Le attuali CPU hanno difetti di progettazione. Spectre li ha scoperti, ma attacchi come Foreshadow e ora ZombieLoad sfruttano debolezze simili. Questi difetti di "esecuzione speculativa" possono essere risolti veramente solo acquistando una nuova CPU con protezione integrata.
Patch Rallentano spesso le CPU esistenti
L'industria si è scatenata freneticamentepatch "attacchi sui canali laterali" come Spectre e Foreshadow, che inducono la CPU a rivelare informazioni che non dovrebbero. La protezione per le attuali CPU è stata resa disponibile tramite aggiornamenti di microcodici, correzioni a livello di sistema operativo e patch per applicazioni come i browser Web.
Le correzioni di spettro hanno rallentato i computer con vecchie CPU, anche se Microsoft sta per accelerare nuovamente il backup. La correzione di questi bug spesso rallenta le prestazioni delle CPU esistenti.
Ora, ZombieLoad solleva una nuova minaccia: Per bloccare e proteggere completamente un sistema da questo attacco, devi disabilitare l'hyper-threading di Intel. Ecco perché Google ha appena disabilitato l'hyperthreading sui Chromebook Intel. Come al solito, gli aggiornamenti del microcodice CPU, gli aggiornamenti del browser e le patch del sistema operativo sono in procinto di provare a tappare il buco. La maggior parte delle persone non dovrebbe aver bisogno di disabilitare l'hyper-threading una volta installate queste patch.
Le nuove CPU Intel non sono vulnerabili a ZombieLoad
Ma ZombieLoad non è un pericolo per i sistemi con nuoviCPU Intel. Come afferma Intel, ZombieLoad "è indirizzato nell'hardware a partire da determinati processori Intel® Core ™ di ottava e nona generazione, nonché dalla famiglia di processori scalabili Intel® Xeon® di seconda generazione". I sistemi con queste moderne CPU non sono vulnerabili a questo nuovo attacco.
ZombieLoad influenza solo i sistemi Intel, ma Spectre ha interessato anche AMD e alcune CPU ARM. È un problema a livello di settore.
Le CPU hanno difetti di progettazione, abilitazione degli attacchi
Come ha capito l'industria quando Spectre ha sollevato la sua brutta testa, le moderne CPU hanno alcuni difetti di progettazione:
Il problema qui è con "esecuzione speculativa". Per motivi di prestazioni, le moderne CPU eseguono automaticamente le istruzioni che ritengono possano dover funzionare e, in caso contrario, possono semplicemente riavvolgere e riportare il sistema al suo stato precedente ...
Il problema principale sia con Meltdown che con Spectresi trova nella cache della CPU. Un'applicazione può tentare di leggere la memoria e, se legge qualcosa nella cache, l'operazione verrà completata più rapidamente. Se tenta di leggere qualcosa che non è nella cache, si completerà più lentamente. L'applicazione può vedere se qualcosa si completa velocemente o lentamente e, mentre tutto il resto durante l'esecuzione speculativa viene ripulito e cancellato, il tempo impiegato per eseguire l'operazione non può essere nascosto. Può quindi utilizzare queste informazioni per creare una mappa di qualsiasi cosa presente nella memoria del computer, un bit alla volta. La memorizzazione nella cache accelera le cose, ma questi attacchi sfruttano tale ottimizzazione e la trasformano in un difetto di sicurezza.
In altre parole, ottimizzazioni delle prestazioni inle CPU moderne vengono abusate. Il codice in esecuzione sulla CPU, forse anche solo codice JavaScript in esecuzione in un browser Web, può sfruttare questi difetti per leggere la memoria al di fuori della sua normale sandbox. Nel peggiore dei casi, una pagina Web in una scheda del browser potrebbe leggere la password di banking online da un'altra scheda del browser.
Oppure, su server cloud, una macchina virtuale potrebbe curiosare sui dati in altre macchine virtuali sullo stesso sistema. Questo non dovrebbe essere possibile.
RELAZIONATO: In che modo i difetti di fusione e di spettro influiranno sul mio PC?
Le patch software sono solo bandaidi
Non sorprende che per prevenire questo tipo di attacco del canale laterale, le patch abbiano reso le CPU un po 'più lente. L'industria sta cercando di aggiungere ulteriori controlli a un livello di ottimizzazione delle prestazioni.
Il suggerimento per disabilitare l'hyper-threading è aesempio piuttosto tipico: disabilitando una funzione che rende la tua CPU più veloce, la rendi più sicura. I software dannosi non possono più sfruttare quella funzionalità prestazionale, ma non accelereranno più il tuo PC.
Grazie a molto lavoro da parte di molti intelligentipersone, i sistemi moderni sono stati ragionevolmente protetti da attacchi come Spectre senza molto rallentamento. Ma patch come queste sono solo cerotti: questi difetti di sicurezza devono essere riparati a livello hardware della CPU.
Le correzioni a livello hardware forniranno di piùprotezione — senza rallentare la CPU. Le organizzazioni non dovranno preoccuparsi di disporre della giusta combinazione di aggiornamenti di microcodice (firmware), patch del sistema operativo e versioni del software per proteggere i propri sistemi.
Come ha scritto un team di ricercatori sulla sicurezza in un documento di ricerca, questi "non sono semplici bug, ma in realtà stanno alla base dell'ottimizzazione". I progetti della CPU dovranno cambiare.
Intel e AMD stanno apportando correzioni a nuove CPU
Le correzioni a livello hardware non sono solo teoriche. I produttori di CPU stanno lavorando duramente alle modifiche dell'architettura che risolveranno questo problema a livello di hardware della CPU. Oppure, come diceva Intel nel 2018, Intel stava “promuovendo la sicurezza a livello di silicio” con CPU di ottava generazione:
Abbiamo riprogettato parti del processore perintrodurre nuovi livelli di protezione attraverso il partizionamento che proteggerà da entrambe le varianti [Spectre] 2 e 3. Pensa a questo partizionamento come "muri protettivi" aggiuntivi tra applicazioni e livelli di privilegi dell'utente per creare un ostacolo per i cattivi attori.
Intel ha precedentemente annunciato che è il nonoLe CPU di generazione includono una protezione aggiuntiva contro Foreshadow e Meltdown V3. Queste CPU non sono influenzate dall'attacco ZombieLoad recentemente rivelato, quindi quelle protezioni devono essere d'aiuto.
Anche AMD sta lavorando ai cambiamenti, sebbene nessunovuole rivelare molti dettagli. Nel 2018, l'amministratore delegato di AMD Lisa Su ha dichiarato: "A più lungo termine, abbiamo incluso modifiche nei nostri core di processore futuri, a partire dal nostro design Zen 2, per affrontare ulteriormente potenziali exploit simili a Spettri".
Per qualcuno che desidera le prestazioni più velocisenza patch che rallentano le cose - o solo un'organizzazione che vuole essere completamente sicura che i suoi server siano il più protetti possibile - la soluzione migliore sarà quella di acquistare una nuova CPU con quelle correzioni basate sull'hardware. Speriamo che miglioramenti a livello di hardware prevengano altri attacchi futuri prima che vengano scoperti.
Obsolescenza non pianificata
Mentre la stampa a volte parla di "pianificatoobsolescenza "- il piano di una società secondo cui l'hardware diventerà obsoleto, quindi sarà necessario sostituirlo - si tratta di obsolescenza non pianificata. Nessuno si aspettava che così tante CPU avrebbero dovuto essere sostituite per motivi di sicurezza.
Il cielo non sta cadendo. Tutti stanno rendendo più difficile per gli aggressori lo sfruttamento di bug come ZombieLoad. Non è necessario correre fuori e acquistare una nuova CPU in questo momento. Ma una correzione completa che non pregiudichi le prestazioni richiederà un nuovo hardware.
