Forumi


Povratak   PC Ekspert Forum > Računala > Kriptovalute
Ime
Lozinka

Odgovori
 
Uređivanje
Staro 29.03.2024., 09:37   #1
EdoFazlinovic
Registered User
 
EdoFazlinovic's Avatar
 
Datum registracije: Jul 2018
Lokacija: 521353215
Postovi: 168
Krada Privatnih Kljuceva - Apple Mac M1, M2, M3

Krada Privatnih Kljuceva - Apple Mac M1, M2, M3 [21.03.2024.]

Nisan htia stavljat u neku vec temu jer je ozbiljna vijest pa radim novu. Ispod radara je prošla vijest da kripto ključevi mogu da se hakuju sa Apple kompjutera M-serije.
Ova ranjivost nije problematična samo za kripto već je generalno problem haka na svim Mekovima koji koriste M1, M2, i M3 čipove. Problematičan je i Intelov 13 Gen Raptor Lake, ali ne toliko.
Naučnici nekoliko univerziteta su objavili mogućnost i opis GoFetch napada, (https://gofetch.fail/) koji su prijavili Apple kompaniji pre 107 dana.
Nije poznato da li je Apple reagovao, ali ažurirajte svoje mekove redovno jer valjda nisu toliko ludi da ne odreaguju i uklone ranjivost kad tad.

Više informacija o krađi privatnih ključeva:
https://www.zetter-zeroday.com/apple-chips/

preuzeto s @bitbalkan tg stranice

__________________
Otkup USDT-a | Crypto2Cash | No KYC | 6600+ članova | https://t.me/KriptovaluteTelegram

Zadnje izmijenjeno od: EdoFazlinovic. 29.03.2024. u 10:19.
EdoFazlinovic je offline   Reply With Quote
Staro 29.03.2024., 09:49   #2
Libertus
Premium
Moj komp
 
Libertus's Avatar
 
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,582
Nije prošla ispod radara nego nema smisla ljude uopće upozoravati na to. Exploit je toliko kompliciran da se ne isplati raditi uopće za normalnu raju. Lakše ih je nazvati i pitati pošto većina će ti sama poslati novce bez problema, samo trebaš obećati da ćeš vratiti 2x za 10 dana. Majke mi.

Tako da je to sve klik bejt, kao i tvoj post.
Libertus je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 29.03.2024., 11:41   #3
medo
#erase startup-config
Moj komp
 
medo's Avatar
 
Datum registracije: Nov 2001
Lokacija: Zagreb
Postovi: 3,250
Neka si ti njemu rekao. Najbolje prst u uho i glavu u pijesak

Idemo pisati samo o procovima i grafama te se natezati oko par postotaka performansi između generacija istih. Fak sikjuriti.
__________________
"It's not a bug, it's a feature!"
1N6pJsvusP7afu23qs1uBscK16wfcG7C8m
medo je offline   Reply With Quote
Staro 29.03.2024., 13:10   #4
Ivo_Strojnica
PRO
Moj komp
 
Ivo_Strojnica's Avatar
 
Datum registracije: Apr 2010
Lokacija: Zagreb
Postovi: 4,401
istina, zato nas i plaćaju ko suho zlato jer je security bezveze skroz.
__________________
"Who is your daddy and what does he do?"
Ivo_Strojnica je offline   Reply With Quote
Staro 29.03.2024., 13:18   #5
The Exiled
McG
Moj komp
 
The Exiled's Avatar
 
Datum registracije: Feb 2014
Lokacija: Varaždin
Postovi: 7,228
Citiraj:
Autor EdoFazlinovic Pregled postova
Nije poznato da li je Apple reagovao, ali ažurirajte svoje mekove redovno jer valjda nisu toliko ludi da ne odreaguju i uklone ranjivost kad tad.
Nažalost ne mogu ukloniti hardversku ranjivost, koja je po svemu sudeći u rangu onih koje su počele sa Spectre i Meltdown pošastima.
Citiraj:
Unfortunately, as the weakness is part of the implementation of the data memory-dependent prefetcher built directly into Apple CPUs, there is no way to mitigate the attack with a hardware fix. While Apple could introduce mitigations into macOS as a software patch, it would cause performance hits, as we saw in previous software fixes for side-channel attacks. As an Apple user, there is not much you can do other than practice safe computing habits.
__________________
AMD Ryzen 7 Pro 4750G | be quiet! Pure Rock 2 Black | MSI B450 Tomahawk Max II | 32GB G.Skill DDR4-2666 Value | 256GB AData SX8200 Pro NVMe | 2x4TB WD Red Plus | Fractal Define 7 Compact | Corsair CX450M
AMD Ryzen 5 7600 | Noctua NH-U12A chromax.black | MSI MAG B650 Tomahawk Wi-Fi | 128GB Kingston FURY Beast DDR5-5200 | 256GB AData SX8200 Pro NVMe | 2x12TB WD Red Plus | Fractal Define 7 Compact | eVGA 650 B5
The Exiled je offline   Reply With Quote
Staro 29.03.2024., 13:37   #6
Libertus
Premium
Moj komp
 
Libertus's Avatar
 
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,582
Citiraj:
Autor medo Pregled postova
Neka si ti njemu rekao. Najbolje prst u uho i glavu u pijesak

Idemo pisati samo o procovima i grafama te se natezati oko par postotaka performansi između generacija istih. Fak sikjuriti.
Što ti medo planiraš poduzeti u vezi tog exploita? Ajde da ne sjedimo s prstima u ušima i zabadamo glavu u pijesak nego da nešto napravimo oko toga!
Libertus je offline   Reply With Quote
Staro 29.03.2024., 13:41   #7
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,211
Jebenica.


Citiraj:
It’s also theoretically possible for an attacker to pull this off by embedding malicious code into Javascript on a web site so that when a computer with an M-series chip visits the site, the attacker’s malicious code can conduct the attack to grab data from the cache. The researchers didn’t test a web site attack, but Green says the scenario is plausible. It would also be a more concerning attack, he notes, because attackers could scale it to attack thousands of computers quickly.
kopija je offline   Reply With Quote
Staro 29.03.2024., 14:04   #8
EdoFazlinovic
Registered User
 
EdoFazlinovic's Avatar
 
Datum registracije: Jul 2018
Lokacija: 521353215
Postovi: 168
Citiraj:
Autor The Exiled Pregled postova
Nažalost ne mogu ukloniti hardversku ranjivost, koja je po svemu sudeći u rangu onih koje su počele sa Spectre i Meltdown pošastima.
da, to je istina.

Ovaj twitter post je sve pokrenuo:
- https://twitter.com/KimZetter/status...69722760061195
__________________
Otkup USDT-a | Crypto2Cash | No KYC | 6600+ članova | https://t.me/KriptovaluteTelegram
EdoFazlinovic je offline   Reply With Quote
Staro 29.03.2024., 15:21   #9
Bubba
E Pluribus UNIX
Moj komp
 
Bubba's Avatar
 
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,619
Citiraj:
Autor Libertus Pregled postova
Nije prošla ispod radara nego nema smisla ljude uopće upozoravati na to.

...

Tako da je to sve klik bejt, kao i tvoj post.
Citiraj:
Autor medo Pregled postova
Neka si ti njemu rekao. Najbolje prst u uho i glavu u pijesak
Ne, nego tocno kako je covjek rekao - potpuno irelevantna prica, kao i Meltdown/Spectre izdrkologija. Sounds good, doesn't work, kao i cijela klasa side-channel napada. Odnosno, kako se to danas kaze, klikbejt, jer ePlo eM iMa rAnjIvOsTi hurdurdur.

Uostalom, koji kurac ovo radi u "kriptovaluta" dijelu foruma?
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest.
Bubba je offline   Reply With Quote
Staro 29.03.2024., 16:42   #10
medo
#erase startup-config
Moj komp
 
medo's Avatar
 
Datum registracije: Nov 2001
Lokacija: Zagreb
Postovi: 3,250
Krada Privatnih Kljuceva - Apple Mac M1, M2, M3

Citiraj:
Autor The Exiled Pregled postova
Nažalost ne mogu ukloniti hardversku ranjivost, koja je po svemu sudeći u rangu onih koje su počele sa Spectre i Meltdown pošastima.

Ofkors. Benchevi i fps-ovi prodaju procesore. Sikjuriti… ne baš.

Gejmeri ni najmanje ne brinu oko toga. Ovi na državnoj sisi također. Netko iz financijskog sektora već diže obrve na to i traži popis laptopa s tim CPU-ovima unutar firme/banke.
__________________
"It's not a bug, it's a feature!"
1N6pJsvusP7afu23qs1uBscK16wfcG7C8m
medo je offline   Reply With Quote
Oglas
 
Oglas
Oglasni prostor

Staro 29.03.2024., 19:31   #11
domis
Premium
Moj komp
 
Datum registracije: Sep 2006
Lokacija: Hrvatistan
Postovi: 4,162
Citiraj:
Autor Bubba Pregled postova
Uostalom, koji kurac ovo radi u "kriptovaluta" dijelu foruma?

Privatni ključevi, mogli bi reći i kripto keyevi. Ime foruma ima kripto u imenu...sve je to isto
domis je offline   Reply With Quote
Staro 30.03.2024., 07:27   #12
EdoFazlinovic
Registered User
 
EdoFazlinovic's Avatar
 
Datum registracije: Jul 2018
Lokacija: 521353215
Postovi: 168
Citiraj:
Autor Bubba Pregled postova
Ne, nego tocno kako je covjek rekao - potpuno irelevantna prica, kao i Meltdown/Spectre izdrkologija. Sounds good, doesn't work, kao i cijela klasa side-channel napada. Odnosno, kako se to danas kaze, klikbejt, jer ePlo eM iMa rAnjIvOsTi hurdurdur.

Uostalom, koji kurac ovo radi u "kriptovaluta" dijelu foruma?
Zato sto se tice kripta jer su privatni kljucevi? Htia san samo podignuti svijest i ljude upozoriti koliko toliko. Ko zna, mozda sljedeci bude iPhone pa budemo za par mjeseci gledali shitshow s njime, nikad ne znas.
__________________
Otkup USDT-a | Crypto2Cash | No KYC | 6600+ članova | https://t.me/KriptovaluteTelegram
EdoFazlinovic je offline   Reply With Quote
Staro 30.03.2024., 11:00   #13
medo
#erase startup-config
Moj komp
 
medo's Avatar
 
Datum registracije: Nov 2001
Lokacija: Zagreb
Postovi: 3,250
Krada Privatnih Kljuceva - Apple Mac M1, M2, M3

Ako bude predviđam da bi to moglo biti s passkeys-ima budući da su privatni ključevi za dekripciju keychaina enkriptirani u iCloudu za potrebe recoveryja umjesto u “sigurnoj enklavi” unutar uređaja kako bi recovery uopće bio moguć u slučaju kvara ili otuđenja iUređaja te mogućnosti šeranja keychaina između njih.

Bilo bi dobro kada bi se privatni ključ za dekripciju nalazio npr. u Yubikeyu ili nekom sličnom uređaju odnosno kada bi bar bila opcija za to. To bi malo zakompliciralo stvari tipičnom iUseru.
__________________
"It's not a bug, it's a feature!"
1N6pJsvusP7afu23qs1uBscK16wfcG7C8m
medo je offline   Reply With Quote
Staro 30.03.2024., 11:19   #14
Libertus
Premium
Moj komp
 
Libertus's Avatar
 
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,582
Citiraj:
Autor medo Pregled postova
Bilo bi dobro kada bi se privatni ključ za dekripciju nalazio npr. u Yubikeyu ili nekom sličnom uređaju odnosno kada bi bar bila opcija za to. To bi malo zakompliciralo stvari tipičnom iUseru.
https://www.ledger.com/
https://trezor.io/
itd.
Libertus je offline   Reply With Quote
Staro 30.03.2024., 13:59   #15
Bubba
E Pluribus UNIX
Moj komp
 
Bubba's Avatar
 
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,619
Citiraj:
Autor domis Pregled postova
Privatni ključevi, mogli bi reći i kripto keyevi. Ime foruma ima kripto u imenu...sve je to isto


Citiraj:
Autor EdoFazlinovic Pregled postova
Zato sto se tice kripta jer su privatni kljucevi?
Da, mislim, znas, ono... PKC je star ~50 godina, koristi se svugdjenegdje, pa ono...

Citiraj:
Htia san samo podignuti svijest i ljude upozoriti koliko toliko.
OK, ozbiljno te sada pitam, sto si mislio "postici" sa svojim upozorenjem? Poceo si sa "ispod radara" (informacija kola vec tjedan dana po Internetima), imas pajde koji su ti se prikljucili s teorijama zavjera o gEjMeRsKi cPu nIjE sIgUrAn, i sada predpostavljam da ocekujes kamare Eplova ostavljenih od vjernih korisnika zbog ovoga?

Citiraj:
Ko zna, mozda sljedeci bude iPhone pa budemo za par mjeseci gledali shitshow s njime, nikad ne znas.
Ne bih volio razbiti mjehuric tebi i ovome sto dize obrve u financijskom sektoru dok mi gejmeri, overklokeri i pornicari nastavljamo sa svojim zivotom, ali tek te nekoliko kljucnih rijeci u omiljeni internetski pretrazivac dijeli od toga da se okrenes dva kriptoputa prije nego sto upalis racunalo sljedeci puta...

https://architecture.fail/ ti je dobar pocetak.

Daleko bilo da SCA nije stvaran i da pod odredjenim (laboratorijskim) uvjetima ima efekta, ali tvoje racunalo ima daleko vecih i trivijalnijih problema od SCA, nemas brige. Zapravo imas, hehe, kuzis...
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest.
Bubba je offline   Reply With Quote
Staro 30.03.2024., 15:13   #16
medo
#erase startup-config
Moj komp
 
medo's Avatar
 
Datum registracije: Nov 2001
Lokacija: Zagreb
Postovi: 3,250
Citiraj:
Autor Libertus Pregled postova

Pričam o Keychainu na Eplovima a ne hw crypto walletima.
__________________
"It's not a bug, it's a feature!"
1N6pJsvusP7afu23qs1uBscK16wfcG7C8m
medo je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Odgovori


Uređivanje

Pravila postanja
Vi ne možete otvarati nove teme
Vi ne možete pisati odgovore
Vi ne možete uploadati priloge
Vi ne možete uređivati svoje poruke

BB code je Uključeno
Smajlići su Uključeno
[IMG] kod je Uključeno
HTML je Uključeno

Idi na