Solo le nuove CPU possono davvero risolvere ZombieLoad e Spectre

Logo ZombieLoad su una CPU Intel

RMIKKA/Shutterstock



Le attuali CPU hanno difetti di progettazione. Spectre li ha esposti, ma attacchi come Foreshadow e ora ZombieLoad sfruttano punti deboli simili. Questi difetti di esecuzione speculativi possono essere risolti solo acquistando una nuova CPU con protezione integrata.

Le patch spesso rallentano le CPU esistenti

L'industria si è affrettata freneticamente a correggere gli attacchi del canale laterale come Spectre e prefigurare , che inducono la CPU a rivelare informazioni che non dovrebbe. La protezione per le attuali CPU è stata resa disponibile tramite aggiornamenti del microcodice, correzioni a livello di sistema operativo e patch per applicazioni come i browser web.





Le correzioni dello spettro hanno computer rallentati con vecchie CPU , anche se Microsoft sta per accelerali di nuovo . La correzione di questi bug spesso rallenta le prestazioni delle CPU esistenti.

Ora, ZombieLoad solleva una nuova minaccia: per bloccare e proteggere completamente un sistema da questo attacco, devi disabilitare Intel iper-threading . Ecco perché Google ha appena disabilitato l'hyperthreading sui Chromebook Intel. Come al solito, gli aggiornamenti del microcodice della CPU, gli aggiornamenti del browser e le patch del sistema operativo stanno arrivando per provare a tappare il buco. La maggior parte delle persone non dovrebbe aver bisogno di disabilitare l'hyper-threading una volta che queste patch sono state applicate.



Le nuove CPU Intel non sono vulnerabili a ZombieLoad

Ma ZombieLoad non è un pericolo sui sistemi con nuove CPU Intel. Come Intel dice che ZombieLoad è indirizzato all'hardware a partire da determinati processori Intel® Core™ di ottava e nona generazione, nonché dalla famiglia di processori scalabili Intel® Xeon® di seconda generazione. I sistemi con queste moderne CPU non sono vulnerabili a questo nuovo attacco.

Annuncio pubblicitario

ZombieLoad riguarda solo i sistemi Intel, ma Spectre ha interessato anche AMD e alcune CPU ARM. È un problema a livello di settore.

Le CPU hanno difetti di progettazione, consentendo attacchi

Come l'industria realizzato quando Spectre ha alzato la sua brutta testa , le moderne CPU hanno alcuni difetti di progettazione:



Il problema qui è con l'esecuzione speculativa. Per motivi di prestazioni, le moderne CPU eseguono automaticamente le istruzioni che ritengono necessarie e, in caso contrario, possono semplicemente riavvolgere e riportare il sistema allo stato precedente...

Il problema principale sia con Meltdown che con Spectre risiede nella cache della CPU. Un'applicazione può tentare di leggere la memoria e, se legge qualcosa nella cache, l'operazione verrà completata più velocemente. Se prova a leggere qualcosa che non è nella cache, verrà completato più lentamente. L'applicazione può vedere se qualcosa viene completato velocemente o lentamente e, mentre tutto il resto durante l'esecuzione speculativa viene ripulito e cancellato, il tempo impiegato per eseguire l'operazione non può essere nascosto. Può quindi utilizzare queste informazioni per costruire una mappa di qualsiasi cosa nella memoria del computer, un bit alla volta. La memorizzazione nella cache accelera le cose, ma questi attacchi sfruttano tale ottimizzazione e la trasformano in un difetto di sicurezza.

In altre parole, si abusa dell'ottimizzazione delle prestazioni nelle moderne CPU. Il codice in esecuzione sulla CPU, forse anche solo il codice JavaScript in esecuzione in un browser Web, può sfruttare questi difetti per leggere la memoria al di fuori della sua normale sandbox. Nel peggiore dei casi, una pagina Web in una scheda del browser potrebbe leggere la password dell'online banking da un'altra scheda del browser.

Oppure, sui server cloud, una macchina virtuale potrebbe curiosare sui dati in altre macchine virtuali sullo stesso sistema. Questo non dovrebbe essere possibile.

IMPARENTATO: In che modo i difetti di Meltdown e Spectre influenzeranno il mio PC?

Le patch software sono solo dei cerotti

Non sorprende che per prevenire questo tipo di attacco al canale laterale, le patch abbiano rallentato le prestazioni delle CPU. L'industria sta cercando di aggiungere ulteriori controlli a un livello di ottimizzazione delle prestazioni.

Il suggerimento per disabilitare l'hyper-threading è un esempio piuttosto tipico: disabilitando una funzione che velocizza l'esecuzione della CPU, la rendi più sicura. Il software dannoso non può più sfruttare questa funzionalità di prestazioni, ma non accelererà più il tuo PC.

Annuncio pubblicitario

Grazie a un sacco di lavoro da molte persone intelligenti, i sistemi moderni sono stati ragionevolmente protetti da attacchi come Spectre senza troppi rallentamenti. Ma patch come queste sono solo dei cerotti: queste falle di sicurezza devono essere risolte a livello di hardware della CPU.

Le correzioni a livello di hardware forniranno maggiore protezione, senza rallentare la CPU. Le organizzazioni non dovranno preoccuparsi di disporre della giusta combinazione di aggiornamenti del microcodice (firmware), patch del sistema operativo e versioni software per proteggere i propri sistemi.

Come un team di ricercatori di sicurezza ha messo in a documento di ricerca , questi non sono semplici bug, ma di fatto sono alla base dell'ottimizzazione. I design della CPU dovranno cambiare.

Intel e AMD stanno costruendo correzioni nelle nuove CPU

Grafica hardware di protezione Intel Spectre che mostra le recinzioni.

Intel

Le correzioni a livello di hardware non sono solo teoriche. I produttori di CPU stanno lavorando duramente su modifiche all'architettura che risolveranno questo problema a livello di hardware della CPU. O, come ha affermato Intel nel 2018, Intel era aumentare la sicurezza a livello di silicio con CPU di ottava generazione:

Abbiamo ridisegnato parti del processore per introdurre nuovi livelli di protezione attraverso il partizionamento che proteggeranno da entrambe le varianti [Spectre] 2 e 3. Pensa a questo partizionamento come pareti protettive aggiuntive tra le applicazioni e i livelli di privilegio dell'utente per creare un ostacolo per i malintenzionati.

Intel ha precedentemente annunciato che le sue CPU di nona generazione includere una protezione aggiuntiva contro Foreshadow e Meltdown V3. Queste CPU non sono interessate dall'attacco ZombieLoad recentemente rivelato, quindi quelle protezioni devono essere d'aiuto.

Anche AMD sta lavorando a dei cambiamenti, anche se nessuno vuole rivelare molti dettagli. Nel 2018, il CEO di AMD Lisa Su disse : A lungo termine, abbiamo incluso modifiche nei nostri futuri core del processore, a partire dal nostro design Zen 2, per affrontare ulteriormente potenziali exploit simili a Spectre.

Annuncio pubblicitario

Per chi desidera le prestazioni più veloci senza che le patch rallentino le cose, o semplicemente per un'organizzazione che vuole essere completamente sicura che i suoi server siano il più protetti possibile, la soluzione migliore sarà acquistare una nuova CPU con quelle correzioni basate sull'hardware. Si spera che i miglioramenti a livello di hardware prevengano altri attacchi futuri prima che vengano scoperti.

Obsolescenza non pianificata

Mentre la stampa a volte parla di obsolescenza pianificata, il piano di un'azienda che l'hardware diventerà obsoleto, quindi dovrai sostituirlo, questa è obsolescenza non pianificata. Nessuno si aspettava che così tante CPU avrebbero dovuto essere sostituite per motivi di sicurezza.

Il cielo non sta cadendo. Tutti stanno rendendo più difficile per gli aggressori sfruttare bug come ZombieLoad. Non devi correre e acquistare una nuova CPU in questo momento. Ma una correzione completa che non danneggi le prestazioni richiederà nuovo hardware.

LEGGI SUCCESSIVO Foto del profilo di Chris Hoffman Chris Hoffman
Chris Hoffman è caporedattore di How-To Geek. Ha scritto di tecnologia per oltre un decennio ed è stato editorialista di PCWorld per due anni. Chris ha scritto per il New York Times, è stato intervistato come esperto di tecnologia su stazioni TV come la NBC 6 di Miami e ha avuto il suo lavoro coperto da organi di informazione come la BBC. Dal 2011, Chris ha scritto oltre 2.000 articoli che sono stati letti quasi un miliardo di volte --- e questo è solo qui su How-To Geek.
Leggi la biografia completa

Articoli Interessanti