Časovaná bomba v procesorech – Meltdown a Spectre z pohledu HW

Richard Jan Voigts , 05. březen 2018 06:30 8 komentářů
Časovaná bomba v procesorech – Meltdown a Spectre z pohledu HW

Jako Meltdown a Spectre byly nazvány zranitelnosti v procesorech, které pracují se spekulativními výpočty. Jde o možnost přečíst data z cache procesoru, která odložil, protože buď vedla k výsledku jednoho vlákna výpočtu pomaleji než z jiného (jiných vláken), nebo nevedla k výsledku vůbec. Vyplatí se čekat na nové procesory bez těchto zranitelností?

Jde o to, že procesor provádí více výpočtů stejné úlohy naráz a ta výpočtová vlákna, která nevedou k cíli, nebo která vedou k cíli pomaleji, jsou zastavena a jejich obsah je uložen do pomocné cache, která není chráněna proti přečtení. Dobře to vysvětluje například Red Hat. Meltdown a Spectre jsou od roku 1994 snad druhým největším incidentem v procesorech, a sice od chyby v matematickém koprocesoru Intel 486 který způsoboval chybu v Excelu. Tehdy do Intelu šili všichni jak do bouchacího pytle.

Intel však dnes není ohledně Meltdown a Spectre sám. Se spekulativními výpočty se jako první chlubil Intel. Dnes je využívají takřka všechny procesory, ze nejznámějších Intel, ARM (platforma x86), ale i IBM (platforma IBM Power) a Oracle s Fujitsu (platforma Sparc). Takže jde o vlastnost spíše než o chybu, která je stará… hodně dlouho. Prostě se jen na její zneužitelnost přišlo až po několika dekádách. Zranitelnosti si všimli někdy v polovině roku 2017. Pikantní zprávou je, že Intel údajně varoval jako první zákazníky v Číně, až pak doma. To je ale politická záležitost, protože Čína údajně uvažuje o výrobě vlastních procesorů do datacenter, zejména na dnes už otevřené RISCové platformě IBM Power (platforma Sparc od Sun Microsystems, dnes Oracle, byla otevřená světu od začátku). Čínský trh je nejen pro Intel samozřejmě velmi důležitý. Ví o tom své i Apple se svými iPhony.

Opět nenapadnutelný mainframe

Podle informací blízkých IBM sice jejich procesory v mainframech Series z (IBM/390) se spekulativními výpočty pracují, avšak odložená-zahozená data ukládají do cache zašifrovaná. S těmito kartami se tedy dále nehraje. Zato ostatní mají co skrývat.

Jak z toho ven?

Tuto otázku jsme položili právě OEM partnerům, vyrábějícím nejen PC a notebooky, ale i servery, kde jde o větší hrozbu než u domácích uživatelů. Jde o tradiční výrobce – Dell, Fujitsu (x86 a Sparc), HPE, IBM (Power), Lenovo, Oracle (x86 a Sparc), ale i Acer a Asus, SuperMicro (v ČR dodává Abacus Electric) a další. (Téměř) všichni se až na výjimky měli k akci (odpovědi) jak vládní vojsko v Itálii po první světové válce. Kromě toho jsme dostali odpovědi od výrobců serverového softwaru – Microsoftu, Red Hatu a Suse.

Abacus Electric – SuperMicro

Nejstručnější (a nejvýstižnější) odpověď dal jako první za OEM výrobce x86 dal Jan Petrák, Abacus Electric, dodavatel serverů SuperMicro:

Zranitelnosti Meltdown (GPZ3) a Spectre (GPZ1) by měly být zmírněny aktualizací OS a hypervisoru. Zranitelností Meltdown by měly být ohrožené pouze systémy Intel a některé ARM platformy. Řešení zranitelnosti Spectre GPZ2 na platformě Intel je zcela v rukou společnosti Intel. Jeden pokus o opravu firmware z konce ledna se společnosti Intel příliš nevydařil a je velkou neznámou, kdy bude druhý pokus a zda bude úspěšnější. Všichni výrobci serverů jsou v podobné situaci, kdy nejprve koncem ledna zveřejnili firmware s opravou chyby pro platformy Intel, aby o pár dní později instalaci těchto oprav uživatelům nedoporučili.

Vzhledem k tomu, že většina potencionálních zákazníků již nějaké postižené x86 provozuje, odkládat nákup dalších, v zásadě podobných systémů na příští rok, kdyby se na trhu měly objevit nové opravené procesory nemá asi příliš smysl.

Fujitsu

Za Fujitsu odpovídal Filip Snášel, PR a marketing: Společnost Fujitsu přistupuje k uvedeným možnostem zranitelnosti systémů s maximální pozorností a již v první polovině ledna jsme naše zákazníky informovali různými kanály o všech dotčených systémech z našeho portfolia. Zároveň samozřejmě distribuujeme informace o konkrétních opatřeních, které Fujitsu připravuje nebo již uvolnilo pro dotčené systémy. Současně s dodavateli procesorů pro naše systémy intenzivně pracujeme na řešení, které by odstranilo tyto zranitelnosti v budoucích modelových řadách. Systémy (mikroservery) s procesory ARM, například pro Hadoop, v ČR nedodáváme. Systémy Sparc Enterprise M series, tedy Fujitsu Sparc M10 a Fujitsu Sparc M12 nejsou CVE-2017-5754 (Meltdown) ovlivněny. Vliv CVE-2017-5753 and CVE-2017-5715 (Spectre) je aktuálně prošetřován.

Bezpečnost našich produktů a dat našich zákazníků pro společnost Fujitsu je prioritou číslo jedna. Neustále tedy spolupracujeme s našimi dodavateli na řešení uvedených chyb. Na jedné straně může být čekání na novou generaci čipů řešením samo o sobě, nicméně pokud někdo potřebuje obměnit hardware, čekat příliš nemůže. Pro takové zákazníky je bezesporu ideálním řešením nákup výkonu jako takového, což ve Fujitsu samozřejmě nabízíme.

Dell EMC

Z Dell EMC odpověděli, že společnosti jsou si vědomi bezpečnostní chyby v modulech Intel ME/TXE, která může vést k nežádoucímu zvýšení oprávnění. Společnost Dell EMC usilovně pracuje na aktualizaci pro postižené platformy. Jakmile budou k dispozici, budou do tohoto dokumentu doplněny podrobnosti o aktualizaci firmwaru pro tyto platformy. Doporučujeme zákazníkům, aby provedli aktualizaci svých systémů na nejnovější firmware pro modul Intel Management Engine a software iCLS. Opravené verze budou k dispozici ke stažení okamžitě po vydání. Doporučujeme zákazníkům, aby si prostudovali bezpečnostní pokyny společnosti Intel, včetně vhodných opatření pro identifikaci a zmírnění následků. Společnost Dell dále důrazně doporučuje vlastníkům postižených systémů, aby se ujistili, že jsou tyto jejich systémy podle možností fyzicky chráněny, a aby dodržovali vhodné bezpečnostní postupy zajišťující, že fyzický přístup k zařízením mají jen autorizovaní pracovníci.

Huawei, HP, HPE

Za Huawei se vyjádřila Magda Teresa Partyka, marketingová manažerka a citovala oficiální stanovisko společnosti Huawei (Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design) s tím, že odkaz obsahuje analýzu, které produkty Huawei jsou a které nejsou ohroženy, a dále doporučení, jak se vůči těmto chybám zachovat.

V HP Inc. (Hewlett-Packard „PC a tiskárny“) byli ještě stydlivější, reagovali pouze prostřednictvím agentury: „Od oznámení o zranitelnosti procesorů od společnosti Intel v HP aktivně spolupracujeme se svými partnery na tom, abychom zajistili bezpečnost a integritu dat našich zákazníků, a nabízíme pomoc těm, kteří už původně vydanou záplatu nainstalovali, s nastavením optimálního řešení pro jejich konkrétní podnikání a případy užití.“

Za HPE (Hewlett-Packard Enterprise) se nevyjádřil nikdo, ani prostřednictvím agentury. Společnost Lenovo se k situaci odmítla vyjádřit. Acer také neodpověděl (Acer sice vyrábí kromě PC a notebooku i servery, na lokálním trhu je však aktivně nedodává).

Asus, americký PC World a antimalware

Za Asus, jehož servery jsou nasazeny například v datacentru České Akademie věd, přišla prostřednictvím agentury odpověď, že většina potenciálních problémů (s PC a mobilními platformami) je víc spojena s reálnou činností uživatele, tzn. operačním systémem a aplikacemi, stačí dodržovat základní bezpečnost a odkaz na stránky amerického PC Worldu. Vysvětlení ohledně zranitelností PC a notebooků procesorovými chybami-vlastnostmi Meltdown a Spectre jsou sice v americké edici PC Worldu srozumitelné, avšak doporučení ohledně antimalwaru poněkud lascivní. Nicméně nás může těšit, že tři ze sedmi doporučovaných antimalwarů Eset, Avast, AVG, jsou „našeho“ původu. Názor PC Worldu je sice jasný, avšak poplatný zaměření časopisu – pro PC. Kromě toho není v jeho přehledu zmíněn antimalware, resp. funkčnost, která by mohla nějak ochránit ve virtualizovaném prostředí hypervisor (Eset, Bitdefender, Kaspersky, atp).

Co dělat?

Nejlepší je samozřejmě počítač – PC, notebook, smartphone nebo server vypnout, ale to nejde. Vzhledem k současné nedostupnosti zástupců společnosti Intel se u něj není koho zeptat (Intel před rokem omezil svoji kancelář pro ČR a SR z devíti lidí na tři a ke 31. 1. 2018 zde úplně „zavřel krám“).

Původní fix od Intelu pro serverové procesory Xeon měl mít za výsledek pokles výpočetního výkonu v řádu desítek procent (10 % až 50 % a více) v závislosti na typu úlohy. Oněch 50 % mělo být podle zdrojů blízkých společnosti Red Hat přes 50 % u databázových úloh a úloh intenzivních na I/O operace (vstup/výstup).

Jedinou zprostředkovanou informací od Intelu přes zdroje blízké bylo, že nové notebooky (a PC) Lenovo s procesory Intel, využívající procesory Intel Core osmé generace mají „fix“ na tuto chybu v BIOSu, a že samotné procesory Intel mají být také „nějak“ ochráněny. Nárůst výkonu PC a notebooků Lenovo s Intel Core Gen8 má být cca 35 %, pokles výkonu po fixu má být 5 %. Dobrých 30 % k dobru... Lenovo kromě toho nabízí některé dvoupaticové servery s 1+1 procesorem Intel Xeon zdarma, tj. kromě onoho jednoho s tím druhým navíc.

Murphyho zákon pro software

Zatímco hardwarových chyb je málo, v softwaru se vždy nějaká najde. Murphyho zákon zní jasně: v každém softwaru je minimálně jedna chyba. Bude-li program obsahovat jedinou řádku kódu, bude v něm chyba. V tomto případě však mají v ruce esa výrobci softwaru a házejí záchranný kruh výrobcům procesorů – od operačních systémů po hypervisory a antimalware.


Komentáře

R #0
R 05. březen 2018 23:24

V roku 1996 chyba v procesore 486? Nebolo to nahodou o dva roky skor a v novsom procesore? Dalej som tie sracky ani necital...

the.max 06. březen 2018 00:58

Také si myslím, onehdá koloval přece vtip o tom, proč nástupcem 486 je pentium a né 586. Pokud si vzpomínám, tak se říkalo, že na novém procesoru chtěli spočítat 486+100 a vyšlo jim 584,98769832 nebo tak nějak...

Richard Jan Voigts #2
Richard Jan Voigts 06. březen 2018 07:44

Pane R., a že si k nám občas nějaký článek nenapíšete, aby zde bylo konečně něco hodnotného?
Zde je však třeba dodržovat diakritiku a vynechat vulgarismy.
rjv

le mangina #3
le mangina 06. březen 2018 09:07

Nemusím být kuchař, abych poznal spálené jídlo.

elkora #6
elkora 12. březen 2018 18:08

Tak vulgarismy nepatřej nikam do společnosti, co taky čekat od čobola, Ale na druhou stranu má pravdu...Ta chyba byla v 5x86 ne ve 486...Proto Intel tehdá přišel o půlrok dřív s pentiem, který musel z počátku prodávat podtaktovaný na myslím 85 MHz kvůli nevyladěnýmu výrobnímu procesu. Zplať pábůh, že jsem koupil až P100...;)

4rldopeksp #7
4rldopeksp 15. březen 2018 12:37

Záleží, co rozumíte pod vulgárnostmi. Mně třeba nějaké to lidové slovíčko nevadí, ale za velmi vulgární a sprosté považuji např. osobní útoky, jaké vidím například ve vašem příspěvku...

A.K. #4
A.K. 08. březen 2018 23:04

S390 zranitelna samozrejme je.

melkors #5
melkors 12. březen 2018 09:32

"Nárůst výkonu PC a notebooků Lenovo s Intel Core Gen8 má být cca 35 %, pokles výkonu po fixu má být 5 %. Dobrých 30 % k dobru..."

Kdo to pocital???? Procenta se snad berou uz na zakladni skole :-(

Mimochodem: https bude kdy?

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30
Pavel Houser

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Lagardeová: Centrální banky by měly vydávat digitální měny

ČTK , 15. listopad 2018 08:00

Některé centrální banky, včetně švédské, kanadské a čínské, již uvažují o emisích digitálních měn ve...

Více 0 komentářů

Rostly ceny smartphonů, počítačů i tiskáren

Pavel Houser , 14. listopad 2018 11:53

Trh s technickým spotřebním zbožím zaznamenal podle statistik GfK v České republice ve 3. čtvrtletí ...

Více 0 komentářů

Zisk Foxconnu ve čtvrtletí stoupl o 18 %

ČTK , 14. listopad 2018 10:22

Apple varoval, že jeho předvánoční tržby budou horší, dodavatelům součástek Applu také hrozí slabší ...

Více 0 komentářů

Starší zprávičky

Macronova dohoda o zabezpečení kyberprostoru nemá podporu velmocí

ČTK , 14. listopad 2018 09:00

MIT: Bylo by lepší začít s užším projektem ve snaze zakázat kyberútoky na klíčovou infrastrukturu....

Více 0 komentářů

Vodafone se v pololetí kvůli odpisům a Indii propadl do ztráty

ČTK , 14. listopad 2018 08:00

Akcie firmy od začátku letošního roku klesly zhruba o 39 procent. ...

Více 0 komentářů

EY představila prototyp blockchainu pro privátní transakce v platformě Ethereum

Pavel Houser , 13. listopad 2018 10:41

Společnosti budou moci bezpečně provádět transakce díky sadě nástrojů a služeb EY Ops Chain Public E...

Více 0 komentářů

E-shopy čekají rekordní vánoční tržby 44 miliard Kč

ČTK , 13. listopad 2018 10:27

Obchodníci letos spustili marketingové kampaně už na přelomu října a listopadu, přestože Černý pátek...

Více 0 komentářů