Zkontrolujte, zda na vás Meltdown a Spectre nemá vliv a bráňte se !!!

Meltdown a Spectre Jsou trendy posledních dnů, prakticky se o ničem jiném nemluví a není se čemu divit, vždyť jde pravděpodobně o nejvýznamnější zranitelnosti v historii. Vážně ovlivňují bezpečnost našich systémů a pokud systém patří firmě nebo máte relevantní data, je problém mnohem závažnější. Vždy se však má za to, že jsou postiženy pouze stolní počítače, notebooky, servery a superpočítače, ale škody jdou ještě dále a postihují mnohem více zařízení, jako jsou zařízení založená na jádrech ARM a zahrnují tablety, smartphony a některá zařízení. IoT, průmyslová , domácí automatizace, dokonce i připojená auta.

Jak dobře víte, nejde v Linuxu o nic jedinečného, ​​ale spíše ovlivňuje různé operační systémy, jsou také ovlivněny Microsoft Windows a macOS, aniž bychom zapomněli na iOS a Android. Těmto hrozbám proto uniká jen málo, i když je pravda, že některé architektury CPU jsou ušetřeny a že pokud máme čip AMD, šance na zneužití těchto zranitelností jsou pravděpodobně menší, ale to neznamená, že neexistuje žádné riziko.

Jaká je současná situace pro Linux?

Linux v zásadě hýbe světemI když mnozí věří, že se jedná o systém, který se používá jen zřídka, je to naopak. Možná selhala v aspektu, který byl vytvořen pro desktop, a to je přesně jediný sektor, kde je ve srovnání se všemohoucím Windows menšinou ve srovnání s dobrou částí, kterou má Mac. Pokud půjdeme k vestavěným nebo vestavěným zařízením, servery, superpočítače atd., Linux je dominantní a právě internetové servery se stávají životně důležitými a bez něj lze prakticky říci, že by internet padl ...

Proto v Linuxu reagoval předtím než v jakémkoli jiném systému řešit problémy, které by Meltdown a Spectre mohli zanechat. Již Linus Torvalds Mluvil o této záležitosti několika drsnými slovy Intel a pokud se podíváte na LKML, uvidíte, že jde o věc znepokojení a je na denním pořádku. A jeho pravá ruka a číslo dvě ve vývoji linuxového jádra, Greg Kroah-Hartman to také udělal. Další informace najdete na stránce jeho osobní blog kde najdete dostatek informací.

• Meltdown: Greg v zásadě poznamenal, že pokud jde o Meltdown, můžete skončit na x86 výběrem zahrnout CONFIG_PAGE_TABLE_ISOLATION, izolace tabulky stránek (PTI) kterým by se počítače s procesory AMD, kterých se to netýká, měly vyhnout, aby se předešlo problémům s výkonem. Možná jste dokonce věděli, že některé počítače s čipem AMD přestaly bootovat, protože Windows patch způsobil vážné problémy. PTI bude standardně zahrnuto v Linuxu 4.15, ale vzhledem k jeho důležitosti z hlediska bezpečnosti bude zahrnuto v předchozích verzích, jako je LTS 4.14, 4.9 a 4.4 ... a pravděpodobně bude časem patch začleněn do mnoha dalších verzí , ale trpělivost, protože to pro vývojáře znamená přetížení práce. A také v některých instalacích virtuálních strojů narážejí na problémy související s opravami, jako je vDSO. Pokud jde o ARM64, který je mírně ovlivněn Meltdownem, což je pro Intel zásadní problém, čipy mnoha mobilních zařízení a dalších zařízení také potřebují opravu, i když se zdá, že se to krátkodobě nespojí s hlavním stromem jádra (možná v Linuxu 4.16, i když Greg poznamenal, že možná nikdy nedorazí kvůli množství předpokladů, které je třeba schválit), a proto je vhodné ve svých větvích 3.18, 4.4 a 4.9 použít konkrétní jádra, tj. Android Common Kernel. .
• Přízrak: druhý problém ovlivňuje více architektur a jeho řešení je složitější. Zdá se, že v krátkodobém horizontu nebudeme mít dobré řešení a že s tímto problémem budeme muset nějakou dobu koexistovat. Ve svých dvou variantách vyžaduje opravu systému a některé vývojové komunity určitých distribucí již začaly vydávat opravy, které jej zmírňují, ale poskytovaná řešení jsou různorodá a prozatím nebudou integrována jako součást hlavní větve jádra, dokud Nejlepším řešením je vidět, než návrháři CPU přijdou s nejlepším řešením (redesign svých čipů). Řešení byla prostudována a během cesty nacházejí určité problémy, například zvýšenou neznalost Spectra. Vývojáři potřebují nějaký čas, aby zjistili, jak se s tímto problémem vypořádat, a sám Greg poznamenal, že „V nadcházejících letech se bude jednat o oblast výzkumu, který bude hledat způsoby, jak zmírnit možné problémy s hardwarem, které se je také pokusí předpovědět v budoucnosti, než k nim dojde.".
• Chromebooky- Pokud máte notebook Google, budete rádi, že můžete vidět stav práce, kterou dělají při řešení Meltdown na tomto seznamu.

Jak snadno zkontrolovat, zda se mě to týká?

Abyste se vyhnuli prostudování tabulek nebo seznamů mikroprocesorů, zde navrhujeme scénář které vytvořili, abychom mohli snadno zkontrolovat, zda se nás to týká, nebo ne, jednoduše si je musíme stáhnout a spustit a řekne nám, zda nám hrozí nebezpečí ze Spectre a Meltdown. Pokyny nebo kroky, které je třeba dodržet, jsou jednoduché:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

Po provedení tohoto se zobrazí červené pole, které označuje, zda jsme zranitelní vůči Meltdown nebo Spectre, nebo zelené indikátory pro případ, že jsme v bezpečí varianty těchto zranitelností. V mém případě, například, s AMD APU (bez nutnosti aktualizace systému), byl výsledek:

Pokud byl výsledek červeně ZRANITELNÝ, přečtěte si následující část ...

Co dělat, když se mě to týká?

Nejlepším řešením, jak někteří říkají, je přepnutí na procesor nebo mikroprocesor, který není problémem ovlivněn. To však není možné pro mnoho uživatelů z důvodu nedostatku rozpočtu nebo jiných důvodů. Také výrobci jako Intel nadále prodávají postižené mikroprocesory a které byly spuštěny nedávno, například Coffee Lake, protože mikroarchitektury mají obvykle dlouhou dobu vývoje a nyní pracují na návrhu budoucích mikroarchitektur, které se objeví na trhu v příštích letech, ale všechny čipy, které jsou nyní komercializovány a které budou pravděpodobně komercializovány v nadcházejících měsících, budou i nadále ovlivňovány na úrovni hardwaru.

Proto v případě, že touto chorobou trpíme a potřebujeme ji „opravit“, nezbývá než opravit náš operační systém (nezapomeňte na prohlížeče atd.), Ať už je jakýkoli, a také aktualizovat všechny software, který máme. Pokud jsou dobře nakonfigurovány aktualizační systém Už to bylo velmi důležité, nyní více než kdy jindy musíte držet krok s aktualizacemi, protože s nimi přijdou patche, které řeší problém Meltdown a Spectre po softwarové stránce, ne bez ztráty výkonu, jak jsme již řekli. ..

Řešení není pro uživatele komplikované, nemusíme dělat nic „zvláštního“, jen se ujistěte, že vývojář naší distribuce vydal aktualizaci pro Meltdown a Spectre a že ji máme nainstalovanou. Více informací o tom.

Pokud chcete, můžete zkontrolovat, zda byla oprava nainstalována (je-li potřeba) pro Meltdown na vašem distro pomocí tohoto příkazu:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :(" 

*Dejte si pozor na jádro Ubuntu 4.4.0-108-genericNěkteří uživatelé nahlásili problémy se spuštěním počítače po aktualizaci a museli se vrátit k předchozí verzi. Zdá se, že Canonical to vyřešil v generické verzi 4.4.0-109 ...

Ztráta výkonu: v některých případech se hovořilo o 30%, ale bude to záležet na mikroarchitektuře. Ve starších architekturách může být ztráta výkonu velmi vážná, protože zvýšení výkonu, které tyto architektury mají, je založeno hlavně na vylepšeních poskytovaných prováděním OoOE a TLB ... V modernějších architekturách se mluví o 2% až 6 % v závislosti na typu softwaru spuštěného pro domácí uživatele, případně v datových centrech jsou ztráty mnohem vyšší (přes 20%). Jak uznává samotný Intel, po zpomalení toho, co k nim přichází, bude výkon v procesorech před Haswellem (2015) pokles výkonu mnohem horší než těch 6% i pro běžné uživatele ...

Nezapomeňte zanechat své komentáře s vašimi pochybnostmi nebo návrhy ...