Проверете дали сте засегнати от Meltdown и Spectre и се защитете !!!

Топене и призрак son las tendencias de los últimos días, prácticamente no se habla de otra cosa y es que no es para menos, ya que son probablemente las vulnerabilidades más importantes de la historia. Afectan gravemente a la seguridad de nuestros sistemas y si el sistema es de una empresa o tienes datos relevantes el problema es mucho más grave. No obstante siempre se piensa que solo están afectados los equipos de sobremesa, portátiles, servidores y supercomputadoras, pero los daños van más allá y afectan a muchos más dispositivos, como los basados en cores ARM y ahí se incluyen desde tablets, smartphones, algunos dispositivos IoT, industriales, domótica, hasta coches conectados.

Както добре знаете, това не е нещо уникално за Linux по никакъв начин, а по-скоро засяга различни операционни системи, също Microsoft Windows и macOS са засегнати от него, без да забравяме iOS и Android. Следователно малцина избягват тези заплахи, въпреки че е вярно, че някои архитектури на процесора са пощадени и че ако имаме AMD чип, шансовете за използване на тези уязвимости вероятно са по-малки, но това не означава, че няма риск.

Каква е текущата ситуация за Linux?

Linux основно движи светаВъпреки че мнозина вярват, че това е система, която се използва рядко, е обратното. Възможно е да се е провалил в аспекта, че е създаден за работния плот и това е точно единственият сектор, в който е малцинство в сравнение с всемогъщия Windows и в сравнение с добра част, която Mac има. Ако преминем към вградени или вградени устройства, сървъри, суперкомпютри и т.н., Linux е доминиращ и именно интернет сървърите стават жизненоважни и без него на практика може да се каже, че Интернет ще падне ...

Ето защо в Linux реагирал преди отколкото във всяка друга система за решаване на проблемите, които Meltdown и Spectre биха могли да оставят след себе си. Вече Линус Торвалдс Той говори по въпроса с тежки думи пред Intel и ако погледнете LKML, ще видите, че това е проблем и е в дневния ред. И неговата дясна ръка и номер две в разработването на ядрото на Linux, Грег Кроах-Хартман също го направи. За повече информация можете да се консултирате личния му блог където ще намерите достатъчно информация.

• Meltdown: По принцип Грег коментира, че по отношение на Meltdown можете да завършите на x86, като изберете да включите CONFIG_PAGE_TABLE_ISOLATION, a изолиране на таблица на страници (PTI) че компютрите с AMD процесори, които не са засегнати от него, трябва да избягват, за да избегнат проблеми с производителността. Може би дори сте знаели, че някои компютри с чип AMD са спрели да се зареждат, защото кръпката на Windows генерира сериозни проблеми. PTI ще бъде включен в Linux 4.15 по подразбиране, но поради важността му от гледна точка на сигурността ще бъде включен в предишни версии като LTS 4.14, 4.9 и 4.4 ... и вероятно с течение на времето кръпката ще бъде включена в много други версии , но търпение, защото предполага претоварване на работата за разработчиците. И те също се сблъскват с проблеми, свързани с кръпки като vDSO в някои настройки на виртуална машина. По отношение на ARM64, леко засегнат от Meltdown, който е основен проблем за Intel, чиповете на много мобилни устройства и други устройства също се нуждаят от корекция, въпреки че изглежда, че няма да се слеят с основното дърво на ядрото в краткосрочен план (може би на Linux 4.16, въпреки че Грег коментира, че те може никога да не пристигнат поради количеството на предпоставките, които трябва да бъдат одобрени) и затова се препоръчва да се използват специфични ядра, т.е. .
• спектър: другият проблем засяга повече архитектури и е по-сложен за справяне. Изглежда, че няма да имаме добро решение в краткосрочен план и ще трябва да съжителстваме с този проблем известно време. В двата си варианта системата се нуждае от корекция и някои общностни разработчици на определени дистрибуции вече са започнали да пускат кръпки, за да я смекчат, но предлаганите решения са разнообразни и за момента няма да бъдат интегрирани като част от основния клон на ядрото до Най-доброто решение се вижда, преди процесорите да излязат с най-доброто решение (препроектирайте своите чипове). Решенията са проучени и те намират някои проблеми по пътя, като засиленото невежество за Spectre. Разработчиците се нуждаят от малко време, за да разберат как да се справят с проблема, а самият Грег коментира, че „Това ще бъде област на изследване през следващите години, за да се намерят начини за смекчаване на възможни проблеми, свързани с хардуер, който също ще се опита да ги предскаже в бъдеще, преди да се случат.".
• Chromebooks- Ако имате лаптоп на Google, ще се радваме да разберем, че можете да видите състоянието на работата, която вършат, за да разрешат Meltdown в този списък.

Как лесно да проверя дали съм засегнат?

За да не обикаляте консултантски маси или списъци с микропроцесори, ето тук ние предлагаме скрипт че те са създали, за да могат лесно да проверят дали сме засегнати или не, просто трябва да го изтеглим и стартираме и той ще ни каже дали сме в опасност от Spectre and Meltdown. Инструкциите или стъпките, които трябва да следвате, са прости:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

След изпълнението на това ще се появи червено поле, което показва дали сме уязвими към Meltdown или Spectre или зелен индикатор, в случай че сме в безопасност от вариантите на тези уязвимости. В моя случай, например, като имам AMD APU (без дори да съм актуализирал системата), резултатът е:

В случай, че резултатът е в червено VULNERABLE, прочетете следния раздел ...

Какво да направя, ако съм засегнат?

Най-доброто решение, както казват някои, е да преминете към процесор или микропроцесор, който не е засегнат от проблема. Но това не е осъществимо за много от потребителите поради липса на бюджет или други причини. Също така производители като Intel те продължават да продават засегнатите микропроцесори и които бяха пуснати наскоро, като Coffee Lake, тъй като микроархитектурите обикновено имат дълги времена за разработка и сега работят по проектирането на бъдещи микроархитектури, които ще се появят на пазара през следващите години, но всички чипове, които се комерсиализират сега и което вероятно ще бъде комерсиализирано през следващите няколко месеца, ще продължи да се влияе на хардуерно ниво.

Следователно, в случай, че страдаме от това заболяване и се налага да го „поправим“, нямаме друг избор, освен да поправим операционната си система (не забравяйте браузърите и т.н.), каквато и да е тя, и също така да актуализираме всички софтуер, който имаме. Ако сте добре конфигурирани системата за актуализация Вече беше много важно, сега повече от всякога трябва да сте в крак с актуализациите, тъй като с тях ще дойдат и кръпките, които решават проблема Meltdown и Spectre от страна на софтуера, не без загуба на производителност, както вече казахме. ..

Решението не е сложно за потребителя, не трябва да правим нищо „специално“, просто се уверете, че разработчикът на нашата дистрибуция е пуснал актуализацията за Meltdown и Spectre и че сме я инсталирали. Повече информация за него.

Ако искате, можете да проверите дали пластирът е инсталиран (ако е необходимо) за Meltdown на дистрибуцията ви с тази команда:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :(" 

*Пазете се от ядрото на Ubuntu 4.4.0-108-genericНякои потребители съобщават за проблеми на компютрите си при зареждане след актуализацията и е трябвало да се върнат към предишна версия. Canonical изглежда го е решил в 4.4.0-109-generic ...

Загуба на производителност: в някои случаи се говореше за 30%, но това ще зависи от микроархитектурата. В по-старите архитектури загубата на производителност може да бъде много сериозна, тъй като подобренията в производителността, които тези архитектури имат, се основават главно на подобренията, осигурени от изпълнението на OoOE и TLB ... В по-модерните архитектури се говори между 2% и 6 % в зависимост от типа софтуер, работещ за домашни потребители, евентуално в центровете за данни загубите са много по-големи (над 20%). Както е признато от самия Intel, след омаловажаване на това, което им идва, производителността в процесорите преди Haswell (2015) спадът на производителността ще бъде много по-лош от тези 6% дори за нормалните потребители ...

Не забравяйте да оставите вашите коментари с вашите съмнения или предложения ...