Dagens Processorer har konstruktionsfel. Spectre exponerade dem, men attacker, som att Peka på och nu ZombieLoad utnyttja liknande svagheter. Dessa “spekulativ exekvering” brister kan bara verkligen vara fast genom att köpa en ny PROCESSOR med inbyggt skydd.
Fläckar Ofta Sakta Ner Befintliga Processorer
Branschen har varit frenetiskt kämpar för att patch “side-kanal attacker” som Spectre och Peka på, vilket trick CPU till att avslöja uppgifter som den inte borde. Skydd för nuvarande Processorer har gjorts tillgängliga genom uppdateringar mikrokod, operativsystem-nivå fixar och patchar till program som webbläsare.
Spectre fixar långsammare datorer med gamla Processorer, även om Microsoft är på väg att snabba upp dem igen. Korrigerar dessa fel ofta saktar ned prestanda på befintliga Processorer.
Nu, ZombieLoad höjer ett nytt hot: för Att låsa och säkra ett system från denna attack fullt ut, du har för att inaktivera Intels hyper-threading. Det är därför Google precis funktionshindrade hyperthreading på Intel Chromebook. Som vanligt, CPU mikrokod uppdateringar, uppdateringar för webbläsaren och operativsystemet plåster är på väg att försöka plugga hålet. De flesta människor inte ska behöva stänga av hyper-threading när dessa korrigeringsfiler är på plats.
Nya Intel-Processorer Är inte Utsatta för att ZombieLoad
Men ZombieLoad är inte en fara för system med nya Intel-Processorer. Intel uttrycker det, ZombieLoad “riktar sig i hårdvara börjar med att välja 8: e och 9: e Generationens Intel® Core™ – processorer, samt 2: a Generationens Intel® Xeon® Skalbar processor familj.” System med dessa moderna Processorer är inte utsatta för denna nya attack.
ZombieLoad bara drabbar Intel-system, men Spectre också påverkas AMD och några ARM-Processorer. Det är en industri som är hela problemet.
Processorer Har Brister Design, Gör Attacker
Eftersom branschen insåg när Spectre som föds upp sitt fula tryne, moderna Processorer har vissa brister design:
Problemet här är med “spekulativ exekvering”. Av prestandaskäl, moderna Processorer automatiskt köra instruktioner som de tror att de kan behöva för att driva och, om de inte, de kan bara spola tillbaka och återgår systemet till det föregående läget…
Grundproblemet med både Härdsmälta och Spectre ligger inom CPU-cache. En ansökan kan försöka att läsa minne och, om det står något i cache-minnet, kommer verksamheten att avsluta snabbare. Om man försöker läsa något som inte finns i cachen, det kommer att slutföra långsammare. Ansökan kan se om något är klar snabbt eller långsamt, och samtidigt som allt annat under spekulativ exekvering städas upp och försvinner, den tid det tog att utföra den här åtgärden kan inte vara dolda. Det kan sedan använda denna information för att bygga upp en karta av något i datorns minne, en bit i taget. Cachelagring hastigheter upp saker och ting, men dessa attacker dra nytta av att optimering och förvandlar den till en säkerhetsbrist.
Med andra ord, prestanda optimeringar i moderna Processorer är att det kommer att missbrukas. Kod som körs på CPU—kanske till och med bara JavaScript-kod som körs i en webbläsare—kan dra nytta av dessa brister för att läsa minne utanför sin normala sandlåda. I ett värsta-fall-scenario”, en webbsida i en webbläsare kan läsa din internetbank lösenord från en annan flik i webbläsaren.
Eller, om cloud server, en virtuell maskin kan snoka på data i andra virtuella maskiner på samma system. Detta är inte tänkt att vara möjligt.
RELATERAT: Hur Kommer Härdsmälta och Spectre Brister Påverkar Min DATOR?
Programfixar Är Bara Bandaids
Det är ingen överraskning att för att förhindra denna typ av sida kanal attack, fläckar har gjort Processorer utföra en lite mer långsamt. Industrin försöker att lägga till extra kontroller för att en prestanda optimering lager.
Förslaget att inaktivera hyperthreading är ett ganska typiskt exempel: Genom att inaktivera en funktion som gör att din CPU snabbare, du ska göra det säkrare. Skadlig programvara kan inte längre utnyttja att prestanda och funktion—men det kommer inte att snabba upp din DATOR längre.
Tack vare en hel del arbete från en massa smarta människor, moderna system har varit relativt skyddat från attacker som Spöke utan mycket nedgången. Men patchar som dessa är bara bandaids: Dessa säkerhetsbrister måste vara fast i CPU-hårdvara nivå.
Hårdvara-nivå korrigeringar kommer att ge mer skydd—utan att sakta ner PROCESSORN. Organisationer behöver inte oroa dig om huruvida de har rätt kombination av mikrokod (firmware) uppdateringar, patchar operativsystem och programversioner för att hålla sina system är säkra.
Ett team av säkerhet forskare uttryckte det i en uppsats, dessa “är inte bara fel, men i själva verket ligger till grund för optimering”. CPU-design kommer att förändras.
Intel och AMD Är att Bygga Fixar I Nya Processorer
IntelHårdvara-nivå fixar inte bara teoretisk. CPU-tillverkare arbetar hårt på arkitektoniska förändringar som kommer att fixa detta problem på CPU-hårdvara nivå. Eller, som Intel sätta det i 2018, Intel var “att främja säkerheten på kisel nivå” med 8: e generationens Processorer:
Vi har gjort om delar av processorn för att införa nya nivåer av skydd genom partitionering som skyddar mot både [Pekar] Varianter 2 och 3. Tänk på detta partitionering som ytterligare en “skyddande vägg” mellan program och användare privilegium nivåer för att skapa ett hinder för dåliga aktörer.
Intel har tidigare meddelat att dess 9: e generationens Processorer har extra skydd mot Peka och Härdsmälta V3. Dessa Processorer påverkas inte av den nyligen avslöjade ZombieLoad angrepp så att dessa skydd måste vara att hjälpa.
AMD arbetar på förändringar, också, även om ingen vill avslöja många detaljer. 2018, AMD: s VD Lisa Su sade: “på Längre sikt, har vi inkluderat förändringar i våra framtida processorkärnor, som börjar med våra Zen 2 design, för att ytterligare ta itu med potentiella Spectre-liknande bedrifter.”
För någon som vill ha den snabbaste resultat utan fläckar saktar ner saker eller bara för en organisation som vill vara helt säker på dess servrar är skyddade som möjligt—den bästa lösningen vara att köpa en ny CPU med de hårdvarubaserade lösningar. Hårdvara-nivå förbättringar kommer förhoppningsvis att förhindra framtida attacker innan de upptäckte också.
Oplanerade Inkurans
Samtidigt som pressen pratar ibland om “planerad föråldring”—ett företag som plan att hårdvaran kommer att bli föråldrade så att du måste ersätta det—detta är oplanerade inkurans. Ingen räknar med att så många Processorer skulle bytas ut av säkerhetsskäl.
Himlen är inte falla. Alla gör det svårare för en angripare att utnyttja buggar som ZombieLoad. Du behöver inte loppet ut och köpa en ny CPU just nu. Men en komplett fix som inte skadar prestanda kräver ny hårdvara.