СПЕЦИАЛНИ Meltdown and Spectre: всичко, което трябва да знаете за тези уязвимости (АКТУАЛИЗИРАНО)

Предполага се, че около 20% от временните и икономически ресурси, отпуснати за създаването на нов чип, отиват за самия дизайн, докато останалото, т.е. много време и пари, отива за симулации, тестове и проведени тестове за да проверите дали всичко работи правилно. Е, изглежда, че някои производители не са направили нещата съвсем както трябва със своите продукти и това е така случаят с intelКакто ще видим, той не е единственият засегнат, но вече има голям брой проблеми с чиповете си, от известния проблем с плаваща запетая, през други откази в чипсетите си, до уязвимостта, също открита в Management Engine, и сега това ...

Всички социални мрежи и медии са затрупани с новини, някои донякъде противоречиви по този случай, за който ще има много да се говори и за който ви съветвам да направите добра купа с пуканки, за да гледате сапунената опера, тъй като това е само започна. Следователно, така че потребителите, особено тези на Linux, да не се изгубят с толкова много информация и да знаят как да действам и какво спазват знаят дали са засегнати или не, ще публикуваме тази статия в LxA.

Какво е Spectre and Meltdown?

Вероятно проблемът с Rowhammer, който вече видяхме, е донякъде незначителен в сравнение с дълбочината, която този друг проблем има. Със сигурност вече сте чували известните имена, които предизвикват паника, и те са Топене и призрак. Тези атаки, които могат сериозно да компрометират сигурността ни, се възползват от някои функции като извънредно изпълнение и спекулативно изпълнение, които се прилагат във всички съвременни процесори за подобряване на производителността. Ще обясним какво представлява всеки от тях на части:

• Meltdown: той се нарича така, защото в основата си топи границите на сигурност между приложенията, наложени от хардуера, въпреки че в информационната база MITER е известен като CVE-2017-5754. Това е най-сериозният от проблемите, които са били открити и засяга конкретно процесорите на Intel, пуснати през последното десетилетие. Поради тази уязвимост, непривилегирован процес може да получи достъп до зона, запазена в паметта за ядрото, което е сериозен проблем със сигурността. Например, области на RAM паметта могат да бъдат изхвърлени. Пачовете за отстраняване на тази уязвимост значително влошават производителността.
• спектър: името му се крие в това колко сложно е да се реши, следователно като спектър ще ни следва доста дълго време. Той се появява в няколко варианта (CVE-2017-5753 и CVE-2017-5717), като е потенциално сериозен, тъй като може да позволи на процеса да "подведе" ядрото в движеща се информация от зоните на паметта, които този процес контролира, това е С други думи, той пробива бариерата между приложенията. В този случай той засяга повече микропроцесори, но може да бъде поправен с прости софтуерни модификации и загубата на производителност е практически нулева ...

Всичко е за Meltdown и Spectre, обяснено по прост начин и без използване на много технически език, така че всички да разбират. В крайна сметка това, което видяхме, е, че Meltdown и Spectre могат да имат достъп до данни, съхранявани в паметта на работещите програми и това с експлойти и злонамерен код е заплаха. Сега, как това може да ми повлияе? Ами отговорът също е прост, тъй като те могат да позволят промяна на данни, филтриране на пароли и поверителни данни, снимки, имейли, данни за формуляри и др.. Следователно това е голям проблем със сигурността, вероятно един от най-големите в последно време.

Линус Торвалдс говори

Линус Торвалдс, създателят на NVIDIA Майната ти! сега изглежда, че той е дал сигнал за събуждане на Intel за огромната грешка, която са допуснали. И в дискусионните нишки за проблема, който е останал поради засегнатото ядро ​​на Linux, първите думи на създателя не са били накарани да чакат:

Защо всичко това е без опции за конфигуриране? Компетентен инженер на процесора ще поправи това, като се увери, че спекулациите не преминават през защитни домейни. […] Мисля, че INtel трябва да погледне техните процесори и наистина да признае, че имат проблеми, вместо да пишат PR съобщение, че всичко работи така, както е проектирано. (Във връзка с изявленията на Intel). ...и това наистина означава, че всички тези кръпки за смекчаване на проблема трябва да бъдат написани с мисълта „не всички процесори са боклук“.. (Във връзка с приложената корекция и засягаща всички x86-64 микропроцесори, включително AMD, въпреки че не е засегната с последваща загуба на производителност) Или Intel основно казва „ние сме ангажирани да ви продаваме лайна завинаги и завинаги, никога да не поправяме нищо“? [...] Защото, ако случаят е такъв, може би трябва да започнем да гледаме повече към страната на ARM64 (Във връзка с това дали Intel ще реши проблема или ще продължи да продава проблемни продукти). Моля, говорете с ръководството. Защото наистина виждам точно две възможности:

1. Intel никога не твърди, че поправя нещо.
2. Или тези решения имат начин да бъдат деактивирани.

Декларациите се отнасят до кода на приложеният пластир сериозно влошава работата CPU и засягат всички процесори в това семейство, независимо дали са засегнати от уязвимостта или не. Ето защо AMD посочи, че работят, за да предотвратят своите микропроцесори също да загубят производителността на пластира, тъй като те не са засегнати.

На какви процесори влияе?

Оттогава това е въпросът за милиони долари не само засяга Linux далеч от него, Това е проблем с чипове и следователно засяга както macOS, Windows, Android и дори iOS и т.н. Следователно това не е нещо конкретно и сега ще видим кои чипове са засегнати от този проблем с дизайна:

Микропроцесори, засегнати от топенето:

практически всички микропроцесори на Intel, произведени от 1995г Досега те са засегнати от този сериозен проблем, тъй като той се възползва от изпълнението извън ред, за да се възползва от него. Това означава лаптопи, настолни компютри, сървъри и суперкомпютри, използващи тези процесори, и дори някои мобилни устройства с чипове Atom и т.н. Изключение правят Intel Atoms, които използват изпълнение по ред (тези, които са излезли преди 2013 г., тъй като най-модерните Atoms използват OoOE), както и Intel Itanium, който никой няма да има у дома, тъй като те са предназначени за големи машини.

*В ПОСЛЕДНАТА МИНУТА: ARM Cortex-A75 също е засегнат от топенето. В момента само този модел изглежда засегнат, но вече знаете, че ARM лицензира IP ядра за други дизайнери на SoC и ако имат Cortex-A75, те също ще бъдат засегнати. Но изглежда, че в този случай ефектът е минимален ...

Лос AMD и ARM-базирани микропроцесори (Qualcomm, Samsung, Apple, Mediatek и др.) Не са засегнати от този проблем. Ако имате един от тези чипове можете да дишате спокойно... Това накара акциите на Intel да бъдат продадени и те да паднат на фондовия пазар по силен начин едновременно с увеличаването на AMD. Причината е, че AMD не позволява препратки към памет от този тип, включително спекулативни препратки, поради което те са неуязвими за Meltdown.

Засегнати от призрака микропроцесори:

В този случай броят на засегнатите устройства и чипове се разширява, тъй като виждаме също как таблети, смартфони, настолни компютри, лаптопи, сървъри, суперкомпютри и т.н. са засегнати. В този случай чиповете Intel са засегнати, всички тези ARM Cortex-A и AMD също могат да бъдат засегнати.

* В случай на ARM, това засяга голям брой SoC, които прилагат модифицирани дизайни или ARM IP ядра вътре като тези на Qualcomm Snapdragon, Samsung Exynox, Apple A-Series, Mediatek, NVIDIA (нямам предвид графичните процесори, но Базирани на ARM SoCs) и др.

*** Някои медии объркаха новината, но графичните процесори не са засегнати (вижте АКТУАЛИЗАЦИЯ (последна минута)).

** Сега преминаваме към случая с AMD, на официалния уебсайт на дизайнера на процесора можем да видим таблица, която ни води до оптимизъм и ни оставя малко по-спокойни:

Разликите в дизайна на AMD избягват проблемите, причинени от Meltdown, тъй като тези процесори не спекулират натоварвания на потребителски код директно в паметта на ядрото. А AMD ASID също блокира проблеми за гостуващи виртуални машини и root потребители на тях.

Микропроцесори, НЕ засегнати от Призрака:

Този списък с микропроцесори не съдържа уязвимости като Spectre, тъй като техният канал с инструкции е по-строг и е направен по ред (те не са OoOE микроархитектури) или защото включват характеристики, които ги правят имунизиранис. Някои може да изглеждат много стари, но други са доста модерни, както е в случая SPARC и AMD Zen. Така че, ако имате процесор, който е в следния списък, не трябва да се притеснявате за нищо:

• Силна ръка
• superSPARC
• Трансмета Крузо и Ефицеон
• Power PC 603
• Стар x86: Pentium I и клонинги, всички стари 8-битови и 16-битови чипове, IDT WinChip, VIA C3, 386 и клонинги, 486 и клонинги
• z80
• 6500 и други подобни
• 68k
• ARM Cortex-A7 MPCore (Raspberry Pi 2)
• ARM Cortex-A5
• ARM Cortex-A53 MPCore, въпреки че има различно изпълнение от предишните и с бифуркация, изглежда не е засегнат. Тук са включени Raspberry Pi 3 и някои смартфони и таблети като Qualcomm Snapdragon 625 ...
• Intel Atom преди 2013 г., т.е. тези, базирани на микроархитектури като Diamondville, Silverthorne, Pineview и др., Тъй като те не използват изпълнение извън поръчката.
• VIA C7 използва основна схема за прогнозиране на клонове, но те не са засегнати.
• Intel Itanium (IA-64)
• IBM POWER6 има ограничено предвиждане на клонове, така че изглежда неуязвимо.
• Xeon Phi и GPGPU
• Серия SPARC T
• AMD Дзен: Микропроцесорите Ryzen и EPyC имат интересни функции, за да могат да прекъсват или да бъдат неуязвими за Spectre. Тази конфигурация, за която говоря, е SME / SEV (Secure Memory Encryption & Secure Encrypted Virtualization), която би избегнала всяко възстановяване на паметта, което би могло да компрометира системата и виртуализационните среди.

Какво е решението?

aplicar корекции или актуализирайте нашата система, каквото и да е, и с Пластирите Ще имаме възможна загуба на производителност, която ще изясним в последната точка, но поне на ниво сигурност ще бъдем малко по-защитени. Кажете, че вече има кръпки срещу Meltdown за Linux и други операционни системи. Най-лошото е по отношение на устройства с Android, не всички от тях имат OTA актуализации ...

Можеш да видиш MÁS información за това в тези връзки:

• Линукс пощенски списък на Linux
• Проект Xen
• Intel
• AMD
• ARM
• Google
• Mozilla
• Debian
• Ubuntu
• SUSE
• Кардинал
• CERT
• VMWare
• Citrix

Каква е загубата на производителност?

Срещнахме се с две възможни решения:

1. По софтуер: Включва внедряване на кръпки за операционни системи macOS, Linux, Windows, iOS и Android, но те за съжаление не само решават проблема със сигурността, но ще направят системата ни по-бавна поради начина, по който те влияят на това изпълнение извън ред, спекулативното изпълнение или изтриване на TLB на нашия процесор с доста осезаеми загуби на производителност. Някои говориха за до 50% по-ниска производителност в нашия процесор, други по-малко негативни прогнози говорят за между 5 и 30% от загубената производителност в зависимост от типа софтуер, който използваме. Някои се опитват да успокоят алармата и твърдят, че някои тествани видео игри са дали само 2% загуба на производителност по отношение на FPS (само в случая на Linux, в Windows те не са анализирани), вече че във видеоигрите играта рядко иска да скочи в пространството на ядрото, но какво се случва с други програми и със софтуер, чийто код има много инструкции, зависими от състоянието ...? Тук загубата на производителност може да бъде значителна. Истината е, че някои като Intel и други уебсайтове са се опитали да успокоят потребителите и казват, че загубите на производителност няма да бъдат осезаеми за повечето домашни потребители и че това е проблем, който ще засегне центрове за данни, сървъри и суперкомпютри ... Какви прогнози вярваме ли? Истината е, че трябва да запазите спокойствие и да изчакате да видите какво ще се случи.
2. По хардуер: Включва преглед на текущите чипове и редизайн на настоящите микроархитектури, така че това да не се случи, което отнема много време и е много скъпо и не можем да очакваме решения скоро. Що се отнася до решението на Intel да замени чиповете на всички засегнати клиенти, мисля, че най-ясният отговор е: хахаха, изчакайте седнали. Това би означавало многомилионни загуби за компанията и не мисля, че това ще се случи.

Загуби в производителността няма да бъдат забелязани при всички приложения и всички модели на процесора по един и същи начин, очевидно, така че ще има модели, които са по-засегнати от другите. И това е страхотна кучка платете за чип от последно поколение и вижте, че за една от тези лепенки не можете да използвате ефективността му до 100%, но това е, което има, когато някои не си вършат добре работата.

Големи центрове за данни като тези на Amazon Web Service, Microsoft Azure и Google Cloud Поради този проблем, когато се използват микропроцесори Intel в техните сървъри, загубите на производителност се оценяват на около 20% в тези случаи, когато се обработват бази данни на SQL. Вярно е също, че други като Google казват, че загубата на производителност е незначителна.

АКТУАЛИЗАЦИЯ (последен час):

С течение на времето научаваме нови неща за този случай:

• Един от тях е дело срещу Intel това не е накарано да чака. По-конкретно, чип гигантът получи три от Съединените щати и вероятно ще дойдат още. Съдилищата в Калифорния, Индиана и Орегон бяха първите, които действаха по обвинения като невъзможност да се разкрие навреме съществуването на уязвимости, да се забавят процесорите им чрез актуализации и да не се защити безопасността на потребителите.
• Акциите на Intel падат, докато AMD се възстановяват и това също разкри действие, което, ако това не се беше случило, щеше да остане незабелязано. И това ли е Изпълнителният директор на Intel е продал почти половината от акциите си за месец точно преди разкриването на нарушението на сигурността. Брайън Крзанич се е разпоредил с акциите си и това, въпреки че казват от компанията, че няма нищо общо с новините, може да подскаже, че уж вече са знаели за проблема преди и затова са действали съответно.
• Се появи нови архитектури, засегнати от проблемаВъпреки че те не са толкова широко разпространени, те са важни за сървърите и суперкомпютрите. Говорим за IBM POWER8 (Little Endian и Big Endian), IBM System Z, IBM POWER9 (Little Endian) и ще видим дали скоро ще трябва да разширим списъка.
• El Ядрото на Linux е преработено закърпено, за да се предотврати сериозното въздействие на големите центрове за данни, сървъри и големи системи, които зависят от него. По-конкретно е докоснат KPTI (изолиране на таблицата на ядрото на страницата), който преди е бил известен като KAISER или в разговор FUCKWIT (насилствено демапиране на пълно ядро ​​с прекъсващи батути), който по-добре изолира потребителското пространство от пространството на ядрото в паметта, като разделя съдържанието в две таблици за пейджинг поотделно. Разделянето на масата постоянно прочиства TLB кеш с последващото увеличаване на повредите и необходимостта от повече тактови цикли за търсене на данни и инструкции в паметта, тоест намалява производителността значително и в зависимост от системните повиквания, които програмата прави, това ще повлияе горе-долу, най-малко избягвайте разтопяването да бъде взривено. Някои проактивни защити като ASLR са добавени и са внедрени в Linux 4.14.11 и други предишни версии на LTS: 4.9.74, 4.4.109, 3.16.52, 3.18.91 и 3.2.97.
• Оценки на загубите на производителност по-актуалните говорят за 5% загуба на производителност според това, което Линус Торвалдс коментира, но той също така казва, че при малко по-стари процесори, които не включват PCID, въздействието ще бъде много по-голямо.
• В момента изследователите по сигурността те не вярват, че тези неуспехи са били експлоатирани за извършване на атаки, поне важни.
• Люк Вагнер от Mozilla, инженер, специализиран в JavaScript и WebAssembly, твърди, че са направили PoCs и се потвърждава, че базирани на JavaScript атаки могат да се извършват чрез браузъри. Следователно те вече работят по решения ... Google работи и за актуализиране на Google Chrome и на 23 януари Chrome 64 ще бъде публикуван с изменението. В момента можем да направим следното:
  • Mozilla Firefox: Няма какво да се направи, те бяха натоварени да актуализират версиите си от 57, като модифицират функцията performance.now () и деактивират функцията SharedArrayBuffer и работят по други мерки за сигурност.
  • Google Chrome: междувременно можете да активирате защитни механизми за ръчно изолиране на уебсайтове. За това можете да получите достъп до адреса chrome: // flags / # enable-site-per-process и ние активираме опцията, маркирана в жълто, която казва Script Site Isolation. Ако имате Chrome на Android, можете също да получите достъп до тази опция в хром: // знамена но това може да доведе до конфликти или загуба на ефективност.
• Кръпките за отстраняване на проблемите причиняват на други повече от производителност. Например в Windows има проблеми с някои антивирусни програми и те се генерират сини екранни снимки от конфликта. Така че имате нужда от съвместим антивирус ...
• Google работи по актуализация който ще бъде публикуван днес на 5 януари 2018 г. за Android, но ще достигне само до тези телефони, които поддържат OTA актуализации, първият ще бъде Pixel 2, а останалото ще зависи от производителите на нашия терминал ...
• ябълка Той също така подготвя кръпки за iOS и macOS, но в момента не са направили изявления ... Изглежда, че в macOS High Sierra 10.13.2 проблемът очевидно е решен, но изглежда, че във версия 10.13.3 ще има още новини. Ще видим какво правят с iOS за своите iPhone и iPad.
• ARM Той също така предлага корекции за засегнатите процесори и вече са налични лепенки за ядрото на Linux, както и ни напомня да използваме ARM Trusted Firmware за допълнителна сигурност.
• Вино и софтуер за виртуализация Те са типовете софтуер, които биха могли да имат най-много загуби на производителност при изпълнението си поради броя на syscalls, необходими за тяхното изпълнение.
• Засегнати са не само компютрите и мобилни устройства, също и други устройства като свързани автомобили, промишлени системи, които имат SoC, базирани на засегнатите чипове, домашна автоматизация, определени IoT продукти и др.
• NVIDIA актуализира драйверите си за техните модели GeGorce, Quadro и NVS, тъй като те могат да бъдат засегнати от Spectre в техния контролер, затова те побързаха да актуализират драйверите. Но това не засяга самия графичен процесор ... това е проста актуализация на драйвера, за да се избегнат експлойти в уязвими системи, тъй като браузърите, антивирусната програма и другият софтуер също се актуализират. Новината за засегнатите графични процесори е фалшива ...
• Разширяване на засегнатите архитектури, Вече знаете, че Meltdown е само проблемът на Intel (както ARM, така и AMD не са засегнати в PoCs, извършени успешно), докато Spectre също засяга:

• Междувременно Intel продължава да пуска засегнати модели на пазара без да сте коригирали нещо отвъд кръпките. Бихте ли си купили микропроцесор днес, за който знаете, че е засегнат? Не само по-старите модели все още се продават на склад, но и моделите, пуснати сега, които току-що са напуснали фабриката, като Coffe Lake ...
• Ще продължим да разширяваме информацията и очакваме последния час, тъй като е вероятно да се появят нови мерки за противодействие на сигурността и също така е възможно да бъдат пуснати нови варианти, които да продължат да създават проблеми ...

Както казвам сапунената опера едва сега започна, и имам чувството, че ще бъдат написани много от тези новини, които се превърнаха в НАЙ-ГОЛЯМИЯТ СИГУРЕН ПРОПУСК В ИСТОРИЯТА:

Не забравяйте да оставите вашите коментари... Ако имате коментари за добавяне, съмнения или каквото и да било.