Aktuelle CPUs weisen Designfehler auf. Spectre hat sie entlarvt, aber Angriffe wie Foreshadow und jetzt ZombieLoad nutzen ähnliche Schwächen aus. Diese „spekulativen Ausführungsfehler“ können nur durch den Kauf einer neuen CPU mit integriertem Schutz wirklich behoben werden.
Patches verlangsamen häufig vorhandene CPUs
Die Branche hat sich verzweifelt bemüht, „Seitenkanalangriffe“ wie Spectre und zu patchen Vorahnung , was die CPU dazu bringt, Informationen preiszugeben, die sie nicht sollte. Der Schutz für aktuelle CPUs wurde durch Mikrocode-Updates, Korrekturen auf Betriebssystemebene und Patches für Anwendungen wie Webbrowser bereitgestellt.
Spectre Fixes haben Computer mit alten CPUs verlangsamt , obwohl Microsoft im Begriff ist beschleunigen sie wieder . Das Patchen dieser Fehler verlangsamt häufig die Leistung vorhandener CPUs.
Jetzt stellt ZombieLoad eine neue Bedrohung dar: Um ein System vollständig vor diesem Angriff zu schützen, müssen Sie die von Intel deaktivieren Hyper-Threading . Aus diesem Grund hat Google das Hyperthreading auf Intel Chromebooks deaktiviert. Wie üblich sind CPU-Mikrocode-Updates, Browser-Updates und Betriebssystem-Patches auf dem Weg, um das Loch zu schließen. Die meisten Benutzer sollten das Hyper-Threading nicht deaktivieren müssen, sobald diese Patches vorhanden sind.
Neue Intel-CPUs sind nicht anfällig für ZombieLoad
Auf Systemen mit neuen Intel-CPUs ist ZombieLoad jedoch keine Gefahr. Wie Intel ZombieLoad wird „in Hardware behandelt, beginnend mit ausgewählten Intel® Core ™ -Prozessoren der 8. und 9. Generation sowie der Intel® Xeon® Scalable-Prozessorfamilie der 2. Generation.“ Systeme mit diesen modernen CPUs sind für diesen neuen Angriff nicht anfällig.
ZombieLoad betrifft nur Intel-Systeme, Spectre jedoch auch AMD und einige ARM-CPUs. Es ist ein branchenweites Problem.
CPUs weisen Designfehler auf, die Angriffe ermöglichen
Wie die Industrie realisiert, als Spectre seinen hässlichen Kopf aufrichtete Moderne CPUs weisen einige Designfehler auf:
Das Problem hierbei ist die „spekulative Ausführung“. Aus Leistungsgründen führen moderne CPUs automatisch Anweisungen aus, die sie möglicherweise ausführen müssen. Wenn dies nicht der Fall ist, können sie das System einfach zurückspulen und in den vorherigen Zustand zurückversetzen.
Das Kernproblem bei Meltdown und Spectre liegt im Cache der CPU. Eine Anwendung kann versuchen, Speicher zu lesen, und wenn sie etwas im Cache liest, wird der Vorgang schneller abgeschlossen. Wenn versucht wird, etwas zu lesen, das sich nicht im Cache befindet, wird es langsamer abgeschlossen. Die Anwendung kann sehen, ob etwas schnell oder langsam abgeschlossen wird oder nicht. Während alles andere während der spekulativen Ausführung bereinigt und gelöscht wird, kann die für die Ausführung des Vorgangs benötigte Zeit nicht ausgeblendet werden. Diese Informationen können dann verwendet werden, um bitweise eine Karte von allem im Arbeitsspeicher des Computers zu erstellen. Das Caching beschleunigt die Dinge, aber diese Angriffe nutzen diese Optimierung und machen sie zu einer Sicherheitslücke.
Mit anderen Worten, Leistungsoptimierungen in modernen CPUs werden missbraucht. Code, der auf der CPU ausgeführt wird - möglicherweise sogar nur JavaScript-Code, der in einem Webbrowser ausgeführt wird - kann diese Fehler ausnutzen, um Speicher außerhalb der normalen Sandbox zu lesen. Im schlimmsten Fall kann eine Webseite in einem Browser-Tab Ihr Online-Banking-Passwort von einem anderen Browser-Tab lesen.
Auf Cloud-Servern kann eine virtuelle Maschine die Daten in anderen virtuellen Maschinen auf demselben System abrufen. Dies sollte nicht möglich sein.
VERBUNDEN: Wie wirken sich die Meltdown- und Spectre-Fehler auf meinen PC aus?
Software-Patches sind nur Bandaids
Es ist keine Überraschung, dass Patches dazu geführt haben, dass CPUs etwas langsamer arbeiten, um diese Art von Seitenkanalangriffen zu verhindern. Die Branche versucht, einer Leistungsoptimierungsschicht zusätzliche Überprüfungen hinzuzufügen.
Der Vorschlag zum Deaktivieren von Hyper-Threading ist ein ziemlich typisches Beispiel: Durch Deaktivieren einer Funktion, mit der Ihre CPU schneller ausgeführt wird, wird sie sicherer. Schädliche Software kann dieses Leistungsmerkmal nicht mehr nutzen, beschleunigt jedoch Ihren PC nicht mehr.
Dank der viel Arbeit vieler kluger Leute wurden moderne Systeme ohne große Verlangsamung angemessen vor Angriffen wie Spectre geschützt. Patches wie diese sind jedoch nur Bandaids: Diese Sicherheitslücken müssen auf CPU-Hardwareebene behoben werden.
Korrekturen auf Hardwareebene bieten mehr Schutz - ohne die CPU zu verlangsamen. Unternehmen müssen sich keine Gedanken darüber machen, ob sie über die richtige Kombination aus Mikrocode-Updates (Firmware), Betriebssystem-Patches und Softwareversionen verfügen, um ihre Systeme sicher zu halten.
Wie ein Team von Sicherheitsforschern es in eine Forschungsbericht , diese "sind nicht nur Fehler, sondern liegen in der Tat die Grundlage für die Optimierung." Das CPU-Design muss sich ändern.
Intel und AMD bauen Korrekturen in neue CPUs ein
Korrekturen auf Hardwareebene sind nicht nur theoretisch. CPU-Hersteller arbeiten intensiv an Architekturänderungen, die dieses Problem auf CPU-Hardwareebene beheben. Oder, wie Intel es 2018 ausdrückte, Intel war „ Verbesserung der Sicherheit auf Siliziumebene ”Mit CPUs der 8. Generation:
Wir haben Teile des Prozessors neu gestaltet, um durch Partitionierung neue Schutzstufen einzuführen, die sowohl gegen die [Spectre]-Varianten 2 als auch 3 schützen. Stellen Sie sich diese Partitionierung als zusätzliche „Schutzmauern“ zwischen Anwendungen und Benutzerberechtigungsstufen vor, um ein Hindernis für schlechte Akteure zu schaffen.
Intel kündigte zuvor seine 9. Generation CPUs an zusätzlichen Schutz einschließen gegen Foreshadow und Meltdown V3. Diese CPUs sind von dem kürzlich aufgedeckten ZombieLoad-Angriff nicht betroffen, daher müssen diese Schutzmaßnahmen hilfreich sein.
AMD arbeitet auch an Änderungen, obwohl niemand viele Details preisgeben möchte. Im Jahr 2018 übernahm AMDs CEO Lisa Su sagte : „Langfristig haben wir Änderungen an unseren zukünftigen Prozessorkernen vorgenommen, beginnend mit unserem Zen 2-Design, um potenzielle Spectre-ähnliche Exploits weiter anzugehen.“
Für jemanden, der die schnellste Leistung ohne Patches erzielen möchte - oder nur für ein Unternehmen, das absolut sicher sein möchte, dass seine Server so gut wie möglich geschützt sind - ist die beste Lösung, eine neue CPU mit diesen hardwarebasierten Fixes zu kaufen. Verbesserungen auf Hardwareebene verhindern hoffentlich andere zukünftige Angriffe, bevor sie ebenfalls entdeckt werden.
Ungeplante Veralterung
Während die Presse manchmal von „geplanter Veralterung“ spricht - dem Plan eines Unternehmens, dass Hardware veraltet ist und Sie sie ersetzen müssen -, ist dies ungeplante Veralterung. Niemand hat erwartet, dass aus Sicherheitsgründen so viele CPUs ausgetauscht werden müssen.
Der Himmel fällt nicht. Jeder macht es Angreifern schwerer, Fehler wie ZombieLoad auszunutzen. Sie müssen jetzt nicht aus dem Rennen gehen und eine neue CPU kaufen. Für eine vollständige Korrektur, die die Leistung nicht beeinträchtigt, ist jedoch neue Hardware erforderlich.
