Obecne procesory mają wady konstrukcyjne. Spectre je ujawnił, ale ataki takie jak Foreshadow, a teraz ZombieLoad wykorzystują podobne słabości. Te błędy związane z „wykonywaniem spekulatywnym” można naprawdę naprawić jedynie poprzez zakup nowego procesora z wbudowaną ochroną.
Poprawki często spowalniają istniejące procesory
Branża gorączkowo próbuje załatać „ataki typu side-channel”, takie jak Spectre i Zwiastować , które nakłaniają procesor do ujawnienia informacji, których nie powinien. Ochrona obecnych procesorów została udostępniona poprzez aktualizacje mikrokodu, poprawki na poziomie systemu operacyjnego i poprawki do aplikacji, takich jak przeglądarki internetowe.
Poprawki Spectre mają spowolnił komputery ze starymi procesorami , chociaż Microsoft ma zamiar to zrobić przyspieszyć je ponownie . Poprawianie tych błędów często spowalnia wydajność istniejących procesorów.
Teraz ZombieLoad stwarza nowe zagrożenie: aby całkowicie zablokować i zabezpieczyć system przed tym atakiem, musisz wyłączyć Hyper Threading . Dlatego Google właśnie wyłączył hiperwątkowość na Chromebookach Intel. Jak zwykle, aktualizacje mikrokodu procesora, aktualizacje przeglądarki i poprawki systemu operacyjnego są w drodze, aby spróbować zatkać dziurę. Większość ludzi nie powinna musieć wyłączać hiperwątkowości, gdy te poprawki zostaną wprowadzone.
Nowe procesory Intel nie są podatne na ZombieLoad
Ale ZombieLoad nie stanowi zagrożenia w systemach z nowymi procesorami Intela. Tak jak Intel Mówiąc wprost, ZombieLoad „jest rozwiązany sprzętowo, począwszy od wybranych procesorów Intel® Core ™ ósmej i dziewiątej generacji, a także rodziny skalowalnych procesorów Intel® Xeon® drugiej generacji”. Systemy z tymi nowoczesnymi procesorami nie są podatne na ten nowy atak.
ZombieLoad wpływa tylko na systemy Intela, ale Spectre wpłynęło również na AMD i niektóre procesory ARM. To problem całej branży.
Procesory mają wady konstrukcyjne, które umożliwiają ataki
Jak branża uświadomił sobie, kiedy Spectre podniósł swoją brzydką głowę , nowoczesne procesory mają pewne wady konstrukcyjne:
Problem polega tutaj na „spekulatywnej realizacji”. Ze względu na wydajność nowoczesne procesory automatycznie wykonują instrukcje, które według nich mogą być potrzebne do wykonania, a jeśli tego nie zrobią, mogą po prostu przewinąć i przywrócić system do poprzedniego stanu…
Podstawowy problem z Meltdown i Spectre leży w pamięci podręcznej procesora. Aplikacja może próbować odczytać pamięć i, jeśli odczyta coś z pamięci podręcznej, operacja zakończy się szybciej. Jeśli spróbuje odczytać coś, czego nie ma w pamięci podręcznej, zakończy się wolniej. Aplikacja może zobaczyć, czy coś kończy się szybko, czy wolno, i chociaż wszystko inne podczas wykonywania spekulacyjnego jest czyszczone i kasowane, czasu potrzebnego na wykonanie operacji nie można ukryć. Następnie może wykorzystać te informacje do zbudowania mapy wszystkiego w pamięci komputera, pojedynczo. Buforowanie przyspiesza działanie, ale te ataki wykorzystują tę optymalizację i zamieniają ją w lukę w zabezpieczeniach.
Innymi słowy, nadużywane są optymalizacje wydajności w nowoczesnych procesorach. Kod działający na CPU - być może nawet tylko kod JavaScript działający w przeglądarce internetowej - może wykorzystać te wady do odczytu pamięci poza swoją normalną piaskownicą. W najgorszym przypadku strona internetowa na jednej karcie przeglądarki może odczytać Twoje hasło do bankowości internetowej z innej karty przeglądarki.
Lub, na serwerach w chmurze, jedna maszyna wirtualna może podsłuchiwać dane na innych maszynach wirtualnych w tym samym systemie. To nie powinno być możliwe.
ZWIĄZANE Z: Jak wady Meltdown i Spectre wpłyną na mój komputer?
Poprawki oprogramowania to tylko pomoce
Nic dziwnego, że aby zapobiec tego rodzaju atakom z kanału bocznego, poprawki spowodowały, że procesory działały nieco wolniej. Branża próbuje dodać dodatkowe kontrole do warstwy optymalizacji wydajności.
Sugestia wyłączenia hiperwątkowości jest dość typowym przykładem: wyłączając funkcję, która przyspiesza działanie procesora, zwiększasz jego bezpieczeństwo. Złośliwe oprogramowanie nie może już wykorzystywać tej funkcji wydajności, ale nie przyspieszy już pracy komputera.
Dzięki dużej ilości pracy wielu mądrych ludzi, nowoczesne systemy były odpowiednio chronione przed atakami takimi jak Spectre bez większego spowolnienia. Ale takie łatki to tylko pomoce: te luki w zabezpieczeniach muszą zostać naprawione na poziomie sprzętowym procesora.
Poprawki na poziomie sprzętu zapewnią lepszą ochronę - bez spowalniania procesora. Organizacje nie muszą się martwić o to, czy mają odpowiednią kombinację aktualizacji mikrokodu (oprogramowania układowego), poprawek systemu operacyjnego i wersji oprogramowania, aby zapewnić bezpieczeństwo swoich systemów.
Ponieważ zespół badaczy bezpieczeństwa umieścił go w pliku artykuł badawczy , te „nie są zwykłymi błędami, ale w rzeczywistości leżą u podstaw optymalizacji”. Projekty procesorów będą musiały się zmienić.
Intel i AMD budują poprawki w nowych procesorach
Poprawki na poziomie sprzętu to nie tylko teoria. Producenci procesorów ciężko pracują nad zmianami architektonicznymi, które naprawią ten problem na poziomie sprzętowym procesora. Lub, jak ujął to Intel w 2018 roku, Intel był „ zwiększanie bezpieczeństwa na poziomie krzemu ”Z procesorami 8. generacji:
Przeprojektowaliśmy części procesora, aby wprowadzić nowe poziomy ochrony poprzez partycjonowanie, które będzie chronić zarówno przed [Spectre] wariantami 2, jak i 3. Pomyśl o tym partycjonowaniu jako o dodatkowych „ścianach ochronnych” między aplikacjami a poziomami uprawnień użytkowników, aby stworzyć przeszkodę dla złych aktorów.
Intel wcześniej ogłosił, że jego procesory dziewiątej generacji obejmują dodatkową ochronę przeciwko Foreshadow i Meltdown V3. Niedawno ujawniony atak ZombieLoad nie ma wpływu na te procesory, więc te zabezpieczenia muszą pomóc.
AMD też pracuje nad zmianami, choć wielu szczegółów nikt nie chce zdradzać. W 2018 roku dyrektor generalny AMD Lisa Su powiedziany : „W dłuższej perspektywie wprowadziliśmy zmiany w naszych przyszłych rdzeniach procesorów, zaczynając od projektu Zen 2, w celu dalszego zajęcia się potencjalnymi exploitami podobnymi do Spectre”.
Dla kogoś, kto chce mieć najszybszą wydajność bez żadnych poprawek spowalniających pracę - lub po prostu organizacji, która chce mieć całkowitą pewność, że jej serwery są tak chronione, jak to tylko możliwe - najlepszym rozwiązaniem będzie zakup nowego procesora z tymi poprawkami sprzętowymi. Miejmy nadzieję, że ulepszenia na poziomie sprzętu zapobiegną innym przyszłym atakom, zanim również zostaną wykryte.
Nieplanowane starzenie się
Podczas gdy prasa czasami mówi o „planowanej przestarzałości” - planie firmy, zgodnie z którym sprzęt stanie się przestarzały, więc będziesz musiał go wymienić - jest to nieplanowane starzenie się. Nikt nie spodziewał się, że tak wiele procesorów będzie musiało zostać wymienione ze względów bezpieczeństwa.
Niebo się nie opada. Wszyscy utrudniają atakującym wykorzystywanie błędów, takich jak ZombieLoad. Nie musisz się teraz ścigać i kupować nowego procesora. Ale kompletna poprawka, która nie wpływa negatywnie na wydajność, będzie wymagać nowego sprzętu.
