למעבדים הנוכחיים יש פגמים בתכנון. ספקטר חשף אותם, אך התקפות כמו Foreshadow ועכשיו ZombieLoad מנצלות חולשות דומות. את פגמי ה"ביצוע הספקולטיבי "הללו ניתן לתקן באמת רק על ידי קניית מעבד חדש עם הגנה מובנית.
תיקונים לעיתים קרובות מאטים את המעבדים הקיימים
התעשייה התחבטה בטירוף בכדי לתקן "התקפות ערוץ צדדי" כמו ספקטר ו לְבַשֵׂר , אשר מרמים את המעבד לחשוף מידע שהוא לא אמור. ההגנה על מעבדים שוטפים הועמדה לרשותם באמצעות עדכוני מיקרו-קוד, תיקונים ברמת מערכת ההפעלה ותיקונים ליישומים כמו דפדפני אינטרנט.
לתיקוני ספקטר יש האטה מחשבים עם מעבדים ישנים , למרות שמיקרוסופט עומדת לעשות זאת להאיץ אותם בחזרה . תיקון באגים אלה מאט לעתים קרובות ביצועים במעבדים קיימים.
כעת, ZombieLoad מעלה איום חדש: כדי לנעול ולאבטח מערכת מהתקפה זו באופן מלא, עליכם להשבית את זה של אינטל השחלת יתר . זו הסיבה שגוגל פשוט השביתה שרשור יתר במחשבי Chromebook של אינטל. כרגיל, עדכוני המיקרו-קוד של המעבד, עדכוני הדפדפן ותיקוני מערכת ההפעלה בדרך לנסות לחבר את החור. רוב האנשים לא צריכים להזדקק להשבתה של השחלת יתר לאחר שהתיקונים הללו מונחים על מקומם.
מעבדי אינטל חדשים אינם פגיעים ל- ZombieLoad
אבל ZombieLoad אינו מהווה סכנה על מערכות עם מעבדי אינטל חדשים. כפי ש אינטל מנסח זאת, ZombieLoad "מטופל בחומרה המתחילה במעבדי Intel® Core ™ מהדור ה -8 וה -9 הנבחרים, כמו גם ממשפחת המעבדים של Intel® Xeon® Scalable מהדור השני." מערכות עם מעבדים מודרניים אלה אינן חשופות להתקפה חדשה זו.
ZombieLoad משפיע רק על מערכות אינטל, אבל ספקטר השפיע גם על AMD וכמה מעבדי ARM. זו בעיה ענפה.
למעבדים יש פגמי תכנון, המאפשרים התקפות
כמו הענף הבין כשספקטר הרים את ראשו המכוער , למעבדים מודרניים יש כמה פגמים בעיצוב:
הבעיה כאן היא עם "ביצוע ספקולטיבי". מסיבות ביצועים, מעבדים מודרניים מריצים אוטומטית הוראות שהם חושבים שהם צריכים להריץ, ואם לא, הם פשוט יכולים להריץ אחורה ולהחזיר את המערכת לקדמותה ...
בעיית הליבה גם עם Meltdown וגם עם Spectre טמונה במטמון של המעבד. יישום יכול לנסות לקרוא זיכרון, ואם הוא קורא משהו במטמון, הפעולה תסתיים מהר יותר. אם הוא ינסה לקרוא משהו שלא נמצא במטמון, הוא יסתיים לאט יותר. היישום יכול לראות אם משהו מסתיים במהירות או איטית, ובעוד כל דבר אחר במהלך ביצוע ספקולטיבי מנקה ומוחק, לא ניתן להסתיר את הזמן שנדרש לביצוע הפעולה. לאחר מכן הוא יכול להשתמש במידע זה כדי לבנות מפה של כל דבר בזיכרון המחשב, אחד בכל פעם. המטמון מאיץ את העניינים, אך התקפות אלה מנצלות את האופטימיזציה ההיא והופכות אותה לפגם ביטחוני.
במילים אחרות, אופטימיזציה לביצועים במעבדים מודרניים מנוצלת לרעה. קוד הפועל על המעבד - אולי אפילו רק קוד JavaScript הפועל בדפדפן אינטרנט - יכול לנצל את הפגמים הללו כדי לקרוא זיכרון מחוץ לארגז החול הרגיל שלו. בתרחיש הגרוע ביותר, דף אינטרנט בכרטיסיית דפדפן אחת יכול לקרוא את סיסמת הבנקאות המקוונת שלך מכרטיסיית דפדפן אחרת.
לחלופין, בשרתי ענן, מכונה וירטואלית אחת יכולה לחטוף את הנתונים במכונות וירטואליות אחרות באותה מערכת. זה לא אמור להיות אפשרי.
קָשׁוּר: כיצד תקלות ההיתוך והספקטרום ישפיעו על המחשב האישי שלי?
תיקוני תוכנה הם רק בנדידות
אין זה מפתיע שכדי למנוע התקפה של ערוץ צדדי מסוג זה, תיקונים גרמו למעבדים לבצע מעט יותר איטיות. התעשייה מנסה להוסיף בדיקות נוספות לשכבת מיטוב ביצועים.
ההצעה להשבית השחלת יתר היא דוגמה די אופיינית: על ידי השבתת תכונה שגורמת למעבד שלך לפעול מהר יותר, אתה הופך אותו לבטוח יותר. תוכנה זדונית כבר לא יכולה לנצל את תכונת הביצועים הזו - אך היא לא תאיץ יותר את המחשב האישי שלך.
הודות להרבה עבודה של הרבה אנשים חכמים, מערכות מודרניות הוגנו באופן סביר מפני התקפות כמו ספקטר ללא האטה רבה. אבל תיקונים כאלה הם רק תחבושות: צריך לתקן את פגמי האבטחה ברמת החומרה של המעבד.
תיקונים ברמת החומרה יספקו הגנה רבה יותר - מבלי להאט את המעבד. ארגונים לא יצטרכו לדאוג אם יש להם את השילוב הנכון של עדכוני מיקרו-קוד (קושחה), תיקוני מערכת הפעלה וגרסאות תוכנה כדי לשמור על אבטחת המערכות שלהם.
כמו שצוות חוקרי אבטחה הגדיר את זה עבודת מחקר , אלה "אינם רק באגים, אלא למעשה, הם בבסיס היסוד של האופטימיזציה." עיצובי המעבד יצטרכו להשתנות.
אינטל ו- AMD בונות תיקונים למעבדים חדשים
תיקונים ברמת החומרה אינם רק תיאורטיים. יצרני המעבדים עובדים קשה על שינויים אדריכליים שיפתחו בעיה זו ברמת חומרת המעבד. או, כפי שניסחה זאת אינטל בשנת 2018, אינטל הייתה " קידום האבטחה ברמת הסיליקון ”עם מעבדי דור 8:
עיצבנו מחדש חלקים של המעבד בכדי להציג רמות הגנה חדשות באמצעות מחיצה שתגן מפני שניהם [Spectre] גרסאות 2 ו -3. חשוב על חלוקה זו כ"קירות מגן "נוספים בין יישומים ורמות הרשאות משתמש כדי ליצור מכשול עבור שחקנים גרועים.
אינטל הודיעה בעבר כי מעבדי הדור ה -9 שלה כוללים הגנה נוספת נגד Foreshadow ו- Meltdown V3. המעבדים הללו לא מושפעים מהתקפת ZombieLoad שנחשפה לאחרונה ולכן ההגנות הללו בטח עוזרות.
AMD עובדת גם על שינויים, אם כי אף אחד לא רוצה לחשוף פרטים רבים. בשנת 2018, מנכ"לית AMD ליסה סו אמר : "לטווח ארוך יותר, כללנו שינויים בליבות המעבד העתידיות שלנו, החל מתכנון ה- Zen 2 שלנו, כדי לטפל בהמשך במעללים פוטנציאליים דמויי ספקטר."
עבור מי שרוצה את הביצועים המהירים ביותר ללא טלאים שמאטים את העניינים - או סתם ארגון שרוצה להיות בטוחים לחלוטין שהשרתים שלו מוגנים ככל האפשר - הפיתרון הטוב ביותר יהיה לקנות מעבד חדש עם התיקונים מבוססי החומרה. שיפורים ברמת החומרה, בתקווה למנוע גם התקפות עתידיות אחרות לפני שיתגלו.
התיישנות לא מתוכננת
בעוד שלעיתים העיתונות מדברת על "התיישנות מתוכננת" - תוכנית של החברה שחומרה תישנה מיושנת כך שתצטרכו להחליף אותה - זו התיישנות לא מתוכננת. איש לא ציפה כי יהיה צורך להחליף כל כך הרבה מעבדים מטעמי אבטחה.
השמיים לא נופלים. כולם מקשים על התוקפים לנצל באגים כמו ZombieLoad. אתה לא צריך להתחרות ולקנות מעבד חדש עכשיו. אך תיקון מלא שאינו פוגע בביצועים ידרוש חומרה חדשה.
