ZombieLoad logo na Intelovom procesoru

RMIKKA/Shutterstock

Trenutni procesori imaju nedostatke u dizajnu. Spectre ih je razotkrio, ali napadi poput Foreshadowa i sada ZombieLoad-a iskorištavaju slične slabosti. Ove špekulativne nedostatke u izvršenju mogu se uistinu popraviti samo kupnjom novog CPU-a s ugrađenom zaštitom.



Zakrpe često usporavaju postojeće procesore

Industrija se grčevito bori da zakrpi napade sa strane kanala poput Spectre i Nagovijestiti , koji prevari CPU da otkrije informacije koje ne bi trebao. Zaštita za trenutne CPU-e je dostupna putem ažuriranja mikrokoda, popravaka na razini operacijskog sustava i zakrpa za aplikacije poput web-preglednika.

Spectre popravci imaju usporila računala sa starim procesorima , iako će Microsoft uskoro ponovno ih ubrzati . Krpanje ovih bugova često usporava performanse na postojećim procesorima.

Sada ZombieLoad postavlja novu prijetnju: da biste u potpunosti zaključali i osigurali sustav od ovog napada, morate onemogućiti Intelove hiper-threading . Zbog toga je Google upravo onemogućio hiperthreading na Intelovim Chromebookovima. Kao i obično, ažuriranja mikrokoda CPU-a, ažuriranja preglednika i zakrpe operativnog sustava su na putu da pokušaju začepiti rupu. Većina ljudi ne bi trebala onemogućiti hiper-nitiranje nakon što su ove zakrpe postavljene.

Novi Intelovi procesori nisu ranjivi na ZombieLoad

Ali ZombieLoad ne predstavlja opasnost za sustave s novim Intelovim procesorima. Kao Intel kaže, ZombieLoad se rješava u hardveru počevši od odabranih Intel® Core™ procesora 8. i 9. generacije, kao i 2. generacije Intel® Xeon® Scalable procesora. Sustavi s ovim modernim CPU-ima nisu ranjivi na ovaj novi napad.

Oglas

ZombieLoad utječe samo na Intelove sustave, ali Spectre također utječe na AMD i neke ARM procesore. To je problem cijele industrije.

CPU-ovi imaju nedostatke u dizajnu, što omogućuje napade

Kao industrija shvatio kad je Spectre podigao svoju ružnu glavu , moderni procesori imaju neke nedostatke u dizajnu:

instaliran novi hdd nije vidljiv

Ovdje je problem sa spekulativnim izvršenjem. Iz razloga performansi, moderni procesori automatski pokreću upute za koje misle da bi ih trebali pokrenuti, a ako to ne urade, mogu jednostavno premotati i vratiti sustav u prethodno stanje...

Osnovni problem s Meltdownom i Spectreom leži u predmemoriji CPU-a. Aplikacija može pokušati pročitati memoriju i, ako pročita nešto u predmemoriji, operacija će se završiti brže. Ako pokuša pročitati nešto što nije u predmemoriji, završit će sporije. Aplikacija može vidjeti da li se nešto dovršava brzo ili sporo i, dok se sve ostalo tijekom spekulativnog izvršenja čisti i briše, vrijeme potrebno za izvođenje operacije ne može se sakriti. Zatim može upotrijebiti te informacije za izgradnju karte bilo čega u memoriji računala, jedan bit po jedan. Keširanje ubrzava stvari, ali ovi napadi iskorištavaju tu optimizaciju i pretvaraju je u sigurnosni propust.

Drugim riječima, optimizacije performansi u modernim CPU-ima se zloupotrebljavaju. Kod koji se izvodi na CPU-u – možda čak i samo JavaScript kod koji se izvodi u web-pregledniku – može iskoristiti ove nedostatke za čitanje memorije izvan svog normalnog sandboxa. U najgorem slučaju, web-stranica na jednoj kartici preglednika mogla bi pročitati vašu lozinku za internetsko bankarstvo s druge kartice preglednika.

Ili, na poslužiteljima u oblaku, jedan virtualni stroj mogao bi njuškati podatke na drugim virtualnim strojevima na istom sustavu. Ovo ne bi trebalo biti moguće.

POVEZANO: Kako će Meltdown i Spectre nedostaci utjecati na moje računalo?

što je memorija kanala duela

Softverske zakrpe su samo trake

Nije iznenađenje da su zakrpe, kako bi se spriječio ovakav napad sa strane kanala, učinile da procesori rade nešto sporije. Industrija pokušava dodati dodatne provjere sloju optimizacije performansi.

Prijedlog za onemogućavanje hiper-nitiranja je prilično tipičan primjer: onemogućavanjem značajke koja ubrzava rad vašeg CPU-a, činite ga sigurnijim. Zlonamjerni softver više ne može iskorištavati tu značajku performansi — ali više neće ubrzati vaše računalo.

Oglas

Zahvaljujući puno rada mnogih pametnih ljudi, moderni sustavi su razumno zaštićeni od napada poput Spectre bez puno usporavanja. Ali zakrpe poput ovih samo su zavoji: ove sigurnosne nedostatke potrebno je popraviti na razini hardvera procesora.

Popravci na razini hardvera pružit će veću zaštitu—bez usporavanja CPU-a. Organizacije neće morati brinuti o tome imaju li pravu kombinaciju ažuriranja mikrokoda (firmwarea), zakrpa operacijskog sustava i verzija softvera kako bi svoje sustave očuvale sigurnima.

Kako je tim sigurnosnih istraživača to naveo u a znanstveni rad , to nisu puki bugovi, već zapravo leže u temeljima optimizacije. Dizajn procesora će se morati promijeniti.

Intel i AMD ugrađuju popravke u nove procesore

Hardverska grafika za zaštitu Intel Spectre koja prikazuje ograde.

Intel

Popravci na razini hardvera nisu samo teoretski. Proizvođači procesora naporno rade na arhitektonskim promjenama koje će riješiti ovaj problem na razini hardvera procesora. Ili, kako je Intel rekao 2018., Intel je bio unapređenje sigurnosti na razini silicija s procesorima 8. generacije:

Redizajnirali smo dijelove procesora kako bismo uveli nove razine zaštite kroz particioniranje koje će štititi od obje [Spectre] varijante 2 i 3. Zamislite ovu particiju kao dodatne zaštitne zidove između aplikacija i razina privilegija korisnika kako biste stvorili prepreku lošim akterima.

Intel je ranije najavio da će njegova 9. generacija CPU-a uključuju dodatnu zaštitu protiv Foreshadow i Meltdown V3. Ovi CPU-ovi nisu pod utjecajem nedavno otkrivenog napada ZombieLoad-a pa te zaštite moraju pomoći.

AMD također radi na promjenama, iako nitko ne želi otkriti mnogo detalja. 2018., AMD-ova izvršna direktorica Lisa Su rekao je : Dugoročno, uključili smo promjene u naše buduće procesorske jezgre, počevši od našeg Zen 2 dizajna, kako bismo se dodatno pozabavili potencijalnim podvizima sličnim Spectre.

hvala mrzim to reddit
Oglas

Za nekoga tko želi najbrže performanse bez ikakvih zakrpa koje usporavaju stvari – ili samo organizaciju koja želi biti potpuno sigurna da su njezini poslužitelji što je moguće više zaštićeni – najbolje rješenje bit će kupnja novog CPU-a s tim popravcima temeljenim na hardveru. Nadamo se da će poboljšanja na razini hardvera spriječiti i druge buduće napade prije nego što budu otkriveni.

Neplanirana zastarjelost

Dok tisak ponekad govori o planiranoj zastari - plan tvrtke da će hardver zastarjeti pa ćete ga morati zamijeniti - ovo je neplanirana zastarjelost. Nitko nije očekivao da će toliko CPU-a morati biti zamijenjeno iz sigurnosnih razloga.

Nebo ne pada. Svi napadačima otežavaju iskorištavanje bugova kao što je ZombieLoad. Ne morate se odmah utrkivati ​​i kupiti novi CPU. Ali potpuni popravak koji ne šteti performansama zahtijevat će novi hardver.

PROČITAJTE SLJEDEĆE