Время работы: Пн-Пт 10-19
Корзина
Меню

Создатель Linux призывает выключить защитные механизмы «Чипокалипсиса»

Создатель Linux призывает выключить защитные механизмы «Чипокалипсиса» 28.11.2018

Защитные механизмы от нападения «Чипокалипсиса» будут автоматически активированы операционными системами. Это сильно отразится на скорости работы всех компьютеров. Создатель Linux полагает, что механизм SpectreV2 может стать сугубо опциональным.

Вред блокады «чипокалипсиса»

Л.Торсвальд, задумавший и воплотивший Linux, думает, что механизм защиты от атаки, называемой «Чипокалипсис», Spectre V2, реализуемая уровнем операционки должна быть отключена. Причина такого необычного мнения кроется в том факте, что созданные защитные механизмы в процессорах, которые имеют поддержку Hyper-Threading на большую долю процента (до 50%) способствует снижению скорости их работы.

В январе этого года появилась информация о том, что детали Intel несут уязвимости, позволяющие сделать возможными нападение спекулятивного исполнения построений.

С целью оптимизации скорости действия  CPU было запланировано ветвление команды. По этим данным производится их спекулятивная реализация. В том случае, если эти прогнозы считать ошибкой, то осуществление откладывается, но в кэше накапливается определенная информация. Это дает возможность злоумышленникам при содействии вредоносного программного обеспечения заставить компьютеры исполнить лживые предсказания и воспользоваться этими обстоятельствами для присвоения чужой информации.

В этой конструкции есть две реальные ошибки - Spectre и Meltdown, обнаруженные в январе 18 года в деталях ARM64, AMD и Intel.

Meltdown допускал пользовательские приложения к получению доступа к памяти ядер и прочим сегментам компьютера. Spectre разрушает изоляцию каждого приложения. Поэтому любой злоумышленник может получить свободный доступ к информации любых приложений. Все эти уязвимости в сумме и получили имя «чипокалипсис». И только гораздо позже стало ясно, что угроза реальна не только для центральных, но и для графических процессоров.

Прочие нюансы

Защитный механизм от Spectre и Meltdown включает, в каждом отдельном случае, введение патча в микрокоды процессоров или в операционку. Защитные механизмы от Spectre V2 реализуется в ядре Linux, начиная выпусками 4.20. Существенно позже защита была перенесена на ранние выпуски 4.19.2. Охранные механизмы носят имя Single Thread Indirect Branch Preditors (STIBP). Это расшифровывается как косвенные предикторы ветвлений одиночных потоков. Защита способна предотвратить использование механизмов предсказания разветвления в спекулятивном использовании инструкций процессором. Это гарантировано способствует блокированию возможностей вывода любой информации.

Это заставляет сильно снижаться производительность в машинах, которые поддерживают параллельное многопоточное исполнение команд - simultaneous multi-threading (SMT). Производительность замедляется настолько мощно, что экспертное мнение Л.Торсвальда сообщает о том, что большинство клиентов начинают подумывать, а нужна ли вообще такая защита. Л.Торсвальд говорит, что пользователи думают вообще отключить SMT. И люди, которых беспокоит собственная защита, так и поступают.

Руководитель инженеров - создателей ядра в лаборатории SUSE Labs И. Косина замечает, что в жизни атаки Spectre V2 могут предполагать применение Java Script в какой-либо из вкладок браузеров для осуществления нападений на личные данные, открытые в других программах. С высокой долей скептицизма Л.Торсвальд отвечает на это, что нападения Spectre реализуемы в меньших долях, чем в Meltdown.

Он говорит в рассылках для разработчиков о том, что нет того, кто наблюдал реальные атаки на рядовых владельцев ПК, которые в какой-то степени заботят ядро. Торсвальд замечает, что случаи с JavaScript — это проблемы браузера и ядро не в состоянии решить, что далее все программы будут работать вполовину медленнее.

Все это так ужасающе?

На самом деле нет. Не все полагают, что STIBP может оказать столь негативное влияние. Т.Чень - инженер центра открытых технологий Intel пишет, что все тесты показывают замедление работы всего на 21%. Действительная производительность ПК зависит от нескольких показателей, например от общей загруженности и состояния аппаратной части.

Л.Торсвальд говорит о том, что предложение последнего патча поможет сделать применение STIBP функциональным, а не гарантированным, как это происходит сейчас. Это мнение поддерживает А.в-д Вен, являющийся соразработчиком ядра Linux, а также авторитетным тестировщиком Intel. Он говорит о том, что документально зарегистрировано пожелание AMD использования STIPB в автоматическом режиме. Но и Интел руководствуется тем же соображением — лучше не запускать эту функцию автоматически, а применять подобные инструменты тогда, когда перед пользователем стоит серьезная задача, требующая решения или в случае установки сверхмощной безопасности при осуществлении строго фиксированного набора манипуляций. Всегда ее использовать не стоит.

Р. Гинятуллин ведущий специалист в сфере обеспечения личной безопасности корпорации SEC Consult Services, замечает, что IT-раздел часто предлагает решить задачи объема ресурсов, которые можно направить на обеспечение безопасности ПК. Антивирусы существенно тормозят работу операционки, а собственные защитные программы гарантировано будут тормозить запуск нужных приложений. Вопрос состоит в нахождении баланса — когда желание находиться в безопасности будет уравновешено стремлением работать быстро. Замедление система до 50% - слишком высокая плата за защиту от атак, потенциальная потеря при реализации которой у многих может вызвать вопросы.


Возврат к списку

Обратный звонок
Каталог товаров