Поточні процесори мають недоліки дизайну. Привид викрив їх, але атаки, такі як Foreshadow і тепер ZombieLoad, використовують подібні слабкі місця. Ці недоліки "спекулятивного виконання" можна по-справжньому виправити, придбавши новий процесор із вбудованим захистом.
Виправлення часто уповільнюють існуючі процесори
Промисловість відчайдушно намагається виправити такі "бічні атаки", як Spectre і Передвістя , які обманюють центральний процесор у розкритті інформації, якої він не повинен. Захист поточних процесорів став доступним завдяки оновленням мікрокодів, виправленням на рівні операційної системи та виправленням для таких програм, як веб-браузери.
Виправлення привидів є сповільнив роботу комп’ютерів зі старими процесорами , хоча Microsoft збирається пришвидшити їх назад . Виправлення цих помилок часто уповільнює продуктивність існуючих процесорів.
Тепер ZombieLoad викликає нову загрозу: щоб заблокувати та повністю захистити систему від цієї атаки, вам потрібно відключити Intel гіперпоточність . Ось чому Google просто вимкнув гіперпотоки на Chromebook від Intel. Як завжди, оновлення мікрокоду центрального процесора, оновлення браузера та виправлення операційної системи вже зараз намагаються заблокувати цю діру. Більшості людей не потрібно відключати гіперпотоковість, коли ці патчі з’являться.
Нові процесори Intel не вразливі для ZombieLoad
Але ZombieLoad не становить небезпеки для систем з новими процесорами Intel. Як Intel висловлюється, ZombieLoad "вирішується в апаратному забезпеченні, починаючи з вибраних процесорів Intel® Core ™ 8-го та 9-го покоління, а також сімейства масштабованих процесорів Intel® Xeon® другого покоління". Системи з цими сучасними центральними процесорами не вразливі до цієї нової атаки.
ZombieLoad просто впливає на системи Intel, але Spectre також впливає на AMD та деякі процесори ARM. Це загальногалузева проблема.
Процесори мають недоліки дизайну, що дозволяють атакувати
Як галузь зрозумів, коли Привид підняв свою потворну голову , сучасні процесори мають деякі недоліки дизайну:
Проблема тут у "спекулятивному розстрілі". З міркувань продуктивності сучасні центральні процесори автоматично запускають інструкції, які, на їх думку, їм можуть знадобитися, а якщо цього не зробити, вони можуть просто перемотати назад і повернути систему в попередній стан ...
Основна проблема як Meltdown, так і Spectre полягає в кеші процесора. Програма може спробувати прочитати пам'ять, і якщо вона прочитає щось у кеші, операція завершиться швидше. Якщо він спробує прочитати щось, що не знаходиться в кеш-пам'яті, він буде виконуватися повільніше. Програма може бачити, завершується чи ні щось швидко чи повільно, і, хоча все інше під час спекулятивного виконання очищається та стирається, час, необхідний для виконання операції, не можна приховати. Потім він може використовувати цю інформацію, щоб побудувати карту всього, що є в пам’яті комп’ютера, по одному біту. Кешування пришвидшує процес, але ці атаки використовують цю оптимізацію та перетворюють її на недолік безпеки.
Іншими словами, зловживають оптимізацією продуктивності в сучасних процесорах. Код, що працює на центральному процесорі - можливо, навіть просто код JavaScript, що працює у веб-браузері - може скористатися цими недоліками для зчитування пам'яті поза звичайною пісочницею. У гіршому випадку веб-сторінка на одній вкладці браузера може прочитати ваш пароль для онлайн-банкінгу з іншої вкладки браузера.
Або на хмарних серверах одна віртуальна машина може переглядати дані інших віртуальних машин тієї самої системи. Це не повинно бути можливим.
ПОВ'ЯЗАНІ: Як вплинуть розплави та примари на мій ПК?
Виправлення програмного забезпечення - це просто банди
Не дивно, що для запобігання подібного роду атакам бічних каналів, патчі змусили процесори працювати трохи повільніше. Галузь намагається додати додаткові перевірки на рівень оптимізації продуктивності.
Пропозиція вимкнути гіперпотік є досить типовим прикладом: вимкнувши функцію, яка пришвидшує роботу вашого процесора, ви робите його більш безпечним. Шкідливе програмне забезпечення більше не може використовувати цю функцію продуктивності, але це більше не прискорить ваш ПК.
Завдяки великій роботі багатьох розумних людей сучасні системи були достатньо захищені від атак, таких як Spectre, без особливого уповільнення. Але подібні виправлення - це просто переклади: ці недоліки безпеки потрібно виправити на апаратному рівні центрального процесора.
Виправлення на апаратному рівні забезпечать більший захист - не уповільнюючи центральний процесор. Організаціям не доведеться турбуватися про те, чи правильно вони поєднують оновлення мікрокоду (прошивки), виправлення операційної системи та версії програмного забезпечення, щоб захистити свої системи.
Як зазначила команда дослідників безпеки в Науково-дослідна робота , це "не просто помилки, але насправді лежать в основі оптимізації". Дизайн процесора доведеться змінювати.
Intel і AMD виправляють виправлення в нових процесорах
Виправлення на апаратному рівні не просто теоретичні. Виробники процесорів наполегливо працюють над архітектурними змінами, які дозволять вирішити цю проблему на апаратному рівні процесора. Або, як Intel заявив у 2018 році, Intel був “ підвищення рівня безпеки на рівні кремнію ”З процесорами 8-го покоління:
Ми переробили частини процесора, щоб ввести нові рівні захисту за допомогою розділення, яке захистить як від [Spectre] варіантів 2, так і від 3. Подумайте про це розділення як про додаткові «захисні стінки» між програмами та рівнями привілеїв користувача, щоб створити перешкоду для поганих акторів.
Раніше Intel оголосила про створення 9-го покоління процесорів включають додатковий захист проти Foreshadow та Meltdown V3. На ці центральні процесори не впливає нещодавно розкрита атака ZombieLoad, тому ці засоби захисту, мабуть, допомагають.
AMD також працює над змінами, хоча ніхто не хоче розкривати багато деталей. У 2018 році генеральний директор AMD Ліза Су сказав : "Більш довгостроково, ми включили зміни в наші майбутні ядра процесорів, починаючи з нашого дизайну Zen 2, для подальшого вирішення потенційних експлоїтів, схожих на Spectre".
Для тих, хто хоче найшвидшої продуктивності без будь-яких виправлень, що уповільнює ситуацію - або просто організації, яка хоче бути повністю впевненою, що її сервери максимально захищені - найкращим рішенням буде придбання нового центрального процесора з цими апаратними виправленнями. Сподіваємось, покращення рівня апаратного забезпечення запобіжить іншим майбутнім атакам ще до їх виявлення.
Незаплановане застаріння
Хоча преса іноді говорить про «заплановане застаріння» - план компанії, що обладнання стане застарілим, тому вам доведеться його замінити, - це незаплановане застаріння. Ніхто не очікував, що з міркувань безпеки доведеться замінити стільки ЦП.
Небо не падає. Кожен ускладнює зловмисникам використання таких помилок, як ZombieLoad. Вам не доведеться мчати і купувати новий процесор прямо зараз. Але для повного виправлення, яке не зашкодить продуктивності, знадобиться нове обладнання.
