Поточні процесори мають недоліки дизайну. Привид викрив їх, але атаки, такі як Foreshadow і тепер ZombieLoad, використовують подібні слабкі місця. Ці недоліки "спекулятивного виконання" можна по-справжньому виправити, придбавши новий процесор із вбудованим захистом.
Виправлення часто уповільнюють існуючі процесори
Промисловість несамовито боролася з цимвиправляти "атаки бічних каналів", такі як Spectre і Foreshadow, які обманюють центральний процесор, щоб він розкривав інформацію, якої він не повинен. Захист поточних процесорів став доступним завдяки оновленням мікрокодів, виправленням на рівні операційної системи та виправленням для таких програм, як веб-браузери.
Виправлення привидів сповільнило роботу комп’ютерів зі старими процесорами, хоча Microsoft збирається знову прискорити їх створення. Виправлення цих помилок часто уповільнює продуктивність існуючих процесорів.
Тепер ZombieLoad викликає нову загрозу: Щоб повністю заблокувати та захистити систему від цієї атаки, вам потрібно відключити гіперпотоки Intel. Ось чому Google просто вимкнув гіперпотоки на Chromebook від Intel. Як завжди, оновлення мікрокоду центрального процесора, оновлення браузера та виправлення операційної системи вже зараз намагаються заблокувати цю діру. Більшості людей не потрібно відключати гіперпотоковість, коли ці патчі з’являться.
Нові процесори Intel не вразливі для ZombieLoad
Але ZombieLoad не становить небезпеки для систем з новимиПроцесори Intel. Як заявляє Intel, ZombieLoad "вирішується в апаратному забезпеченні, починаючи з вибраних процесорів Intel® Core ™ 8-го та 9-го покоління, а також сімейства процесорів Intel® Xeon® 2-го покоління, що масштабується". Системи з цими сучасними центральними процесорами не вразливі до цієї нової атаки.
ZombieLoad просто впливає на системи Intel, але Spectre також впливає на AMD та деякі процесори ARM. Це загальногалузева проблема.
Процесори мають недоліки дизайну, що дозволяють атакувати
Коли галузь зрозуміла, коли Spectre виростила свою потворну голову, сучасні процесори мають деякі недоліки дизайну:
Проблема тут у "спекулятивному розстрілі". З міркувань продуктивності сучасні центральні процесори автоматично запускають інструкції, які, на їх думку, їм можуть знадобитися, а якщо цього не зробити, вони можуть просто перемотати назад і повернути систему в попередній стан ...
Основна проблема як Meltdown, так і Spectreзнаходиться в кеші процесора. Програма може спробувати прочитати пам'ять, і якщо вона прочитає щось у кеші, операція завершиться швидше. Якщо він спробує прочитати щось, що не знаходиться в кеш-пам'яті, він буде виконуватися повільніше. Додаток може побачити, чи щось завершується швидко чи повільно, і хоча все інше під час спекулятивного виконання очищається та стирається, час, необхідний для виконання операції, не можна приховати. Потім він може використовувати цю інформацію, щоб побудувати карту всього, що є в пам’яті комп’ютера, по одному біту. Кешування пришвидшує процес, але ці атаки використовують цю оптимізацію та перетворюють її на недолік безпеки.
Іншими словами, оптимізація продуктивності всучасні центральні процесори зазнають зловживань. Код, що працює на центральному процесорі - можливо, навіть просто код JavaScript, що працює у веб-браузері - може скористатися цими недоліками для зчитування пам'яті поза звичайною пісочницею. У найгіршому випадку веб-сторінка на одній вкладці браузера може прочитати ваш пароль для онлайн-банкінгу з іншої вкладки браузера.
Або на хмарних серверах одна віртуальна машина може переглядати дані інших віртуальних машин тієї самої системи. Це не повинно бути можливим.
ПОВ'ЯЗАНІ: Як негативні наслідки збитків та привидів вплинуть на мій ПК?
Виправлення програмного забезпечення - це просто банди
Не дивно, що для запобігання подібним атакам бічних каналів, патчі змусили процесори працювати трохи повільніше. Галузь намагається додати додаткові перевірки на рівень оптимізації продуктивності.
Пропозиція вимкнути гіперпоточність - цедосить типовий приклад: вимкнувши функцію, завдяки якій ваш процесор працює швидше, ви робите його більш безпечним. Шкідливе програмне забезпечення більше не може використовувати цю функцію продуктивності, але це більше не прискорить ваш ПК.
Завдяки великій роботі від багатьох розумнихлюди, сучасні системи були достатньо захищені від атак, таких як Spectre, без особливого уповільнення. Але подібні виправлення - це просто переклади: ці недоліки безпеки потрібно виправити на апаратному рівні центрального процесора.
Виправлення на апаратному рівні нададуть більшезахист - не сповільнюючи центральний процесор. Організаціям не доведеться турбуватися про те, чи правильно вони поєднують оновлення мікрокоду (прошивки), виправлення операційної системи та версії програмного забезпечення, щоб захистити свої системи.
Як зазначила команда дослідників безпеки в дослідницькій роботі, це "не просто помилки, а насправді лежать в основі оптимізації". Дизайн процесора доведеться змінювати.
Intel і AMD виправляють виправлення в нових процесорах
Виправлення на апаратному рівні не просто теоретичні. Виробники процесорів наполегливо працюють над архітектурними змінами, які дозволять вирішити цю проблему на апаратному рівні процесора. Або, як Intel заявив у 2018 році, Intel “підвищував рівень безпеки на кремнієвому рівні” завдяки процесорам 8-го покоління:
Ми переробили частини процесора дозапровадити нові рівні захисту через розділення, які захистять як варіанти 2 і 3. [Spectre]. Подумайте про це розділення як про додаткові “захисні стіни” між програмами та рівнями привілеїв користувача, щоб створити перешкоду для поганих акторів.
Раніше Intel оголосила, що буде 9-мЦП генерації включають додатковий захист від Foreshadow та Meltdown V3. На ці центральні процесори не впливає нещодавно виявлена атака ZombieLoad, тому ці засоби захисту, мабуть, допомагають.
AMD також працює над змінами, хоча нікимхоче розкрити багато подробиць. У 2018 році генеральний директор AMD Ліза Су сказала: "Надалі ми включили зміни в наші майбутні процесорні ядра, починаючи з дизайну Zen 2, для подальшого вирішення потенційних експлоїтів, схожих на Spectre".
Для тих, хто хоче якнайшвидшого виконаннябез будь-яких виправлень, що уповільнюють ситуацію - або просто організації, яка хоче бути повністю впевненою, що її сервери максимально захищені - найкращим рішенням буде придбання нового центрального процесора з цими апаратними виправленнями. Сподіваємось, вдосконалення на апаратному рівні запобігатимуть іншим майбутнім атакам ще до їх виявлення.
Незаплановане застаріння
Тоді як преса інколи говорить про “запланованезастарілість »- план компанії щодо того, що апаратне забезпечення застаріє, тому вам доведеться його замінити, - це незаплановане застаріння. Ніхто не очікував, що з міркувань безпеки доведеться замінити стільки ЦП.
Небо не падає. Кожен ускладнює зловмисникам використання таких помилок, як ZombieLoad. Вам не доведеться мчати і купувати новий процесор прямо зараз. Але для повного виправлення, яке не зашкодить продуктивності, знадобиться нове обладнання.
