URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 120611
[ Назад ]
Исходное сообщение
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено opennews , 11-Май-20 23:16 
Раскрыта информация о семи уязвимостях в оборудовании с интерфейсом Thunderbolt, объединённых под кодовым именем Thunderspy и позволяющих обойти все основные компоненты обеспечения безопасности Thunderbolt. На основе выявленных проблем предложено девять сценариев совершения атак, реализуемых при наличии у атакующего локального доступа к системе через подключение вредоносного устройства или манипуляции с прошивкой...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52928

Содержание
Сообщения в этом обсуждении
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено InuYasha , 11-Май-20 23:16 
А на НЕяблочных устройствах Thunderbolt часто встречается?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено USB3 это оно и есть. , 11-Май-20 23:18 
Devices with Thunderbolt 3 ports began shipping at the beginning of December 2015, including notebooks running Microsoft Windows (from Acer, Asus, Clevo, HP, Dell, Dell Alienware, Lenovo, MSI, Razer, and Sony), as well as motherboards (from Gigabyte Technology), and a 0.5 m Thunderbolt 3 passive USB-C cable (from Lintes Technology).

https://en.wikipedia.org/wiki/Thunderbolt_(interface)

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено InuYasha , 11-Май-20 23:31 
Ну, я бы не сказал что это == USB3. У меня есть порт USB 3.0, но там никакого ТБ нет.
А вообще весело - вывели наружу, практически, PCI-express, и ждали безопасности и недоступности памяти.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 11-Май-20 23:36 
Wiki
Thunderbolt 3 представляет собой порт, совместимый с USB 3.1, выполнен с разъёмом USB Type-C
Thunderbolt 3 станет частью стандарта USB4, так как компания Intel передала все права на него USB Implementers Forum.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 10:49 
> компания Intel передала все права на него USB Implementers Forum.

autorun.inf

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено proninyaroslav , 12-Май-20 12:14 
>А вообще весело - вывели наружу, практически, PCI-express, и ждали безопасности и недоступности памяти.

На USB тоже не мало уязвимостей. Причём к PCI-E может подключаться много чего, в том числе и USB при желании. Проблема как обычно в одном - в усложнении архитектуры.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено анон , 11-Май-20 23:49 
В почти любом ноутбуке дороже 2000$, не?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено хотел спросить , 12-Май-20 02:10 
почти в любом ноутбуке на Intel, если он не откровенно дешманский от 1000 и выше

тот случай, когда отсутствие TB на AMD превращается из недостатка в преимущество

у меня есть TB и теперь FDE на моем ноуте можно засунуть в жoпу

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено хотел спросить , 12-Май-20 02:26 
Cтранная шляпа...

Скачал Spycheck и тестирую ноут. На нем точно есть TB3 совмещенный с Type-C, я на него даже устанавливал прошивку новую от Intel.

Но spycheck пишет что порты не найдены, система не уязвима.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено анончик , 12-Май-20 02:27 
сейчас уже да. исключение -- устройства на amd и устройства, где производитель религиозно против thunderbolt (например, microsoft surface). до skylake (пять лет назад) было существенно реже.

skylake нативно поддерживает Thunderbolt 3 и с его появлением порты начали появляться: на intel (nuc), на dell, на thinkpad, на hp, на asus и далее почти везде.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Stax , 12-Май-20 11:15 
Если не секрет, а в чем поддержка процессора вообще может заключаться? Если во-первых ТБ сидит за южным мостом за DMI согласно картинке https://thunderspy.io/assets/img/tb3-controller-architecture... , а еще все равно требуется контроллер, преобразующий pcie в thunderbolt, типа

$ lspci|grep Thunderbolt
04:00.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
05:00.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
05:01.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
05:02.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
05:04.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
06:00.0 System peripheral: Intel Corporation JHL7540 Thunderbolt 3 NHI [Titan Ridge 4C 2018] (rev 06)
3a:00.0 USB controller: Intel Corporation JHL7540 Thunderbolt 3 USB Controller [Titan Ridge 4C 2018] (rev 06)

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 11:38 
Чипсет в случае Intel довольно тесно ассоциирован с поколением CPU.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено анончик , 12-Май-20 12:58 
начиная с icelake pch этой отдельной сущности на чипсете уже нету, кстати.

т.е. формально да, cpu от intel поддерживают thunderbolt 3 аж начиная как минимум с sandy bridge. да вот только чипсет к ним до skylake не имеет интегрированного контроллера. об том и речь.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено хотел спросить , 12-Май-20 20:10 
а что если удалить драйвер TB? это по идее должно помочь

в винде его изначально можно не ставить и просто задисейблить устройство

что делать с линухой? он же скомпилирован в ядро?

отпишитись плиз знающие люди

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено НяшМяш , 12-Май-20 02:33 
В моём Dell 2019 года целый один порт есть.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Агент ЦРУ , 11-Май-20 23:28 
Это не баг, а фича.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 00:19 
Можно подумать что производители тандерболта этого не знали. Во все времена спецслужбы старались внедрить все возможные бэкдоры, что влекло за собой определенные проблемы. Лучше внедрения только намеренная уязвимость подобной этой - кто надо все через достанет. Суки!
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 00:26 
интересно а в usb4 это исправят? всё такие usb4 это по сути Thunderbolt3
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено kvaps , 12-Май-20 07:58 
В usb4 новый бэкдор обещали добавить
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено mos87 , 12-Май-20 01:07 
элитное шерето? никогда такого не было...
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 01:20 
По сути ничего нового. В FireWire, где тоже был прямой доступ к памяти, были аналогичные угрозы безопасности. И, кстати, разве IOMMU не решает большинство этих проблем?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 01:24 
Сам и отвечу: "First, hardware and OS vendors incorporated support for DMA remapping
using Input-Output Memory Management Units (IOMMUs), which imposes
memory protections on DMA. However, following various implementation issues,
OS vendors classified DMA remapping as an optional countermeasure requiring
driver support." Пока правда не ясно, касается ли это линукса.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено хотел спросить , 12-Май-20 02:14 
DMA protection utilizing IOMMU

Recent systems from 2018 and forward with Thunderbolt ports may natively support IOMMU. This means that Thunderbolt security is handled by an IOMMU so connected devices cannot access memory regions outside of what is allocated for them by drivers. When Linux is running on such system it automatically enables IOMMU if not enabled by the user already. These systems can be identified by reading 1 from /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection attribute.

The driver does not do anything special in this case but because DMA protection is handled by the IOMMU, security levels (if set) are redundant. For this reason some systems ship with security level set to none. Other systems have security level set to user in order to support downgrade to older OS, so users who want to automatically authorize devices when IOMMU DMA protection is enabled can use the following udev rule:

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Stax , 12-Май-20 11:18 
У меня на Thinkpad X1E стоит контроллер TB 2018 года и поддержки IOMMU / Kernel DMA нет :-(
А казалось бы, засунуть это в IOMMU очень здравая затея, самому-то IOMMU лет 10 уже наверное?..
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено КО , 12-Май-20 12:56 
Так в новости же и описано, что можно подделаться под авторизованный девайс. Ну и далее везде.
А если IOMMU начнет проверять сертификат от каждой железки на каждом пакете данных - весь смысл во внешней шине пропадет.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено expert , 12-Май-20 01:55 
завтра пропатчат дырки и все забудут...
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 02:46 
Вот всегда старался втыкать одни и те же устройства в те же разъёмы.
Верность знаете ли...

А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём. Снимать пользователю в первую ночь лично. Ревнивым параноикам потом можно навесить туда замочек. Также наладить массовое производство адаптеров ConDMA (Conter DMA). И вообще за беспасное подключение переферии.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 07:43 
Жениться тебе надо, барин (ц)
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Stax , 12-Май-20 11:19 
> А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём

И как вы это, интересно, будете делать на том же макбуке, у которого других USB-разъемов нет, да и зарядка через тот же разъем, вообще-то?

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним84701 , 12-Май-20 11:37 
>> А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём
> И как вы это, интересно, будете делать на том же макбуке, у которого других USB-разъемов нет, да и зарядка через тот же разъем, вообще-то?

Лишить менагеров ябла премий, на эти деньги нанять специалистов для технических решений и специалистов для дополнительной умственной стимуляции этих менагеров (с помощью хороших, толстых стимулов) ...
не, ну правда -- с их же FireWire точно такая же фигня была https://wikileaks.org/spyfiles/files/0/293_GAMMA-201110-FinF...

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено годныйанонимус , 12-Май-20 03:12 
пошел в кафе залепил порты, пришел в офис опечатал док-станцию на пломбу, вернулся домой одел саркофаг
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Анони м , 12-Май-20 08:33 
Вернулся - всё разлеплено и распечатано. Ваши действия?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 09:23 
Быстро бежать и громко кричать.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 09:45 
Куда бежать? Что кричать?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 08:35 
*надел саркофаг
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено kk , 12-Май-20 13:37 
фараон detected
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено ryoken , 12-Май-20 15:00 
Скафандр или там костюм РХБЗ жИ! :D
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 07:50 
Если устройство попало в чужие руки, оно уже по умолчанию уязвимо, независимо от наличия каких-либо разъемов
Не стоит в общественных местах оставлять ноут без присмотра
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 12:35 
Это не повод двери не запирать.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено КО , 12-Май-20 12:59 
Да ты своими руками воткнул мобилу,зарядку,камеру, да что угодно. А в ней троянчик, который выкачивает память на внешний сервак и оттуда получает новые команды для твоего компа.
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Соня Мармеладова , 12-Май-20 19:03 
Опять интел наинжинирил.

Граждане,берите АМД!
Они вкусные и без лабудэ.

"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено хотел спросить , 12-Май-20 19:21 
А что делать с USB4?
"Thunderspy - серия атак на оборудование с интерфейсом Thunde..."
Отправлено Аноним , 12-Май-20 22:35 
А вот у меня на ноуте как был RS232 так до сих пор востребован, чего бы там макаки не верещали. И никаких RS232-2 RS232-3 RS232-4 не будет.
Стабильность как она есть!