Intel işlemcilerde açık ve güven
Mart 29th, 2009 tarihinde Serkan Kenar tarafındanGeçtiğimiz hafta The Invisible Labs‘taki uzmanlar Intel işlemcileri etkileyen ve SMRAM’e kod sokuşturmaya imkan sağlayan bir açık buldular. Normalde bu alan yazılamaz olarak biliniyordu ve burada çalıştırılan kod en yüksek öncelikli seviye olan Sistem Yönetim Modunda (SMM) çalışıyor.
Bu iki açıdan çok tehlikeli: 1. açık işletim sisteminde bağımsız olarak işlemciyi etkiliyor. 2. bir kere SMRAM’e bulaştıktan sonra işletim sistemi veya anti virüs yazılımları tarafından tespit edilmesi mümkün değil.
Aslında işlemcilere yönelik saldırılar ve SMRAM’e erişimle ilgili daha önce de açıklanmış açıklar bulunuyor. Black Hat 2008′de bu tür saldırılar ile ilgili bir sunum yapılmış ve yine SMM üzerinden bir rootkit çalıştırılabileceği kanıtlanmıştı.
Bu tür saldırıları görünce aklıma ACM Klasiklerinden, Ken Thompson’ın Reflections on Trusting Trust yazısı geldi. Ken Thompson’ı tanımıyorsanız, en azından Unix, Plan 9, B (C’nin öncülü olan dil) ve UTF-8′i duymuşsunuzdur. Ken, bu yazısında adım adım bir derleyicinin nasıl zehirlenebileceğini ve ondan sonra derlenen tüm programların (ve tabii ki derleyicilerin de) nasıl zehirlenmiş olarak üretileceğini şaşırtıcı derecede basit bir örnekle gösterir ve şu sonuca varır:
You can’t trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code. In demonstrating the possibility of this kind of attack, I picked on the C compiler. I could have picked on any program-handling program such as an assembler, a loader, or even hardware microcode. As the level of program gets lower, these bugs will be harder and harder to detect. A well installed microcode bug will be almost impossible to detect.
Hiç bir şeye güvenemezsiniz. İşlemciye bile.
The Invisible Labs’in açığı açıkladığı makalesinde ilginç bir bilgi var. Intel aslında bu açığı biliyormuş ve hatta çalışanları nasıl düzeltilebileceğiyle ilgili bir patent başvurusunda bile bulunmuşlar. Yine de neden düzeltmedikleri belirli değil (?). Intel, araştırmacılar açığı bildirdikten sonra, hatayı kabul etmiş ve düzeltileceğini açıklamış.
Bu arada işlemcilerde açık var diye panik yapmaya gerek yok. Bu saldırılar çok düşük seviye çalışıldığı için ancak saldırılacak makineye göre çok hassas saldırılara imkan sağlıyor. İşletim seviyesi, uygulamalar hatta tarayıcılar seviyesindeki açıklar çok daha etkili, yaygın ve tehlikeli olmaya devam edecektir.



Dikmen Caddesi