Časovaná bomba v procesorech – Meltdown a Spectre z pohledu HW

Jako Meltdown a Spectre byly nazvány zranitelnosti v procesorech, které pracují se spekulativními výpočty. Jde o možnost přečíst data z cache procesoru, která odložil, protože buď vedla k výsledku jednoho vlákna výpočtu pomaleji než z jiného (jiných vláken), nebo nevedla k výsledku vůbec. Vyplatí se čekat na nové procesory bez těchto zranitelností?
Jde o to, že procesor provádí více výpočtů stejné úlohy naráz a ta výpočtová vlákna, která nevedou k cíli, nebo která vedou k cíli pomaleji, jsou zastavena a jejich obsah je uložen do pomocné cache, která není chráněna proti přečtení. Dobře to vysvětluje například Red Hat. Meltdown a Spectre jsou od roku 1994 snad druhým největším incidentem v procesorech, a sice od chyby v matematickém koprocesoru Intel 486 který způsoboval chybu v Excelu. Tehdy do Intelu šili všichni jak do bouchacího pytle.

Intel však dnes není ohledně Meltdown a Spectre sám. Se spekulativními výpočty se jako první chlubil Intel. Dnes je využívají takřka všechny procesory, ze nejznámějších Intel, ARM (platforma x86), ale i IBM (platforma IBM Power) a Oracle s Fujitsu (platforma Sparc). Takže jde o vlastnost spíše než o chybu, která je stará… hodně dlouho. Prostě se jen na její zneužitelnost přišlo až po několika dekádách. Zranitelnosti si všimli někdy v polovině roku 2017. Pikantní zprávou je, že Intel údajně varoval jako první zákazníky v Číně, až pak doma. To je ale politická záležitost, protože Čína údajně uvažuje o výrobě vlastních procesorů do datacenter, zejména na dnes už otevřené RISCové platformě IBM Power (platforma Sparc od Sun Microsystems, dnes Oracle, byla otevřená světu od začátku). Čínský trh je nejen pro Intel samozřejmě velmi důležitý. Ví o tom své i Apple se svými iPhony.

Opět nenapadnutelný mainframe

Podle informací blízkých IBM sice jejich procesory v mainframech Series z (IBM/390) se spekulativními výpočty pracují, avšak odložená-zahozená data ukládají do cache zašifrovaná. S těmito kartami se tedy dále nehraje. Zato ostatní mají co skrývat.

Jak z toho ven?

Tuto otázku jsme položili právě OEM partnerům, vyrábějícím nejen PC a notebooky, ale i servery, kde jde o větší hrozbu než u domácích uživatelů. Jde o tradiční výrobce – Dell, Fujitsu (x86 a Sparc), HPE, IBM (Power), Lenovo, Oracle (x86 a Sparc), ale i Acer a Asus, SuperMicro (v ČR dodává Abacus Electric) a další. (Téměř) všichni se až na výjimky měli k akci (odpovědi) jak vládní vojsko v Itálii po první světové válce. Kromě toho jsme dostali odpovědi od výrobců serverového softwaru – Microsoftu, Red Hatu a Suse.

Abacus Electric – SuperMicro

Nejstručnější (a nejvýstižnější) odpověď dal jako první za OEM výrobce x86 dal Jan Petrák, Abacus Electric, dodavatel serverů SuperMicro:

Zranitelnosti Meltdown (GPZ3) a Spectre (GPZ1) by měly být zmírněny aktualizací OS a hypervisoru. Zranitelností Meltdown by měly být ohrožené pouze systémy Intel a některé ARM platformy. Řešení zranitelnosti Spectre GPZ2 na platformě Intel je zcela v rukou společnosti Intel. Jeden pokus o opravu firmware z konce ledna se společnosti Intel příliš nevydařil a je velkou neznámou, kdy bude druhý pokus a zda bude úspěšnější. Všichni výrobci serverů jsou v podobné situaci, kdy nejprve koncem ledna zveřejnili firmware s opravou chyby pro platformy Intel, aby o pár dní později instalaci těchto oprav uživatelům nedoporučili.

Vzhledem k tomu, že většina potencionálních zákazníků již nějaké postižené x86 provozuje, odkládat nákup dalších, v zásadě podobných systémů na příští rok, kdyby se na trhu měly objevit nové opravené procesory nemá asi příliš smysl.

Fujitsu

Za Fujitsu odpovídal Filip Snášel, PR a marketing: Společnost Fujitsu přistupuje k uvedeným možnostem zranitelnosti systémů s maximální pozorností a již v první polovině ledna jsme naše zákazníky informovali různými kanály o všech dotčených systémech z našeho portfolia. Zároveň samozřejmě distribuujeme informace o konkrétních opatřeních, které Fujitsu připravuje nebo již uvolnilo pro dotčené systémy. Současně s dodavateli procesorů pro naše systémy intenzivně pracujeme na řešení, které by odstranilo tyto zranitelnosti v budoucích modelových řadách. Systémy (mikroservery) s procesory ARM, například pro Hadoop, v ČR nedodáváme. Systémy Sparc Enterprise M series, tedy Fujitsu Sparc M10 a Fujitsu Sparc M12 nejsou CVE-2017-5754 (Meltdown) ovlivněny. Vliv CVE-2017-5753 and CVE-2017-5715 (Spectre) je aktuálně prošetřován.

Bezpečnost našich produktů a dat našich zákazníků pro společnost Fujitsu je prioritou číslo jedna. Neustále tedy spolupracujeme s našimi dodavateli na řešení uvedených chyb. Na jedné straně může být čekání na novou generaci čipů řešením samo o sobě, nicméně pokud někdo potřebuje obměnit hardware, čekat příliš nemůže. Pro takové zákazníky je bezesporu ideálním řešením nákup výkonu jako takového, což ve Fujitsu samozřejmě nabízíme.

Dell EMC

Z Dell EMC odpověděli, že společnosti jsou si vědomi bezpečnostní chyby v modulech Intel ME/TXE, která může vést k nežádoucímu zvýšení oprávnění. Společnost Dell EMC usilovně pracuje na aktualizaci pro postižené platformy. Jakmile budou k dispozici, budou do tohoto dokumentu doplněny podrobnosti o aktualizaci firmwaru pro tyto platformy. Doporučujeme zákazníkům, aby provedli aktualizaci svých systémů na nejnovější firmware pro modul Intel Management Engine a software iCLS. Opravené verze budou k dispozici ke stažení okamžitě po vydání. Doporučujeme zákazníkům, aby si prostudovali bezpečnostní pokyny společnosti Intel, včetně vhodných opatření pro identifikaci a zmírnění následků. Společnost Dell dále důrazně doporučuje vlastníkům postižených systémů, aby se ujistili, že jsou tyto jejich systémy podle možností fyzicky chráněny, a aby dodržovali vhodné bezpečnostní postupy zajišťující, že fyzický přístup k zařízením mají jen autorizovaní pracovníci.

Huawei, HP, HPE

Za Huawei se vyjádřila Magda Teresa Partyka, marketingová manažerka a citovala oficiální stanovisko společnosti Huawei (Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design) s tím, že odkaz obsahuje analýzu, které produkty Huawei jsou a které nejsou ohroženy, a dále doporučení, jak se vůči těmto chybám zachovat.

V HP Inc. (Hewlett-Packard „PC a tiskárny“) byli ještě stydlivější, reagovali pouze prostřednictvím agentury: „Od oznámení o zranitelnosti procesorů od společnosti Intel v HP aktivně spolupracujeme se svými partnery na tom, abychom zajistili bezpečnost a integritu dat našich zákazníků, a nabízíme pomoc těm, kteří už původně vydanou záplatu nainstalovali, s nastavením optimálního řešení pro jejich konkrétní podnikání a případy užití.“

Za HPE (Hewlett-Packard Enterprise) se nevyjádřil nikdo, ani prostřednictvím agentury. Společnost Lenovo se k situaci odmítla vyjádřit. Acer také neodpověděl (Acer sice vyrábí kromě PC a notebooku i servery, na lokálním trhu je však aktivně nedodává).

Asus, americký PC World a antimalware

Za Asus, jehož servery jsou nasazeny například v datacentru České Akademie věd, přišla prostřednictvím agentury odpověď, že většina potenciálních problémů (s PC a mobilními platformami) je víc spojena s reálnou činností uživatele, tzn. operačním systémem a aplikacemi, stačí dodržovat základní bezpečnost a odkaz na stránky amerického PC Worldu. Vysvětlení ohledně zranitelností PC a notebooků procesorovými chybami-vlastnostmi Meltdown a Spectre jsou sice v americké edici PC Worldu srozumitelné, avšak doporučení ohledně antimalwaru poněkud lascivní. Nicméně nás může těšit, že tři ze sedmi doporučovaných antimalwarů Eset, Avast, AVG, jsou „našeho“ původu. Názor PC Worldu je sice jasný, avšak poplatný zaměření časopisu – pro PC. Kromě toho není v jeho přehledu zmíněn antimalware, resp. funkčnost, která by mohla nějak ochránit ve virtualizovaném prostředí hypervisor (Eset, Bitdefender, Kaspersky, atp).

Co dělat?

Nejlepší je samozřejmě počítač – PC, notebook, smartphone nebo server vypnout, ale to nejde. Vzhledem k současné nedostupnosti zástupců společnosti Intel se u něj není koho zeptat (Intel před rokem omezil svoji kancelář pro ČR a SR z devíti lidí na tři a ke 31. 1. 2018 zde úplně „zavřel krám“).

Původní fix od Intelu pro serverové procesory Xeon měl mít za výsledek pokles výpočetního výkonu v řádu desítek procent (10 % až 50 % a více) v závislosti na typu úlohy. Oněch 50 % mělo být podle zdrojů blízkých společnosti Red Hat přes 50 % u databázových úloh a úloh intenzivních na I/O operace (vstup/výstup).

Jedinou zprostředkovanou informací od Intelu přes zdroje blízké bylo, že nové notebooky (a PC) Lenovo s procesory Intel, využívající procesory Intel Core osmé generace mají „fix“ na tuto chybu v BIOSu, a že samotné procesory Intel mají být také „nějak“ ochráněny. Nárůst výkonu PC a notebooků Lenovo s Intel Core Gen8 má být cca 35 %, pokles výkonu po fixu má být 5 %. Dobrých 30 % k dobru… Lenovo kromě toho nabízí některé dvoupaticové servery s 1+1 procesorem Intel Xeon zdarma, tj. kromě onoho jednoho s tím druhým navíc.

Murphyho zákon pro software

Zatímco hardwarových chyb je málo, v softwaru se vždy nějaká najde. Murphyho zákon zní jasně: v každém softwaru je minimálně jedna chyba. Bude-li program obsahovat jedinou řádku kódu, bude v něm chyba. V tomto případě však mají v ruce esa výrobci softwaru a házejí záchranný kruh výrobcům procesorů – od operačních systémů po hypervisory a antimalware.