Лого на ZombieLoad на процесор Intel

RMIKKA/Shutterstock

Настоящите процесори имат недостатъци в дизайна. Spectre ги разкри, но атаки като Foreshadow и сега ZombieLoad използват подобни слабости. Тези спекулативни недостатъци в изпълнението могат наистина да бъдат коригирани само чрез закупуване на нов процесор с вградена защита.



Пачовете често забавят съществуващите процесори

Индустрията трескаво се бори да коригира атаки на страничните канали като Spectre и Предизвестие , които подмамват процесора да разкрива информация, която не трябва. Защитата за текущите процесори е предоставена чрез актуализации на микрокодове, корекции на ниво операционна система и корекции на приложения като уеб браузъри.

Поправките на Spectre имат забавят компютрите със стари процесори , въпреки че Microsoft е на път да ускорете ги отново . Поправянето на тези грешки често забавя производителността на съществуващите процесори.

Сега ZombieLoad повдига нова заплаха: За да заключите и защитите системата от тази атака напълно, трябва да деактивирате Intel Hyper-threading . Ето защо Google просто деактивира хипернишката на Chromebook на Intel. Както обикновено, актуализациите на микрокод на процесора, актуализациите на браузъра и пачовете на операционната система са на път да се опитат да запушат дупката. Повечето хора не трябва да деактивират хипер-нишката, след като тези пачове са на място.

Новите процесори на Intel не са уязвими към ZombieLoad

Но ZombieLoad не представлява опасност за системи с нови процесори на Intel. Като Intel казано, ZombieLoad се адресира в хардуера, като се започне с избрани процесори Intel® Core™ от 8-о и 9-то поколение, както и фамилията процесори Intel® Xeon® Scalable от 2-ро поколение. Системите с тези модерни процесори не са уязвими за тази нова атака.

Реклама

ZombieLoad засяга само системите на Intel, но Spectre също засегна AMD и някои ARM процесори. Това е проблем за цялата индустрия.

Процесорите имат недостатъци в дизайна, позволяващи атаки

Като индустрията осъзна, когато Спектър вдигна грозната си глава , съвременните процесори имат някои недостатъци в дизайна:

добавяне на подпис в word

Проблемът тук е със спекулативното изпълнение. От съображения за производителност, съвременните процесори автоматично изпълняват инструкции, които смятат, че може да се наложи да изпълнят и, ако не го направят, могат просто да превъртат назад и да върнат системата в предишното й състояние...

Основният проблем с Meltdown и Spectre се крие в кеша на процесора. Едно приложение може да се опита да прочете паметта и ако прочете нещо в кеша, операцията ще завърши по-бързо. Ако се опита да прочете нещо, което не е в кеша, ще завърши по-бавно. Приложението може да види дали нещо завършва бързо или бавно и докато всичко останало по време на спекулативното изпълнение се почиства и изтрива, времето, необходимо за извършване на операцията, не може да бъде скрито. След това може да използва тази информация, за да изгради карта на всичко в паметта на компютъра, един бит наведнъж. Кеширането ускорява нещата, но тези атаки се възползват от тази оптимизация и я превръщат в пропуск на сигурността.

С други думи, оптимизацията на производителността в съвременните процесори се злоупотребява. Кодът, работещ на процесора – може би дори само JavaScript код, изпълняван в уеб браузър – може да се възползва от тези недостатъци, за да чете памет извън нормалната си пясъчна среда. В най-лошия случай уеб страница в един раздел на браузъра може да прочете паролата ви за онлайн банкиране от друг раздел на браузъра.

Или, на облачни сървъри, една виртуална машина може да следи данните в други виртуални машини в същата система. Това не би трябвало да е възможно.

СВЪРЗАНИ: Как Meltdown и Spectre ще се отразят на компютъра ми?

как да добавите контакт в WhatsApp

Софтуерните пачове са просто бандаи

Не е изненада, че за да предотвратят този вид атака на страничен канал, пачовете накараха процесорите да работят малко по-бавно. Индустрията се опитва да добави допълнителни проверки към слой за оптимизиране на производителността.

Предложението за деактивиране на хипер-нишката е доста типичен пример: като деактивирате функция, която кара вашия процесор да работи по-бързо, вие го правите по-сигурен. Злонамереният софтуер вече не може да използва тази функция за производителност, но вече няма да ускори вашия компютър.

Реклама

Благодарение на много работа от много умни хора, съвременните системи са разумно защитени от атаки като Spectre без много забавяне. Но пачове като тези са само ленти: Тези пропуски в сигурността трябва да бъдат коригирани на хардуерно ниво на процесора.

Поправките на хардуерно ниво ще осигурят повече защита — без да забавят процесора. Организациите няма да се притесняват дали имат правилната комбинация от актуализации на микрокод (фърмуер), корекции на операционната система и софтуерни версии, за да поддържат системите си защитени.

Както екип от изследователи по сигурността го постави в a изследователска работа , това не са просто бъгове, а всъщност лежат в основата на оптимизацията. Дизайнът на процесора ще трябва да се промени.

Intel и AMD вграждат поправки в нови процесори

Хардуерна графика за защита на Intel Spectre, показваща огради.

Intel

Поправките на ниво хардуер не са само теоретични. Производителите на процесори работят усилено върху архитектурни промени, които ще решат този проблем на хардуерно ниво на процесора. Или, както се изрази Intel през 2018 г., Intel беше повишаване на сигурността на ниво силиций с процесори от 8-мо поколение:

Преработихме части от процесора, за да въведем нови нива на защита чрез разделяне, което ще предпази и от [Spectre] варианти 2 и 3. Мислете за това разделяне като допълнителни защитни стени между приложенията и нивата на привилегии на потребителите, за да създадете пречка за лошите участници.

Intel по-рано обяви, че своите процесори от 9-то поколение включва допълнителна защита срещу Foreshadow и Meltdown V3. Тези процесори не са засегнати от наскоро разкритата атака ZombieLoad, така че тези защити трябва да помагат.

AMD също работи върху промените, въпреки че никой не иска да разкрива много подробности. През 2018 г. главният изпълнителен директор на AMD Лиза Су казах : В дългосрочен план сме включили промени в бъдещите ни процесорни ядра, като се започне с нашия дизайн Zen 2, за да се справим допълнително с потенциални експлойти, подобни на Spectre.

промяна на шрифта по подразбиране на windows 10
Реклама

За някой, който иска най-бързата производителност без никакви корекции, забавящи нещата – или просто организация, която иска да е напълно сигурна, че сървърите й са възможно най-защитени – най-доброто решение ще бъде да закупите нов процесор с тези хардуерни корекции. Надяваме се, че подобренията на ниво хардуер ще предотвратят други бъдещи атаки, преди да бъдат открити.

Непланирано остаряване

Докато пресата понякога говори за планирано остаряване - планът на компанията, че хардуерът ще остане остарял, така че ще трябва да го замените - това е непланирано остаряване. Никой не очакваше, че толкова много процесори ще трябва да бъдат подменени от съображения за сигурност.

небето не пада. Всеки прави по-трудно за нападателите да използват грешки като ZombieLoad. Не е нужно да се състезавате и да купувате нов процесор точно сега. Но пълната корекция, която не вреди на производителността, ще изисква нов хардуер.

ПРОЧЕТЕТЕ СЛЕДВАЩО