Как засечь Meltdown-атаку в Linux с помощью Blacksmith

Уязвимость Meltdown — один из величайших факапов в истории вычислительной техники. Атака Meltdown позволяет одному процессу прочитать память другого процесса, что может быть использовано для воровства паролей, ключей к BitCoin и т.п. Особую опасность представляет, по понятным причинам, сочетание Meltdown и JavaScript.

До недавнего времени считалось, что засечь такую атаку невозможно, так как она имеет пассивный характер — данные читаются, но не изменяются. Спецы по киберзащите из SentinelOne нашли-таки способ выявлять такие атаки. Идея проста: в ядро Linux уже встроен механизм perf events, который позволяет в режиме реального времени мониторить производительность подсистем ядра и оборудования с привязкой к процессам. Этот механизм и используется для выявления подозрительных паттернов в поведении отдельных процессов. Грубо говоря, если какая-то программа производит большое количество чтений из памяти и больше ничего, то возможно она занята как раз попыткой эксплуатации Meltdown. Спецы использовали эту идею и написали программу Blacksmith.

Программа осуществляет мониторинг и предупреждает сисадмина, что кто-то еще в данный момент пытается стать сисадмином его компа. Blacksmith протестирован под Ubuntu 17.04, 17.10. Узнать подробности, посмотреть видео и скачать программу можно тут.

Ваша оценка: Нет Средняя оценка: 4.7 (6 votes)
Texnoline

ключей к BitCoin

, серьезные майнеры используют криптотокены и прочую аппаратную криптографию, школьников и планктон домашний не жалко, только нагружают пулы и сеть...

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования