למעבדים הנוכחיים יש פגמים בעיצוב. ספקטר חשף אותם, אך התקפות כמו Foreshadow וכעת ZombieLoad מנצלות חולשות דומות. ניתן לתקן באמת פגמים מסוג "ביצוע ספקולטיבי" על ידי רכישת מעבד חדש עם הגנה מובנית.
טלאים מאטים לעתים קרובות מעבדים קיימים
התעשייה מתרוצצת בטירוףתיקון "התקפות צד-ערוציות" כמו Specter ו- Foreshadow, שמטעות את ה- CPU לחשוף מידע שהוא לא אמור. ההגנה על מעבדים קיימים זמינה באמצעות עדכוני מיקרו-קוד, תיקונים ברמת מערכת ההפעלה ותיקונים ליישומים כמו דפדפני אינטרנט.
תיקוני הרפאים האטו מחשבים עם מעבדים ישנים, אם כי מיקרוסופט עומדת להאיץ אותם לגיבוי שוב. תיקון באגים אלה מאט לעתים קרובות את הביצועים במעבדים קיימים.
כעת, ZombieLoad מעלה איום חדש: כדי לנעול ולאבטח מערכת מההתקפה הזו באופן מלא, עליכם לבטל את ההישר-הברגה של אינטל. זו הסיבה שגוגל בדיוק השביתת את ההיפר-אובר על מחשבי Chromebook של Intel. כרגיל, עדכוני מיקרו-קוד של CPU, עדכוני דפדפן ותיקוני מערכת הפעלה בדרך לנסות לחבר את החור. מרבית האנשים לא צריכים להידרש להשבית את ההיפר-הברגה ברגע שהתיקונים האלה קיימים.
מעבדי אינטל חדשים אינם פגיעים ב- ZombieLoad
אבל ZombieLoad אינה מהווה סכנה במערכות עם חדשמעבד אינטל. כלשונו של אינטל, ZombieLoad "מתייחס לחומרה החל ממעבדי Intel® Core ™ דור 8 ו- 9, כמו גם מעבד ה- Intel® Xeon® דור הדור השני של המערכת." מערכות עם מעבדים מודרניים אלה אינם פגיעים בכך. התקפה חדשה.
ZombieLoad משפיע רק על מערכות אינטל, אך ספקטר גם השפיע על מעבדי AMD וכמה מעבדי ARM. זו בעיה בתעשייה.
למעבדים יש פגמים בעיצוב, המאפשרים התקפות
כפי שהבינה התעשייה כשספקטר גייסה את ראשה המכוער, למעבדים מודרניים יש כמה פגמים בעיצוב:
הבעיה כאן היא ב"ביצוע ספקולטיבי ". מסיבות ביצועים, מעבדים מודרניים מפעילים אוטומטית הוראות שלדעתם יתכן שיהיה עליהם צורך להפעיל, ואם הם לא יכולים, הם פשוט יכולים להירץ מחדש ולהחזיר את המערכת למצב הקודם שלה ...
הבעיה העיקרית הן עם Meltdown ו- Specterנמצא בתוך המטמון של המעבד. יישום יכול לנסות לקרוא זיכרון, ואם הוא קורא משהו במטמון, הפעולה תושלם מהר יותר. אם הוא מנסה לקרוא משהו שאינו בזיכרון המטמון, הוא יושלם לאט יותר. היישום יכול לראות אם משהו מסתיים מהר או איטי, ואף שלא ניתן להסתיר את כל השאר במהלך ביצוע ספקולטיבי או למחוק אותו, לא ניתן להסתיר את הזמן שלקח לביצוע הפעולה. לאחר מכן הוא יכול להשתמש במידע זה כדי לבנות מפה של כל דבר בזיכרון של המחשב, סיבוב אחד בכל פעם. המטמון מזרז את העניינים, אך ההתקפות הללו מנצלות את האופטימיזציה ההיא והופכות אותו לפגם ביטחוני.
במילים אחרות, מיטוב ביצועים ב-מעבדים מודרניים מנוצלים לרעה. קוד הפועל במעבד - אולי אפילו רק קוד JavaScript הפועל בדפדפן אינטרנט - יכול לנצל את הפגמים הללו לקריאת זיכרון מחוץ לארגז החול הרגיל שלו. בתרחיש הגרוע ביותר, דף אינטרנט בכרטיסיית דפדפן אחד יכול לקרוא את סיסמת הבנקאות המקוונת שלך מכרטיסיית דפדפן אחרת.
לחלופין, על שרתי ענן, מכונה וירטואלית אחת יכולה לחטוף את הנתונים במכונות וירטואליות אחרות באותה מערכת. זה לא אמור להיות אפשרי.
קשורים: כיצד ישפיעו פגמי התכה והרכב על המחשב האישי שלי?
תיקוני תוכנה הם רק בנדאידים
אין זה מפתיע שכדי למנוע התקפה מסוג זה בערוץ הצדדי, טלאים גרמו למעבדים לבצע קצת יותר לאט. התעשייה מנסה להוסיף צ'קים נוספים לשכבת מיטוב ביצועים.
ההצעה לבטל את ההיפר-הברגה היא אדוגמה טיפוסית למדי: על ידי השבתת תכונה הגורמת למעבד שלך לרוץ מהר יותר, אתה הופך אותה לבטוחה יותר. תוכנה זדונית כבר לא יכולה לנצל את תכונת הביצועים ההיא - אך היא כבר לא תאיץ את המחשב שלך.
בזכות עבודה רבה מהרבה חכמהאנשים, מערכות מודרניות הוגנו באופן סביר מפני התקפות כמו ספקטר ללא האטה רבה. אבל תיקונים כמו אלה הם רק בנדאידים: יש לתקן את פגמי האבטחה ברמת החומרה של המעבד.
תיקונים ברמת חומרה יספקו יותרהגנה - מבלי להאט את המעבד. ארגונים לא יצטרכו לדאוג אם יש להם שילוב נכון של עדכוני מיקרו-קוד (קושחה), תיקוני מערכת הפעלה וגרסאות תוכנה כדי לשמור על אבטחת המערכות שלהם.
כפי שציין חוקרי אבטחה במאמר מחקר, אלה "אינם באגים גרידא, אך למעשה הם עומדים בבסיס האופטימיזציה." עיצובי CPU יצטרכו להשתנות.
אינטל ו- AMD בונים תיקונים למעבדים חדשים
תיקונים ברמת החומרה אינם רק תיאורטיים. יצרני המעבדים עובדים קשה על שינויים אדריכליים אשר יתקנו בעיה זו ברמת החומרה של המעבד. או כמו שניסחה זאת אינטל בשנת 2018, אינטל "קידמה את האבטחה ברמה הסיליקון" עם מעבדי דור 8.
עיצבנו מחדש את החלקים של המעבדהציג רמות הגנה חדשות באמצעות חלוקה שתגן מפני שני [Spectre] וריאנטים 2 ו -3. חשבו על חלוקה זו כ"קירות מגן "נוספים בין יישומים ורמות הרשאת משתמשים כדי ליצור מכשול עבור שחקנים רעים.
אינטל הודיעה בעבר כי ה -9 שלהמעבדי דור כוללים הגנה נוספת מפני Foreshadow ו- Meltdown V3. מעבדים אלה אינם מושפעים מההתקפה של ZombieLoad שנחשפה לאחרונה ולכן ההגנות הללו בטח עוזרות.
AMD עובד גם על שינויים, אם כי אף אחד לארוצה לחשוף פרטים רבים. בשנת 2018, מנכ"ל AMD, ליסה סו, אמרה: "לטווח רחוק יותר כללנו שינויים בליבות המעבד העתידיות שלנו, החל מתכנון הזן 2 שלנו, כדי לטפל עוד יותר במיצוי פוטנציאלי דמוי ספקטרום."
למי שרוצה את ההופעה המהירה ביותרמבלי שטלאים יאטו את העניינים - או סתם ארגון שרוצה להיות בטוח לחלוטין ששרתיו מוגנים ככל האפשר - הפיתרון הטוב ביותר יהיה לקנות מעבד חדש עם אותם תיקונים מבוססי חומרה. שיפורים ברמת החומרה ימנעו בתקווה התקפות עתידיות אחרות לפני שהם יתגלו.
התיישנות לא מתוכננת
בעוד לעיתונות מדברים לפעמים על "מתוכנןהתיישנות "- תכנית של החברה שהחומרה תיושן כך שתצטרך להחליף אותה - זו התיישנות לא מתוכננת. איש לא ציפה כי כל כך הרבה מעבדים יצטרכו להחליף מסיבות אבטחה.
השמיים לא נופלים. כולם מקשים על התוקפים לנצל באגים כמו ZombieLoad. אינך צריך להירגע ולרכוש מעבד חדש כרגע. אבל תיקון שלם שאינו פוגע בביצועים ידרוש חומרה חדשה.
