A jelenlegi CPU-knak vannak tervezési hibái. Spectre kitette őket, de az olyan támadások, mint a Foreshadow és a ZombieLoad, hasonló gyengeségeket aknáznak ki. Ezeket a „spekulatív végrehajtási” hibákat valóban csak akkor lehet kijavítani, ha új, beépített védelemmel rendelkező CPU-t vásárolunk.
A javítások gyakran lelassítják a meglévő CPU-kat
Az iparág eszeveszetten próbálja foltozni az olyan „mellékcsatornás támadásokat”, mint a Spectre és a Sejtet , amelyek becsapják a CPU-t olyan információk felfedésére, amelyeket nem szabad. A jelenlegi CPU-k védelme mikrokód-frissítésekkel, operációs rendszer-szintű javításokkal és olyan alkalmazások javításával vált elérhetővé, mint a webböngészők.
Spectre javítások vannak lelassította a régi CPU-val rendelkező számítógépeket , bár a Microsoft hamarosan gyorsítsd fel őket újra . Ezeknek a hibáknak a javítása gyakran lelassítja a meglévő CPU-k teljesítményét.
Most a ZombieLoad új fenyegetést vet fel: A rendszer lezárásához és a támadás elleni teljes biztonságához le kell tiltania az Intel hiperfűzés . Ezért a Google csak letiltotta a hiperszálat az Intel Chromebookokon. Szokás szerint a CPU mikrokód frissítései, a böngésző frissítései és az operációs rendszer javításai úton vannak, hogy megpróbálják betömni a lyukat. A legtöbb embernek nem kell kikapcsolnia a hiperszálat, miután ezek a javítások a helyükön vannak.
Az új Intel CPU-k nem sérülékenyek a ZombieLoad számára
De a ZombieLoad nem jelent veszélyt az új Intel processzorokkal rendelkező rendszereken. Mint Intel fogalmazva, a ZombieLoad „hardveresen van megcímezve, kezdve a 8. és 9. generációs Intel® Core ™ processzorokkal, valamint a 2. generációs Intel® Xeon® Scalable processzorcsaláddal.” Az ilyen modern processzorokkal rendelkező rendszerek nem vannak kiszolgáltatva ennek az új támadásnak.
A ZombieLoad csak az Intel rendszereket érinti, de a Specter az AMD-t és néhány ARM CPU-t is érintett. Ez egy iparági probléma.
A CPU-k hibásak, támadásokat engedélyeznek
Mint az ipar amikor Spectre felemelte csúnya fejét , a modern CPU-knak vannak tervezési hibái:
A probléma itt a „spekulatív kivégzéssel” van. Teljesítmény okokból a modern CPU-k automatikusan futtatják az utasításokat, amelyekről úgy gondolják, hogy esetleg futtatniuk kell őket, és ha nem, akkor egyszerűen visszatekerhetik és visszaállíthatják a rendszert korábbi állapotába ...
Az Meltdown és a Spectre mind a központi problémája a CPU gyorsítótárában rejlik. Egy alkalmazás megkísérelhet memóriát olvasni, és ha olvas valamit a gyorsítótárban, a művelet gyorsabban befejeződik. Ha megpróbál elolvasni valamit, amely nincs a gyorsítótárban, akkor lassabban teljesít. Az alkalmazás láthatja, hogy valami gyorsan vagy lassan befejeződik-e, és bár a spekulatív végrehajtás során minden más megtisztul és kitörlődik, a művelet végrehajtásához szükséges idő nem rejthető el. Ezután felhasználhatja ezeket az információkat, hogy egy térképet készítsen a számítógép memóriájában, egyenként, bitenként. A gyorsítótár gyorsítja a dolgokat, de ezek a támadások kihasználják ezt az optimalizálást, és biztonsági hibává változtatják.
Más szavakkal, a modern CPU-k teljesítményoptimalizálásával visszaélnek. A CPU-n futó kód - talán még csak a webböngészőben futó JavaScript-kód is - kihasználhatja ezeket a hibákat, hogy a szokásos homokozón kívül olvassa a memóriát. Legrosszabb esetben az egyik böngészőfül egyik weblapja elolvashatja az online banki jelszavát egy másik böngészőfülről.
Vagy egy felhő kiszolgálón egy virtuális gép átkutathatja ugyanazon rendszer más virtuális gépeinek adatait. Állítólag ez nem lehetséges.
ÖSSZEFÜGGŐ: Hogyan befolyásolják az összeolvadási és a színképhibák a számítógépemet?
A szoftveres javítások csak bandaidek
Nem meglepő, hogy az ilyen típusú mellékcsatorna-támadások megakadályozása érdekében a javítások miatt a CPU-k valamivel lassabban teljesítenek. Az ipar további ellenőrzéseket próbál hozzáadni a teljesítmény-optimalizálási réteghez.
A hiperszálak letiltásának javaslata meglehetősen tipikus példa: Ha letilt egy olyan funkciót, amely gyorsabbá teszi a CPU futtatását, biztonságosabbá teszi azt. A rosszindulatú szoftverek már nem tudják kihasználni ezt a teljesítményfunkciót - de ez már nem fogja felgyorsítani a számítógépet.
Sok okos ember sok munkájának köszönhetően a modern rendszereket ésszerű lassúság nélkül védették a Specterhez hasonló támadásoktól. De az ilyen javítások csak bandaidek: Ezeket a biztonsági hibákat a CPU hardver szintjén kell kijavítani.
A hardverszintű javítások nagyobb védelmet nyújtanak - a CPU lelassítása nélkül. A szervezeteknek nem kell attól tartaniuk, hogy a mikrokód (firmware) frissítések, az operációs rendszer javításai és a szoftver verziók megfelelő kombinációval rendelkeznek-e a rendszerek biztonságának megőrzéséhez.
Ahogy egy biztonsági kutatócsoport fogalmazott meg a kutatási papír , ezek „nem puszta hibák, hanem valójában az optimalizálás alapját képezik”. A CPU kialakításának meg kell változnia.
Az Intel és az AMD javításokat épít az új CPU-kba
A hardverszintű javítások nemcsak elméleti jellegűek. A CPU-gyártók keményen dolgoznak azon építészeti változásokon, amelyek megoldják ezt a problémát a CPU hardver szintjén. Vagy, ahogy az Intel 2018-ban megfogalmazta, az Intel szilícium szintű biztonság előmozdítása ”8. generációs CPU-kkal:
Átterveztük a processzor egyes részeit, hogy a particionálás révén új védelmi szinteket vezessenek be, amelyek mind a [Spectre] 2., mind a 3. változat ellen védenek. Gondoljon erre a particionálásra, mint további „védőfalakra” az alkalmazások és a felhasználói privilégiumok között, hogy akadályt teremtsen a rossz szereplők számára.
Az Intel korábban bejelentette, hogy 9. generációs CPU-ja tartalmazzon további védelmet a Foreshadow és a Meltdown V3 ellen. Ezeket a CPU-kat nem érinti a nemrégiben bemutatott ZombieLoad támadás, ezért ezeknek a védelemnek biztosan segítenek.
Az AMD is dolgozik a változtatásokon, bár senki sem akar sok részletet elárulni. 2018-ban az AMD vezérigazgatója, Lisa Su mondott : "Hosszabb távon változtatásokat vezettünk be jövőbeni processzormagjainkba, kezdve a Zen 2 tervezésünktől, hogy tovább kezeljük a potenciális Spectre-szerű kihasználásokat."
Annak, aki a leggyorsabb teljesítményt akarja, anélkül, hogy bármilyen javítással lassulna a helyzet - vagy csak egy olyan szervezet számára, amely teljes mértékben biztos akar lenni abban, hogy szerverei a lehető legvédettebbek legyenek -, a legjobb megoldás az lesz, ha új CPU-t vásárol azokkal a hardveralapú javításokkal. A hardverszintű fejlesztések remélhetőleg megakadályozzák a jövőbeli támadásokat, még mielőtt felfedeznék őket.
Tervezetlen elavulás
Míg a sajtó néha a „tervezett elavulásról” beszél - a vállalat tervei szerint a hardver elavulttá válik, ezért ki kell cserélnie -, ez nem tervezett elavulás. Senki nem számított rá, hogy ennyi CPU-t biztonsági okokból ki kell cserélni.
Az ég nem esik. Mindenki megnehezíti a támadók számára a ZombieLoadhoz hasonló hibák kiaknázását. Most nem kell versenyeznie és új CPU-t vásárolnia. De a teljes javításhoz, amely nem árt a teljesítménynek, új hardverre lesz szükség.
