signing keys നെ ദുരുപയോഗം ചെയ്യുന്ന TLBleed ആക്രമണം

ഇന്റല്‍ ചിപ്പിന്റെ Hyper-Threading സവിശേഷത ദുരുപയോഗം ചെയ്യുന്ന പുതിയ ആക്രമണത്തിന് കൃത്യമായ സൂഷ്മതയോടെ signing keys ശേഖരിക്കാന്‍ കഴിയുന്നു. TLBleed എന്ന പുതിയ ആക്രമണം ഇന്റല്‍ ചിപ്പിന്റെ translation lookaside buffer cache നെ ആണ് ഉപയോഗിക്കുന്നത്. അത് വിജയിച്ചാല്‍ അക്രമിക്ക് പ്രോഗ്രാമുകള്‍ sign ചെയ്യാനുള്ള രഹസ്യ 256-ബിറ്റ് കീ മോഷ്ടിക്കാനാകും. Intel Skylake, Coffee Lake ചിപ്പുകളില്‍ 99.8% വും Broadwell Xeon ചിപ്പില്‍ 98.2% വും സൂഷ്മതയോടെ അത് ചെയ്യാനാകും. TLBleed ഒരു പുതിയ … Continue reading signing keys നെ ദുരുപയോഗം ചെയ്യുന്ന TLBleed ആക്രമണം

Advertisements

Meltdown, Spectre പിഴവുകള്‍ നേരത്തേ അറിയാമായിരുന്നു എന്ന ആരോപണം NSA നിഷേധിച്ചു

“NSAക്ക് ഈ പിഴവുകളെക്കുറിച്ച് അറിയില്ല എന്നും, ആ പിഴവുകള്‍ ഉപയോഗപ്പെടുത്തിയിട്ടില്ലെന്നും, അതുപോലെ ഈ പിഴവ് തുറന്നിട്ട് ഇന്റല്‍ പോലുള്ള ഒരു പ്രധാനപ്പെട്ട കമ്പനിയെ അപകടത്തിലാക്കുന്ന ഒരു പ്രവര്‍ത്തിയും അമേരിക്കന്‍ സര്‍ക്കാര്‍ ചെയ്യില്ല,” എന്ന് Washington Post നോട് വെറ്റ് ഹൌസ് സുരക്ഷാ ഉദ്യോഗസ്ഥനായ Rob Joyce പറഞ്ഞു. വിദേശത്തെ രഹസ്യാന്വേഷണ ലക്ഷ്യങ്ങള്‍ക്കായി Meltdown യോ Spectre യോ ഉപയോഗിച്ചിട്ടില്ലെന്ന് ഇപ്പോഴത്തേയും മുമ്പത്തേയും അമേരിക്കന്‍ സര്‍ക്കാര്‍ ഉദ്യോഗസ്ഥരും പറഞ്ഞു. എന്നാല്‍ ട്രാക്ക് റിക്കോഡുകള്‍ വ്യത്യസ്ഥമാണ്. NSA പിഴവുകള്‍ മാസങ്ങളോളം … Continue reading Meltdown, Spectre പിഴവുകള്‍ നേരത്തേ അറിയാമായിരുന്നു എന്ന ആരോപണം NSA നിഷേധിച്ചു

വാതക പൈപ്പ് ലൈനിന്റെ ദൌര്‍ബല്യത്തെ വ്യക്തമാക്കുന്നതാണ് സൈബര്‍ ആക്രമണം

പങ്കുവെക്കുന്ന ഒരു ഡാറ്റാ നെറ്റ്‌വര്‍ക്കില്‍ നടന്ന ഒരു സൈബര്‍ ആക്രമണം അമേരിക്കയിലെ പ്രകൃതിവാതക പൈപ്പ് ലൈന്‍ പ്രവര്‍ത്തകരെ ഉപഭോക്താക്കളുമായി ബന്ധപ്പിച്ചിരിക്കുന്ന സെര്‍വ്വര്‍ കമ്പ്യൂട്ടര്‍ താല്‍ക്കാലികമായി അടച്ചിടുന്നതിന് കാരണമായി. വാതക വിതരണത്തിന് തടസമൊന്നും ഉണ്ടായില്ല എന്ന് കമ്പനികള്‍ പറഞ്ഞു. ഉപഭോക്താക്കളുടെ ഇടപാട് ഒരു മുന്നറീപ്പാണ്. ഉപഭോക്താക്കളുടെ വിവരങ്ങള്‍ ചോര്‍ന്നോ എന്നത് വ്യക്തമല്ല. — സ്രോതസ്സ് nytimes.com

4,000 ല്‍ അധികം സര്‍ക്കാര്‍ വെബ് സൈറ്റുകള്‍ ഗൂഢ ക്രിപ്റ്റോ കറന്‍സി മൈനറുകള്‍ ബാധിച്ചവയാണ്

Coinhive പോലുള്ള ക്രിപ്റ്റോ കറന്‍സി ഖനനം ചെയ്യുന്ന സോഫ്റ്റ്‌വെയറുകളുടെ വളര്‍ച്ച ഒരു ഇരട്ടത്തലയുള്ള വാള് പോലെയാണ്. ധാരാളം വെബ് സൈറ്റുകള്‍ അധിക വരുമാനം നേടാനുള്ള വഴിയായി ക്രിപ്റ്റോ കറന്‍സി ഖനനത്തെ ഉപയോഗിക്കുന്നു. ഈ രീതിയില്‍ ഉപയോക്താക്കളുടെ CPU ചക്രത്തെ ഏറ്റെടുക്കുന്നതിനെക്കുറിച്ച് ഉപയോക്താക്കളെ അറിയിക്കാതിരിക്കുന്നത് പ്രശ്നത്തിലേക്ക് നയിക്കും. ആളുകളുടെ അറിവോ സമ്മതമോ ഇല്ലാതെ അവരുടെ CPU ന്റെ 85% വരെ gobbled എന്ന് നിരാശരായ ഉപയോക്താക്കള്‍ പറയുന്നു. മോശം സ്ഥാപനം, സുതാര്യതയില്ല, ഉപയോക്താക്കളുടെ നിരാശ എന്നിവയാല്‍ Pirate Bay … Continue reading 4,000 ല്‍ അധികം സര്‍ക്കാര്‍ വെബ് സൈറ്റുകള്‍ ഗൂഢ ക്രിപ്റ്റോ കറന്‍സി മൈനറുകള്‍ ബാധിച്ചവയാണ്

അമേരിക്കയിലെ ഉപഭോക്തൃ സംരക്ഷ ഉദ്യോഗസ്ഥര്‍ Equifax അന്വേഷണം തണുപ്പിക്കുന്നു

കോടിക്കണക്കിന് അമേരിക്കക്കാരുടെ സ്വകാര്യ വിവരങ്ങള്‍ സംരക്ഷിക്കുന്നതില്‍ Equifax Inc എങ്ങനെ പരാജയപ്പെട്ടു എന്നതിനെക്കുറിച്ചുള്ള വിശദമായ അന്വേഷണത്തില്‍ നിന്ന് Consumer Financial Protection Bureau യുടെ തലവനായ Mick Mulvaney പിന്‍വാങ്ങുന്നതായി പരാതി. 14.3 കോടി അമേരിക്കക്കാരുടെ വ്യക്തിപരമായ വിവരങ്ങള്‍ ഹാക്കര്‍മാര്‍ ആളുകളുടെ ചോര്‍ത്തി എന്ന് Equifax സെപ്റ്റംബറില്‍ പറഞ്ഞിരുന്നു. അന്നത്തെ CFPB ഡയറക്റ്റര്‍ ആയ Richard Cordray ആ മാസം തന്നെ അന്വേഷണത്തിന് ഉത്തരവിട്ടു. എന്നാല്‍ Cordray നവംബറില്‍ രാജിവെക്കുകയും പകരം പ്രസിഡന്റ് ട്രമ്പിന്റെ ബഡ്ജറ്റ് പ്രധമനായ … Continue reading അമേരിക്കയിലെ ഉപഭോക്തൃ സംരക്ഷ ഉദ്യോഗസ്ഥര്‍ Equifax അന്വേഷണം തണുപ്പിക്കുന്നു

ചിപ്പിന്റെ കുഴപ്പം പൊതുവായി പ്രഖ്യാപിക്കുന്നതിന് മുമ്പ് സര്‍ക്കാരിനോട് ഇന്റല്‍ പറഞ്ഞില്ല

Meltdown, Spectre എന്നീ സുരക്ഷാ വീഴ്ച ആറുമാസം മുമ്പ് Alphabet Inc കണ്ടെത്തിയതിന് ശേഷം ആ പ്രശ്നത്തെക്കുറിച്ച് പൊതുവായ പ്രസ്ഥാവന കൊടുക്കുന്നതിന് മുമ്പ് അമേരിക്കന്‍ സൈബര്‍ സുരക്ഷാ ഉദ്യോഗസ്ഥരെ അത് Intel Corp ധരിപ്പിച്ചില്ല. ജനുവരി 3 ന് Meltdownഉം Spectreയേയും കുറിച്ച് പത്രപ്രസ്ഥാവന വരുന്നത് വരെ US-CERT എന്ന് അറിയപ്പെടുന്ന United States Computer Emergency Readiness Team നോട് Intel ഒന്നും പറഞ്ഞില്ല. Alphabet ന്റെ Google Project Zero യിലെ സുരക്ഷാ ഗവേഷകര്‍ … Continue reading ചിപ്പിന്റെ കുഴപ്പം പൊതുവായി പ്രഖ്യാപിക്കുന്നതിന് മുമ്പ് സര്‍ക്കാരിനോട് ഇന്റല്‍ പറഞ്ഞില്ല

ടെലഗ്രാമിന്റെ Zero-Day ദൌര്‍ബല്യം നിങ്ങളുടെ കമ്പ്യൂട്ടറിനെ ഹാക്ക് ചെയ്ത് ക്രിപ്റ്റോ കറന്‍സി ഖനനം ചെയ്യാന്‍ സഹായിക്കും

Telegram Desktop app ന്റെ zero-day ദൌര്‍ബല്യം ഉപയോഗിച്ച് പിന്‍വാതിലും, ക്രിപ്റ്റോ കറന്‍സി ഖനനം ചെയ്യുന്ന സോഫ്റ്റ്‌വെയറും ഉള്‍പ്പടെ വിവിധോദ്ദേശത്തോടുള്ള മാല്‍വെയര്‍ കമ്പ്യൂട്ടറിലേക്ക് കയറ്റിവിടാന്‍ കഴിയും എന്ന് Kaspersky Lab ന്റെ സുരക്ഷാ ഗവേഷകര്‍ പറയുന്നു. കഴിഞ്ഞ മാര്‍ച്ച് മുതല്‍ യൂണിക്കോഡിന്റെ right-to-left override ഉപയോഗിച്ചാണ് ഹാക്കര്‍മാര്‍ ഇത് ചെയ്യുന്നത്. Fantomcoin, Monero, Zcash പോലുള്ള ക്രിപ്റ്റോ കറന്‍സികള്‍ ഖനനം ചെയ്യുകയാണ് അവരുടെ പരിപാടി. zero-day വിജകരമായി മുതലാക്കിക്കഴിഞ്ഞാല്‍ ഹാക്കര്‍മാര്‍ ഒരു പിന്‍വാതില്‍ Telegram API ഉപയോഗിച്ച് … Continue reading ടെലഗ്രാമിന്റെ Zero-Day ദൌര്‍ബല്യം നിങ്ങളുടെ കമ്പ്യൂട്ടറിനെ ഹാക്ക് ചെയ്ത് ക്രിപ്റ്റോ കറന്‍സി ഖനനം ചെയ്യാന്‍ സഹായിക്കും

ഇന്റലിനെതിരെ Meltdown, Spectre പിശകിന്റെ പേരിൽ സംഘടിതമായ കേസുകൾ

വലിയ സുരക്ഷാ വീഴ്ചക്ക് കാരണമായ പിശകുകളുടെ പേരിൽ കുറഞ്ഞത് മൂന്ന് സംഘടിതമായ കേസുകൾ(class-action lawsuits) ആണ് ഇന്റലിനെതിരെ വന്നിരിക്കുന്നത്. Meltdown എന്നും Spectre എന്നും ആണ് ആ പിശകുകളെ വിളിക്കുന്നത്. എല്ലാ ആധുനിക സിപിയൂകളിലും ഈ പിശകുണ്ട്. ഇതുപയോഗിച്ച് ഹാക്കർമാർക്ക് വിവരങ്ങൾ ചോർത്താനാവും. എന്നാൽ ഇതുവരെ അത്തരം ഡാറ്റാ ചോർച്ചകളെക്കുറിച്ച് റിപ്പോർട്ടുകളൊന്നും വന്നിട്ടില്ല. വിവിധ തരം സിപിയുകളെ ബാധിക്കുന്നതാണ് Spectre. എന്നാൽ Meltdown ബാധിക്കുന്നത് 1995 ന് ശേഷമുള്ള എല്ലാ ഇന്റൽ ചിപ്പുകളേയുമാണ്. നഷ്ടപരിഹാരം ആവശ്യപ്പെട്ടുകൊണ്ട് മൂന്ന് … Continue reading ഇന്റലിനെതിരെ Meltdown, Spectre പിശകിന്റെ പേരിൽ സംഘടിതമായ കേസുകൾ

ലിനസ് ടോർവാൾഡ്സ് ഇന്റലിനെതിരെ ദേഷ്യത്തിലാണ്

എനിക്ക് തോന്നുന്നത് Intel ലെ ആരെങ്കിലും അവരുടെ CPU നെ ക്കുറിച്ച് ശരിക്കും പരിശോധിക്കണം. എന്നിട്ട് അവർക്ക് പ്രശ്നങ്ങളുണ്ടായിരുന്നു എന്ന് എഴുതണം. അല്ലാതെ എല്ലാം രൂപകൽപ്പന ചെയ്തു എന്ന PR blurbs അടിച്ചിറക്കുകയല്ല വേണ്ടത്. .. "not all CPU's are crap" എന്ന തോന്നലോടെയാണ് പ്രശ്നപരിഹാര പാച്ചുകൾ എഴുതുന്നത് എന്നാണ് അതിന്റെ അർത്ഥം. അല്ലെങ്കിൽ Intel പറയുന്നത്, "ഞങ്ങൾ നിങ്ങൾക്ക് എന്ത് ചവറ് സാധനവും വിൽക്കും, ഒന്നും പരിഹരിക്കുകയുമില്ല" എന്നാണോ? അതാണ് കാര്യമെങ്കിൽ ചിലപ്പോൾ നമുക്ക് … Continue reading ലിനസ് ടോർവാൾഡ്സ് ഇന്റലിനെതിരെ ദേഷ്യത്തിലാണ്