Aktuelle CPUs weisen Designfehler auf. Spectre hat sie entlarvt, aber Angriffe wie Foreshadow und jetzt ZombieLoad nutzen ähnliche Schwächen aus. Diese „spekulativen Ausführungsfehler“ können nur durch den Kauf einer neuen CPU mit integriertem Schutz behoben werden.
Patches verlangsamen häufig vorhandene CPUs
Die Branche hat sich verzweifelt darum bemühtPatchen Sie „Side-Channel-Angriffe“ wie Spectre und Foreshadow, die die CPU dazu bringen, Informationen preiszugeben, die sie nicht sollte. Der Schutz für aktuelle CPUs wurde durch Mikrocode-Updates, Korrekturen auf Betriebssystemebene und Patches für Anwendungen wie Webbrowser bereitgestellt.
Spectre-Fixes haben Computer mit alten CPUs verlangsamt, obwohl Microsoft im Begriff ist, sie erneut zu beschleunigen. Das Patchen dieser Fehler verlangsamt häufig die Leistung auf vorhandenen CPUs.
Jetzt wirft ZombieLoad eine neue Bedrohung auf: Um ein System vollständig vor diesem Angriff zu schützen, müssen Sie das Hyper-Threading von Intel deaktivieren. Aus diesem Grund hat Google das Hyperthreading auf Intel Chromebooks deaktiviert. Wie üblich sind CPU-Mikrocode-Updates, Browser-Updates und Betriebssystem-Patches auf dem Weg, die Lücke zu schließen. Die meisten Benutzer sollten das Hyper-Threading nicht deaktivieren müssen, sobald diese Patches installiert sind.
Neue Intel-CPUs sind für ZombieLoad nicht anfällig
Aber ZombieLoad ist auf Systemen mit neuen Versionen keine GefahrIntel CPUs. Laut Intel ist ZombieLoad „auf Hardware ausgerichtet, die mit ausgewählten Intel® Core ™ -Prozessoren der 8. und 9. Generation sowie der skalierbaren Intel® Xeon®-Prozessorfamilie der 2. Generation beginnt.“ Systeme mit diesen modernen CPUs sind davon nicht betroffen neuer Angriff.
ZombieLoad betrifft nur Intel-Systeme, Spectre jedoch auch AMD und einige ARM-CPUs. Es ist ein branchenweites Problem.
CPUs haben Designfehler und ermöglichen Angriffe
Wie die Industrie feststellte, als Spectre seinen hässlichen Kopf hob, weisen moderne CPUs einige Designfehler auf:
Das Problem ist hier die „spekulative Hinrichtung“. Aus Leistungsgründen führen moderne CPUs automatisch Anweisungen aus, die sie für erforderlich halten. Andernfalls können sie das System einfach zurückspulen und in den vorherigen Zustand zurückversetzen.
Das Kernproblem bei Meltdown und Spectreliegt im Cache der CPU. Eine Anwendung kann versuchen, den Speicher zu lesen, und wenn sie etwas im Cache liest, wird der Vorgang schneller abgeschlossen. Wenn es versucht, etwas zu lesen, das sich nicht im Cache befindet, wird es langsamer ausgeführt. Die Anwendung kann feststellen, ob ein Vorgang schnell oder langsam abgeschlossen wurde. Während alle anderen Vorgänge während der spekulativen Ausführung bereinigt und gelöscht werden, kann die für die Ausführung des Vorgangs benötigte Zeit nicht ausgeblendet werden. Diese Informationen können dann verwendet werden, um bitweise eine Karte aller im Arbeitsspeicher des Computers befindlichen Objekte zu erstellen. Das Cachen beschleunigt die Dinge, aber diese Angriffe nutzen diese Optimierung und verwandeln sie in eine Sicherheitslücke.
Mit anderen Worten, Leistungsoptimierungen inmoderne CPUs werden missbraucht. Auf der CPU ausgeführter Code - möglicherweise auch nur JavaScript-Code, der in einem Webbrowser ausgeführt wird - kann diese Fehler ausnutzen, um den Speicher außerhalb der normalen Sandbox zu lesen. Im schlimmsten Fall könnte eine Webseite in einem Browser-Tab Ihr Online-Banking-Passwort von einem anderen Browser-Tab aus lesen.
Oder auf Cloud-Servern kann eine virtuelle Maschine die Daten in anderen virtuellen Maschinen auf demselben System überwachen. Dies soll nicht möglich sein.
VERBUNDEN: Wie wirken sich die Meltdown- und Spectre-Fehler auf meinen PC aus?
Software-Patches sind nur Bandaids
Es ist keine Überraschung, dass durch Patches die CPU-Leistung etwas verlangsamt wurde, um diese Art von Seitenkanalangriffen zu verhindern. Die Branche versucht, einer Leistungsoptimierungsebene zusätzliche Überprüfungen hinzuzufügen.
Der Vorschlag, Hyper-Threading zu deaktivieren, ist aziemlich typisches Beispiel: Durch Deaktivieren einer Funktion, mit der Ihre CPU schneller läuft, erhöhen Sie die Sicherheit. Schädliche Software kann dieses Leistungsmerkmal nicht mehr ausnutzen, beschleunigt jedoch Ihren PC nicht mehr.
Vielen Dank an viel Arbeit von vielen SchlauenMenschen, moderne Systeme wurden ohne große Verlangsamung einigermaßen vor Angriffen wie Spectre geschützt. Solche Patches sind jedoch nur Bandaids: Diese Sicherheitslücken müssen auf der Ebene der CPU-Hardware behoben werden.
Hardware-Level-Fixes bieten mehrSchutz - ohne die CPU zu verlangsamen. Unternehmen müssen sich keine Sorgen machen, ob sie die richtige Kombination aus Mikrocode-Updates (Firmware), Betriebssystem-Patches und Softwareversionen haben, um ihre Systeme sicher zu halten.
Wie ein Team von Sicherheitsforschern in einem Forschungsbericht ausführte, „sind dies nicht nur Fehler, sondern die Grundlage für die Optimierung.“ Das CPU-Design muss sich ändern.
Intel und AMD bauen Fixes in neue CPUs ein
Hardware-Level-Fixes sind nicht nur theoretisch. CPU-Hersteller arbeiten intensiv an Architekturänderungen, die dieses Problem auf CPU-Hardwareebene beheben. Oder, wie Intel es im Jahr 2018 ausdrückte, Intel "verbesserte die Sicherheit auf Siliziumebene" mit CPUs der achten Generation:
Wir haben Teile des Prozessors umgestaltetEinführung neuer Schutzstufen durch Partitionierung, die sowohl gegen die [Spectre] -Varianten 2 als auch 3 schützt. Stellen Sie sich diese Partitionierung als zusätzliche „Schutzwände“ zwischen Anwendungen und Benutzerberechtigungsebenen vor, um ein Hindernis für schlechte Akteure zu schaffen.
Intel hat bereits angekündigt, dass es das neunte istCPUs der Generation bieten zusätzlichen Schutz vor Foreshadow und Meltdown V3. Diese CPUs sind von der kürzlich bekannt gewordenen ZombieLoad-Attacke nicht betroffen, daher müssen diese Schutzmaßnahmen hilfreich sein.
AMD arbeitet auch an Veränderungen, obwohl niemandwill viele Details preisgeben. Im Jahr 2018 sagte AMDs CEO Lisa Su: "Längerfristig haben wir Änderungen an unseren zukünftigen Prozessorkernen vorgenommen, angefangen mit unserem Zen 2-Design, um potenzielle Specter-ähnliche Exploits besser anzugehen."
Für jemanden, der die schnellste Leistung willOhne dass Patches die Arbeit verlangsamen oder nur ein Unternehmen sicherstellen möchte, dass seine Server so gut wie möglich geschützt sind, ist es die beste Lösung, eine neue CPU mit diesen hardwarebasierten Fixes zu kaufen. Verbesserungen auf Hardware-Ebene werden hoffentlich auch andere zukünftige Angriffe verhindern, bevor sie entdeckt werden.
Ungeplante Überalterung
Während die Presse manchmal von „geplant“ sprichtVeralterung “- ein Unternehmensplan, wonach Hardware veraltet sein wird, sodass Sie sie ersetzen müssen. Dies ist eine ungeplante Veralterung. Niemand hat damit gerechnet, dass aus Sicherheitsgründen so viele CPUs ausgetauscht werden müssen.
Der Himmel fällt nicht. Jeder macht es Angreifern schwerer, Bugs wie ZombieLoad auszunutzen. Sie müssen nicht sofort loslegen und eine neue CPU kaufen. Für eine vollständige Korrektur, die die Leistung nicht beeinträchtigt, ist jedoch neue Hardware erforderlich.
