateri vsebovali posebno zaščito pred rowhammerjem, zaradi katere so povečali frekvenco osveževanja podatkov v pomnilniku.

14 komentarjev

MrStein ::

ECC pa tako ali tako uporablja paritetni bit za preprečevanje preklopa lihega števila bitov.

Ne, ECC uporablja varianto Hamimmg-a in lahko popravi enobitne napake in zazna dvobitne. Večbitnih napak pa ne zazna.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Glugy ::

In se da kako zavarovat pred tem ?

Vesoljc123 ::

Glugy je izjavil:

In se da kako zavarovat pred tem ?

DDR2

Mato989 ::

Vesoljc123 je izjavil:

Glugy je izjavil:

In se da kako zavarovat pred tem ?

DDR2


Epsko :)

Glugy ::

Računal sem na kakšen bolj zrel komentar ampak ok.

McHusch ::

MrStein je izjavil:

ECC pa tako ali tako uporablja paritetni bit za preprečevanje preklopa lihega števila bitov.

Ne, ECC uporablja varianto Hamimmg-a in lahko popravi enobitne napake in zazna dvobitne. Večbitnih napak pa ne zazna.


Res je, tnx!

tony1 ::

Torej je problematičen tudi DDR3 brez ECC?

Kje se da dobiti tool s katerim bi se tole stestiralo?

AndrejO ::

tony1 je izjavil:

Torej je problematičen tudi DDR3 brez ECC?

Kje se da dobiti tool s katerim bi se tole stestiralo?

Kontekst: http://googleprojectzero.blogspot.co.uk...

PoC: https://bugs.chromium.org/p/project-zer...

MrStein ::

ECC pa tako ali tako uporablja paritetni bit

Ne, uporablja dodaten byte (na vsakih 64 bitov podatkov).
Hamming. Ne pariteta.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sodnicaN ::

>Torej je problematičen tudi DDR3 brez ECC?
ja, že nekaj časa, če imaš 16GB (ena razumna številka za danes) je kar solidna verjetnost da je kateri od bitov pokvarjen

intelova politika da ne dajo ecc podpore v vse čipe pa dela še dodatno škdodo

isti problem je pri trdih diskih in temu da ms še vedno nima nič ekvivalentnega zfsju

>In se da kako zavarovat pred tem ?
še kak več bit namenjen odkrivanju/popravilu pokvarjenih podatkov

win64 ::

sodnicaN je izjavil:


>In se da kako zavarovat pred tem ?
še kak več bit namenjen odkrivanju/popravilu pokvarjenih podatkov


RAM RAID ™

sodnicaN ::

ja sej dost protokolov že uporablja podobne fore (recimo za v vsakih 8 bitov podatkov se pošlje 10 bitov)

Ahim ::

sodnicaN je izjavil:

ja sej dost protokolov že uporablja podobne fore (recimo za v vsakih 8 bitov podatkov se pošlje 10 bitov)


Tam je razlog drugacen (signal je AC-coupled in self-synchronizing), brez tega bi bila zadeva neizvedljiva.

sodnicaN ::

ampak to da se pošlje /shrami nekaj dodatnih bitov za namene varovanja podatkov (recimo tudi diski imajo razne error correction code shranjene v ta namen), je pa res, da v primeru pcie zadeva služi še drugim namenom (sinhronizaciji ur, ...)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Napad na pomnilnik Rowhammer omogoča krajo šifrirnih ključev

Oddelek: Novice / Znanost in tehnologija
134082 (2325) MrStein
»

Napad rowhammer deluje tudi androidnih telefonih

Oddelek: Novice / Varnost
75766 (3953) srus
»

Zloraba spreminjanja bitov v pomnilniku zaradi branja tudi v praksi

Oddelek: Novice / Varnost
810355 (9026) MrStein
»

Okvara podatkov v DDR3 zaradi vpliva sosednjih celic (strani: 1 2 )

Oddelek: Novice / Pomnilnik
5522224 (18658) AndrejO

Več podobnih tem