Mevcut CPU'ların tasarım kusurları vardır. Spectre onları açığa çıkardı, ancak Foreshadow ve şimdi ZombieLoad gibi saldırılar benzer zayıflıklardan yararlanıyor. Bu "spekülatif yürütme" kusurları, ancak yerleşik korumalı yeni bir CPU satın alarak gerçekten düzeltilebilir.
Yamalar Genellikle Mevcut CPU'ları Yavaşlatır
Sektör, Spectre gibi "yan kanal saldırılarını" yamamak için çılgınca çabalıyor ve Öngörü , CPU'yu kandırmaması gereken bilgileri açığa çıkarması için kandırır. Mevcut CPU'lar için koruma, mikro kod güncellemeleri, işletim sistemi düzeyinde düzeltmeler ve web tarayıcıları gibi uygulamalar için yamalar aracılığıyla sağlanmıştır.
Spectre düzeltmelerinde eski CPU'lu bilgisayarları yavaşlattı , Microsoft yapmak üzere olmasına rağmen onları tekrar hızlandırın . Bu hataları düzeltmek genellikle mevcut CPU'larda performansı yavaşlatır.
Şimdi, ZombieLoad yeni bir tehdit oluşturuyor: Bir sistemi bu saldırıdan tamamen kilitlemek ve güvenliğini sağlamak için Intel’in hiper iş parçacığı . Bu nedenle Google, Intel Chromebook'larda hyperthreading'i devre dışı bıraktı. Her zamanki gibi, CPU mikro kodu güncellemeleri, tarayıcı güncellemeleri ve işletim sistemi yamaları deliği kapatmaya çalışıyor. Bu yamalar yerleştirildikten sonra çoğu kişinin hiper iş parçacığını devre dışı bırakması gerekmez.
Yeni Intel CPU'lar ZombieLoad'a Karşı Savunmasız Değil
Ancak ZombieLoad, yeni Intel CPU'lara sahip sistemlerde bir tehlike değildir. Gibi Intel Diyor ki, ZombieLoad "seçkin 8. ve 9. Nesil Intel® Core ™ işlemciler ve 2. Nesil Intel® Xeon® Ölçeklenebilir işlemci ailesi ile başlayan donanımda ele alınmaktadır." Bu modern CPU'lara sahip sistemler bu yeni saldırıya karşı savunmasız değildir.
ZombieLoad yalnızca Intel sistemlerini etkiler, ancak Spectre ayrıca AMD ve bazı ARM CPU'ları da etkiledi. Sektör genelinde bir sorundur.
İşlemcilerin Tasarım Kusurları Var, Saldırıları Etkinleştiriyor
Endüstri olarak Spectre çirkin kafasını kaldırdığında fark etti modern CPU'ların bazı tasarım kusurları vardır:
Buradaki sorun “spekülatif uygulama” ile ilgilidir. Performans nedenleriyle, modern CPU'lar çalıştırmaları gerekebileceğini düşündükleri talimatları otomatik olarak çalıştırırlar ve çalışmazlarsa, geri sarabilir ve sistemi önceki durumuna döndürebilirler ...
Hem Meltdown hem de Spectre ile ilgili temel sorun CPU'nun önbelleğinde yatmaktadır. Bir uygulama belleği okumayı deneyebilir ve önbellekte bir şey okursa işlem daha hızlı tamamlanır. Önbellekte olmayan bir şeyi okumaya çalışırsa, daha yavaş tamamlanır. Uygulama, bir şeyin hızlı veya yavaş tamamlanıp tamamlanmadığını görebilir ve spekülatif yürütme sırasında diğer her şey temizlenir ve silinirken, işlemi gerçekleştirmek için geçen süre gizlenemez. Daha sonra bu bilgiyi, bilgisayarın belleğindeki herhangi bir şeyin birer birer haritasını oluşturmak için kullanabilir. Önbelleğe alma işleri hızlandırır, ancak bu saldırılar bu optimizasyondan yararlanır ve bunu bir güvenlik açığına dönüştürür.
Başka bir deyişle, modern CPU'larda performans optimizasyonları kötüye kullanılıyor. CPU üzerinde çalışan kod - belki bir web tarayıcısında çalışan JavaScript kodu bile - belleği normal sanal alanının dışında okumak için bu kusurlardan yararlanabilir. En kötü senaryoda, bir tarayıcı sekmesindeki bir web sayfası, çevrimiçi bankacılık şifrenizi başka bir tarayıcı sekmesinden okuyabilir.
Veya bulut sunucularında, bir sanal makine aynı sistemdeki diğer sanal makinelerdeki verileri gözetleyebilir. Bunun mümkün olmaması gerekiyor.
İLİŞKİLİ: Meltdown ve Spectre Kusurları Bilgisayarımı Nasıl Etkiler?
Yazılım Yamaları Yalnızca Bandaiddir
Bu tür bir yan kanal saldırısını önlemek için yamaların CPU'ların biraz daha yavaş çalışmasını sağlaması şaşırtıcı değildir. Sektör, bir performans optimizasyon katmanına fazladan kontroller eklemeye çalışıyor.
Hiper iş parçacığını devre dışı bırakma önerisi oldukça tipik bir örnektir: CPU'nuzun daha hızlı çalışmasını sağlayan bir özelliği devre dışı bırakarak, onu daha güvenli hale getiriyorsunuz. Kötü amaçlı yazılımlar artık bu performans özelliğinden yararlanamaz, ancak artık bilgisayarınızı hızlandırmaz.
Pek çok zeki insanın çok çalışması sayesinde, modern sistemler Spectre gibi saldırılara karşı çok yavaşlama olmaksızın makul ölçüde korunmuştur. Ancak bunun gibi yamalar yalnızca birer engeldir: Bu güvenlik açıklarının CPU donanım düzeyinde düzeltilmesi gerekir.
Donanım düzeyindeki düzeltmeler CPU'yu yavaşlatmadan daha fazla koruma sağlayacaktır. Kuruluşların, sistemlerini güvende tutmak için doğru mikro kod (ürün yazılımı) güncellemelerine, işletim sistemi yamalarına ve yazılım sürümlerine sahip olup olmadıkları konusunda endişelenmelerine gerek kalmayacak.
Güvenlik araştırmacılarından oluşan bir ekip bunu bir Araştırma kağıdı , bunlar "yalnızca hatalar değil, aslında optimizasyonun temelinde yatıyor." CPU tasarımlarının değişmesi gerekecek.
Intel ve AMD Yeni CPU'lara Düzeltmeler Yapıyor
Donanım düzeyinde düzeltmeler yalnızca teorik değildir. CPU üreticileri, bu sorunu CPU donanım düzeyinde çözecek mimari değişiklikler üzerinde yoğun bir şekilde çalışıyorlar. Veya Intel'in 2018'de ifade ettiği gibi, Intel " silikon düzeyinde ilerleyen güvenlik "8. nesil CPU'larla:
Hem [Spectre] Varyant 2 hem de 3'e karşı koruma sağlayacak bölümleme yoluyla yeni koruma düzeyleri sunmak için işlemcinin parçalarını yeniden tasarladık. Bu bölümlemeyi, uygulamalar ve kullanıcı ayrıcalık düzeyleri arasında kötü aktörler için bir engel oluşturacak ek "koruyucu duvarlar" olarak düşünün.
Intel daha önce 9. nesil CPU'larının ek koruma dahil Foreshadow ve Meltdown V3'e karşı. Bu CPU'lar yakın zamanda ortaya çıkan ZombieLoad saldırısından etkilenmediğinden, bu korumaların yardımcı olması gerekir.
Kimse pek çok detayı açığa çıkarmak istemese de AMD değişiklikler üzerinde de çalışıyor. 2018'de AMD'nin CEO'su Lisa Su dedim : "Daha uzun vadede, potansiyel Spectre benzeri istismarları daha da ele almak için Zen 2 tasarımımızdan başlayarak gelecekteki işlemci çekirdeklerimize değişiklikler ekledik."
İşleri yavaşlatan herhangi bir yama olmadan en hızlı performansı isteyen biri için - ya da sadece sunucularının olabildiğince korunduğundan emin olmak isteyen bir kuruluş için - en iyi çözüm, bu donanım tabanlı düzeltmelerle yeni bir CPU satın almak olacaktır. Donanım düzeyinde iyileştirmeler umarım gelecekteki diğer saldırıları da keşfedilmeden önce önler.
Plansız Eskime
Basın bazen "planlı eskime" den bahsederken - bir şirketin, donanımın modası geçmiş olacağı için onu değiştirmek zorunda kalacağına dair planı - bu planlanmamış bir eskimedir. Hiç kimse güvenlik nedeniyle bu kadar çok CPU'nun değiştirilmesi gerekeceğini beklemiyordu.
Gökyüzü düşmüyor. Herkes saldırganların ZombieLoad gibi böceklerden yararlanmasını zorlaştırıyor. Şu anda yarışmak ve yeni bir CPU satın almak zorunda değilsiniz. Ancak performansa zarar vermeyen tam bir düzeltme, yeni donanım gerektirecektir.
