Intel розкриває нові вразливості безпеки спекуляції

Intel розкриває нові вразливості безпеки спекуляції

Ще в січні 2018 року дослідники розкрили набір уразливостей, пов'язаних з тим, як сучасні процесори виконують функцію, відому як спекулятивне виконання. Spectre і Meltdown вважалися серйозними, тому що Spectre представляв цілий новий клас атак, а не окремий вектор атаки. Протягом більшої частини 2018 року «історія» навколо компанії Intel оберталася навколо її відповіді на ці атаки.

Майже через півтора року дослідники все ще шукають подібні класи проблем. Кілька нових вразливостей зламали покриття, і вони йдуть різними іменами, такими як ZombieLoad, RIDL і Fallout (як названо дослідниками). У сукупності Intel підсумовує їх як MDS - Мікроархітектурні вибірки даних. RIDL, для Rogue In-flight Data Load, був відкритий дослідниками Vrije Universiteit Amsterdam і Helmholtz Center Information Security. Fallout був знайдений групою в Технологічному університеті Граца, KU Leuven, Мічиганському університеті і політехнічному інституті Вустера. ZombieLoad був відкритий Грацем, Вустером і КУ Левен.

В архітектурі всі операції виконуються послідовно, і єдиними даними, що зберігаються в процесорі, є дані, необхідні для виконання операцій. Але можна перехопити мікроархітектуру, щоб шукати тонкі підказки про те, де зберігаються дані на чіпі, на основі відмінностей у часі щодо часу, необхідного для доступу до інформації. Вимірювання цих відмінностей дозволяє атакуючим зробити висновок про значення даних, що зберігаються в кеші або в буферах на чіпі. Недоліки попереднього класу Spectre, як правило, зосереджені на витіканні даних з кешу, але нові недоліки MDS витоку даних з буферів - крихітних сховищ даних, які використовує чіп для внутрішнього переміщення даних.

Наскільки серйозними є ці напади?

Існує трохи суперечок щодо того, наскільки серйозними є ці нові атаки, і я чесно скажу, що я трохи не задоволений тим, як деякі з цих новин були оприлюднені. Деякі з вас пам'ятають минулого року, коли передбачається, що дослідницька фірма CTS-Labs співпрацює з компанією з коротким продажем у грубій спробі атакувати ціну акцій AMD, оприлюднивши безліч критичних недоліків безпеки, які розкриваються буквально мається на увазі, що це може поставити ризик на життя. Абсолютно нічого з цих недоліків, які коротко продавець, Viceroy Research, також буквально передбачив, може зменшити вартість акцій AMD до нуля. Як ми обговорювали в той час, забруднюючи розкриття інформації за допомогою гіперболічних маркетингових заяв, щоб малювати питання набагато гірше, ніж вони насправді були, це категорично погана ідея, незалежно від того, кого цілеспрямовано або з якої причини.

Ситуація з Intel не є такою поганою, але вона показує деякі ті самі тривожні тенденції, які я обговорював минулого року. Дослідники вирішили оприлюднити свої зусилля на веб-сайті під назвою "CPU.fail", з страшною графікою і FAQ, які, здається, більше лякають, ніж інформують. Коли їх запитали, чи порушуються проблеми, які вони висвітлюють у дикій природі, вони просто заявляють: "Ми не знаємо". Але питання про те, наскільки серйозними є недоліки цих недоліків на практиці, є справжнім.

Невірно, ні. Не особливо нюанси, або.
Невірно, ні. Не особливо нюанси, або.

До цих пір ніякі атаки, які фактично використовують Spectre і Meltdown, не були помічені в дикій природі, крім доказової роботи, поданої дослідниками. Аналогічно, використання переваг MDS є більш складним, ніж передбачає цей веб-сайт. Зловмисники не можуть безпосередньо керувати тим, що в буферах, на які вони націлені, наприклад, що означає, що експлуатат може просочити старі, застарілі дані, які не цікавлять. Оновлення мікрокоду для систем з Sandy Lake через процесори Kaby Lake вже доставлені клієнтам. Перше покоління і наступні кавові озера і віскі Озера CPUs імунітету від цієї атаки вже. Вплив на ефективність виправлення оцінюється в ~ 3%.

Офіційна заява Intel говорить:

Мікроархітектурні вибірки даних (MDS) вже розглядаються на апаратному рівні в багатьох з наших нещодавніх 8-го і 9-го покоління процесорів Intel Core, а також другого покоління Intel Xeon Scalable Processor Family. Для інших пошкоджених продуктів, пом'якшення доступне через оновлення мікрокоду, у поєднанні з відповідними оновленнями операційної системи та програмного забезпечення гіпервізора, доступних з сьогоднішнього дня. Ми надали більше інформації на нашому веб-сайті та продовжуємо заохочувати всіх до оновлення своїх систем, оскільки це один з найкращих способів зберегти захист. Ми хотіли б висловити вдячність дослідникам, які працювали з нами та нашими партнерами в галузі, за їхній внесок у скоординоване розкриття цих питань.

До цього часу тон висвітлення цього питання широко варіювався. Дротовий приймає тон паніки, стверджуючи, що ці недоліки "дозволяють зловмисникам підслуховувати практично кожен шматочок вихідних даних, до яких торкається процесор жертви" і стверджуючи, що дослідники точні, що ці недоліки досить суворі. Intel стверджує, що вони мають середній і низький ступінь тяжкості, зважаючи на труднощі їх вилучення, відсутність практичних атак на практиці, і той факт, що оновлення мікрокоду та апаратно-фіксовані процесори вже є на ринку. Як відзначає PCMag:

На цій стадії уявлення про вибірку мікроархітектурних даних, виявлені сьогодні, є більш академічними. Поки що жодні реальні атаки, пов'язані з недоліками чіпу, ніколи не зустрічалися та не публікувалися. Велика причина, чому це, ймовірно, тому, що хакери можуть просто використовувати традиційну шкідливу програму для крадіжки даних з вашого ПК, а не вдаватися до втручання в процесор Intel.

Той факт, що не всі оновлюють свої ОС або апаратні засоби, є демонстрацією того, наскільки недосконалі ці рішення, але це питання, з якими ми маємо справу в безпеці ПК, поки у нас є ПК. Частина труднощів у вирішенні того, наскільки серйозним може бути недолік, є з'ясування того, які експерти слухати. Минулого року, наприклад, Theo de Raadt вирішив змінити поведінку FreeBSD за замовчуванням, відключивши Hyper-Threading, розглядаючи його як основний ризик безпеки. Інші виробники ОС не пішли настільки далеко, щоб попередньо відключити цю функцію. Чи є Hyper-Threading потенційним ризиком для безпеки? Так. Чи є це потенційним ризиком безпеки, достатньо серйозним, щоб існуючі користувачі вимкнули цю функцію? Експерти буквально не згодні. Чесна відповідь: "Це залежить", а не тому, що хтось хоче бути байдужим, а тому, що належні практики безпеки в будь-якій конкретній ситуації залежать від впливу загрози та вартості уможливлення виправлення.

Наскільки серйозно слід приймати ці загрози? Серйозно достатньо, щоб залатати, звичайно. Але минуле, реальні практичні наслідки досі невідомі. На сьогоднішній день ми не бачили Spectre або Meltdown атаку в дикій природі, яка представляла б загрозу для процесорів Intel (або будь-яких інших процесорів) будь-якого покоління. Це не означає, що не може відбутися, і це не звільняє Intel від відповідальності за забезпечення своєї продукції. Але це також не означає, що невидимі хакери зараз переривають ваші кишені через апаратні атаки, яких ви не знаєте. Не кожна вразливість безпеки стає практично експлуатованою авеню атаки. Поки що ці напади не мають.