ZombieLoad e Spectre minacciano la tua CPU
Le patch rallentano spesso le CPU esistenti
L’industria è stata freneticamente impegnata a correggere attacchi “side-channel” come Spectre e Foreshadow , che inducono la CPU a rivelare informazioni che non dovrebbero. La protezione per le attuali CPU è stata resa disponibile tramite aggiornamenti del microcodice, correzioni a livello di sistema operativo e patch per applicazioni come i browser web.
Le correzioni di Spectre hanno rallentato i computer con vecchie CPU, anche se Microsoft sta per velocizzarle di nuovo . Patchare questi bug spesso rallenta le prestazioni sulle CPU esistenti.
Ora, ZombieLoad solleva una nuova minaccia: per bloccare e proteggere completamente un sistema da questo attacco, bisogna disabilitare l’hyper-threading di Intel . Ecco perché Google ha appena disabilitato l’hyperthreading sui Chromebook Intel. Come al solito, gli aggiornamenti del microcodice della CPU, gli aggiornamenti del browser e le patch del sistema operativo sono sulla buona strada per provare a tappare il buco. La maggior parte delle persone non dovrebbe aver bisogno di disabilitare l’hyper-threading una volta che queste patch saranno rilasciate.
Le nuove CPU Intel non sono vulnerabili a ZombieLoad
Ma ZombieLoad non è un pericolo per i sistemi con nuove CPU Intel. Come comunica Intel , ZombieLoad “si rivolge all’hardware partendo da processori Intel® Core ™ di 8a e 9a generazione selezionati, nonché dalla famiglia di processori Intel® Xeon® Scalable di seconda generazione”. I sistemi con queste moderne CPU non sono vulnerabili a questo nuovo attacco.
ZombieLoad influenza solo i sistemi Intel, ma Spectre ha colpito anche AMD e alcune CPU ARM.
Le CPU hanno difetti di progettazione
Le moderne CPU hanno alcuni difetti di progettazione:
Il problema qui è con “l’esecuzione speculativa”. Per motivi di prestazioni, le moderne CPU eseguono automaticamente le istruzioni che ritengono di dover eseguire e, in caso contrario, possono semplicemente riavvolgere e riportare il sistema al suo stato precedent …
Il problema principale con Meltdown e Spectre si trova nella cache della CPU. Un’applicazione può tentare di leggere la memoria e, se legge qualcosa nella cache, l’operazione verrà completata più velocemente. Se tenta di leggere qualcosa non nella cache, si completerà più lentamente. L’applicazione può vedere se qualcosa si completa velocemente o lentamente e, mentre tutto il resto durante l’esecuzione speculativa viene ripulito e cancellato, il tempo necessario per eseguire l’operazione non può essere nascosto. Può quindi utilizzare queste informazioni per costruire una mappa di qualsiasi cosa nella memoria del computer, un bit alla volta. Il caching accelera le cose, ma questi attacchi sfruttano questa ottimizzazione e la trasformano in un difetto di sicurezza.
In altre parole, le ottimizzazioni delle prestazioni nelle moderne CPU vengono abusate. Il codice in esecuzione sulla CPU, forse anche solo il codice JavaScript in esecuzione in un browser Web, può sfruttare questi difetti per leggere la memoria al di fuori della normale sandbox. Nel peggiore dei casi, una pagina web in una scheda del browser potrebbe leggere la tua password di banking online da un’altra scheda del browser.
Oppure, sui server cloud, una macchina virtuale potrebbe curiosare sui dati di altre macchine virtuali sullo stesso sistema. Questo non dovrebbe essere possibile.
CORRELATO: In che ecco come attaccano il vostro PC!
Le patch software sono solo cerotti
Non sorprenderti che per evitare questo tipo di attacco ai canali laterali, le patch hanno reso le CPU un po’ più lente. Il settore sta cercando di aggiungere controlli aggiuntivi a un livello di ottimizzazione delle prestazioni.
Il suggerimento per disabilitare l’hyper-threading è un esempio piuttosto tipico: disabilitando una funzione che fa girare la tua CPU più velocemente, la stai rendendo più sicura. Il software dannoso non può più sfruttare questa funzionalità, ma non accelera più il tuo PC.
Grazie a un sacco di lavoro da parte di molte persone intelligenti, i sistemi moderni sono stati ragionevolmente protetti da attacchi come Spectre senza impattare considerevolmente la velocità del PC. Ma patch come queste sono solo cerotti: questi difetti di sicurezza devono essere risolti a livello di hardware della CPU.
Le correzioni a livello hardware forniranno maggiore protezione, senza rallentare la CPU. Le organizzazioni non dovranno preoccuparsi di avere la giusta combinazione di aggiornamenti del microcode (firmware), patch del sistema operativo e versioni del software per proteggere i propri sistemi.
Come un team di ricercatori di sicurezza ha inserito un documento di ricerca , questi “non sono semplici bug, ma in realtà giacciono alla base dell’ottimizzazione”. La progettazione della CPU dovrà essere cambiata.
Intel e AMD stanno creando correzioni in nuove CPU
Le correzioni a livello hardware non sono solo teoriche. I produttori di CPU stanno lavorando sodo su modifiche architetturali che risolveranno questo problema a livello di hardware della CPU. Oppure, come Intel ha annunciato nel 2018, Intel stava “promuovendo la sicurezza a livello di silicio ” con CPU di 8a generazione:
Abbiamo ridisegnato le parti del processore per introdurre nuovi livelli di protezione tramite il partizionamento che proteggerà sia le varianti [Spectre] 2 e 3. Pensate a questo partizionamento come ulteriori “muri di protezione” tra applicazioni e livelli di privilegio dell’utente per creare un ostacolo per i cattivi attori.
Intel ha annunciato in precedenza che le sue CPU di 9a generazione includono una protezione aggiuntiva contro Foreshadow e Meltdown V3. Queste CPU non sono influenzate dall’attacco ZombieLoad recentemente rivelato, quindi quelle protezioni devono essere d’aiuto.
Anche AMD sta lavorando sui cambiamenti, anche se nessuno vuole rivelare molti dettagli. Nel 2018, il CEO di AMD, Lisa Su, ha dichiarato : “A lungo termine, abbiamo incluso cambiamenti nei nostri futuri core del processore, a partire dal nostro design Zen 2, per affrontare ulteriormente potenziali exploit tipo Spettro.”
Per chi desidera le prestazioni più veloci senza patch che rallentano le cose, o solo un’organizzazione che vuole essere completamente sicura che i suoi server siano il più protetti possibile, la soluzione migliore sarà acquistare una nuova CPU con quelle soluzioni hardware. Speriamo che i miglioramenti a livello di hardware possano prevenire altri attacchi futuri prima che vengano scoperti.
Obsolescenza non pianificata
Mentre la stampa a volte parla di “obsolescenza pianificata” – il piano di un’azienda che l’hardware diventerà obsoleto, quindi dovrai sostituirlo – questa è un’obsolescenza non pianificata. Nessuno si aspettava che così tante CPU avrebbero dovuto essere sostituite per motivi di sicurezza.
Il cielo non sta cadendo. Tutti stanno rendendo più difficile agli attaccanti sfruttare bug come ZombieLoad. Non devi correre e comprare una nuova CPU in questo momento. Ma una soluzione completa che non danneggia le prestazioni richiederà un nuovo hardware.
Social