Hertzbleed: Vulnerabilidade em chips Intel pode comprometer chaves criptográficas

Compartilhar Artigo
EM RESUMO
  • Ataque observa a assinatura de energia de qualquer carga de trabalho criptográfica.

  • Chips modernos Intel Core e AMD Ryzen são afetados

  • Não é prático fora de um ambiente de laboratório, de acordo com a Intel.

  • promo

    O novo canal BeInCrypto Premium 3.0 está oficialmente no ar: 3x mais traders, 3x mais insights, 3x mais valor para você!Entre hoje no nosso Telegram!

The Trust Project é um consórcio internacional de veículos de notícias que criam padrões de transparência.

Pesquisadores descobriram uma vulnerabilidade nas unidades de processamento central (CPUs) da Intel e AMD que podem ser usadas por agentes mal-intencionados para acessar chaves criptográficas.

De acordo com pesquisadores da Universidade do Texas em Austin, da Universidade de Illinois em Urbana-Champaign e da Universidade de Washington, uma vulnerabilidade chamada “Hertzbleed” em CPUs pode permitir “ataques de canal lateral” que podem roubar chaves criptográficas.

  • Ficou com alguma dúvida? O Be[in]Crypto possui uma série de artigos para lhe ajudar a entender o universo cripto. Confira!
  • Se quiser ficar atualizado no que acontece de mais importante no espaço cripto, junte-se ao nosso grupo no Telegram!

CPUs de ambos os gigantes de chips Intel e AMD são afetadas. Isso inclui modelos de desktops e laptops Intel da microarquitetura Core da oitava à 11ª geração e modelos de desktops e laptops com chips AMD Ryzen das microarquiteturas Zen 2 e Zen 3.

A vulnerabilidade foi relatada pela outlet de hardware de computador Tom’s Hardware. Tanto a Intel quanto a AMD emitiram alertas sobre o Hertzbleed.

Ataque Hertzbleed

O Hertzbleed é um novo tipo de ataque de canal lateral chamado canais laterais de frequência (daí os nome Hertz e sangramento dos dados). De acordo com o trabalho de pesquisa sobre o ataque:

“Na pior das hipóteses, esses ataques podem permitir que um invasor extraia chaves criptográficas de servidores remotos que antes eram considerados seguros.”

Um ataque Hertzbleed observa a assinatura de energia de qualquer carga de trabalho criptográfica e usa isso para roubar os dados. Essa assinatura de energia varia devido aos ajustes dinâmicos de frequência do clock de reforço da CPU durante a carga de trabalho, informou o Tom’s Hardware.

A escala dinâmica de tensão e frequência (DVFS) é um recurso dos processadores modernos usados para reduzir o consumo de energia, portanto, a vulnerabilidade não é um bug.

Os invasores podem deduzir as alterações no consumo de energia monitorando o tempo que um servidor leva para responder a consultas específicas.

“O Hertzbleed é uma ameaça real e prática à segurança do software criptográfico”, observaram os pesquisadores.

Em 2020, uma falha no SGX (Software Guard Extension) da Intel foi descoberta que também poderia levar a ataques de canal lateral e chaves criptográficas comprometidas.

Existe uma solução alternativa?

A Intel e a AMD não têm planos atuais de implantar nenhum patch de firmware para mitigar o Hertzbleed, que também pode ser explorado remotamente, no entanto, existem soluções alternativas.

De acordo com as empresas de chips, a solução para mitigar o Hertzbleed é desabilitar o aumento de frequência. Para CPUs Intel, o recurso é chamado de “Turbo Boost”, e para chips AMD é conhecido como “Turbo Core” ou “Precision Boost”. No entanto, isso provavelmente afetará o desempenho do processador, eles observaram.

De acordo com o diretor sênior de comunicações de segurança e resposta a incidentes da Intel, Jerry Bryant, esse ataque não é prático fora de um ambiente de laboratório, em parte porque leva “horas a dias” para roubar uma chave criptográfica. Ele acrescentou que “implementações criptográficas que são protegidas contra ataques de canal lateral de energia não são vulneráveis a esse problema”.

Isenção de responsabilidade

Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Share Article

Martin tem abordado os últimos desenvolvimentos em segurança cibernética e infotech por duas décadas. Ele tem experiência em trade e tem coberto ativamente a indústria de blockchain e criptomoedas desde 2017.

SEGUIR O AUTOR

Faça já seu 1º depósito e negocie para ganhar até $3.000 em prêmios!      

Comece Hoje!

Crypto.com DeFi Wallet - Manage 400+ tokens, earn interest, and more      

Install

Crypto.com DeFi Wallet - Manage 400+ tokens, earn interest, and more      

Install