Ветром надуло

4 август, 2015 - 09:25Тимур Ягофаров

В недавно опубликованном отчете исследователей в области безопасности сообщается про возможность взлома систем весьма оригинальным образом, использующем недостаток памяти DDR3 и получивший название Rowhammer.

Наверняка многие слышали о том, что под воздействием внешних факторов хранящиеся в ячейках памяти DRAM данные могут быть изменены. Прежде главной и едва ли ни единственной причиной таких сбоев считали случайно попавшие в микросхему частицы космических излучений. Хотя вероятность такого события весьма незначительна, но вовсе списывать ее со счетов не стоит. Вот для защиты от таких сбоев и были введены в состав модулей памяти цепи контроля четности данных (ECC). В серверной памяти это просто необходимый элемент, а вот для десктопов и, тем более, для ноутбуков применять более дорогие модули до сих пор считалось нецелесообразным. Зачем тратиться зря, если максимум что может произойти, так это вкрадется ошибка в какие-то файлы пользователя.

И вот недавно выяснилось, что модули памяти DDR3 страдают болезнью, связанной уже не с космическим излучением, а со взаимным влиянием на хранящиеся в ней данные от процессов записи в соседних ячейках. Можно только догадываться о причинах этого, а наиболее вероятными являются просто ошибки в проектировании самих микросхем, допущенные в погоне за их удешевлением. Эта проблема получила название Rowhammer. И оказывается, что воспользовавшись недостатками имеющихся сегодня на рынке модулей DDR3, теоретически возможно взломать систему. Для этого непосредственно в ОЗУ можно создать исполняемый код просто путем манипуляций с записью данных. Вот уж действительно «ветром надуло» мимо всех антивирусных локаторов и пресловутых «песочниц».

Интересно, что о проблеме Rowhammer производителям микропроцессоров и памяти известно еще с 2012 года. А для защиты от нее используются разнообразные решения, защищенные патентами. Тем не менее, исследователям удалось смоделировать механизмы взлома на системах с памятью DDR3 и процессорами Intel архитектур Ivy Bridge и Haswell. Для этого применялся код на JavaScript в браузере Firefox 39. Они заявляют, что выбор браузера не принципиален, так как механизм Rowhammer одинаково работает на любых современных аппаратных платформах и в любом программном окружении. Впрочем, сообщается, что в памяти DDR4 уже реализованы меры по снижению риска побитового изменения данных в памяти из-за интерференции соседних рядов и ячеек.

Стоит ли бояться «черную кошку в темной комнате, особенно если ее там нет»? Исследование лишь показало принципиальную жизнеспособность самого механизма Rowhammer для взлома. Пока в «дикой природе» такого вредоносного кода не обнаруживалось, да и сами авторы не довели дело до реального взлома. Однако если есть серьезные опасения за безопасность системы, достаточно просто отключить в своем браузере JavaScript. Возможно, это приведет к неудобству работы с какими-то веб-сайтами, но зато ваше беспокойство по поводу «надутого ветром» вредоносного кода исчезнет.