Logo ZombieLoad na procesoru Intel

RMIKKA/Shutterstock

Současné CPU mají konstrukční chyby. Spectre je odhalil, ale podobné slabiny využívají útoky jako Foreshadow a nyní ZombieLoad. Tyto spekulativní chyby v provádění lze skutečně opravit pouze zakoupením nového CPU s vestavěnou ochranou.



Záplaty často zpomalují stávající procesory

Průmysl se zběsile snaží opravit útoky na postranní kanály, jako je Spectre a Předstih , které oklamou CPU, aby odhalil informace, které by neměl. Ochrana pro aktuální CPU byla zpřístupněna prostřednictvím aktualizací mikrokódu, oprav na úrovni operačního systému a záplat aplikací, jako jsou webové prohlížeče.

Spectre opravy mají zpomalil počítače se starými CPU , ačkoli se Microsoft chystá znovu je zrychlit . Opravování těchto chyb často zpomaluje výkon na stávajících CPU.

Nyní ZombieLoad přináší novou hrozbu: Chcete-li zamknout a plně zabezpečit systém před tímto útokem, musíte deaktivovat hyper-threading . To je důvod, proč Google právě zakázal hyperthreading na Chromeboocích Intel. Jako obvykle jsou aktualizace mikrokódu CPU, aktualizace prohlížeče a opravy operačního systému na cestě, aby se pokusily zacpat díru. Jakmile jsou tyto záplaty nainstalovány, většina lidí by neměla muset deaktivovat hyper-threading.

Nové procesory Intel nejsou zranitelné vůči ZombieLoad

Ale ZombieLoad nepředstavuje nebezpečí na systémech s novými procesory Intel. Tak jako Intel ZombieLoad je určeno pro hardware počínaje vybranými procesory Intel® Core™ 8. a 9. generace a také 2. generací procesorů Intel® Xeon® Scalable. Systémy s těmito moderními CPU nejsou tímto novým útokem zranitelné.

reklama

ZombieLoad se týká pouze systémů Intel, ale Spectre také ovlivnil AMD a některé procesory ARM. Je to celoodvětvový problém.

CPU mají konstrukční chyby, které umožňují útoky

Jako průmysl uvědomil si, když Spectre zvedl svou ošklivou hlavu Moderní CPU mají některé konstrukční nedostatky:

Problém je zde se spekulativním provedením. Z důvodů výkonu moderní CPU automaticky spouštějí pokyny, o kterých se domnívají, že je mohou potřebovat, a pokud ne, mohou jednoduše přetočit a vrátit systém do předchozího stavu…

Základní problém s Meltdown i Spectre spočívá v mezipaměti CPU. Aplikace se může pokusit o čtení paměti, a pokud něco přečte v mezipaměti, operace se dokončí rychleji. Pokud se pokusí přečíst něco, co není v mezipaměti, dokončí se pomaleji. Aplikace může vidět, zda se něco dokončuje rychle nebo pomalu, a zatímco je vše ostatní během spekulativního provádění vyčištěno a vymazáno, nelze skrýt dobu, kterou zabralo provedení operace. Tyto informace pak může použít k vytvoření mapy čehokoli v paměti počítače, jeden bit po druhém. Ukládání do mezipaměti věci urychluje, ale tyto útoky využívají této optimalizace a mění ji v bezpečnostní chybu.

Jinými slovy, optimalizace výkonu v moderních CPU jsou zneužívány. Kód běžící na CPU – možná dokonce jen kód JavaScript spuštěný ve webovém prohlížeči – může využít těchto nedostatků ke čtení paměti mimo její normální karanténu. V nejhorším případě by webová stránka na jedné kartě prohlížeče mohla přečíst vaše heslo k online bankovnictví z jiné karty prohlížeče.

Nebo na cloudových serverech může jeden virtuální stroj slídit data na jiných virtuálních strojích ve stejném systému. To by nemělo být možné.

PŘÍBUZNÝ: Jak ovlivní chyby zhroucení a přízraku můj počítač?

Softwarové záplaty jsou jen bandaidy

Není žádným překvapením, že aby se zabránilo tomuto druhu útoku na postranní kanál, opravy zpomalily výkon procesorů. Průmysl se snaží přidat další kontroly do vrstvy optimalizace výkonu.

Návrh na deaktivaci hyper-threadingu je docela typický příklad: Zakázáním funkce, která zrychluje váš CPU, zvyšujete jeho bezpečnost. Škodlivý software již tuto funkci výkonu nemůže zneužít – ale již nezrychlí váš počítač.

reklama

Díky velkému množství práce od spousty chytrých lidí byly moderní systémy přiměřeně chráněny před útoky jako Spectre bez velkého zpomalení. Ale záplaty, jako jsou tyto, jsou jen bandaidy: Tyto bezpečnostní chyby je třeba opravit na hardwarové úrovni CPU.

Opravy na úrovni hardwaru poskytnou větší ochranu – bez zpomalení CPU. Organizace se nebudou muset starat o to, zda mají správnou kombinaci aktualizací mikrokódu (firmwaru), záplat operačního systému a verzí softwaru, aby byly jejich systémy v bezpečí.

Jak tým bezpečnostních výzkumníků vložil do a výzkumný papír , to nejsou pouhé chyby, ale ve skutečnosti leží v základech optimalizace. Konstrukce CPU se bude muset změnit.

Intel a AMD staví opravy na nových CPU

Hardwarová grafika ochrany Intel Spectre zobrazující ploty.

Intel

Opravy na úrovni hardwaru nejsou jen teoretické. Výrobci CPU usilovně pracují na změnách architektury, které tento problém vyřeší na hardwarové úrovni CPU. Nebo, jak řekl Intel v roce 2018, Intel byl postupující bezpečnost na úrovni křemíku s CPU 8. generace:

Přepracovali jsme části procesoru, abychom zavedli nové úrovně ochrany prostřednictvím dělení, které bude chránit před oběma variantami [Spectre] 2 a 3. Považujte toto dělení za další ochranné stěny mezi aplikacemi a úrovněmi uživatelských oprávnění, které vytvoří překážku pro zlé aktéry.

Intel již dříve oznámil, že jeho 9. generace CPU obsahovat dodatečnou ochranu proti Foreshadow a Meltdown V3. Tyto CPU nejsou ovlivněny nedávno odhaleným útokem ZombieLoad, takže tyto ochrany musí pomoci.

AMD také pracuje na změnách, i když nikdo nechce prozradit mnoho detailů. V roce 2018 generální ředitelka AMD Lisa Su řekl : Z dlouhodobého hlediska jsme zahrnuli změny do našich budoucích procesorových jader, počínaje naším designem Zen 2, abychom dále řešili potenciální zneužití podobné Spectre.

reklama

Pro někoho, kdo chce nejrychlejší výkon bez jakýchkoliv záplat, které by věci zpomalovaly – nebo jen pro organizaci, která si chce být naprosto jistá, že jeho servery jsou co možná nejvíce chráněny – bude nejlepším řešením koupit nový CPU s těmito hardwarovými opravami. Vylepšení na úrovni hardwaru doufejme zabrání dalším budoucím útokům, než budou odhaleny.

Neplánované zastarávání

Zatímco tisk někdy mluví o plánovaném zastarávání – plánu společnosti, že hardware bude zastaralý, takže jej budete muset vyměnit – jedná se o neplánované zastarávání. Nikdo nečekal, že z bezpečnostních důvodů bude muset být vyměněno tolik CPU.

nebe nepadá. Každý útočníkům ztěžuje využívání chyb, jako je ZombieLoad. Nemusíte hned závodit a kupovat nový CPU. Ale úplná oprava, která nezhorší výkon, bude vyžadovat nový hardware.

ČTĚTE DALŠÍ