Alleen de Nieuwe Cpu ‘ s Kunnen Echt Fix ZombieLoad en Spectre

0
54
RMIKKA/Shutterstock

Huidige Cpu ‘ s hebben ontwerpfouten. Spectre blootgesteld, maar aanvallen als Voorbodes en nu ZombieLoad exploiteren vergelijkbare zwakke punten. Deze “speculatieve uitvoering” fouten kan pas echt worden opgelost door de aanschaf van een nieuwe CPU met ingebouwde bescherming.

Patches Vaak Vertragen Van De Bestaande Cpu ‘ S

De industrie heeft een verwoed klauteren om patch “side-channel attacks” als Spectre en Voorbodes, die truc van de CPU in het openbaren van informatie het is niet de bedoeling. Bescherming voor de huidige Cpu ‘ s beschikbaar gesteld door middel van de microcode-updates, het besturingssysteem-niveau fixes en patches voor toepassingen zoals web browsers.

Spectre correcties zijn vertraagd computers met oude Cpu ‘ s, hoewel Microsoft is over de snelheid ze weer omhoog. Het patchen van deze bugs vaak vertraagt de prestaties van bestaande Cpu ‘ s.

Nu, ZombieLoad roept een nieuwe bedreiging: om Te vergrendelen en beveiligen van een systeem van deze aanval volledig, moet je het uitschakelen van Intel ‘ s hyper-threading. Dat is de reden waarom Google gewoon uitgeschakeld hyperthreading op Intel Chromebooks. Zoals gebruikelijk, CPU van de microcode-updates, browser-updates en patches voor het besturingssysteem zijn op hun manier om te proberen om de plug in het gat. De meeste mensen zou niet nodig moeten uitschakelen hyper-threading als deze patches zijn in de plaats.

Nieuwe Intel Cpu ‘ s Zijn niet Kwetsbaar voor ZombieLoad

Maar ZombieLoad is niet een gevaar op systemen met de nieuwe Intel Cpu ‘ s. Intel stelt, ZombieLoad “is gericht op de hardware te beginnen met de 8e en 9e Generatie Intel® Core™ – processoren, evenals de 2e Generatie Intel® Xeon® Scalable processor familie.” Systemen met deze moderne Cpu ‘ s zijn niet kwetsbaar voor deze nieuwe aanval.

ZombieLoad slechts invloed op Intel systemen, maar Spectre ook beïnvloed AMD en sommige ARM-Cpu ‘ s. Het is een wereldwijd probleem.

Cpu ‘ S Hebben Ontwerpfouten, Waardoor Aanvallen

Als de industrie gerealiseerd wanneer Spectre gehouden zijn lelijke kop, moderne Cpu ‘ s hebben een aantal ontwerpfouten:

Het probleem hier is met “speculatieve uitvoering”. Voor de prestaties van moderne Cpu ‘ s voor het automatisch uitvoeren van instructies, ze denken dat ze nodig hebben om te rennen en, als ze het niet, ze kunnen gewoon terugspoelen en het systeem terug naar de vorige staat…

De kern van het probleem met beide Crisis en de Spectre ligt binnen de CPU-cache. Een toepassing kan een poging om te lezen geheugen en, als het leest iets in de cache, wordt de bewerking te voltooien sneller. Als het probeert om iets te lezen, niet in de cache, het zal langzamer. De toepassing kan zien of iets al dan niet voltooid snel of traag, terwijl alles anders tijdens de speculatieve uitvoering is opgeruimd en gewist, de tijd die het kostte om de bewerking kan niet worden verborgen. Vervolgens kan deze informatie gebruiken om te bouwen van een kaart van iets in het geheugen van de computer, een beetje op een moment. De cache sneller dingen, maar deze aanvallen profiteren van die optimalisatie en verandert het in een lek.

In andere woorden, de prestaties optimalisaties in de moderne Cpu ‘ s worden misbruikt. Code uitgevoerd op de CPU—misschien zelfs slechts JavaScript-code wordt uitgevoerd in een webbrowser kunnen profiteren van deze gebreken te lezen geheugen buiten de normale zandbak. In een worst-case scenario, een webpagina in een browser op het tabblad lezen kan uw online banking-wachtwoord vanaf een andere browser tab.

Of, op cloud servers, een virtuele machine kan snoop op de gegevens in de andere virtuele machines op hetzelfde systeem. Dit is niet de bedoeling te zijn mogelijk.

GERELATEERD: Hoe Zal de Crisis en de Spectre Gebreken van Invloed op Mijn PC?

Software-Patches Zijn Slechts Pleisters

Het is geen verrassing dat om te voorkomen dat dit soort van side channel aanvallen, patches hebben gemaakt Cpu ‘ s uit te voeren een beetje langzamer. De industrie is het toevoegen van extra controles uit te voeren naar een optimalisatie van prestaties laag.

De suggestie uit te schakelen hyper-threading is een vrij typisch voorbeeld: Door het uitschakelen van een kenmerk dat ervoor zorgt dat uw CPU sneller, je maakt het veiliger. Schadelijke software kan niet meer benutten die de prestaties van functie—, maar het zal niet de snelheid van uw PC meer.

Dankzij veel werk uit een heleboel slimme mensen, moderne systemen zijn redelijk goed beschermd tegen aanvallen als Spook zonder veel vertraging. Maar patches zoals deze zijn slechts pleisters op: Deze beveiligingslekken moeten worden vastgesteld op de CPU hardware niveau.

Hardware-niveau correcties zullen meer bescherming bieden—zonder het vertragen van de CPU. Organisaties geen zorgen hoeft te maken over of ze de juiste combinatie van de microcode (firmware) updates, patches voor het besturingssysteem en software versies om hun systemen te beveiligen.

Als een team van security onderzoekers gezegd in een onderzoek papier, deze “zijn niet alleen insecten, maar in feite, liggen aan de basis van optimalisatie.” CPU-ontwerp zal moeten veranderen.

Intel en AMD Zijn Gebouw Correcties In de Nieuwe Cpu ‘ s

Intel

Hardware-niveau oplossingen zijn niet alleen theoretisch. CPU-fabrikanten werken hard aan de architectonische veranderingen die zullen oplossen van dit probleem op de CPU hardware niveau. Of, zoals Intel zet het in 2018, Intel was “het bevorderen van de veiligheid op de silicium niveau” met de 8e generatie Cpu ‘ s:

We hebben vernieuwde delen van de processor te introduceren nieuwe niveaus van bescherming door middel van partitioneren dat beschermt tegen zowel [Spectre] Varianten 2 en 3. Denk dat van deze verdeling als extra “beschermende muren” tussen applicaties en gebruikersrechten niveaus te maken van een obstakel voor slechte acteurs.

Intel eerder aangekondigd dat haar 9e generatie Cpu ‘ s zijn van extra bescherming tegen de Voorbodes en Kernsmelting V3. Deze Cpu ‘ s worden niet beïnvloed door de onlangs onthuld ZombieLoad aanval dus die bescherming moet helpen.

AMD werkt aan veranderingen, ook, maar niemand wil te onthullen veel details. In 2018, AMD ‘ s CEO Lisa Su zei: “op Langere termijn, hebben wij de veranderingen in onze toekomst processor kernen, te beginnen met onze Zen 2 ontwerp, verdere mogelijke Spook-achtige exploits.”

Voor iemand die wil de snelste prestaties, zonder dat van alle patches die dingen te vertragen of om gewoon een organisatie die wil helemaal zeker van zijn servers zijn zo beschermd mogelijk—de beste oplossing zal zijn om te kopen een nieuwe CPU met die hardware-gebaseerde oplossingen. Hardware-niveau verbeteringen hopelijk zal voorkomen dat andere toekomstige aanvallen voordat ze ontdekt ook.

Niet-Geplande Veroudering

Terwijl de pers soms spreekt hij over “geplande veroudering”—een bedrijf met een plan dat de hardware zal achterhaald, dus je zult moeten om het te vervangen—dit is niet geplande veroudering. Niemand verwacht dat er zo veel Cpu ‘ s zou vervangen moeten worden voor de veiligheid.

De hemel is niet te vallen. Iedereen maakt het lastiger voor aanvallers om bugs zoals ZombieLoad. Je hoeft niet om de race uit en koop een nieuwe CPU nu. Maar een complete oplossing die geen pijn doet, zullen de prestaties van nieuwe hardware.