Meltdown si Spectre – vulnerabilitati la granita dintre hardware si software

Scris de: , in categoria: Editoriale, Featured Articles, in 10 January, 2018.

Meltdown si Spectre

 
Am fondat LAB501 din pasiune pentru hardware, pentru performanta, pentru placerea de a configura, construi si optimiza la sange un PC. Si in cea mai mare parte a timpului, principala noastra preocupare pe acest site a ramas hardware-ul, motiv pentru care am intrat foarte rar in zona software. Mai mult decat atat, in cea mai mare proportie, articolele noastre sunt bazate pe teste, uneori zeci sau sute de teste, rulate in zeci sau sute de ore, cu scopul de a evalua in mod empiric performanta componentelor hardware, intr-un sistem de referinta bine pus la punct.

Apreciem si utilizam echipamente costisitoare, bine calibrate, capabile sa ofere o precizie ridicata. Ne bazam testele pe experienta a peste 10 ani de zile in domeniu, fiecaruia dintre noi trecandu-i prin mana sute de procesoare si placi video, testate in zeci de jocuri si benchmark-uri. Stilul nostru este clar, bine definit, prin urmare stiti ca aici gasiti teste si imagini cu cele mai noi componente si mai putin stiri, pareri personale despre diverse evenimente din domeniul IT sau noutati legate de software.

Din acest motiv, de-a lungul timpului nu am atins subiecte cum ar fi cripto-monedele, siguranta datelor, aprecierea sau deprecierea valorii unei companii la bursa, sau declaratii / actiuni ale unui reprezentant de varf de la o companie ale carei produse le testam. Am considerat intotdeauna ca exista alte site-uri pentru asa ceva, prin urmare nu am abordat astfel de subiecte, chiar daca uneori acestea au atras interesul unui numar urias de utilizatori (vezi cripto-monedele sau atacurile de tip ransomware).

De aceasta data insa, am simtit nevoia sa facem o exceptie, deoarece subiectul care a incins fibrele optice in jurul globului in ultima saptamana are o stransa legatura cu partea hardware, consecintele unor politici corporatiste, alegeri de design si nu in ultimul rand alegeri care intra in sfera deontologiei profesionale, putand avea efecte devastatoare pe termen lung, inclusiv (sau mai ales) in industria hardware, atat de draga noua.

Vedeti voi, mijlocul anilor 90 aducea progrese semnificative in industria IT, Intel lansand noi familii de procesoare care ofereau performante net superioare inaintasilor. Tot atunci aveam parte de sisteme de operare cu interfata grafica avansata, dar si de primii pasi in directia liberalizarii accesului la internet. Cred ca Pentium I / Pro / II si Windows 95 sunt nume cunoscute pentru voi, alaturi de Netscape Navigator si Internet Explorer. Ei bine, in aceeasi perioada erau implementate anumite concepte arhitecturale in noile procesoare, care permiteau executia operatiilor independent de ordinea instructiunilor, respectiv tehnici de predictie pentru optimizarea fluxului de date care urmau a fi procesate.

Practic, majoritatea procesoarelor produse in ultimele doua decade utilizeaza astfel de optimizari arhitecturale (out of order execution, speculative execution, etc.), insa acestea fac parte dintr-un arsenal mult mai vast de optimizari pe care fiecare producator il exploateaza si il implementeaza conform directiei pe care doreste sa o urmeze. Discutam despre putere de calcul, eficienta, procesare paralela, frecventa, consum si nu in ultimul rand securitate a datelor.

Pe langa putere de calcul si eficienta energetica, unul dintre domeniile din ce in ce mai intens studiate in ultimii 20 de ani a fost securitatea datelor, expansiunea internetului si a dispozitivelor mobile crescand in mod exponential atat numarul atacurilor informatice, cat si diversitatea acestora. Din acest motiv, atat producatorii de hardware cat si producatorii de software si integratorii de solutii acorda o atentie sporita securitatii, asa cum ar fi si normal.

Desigur, asta nu a insemnat ca nu am putut asista la aparitia a zeci de mii de virusi, troieni, viermi si alte tipuri de programe malitioase, numarul acestora crescand exponential in ultimii ani. Cu toate acestea, in majoritatea cazurilor sunt exploatate vulnerabilitati software, exploit-urile hardware fiind mai putin intalnite prin comparatie cu diversele “scapari” intalnite in cazul sistemelor de operare.

Un semnal de alarma legat de posibile vulnerabilitati hardware a fost tras la inceputul anului trecut, cand au fost descoperite probleme la nivel de firmware (Active Management Technology (AMT), Standard Manageability (ISM), Small Business Technology (SBT) ) integrate in Intel Management Engine (ME). Intel ME este un microprocesor care ruleaza independent de procesor si de sistemul de operare, fiind dotat cu un mini sistem de operare (Minix 3.0), webserver, acces la unitatile de stocare si retea. Aparent, toate procesoarele Intel lansare in ultimii 10 ani, incepand cu Nehalem, erau vulnerabile la atacuri externe, datorita Intel ME.

Problema a fost rezolvata prin update-uri de firmware, noi versiuni de BIOS, precum si prin posibilitatea de a dezactiva complet Intel ME, insa un prim semnal de alarma legata de vulnerabilitati hardware raspandite la scara larga in procesoare lansate in ultimii 10 ani fusese deja tras.

Urmatorul pas a avut loc in a doua jumatate a anului trecut, inainte de lansarea Coffee Lake, moment in care cercetatori din echipa Google Project Zero au comunicat in mod confidential producatorilor hardware descoperirea a trei vulnerabilitati hardware, impartite in doua categorii.

Primele doua, mai precis bounds check bypass (CVE-2017-5753) si branch target injection (CVE-2017-5715) au primit denumirea Spectre, permitand unui atacator sa obtina acces la informatiile procesate de diverse aplicatii sigure, prin fortarea schimbului de date intre aplicatii independente. Spectre afecteaza majoritatea procesoarelor produse in ultimii 20 de ani, indiferent daca discutam despre Intel, AMD, Apple, Qualcomm s.a.m.d. Spectre este o vulnerabilitate dificil de exploatat, insa, in acelasi timp, rezolvarea software a problemei prin aplicarea unui patch este de asemenea ceva mai dificila.

Cel de-al doilea tip de vulnerabilitate (rogue data cache load (CVE-2017-5754)) a primit denumirea Meltdown, deoarece “topeste” granitele intre software, kernell, procesor si memorie, un potential atacator putand accesa din retea date din memoria RAM. Meltdown afecteaza exclusiv procesoarele produse de Intel, in principiu fiind afectate toate procesoarele de la Sandy Bridge si pana in prezent.

Desigur, principalul domeniu afectat este cel corporate, mai precis serverele si operatiunile cloud-based, un utilizator casnic care foloseste un router configurat corect, eventual si un firewall, fiind protejat. Cu toate acestea, in momentul in care lucram de pe notebook, de exemplu, ne vom conecta uneori si la retele care nu ofera astfel de sisteme de protectie, prin urmare problema trebuie rezolvata.

Modul in care aceste vulnerabilitati sunt macar partial eliminate este unul destul de complex, fiind legat atat de update-uri de BIOS si update-uri ale sistemului de operare cat si de unii driveri. De asemenea, in urma aplicarii patch-urilor, pot aparea scaderi de performante in anumite situatii (operatiile 4K in cazul SSD-urilor NVMe de exemplu). Cum cei de la Google au facut datele publice in urma cu o saptamana, ne-am gandit ca nu ar strica sa va prezentam un caz concret de verificare a sistemului de operare / platformei hardware, respectiv de aplicare a procedurii de protectie.

 

Comentarii

18 comentarii la: Meltdown si Spectre – vulnerabilitati la granita dintre hardware si software

  1. Eduard Stoleru a scris pe:

    Merci pentru articol, foarte instructiv pentru utilizatorul obisnuit care obisnuieste sa preia “fake news”.
    Au venit updates inclusiv pe canalul Red Hat pentru Spectre si Meltdown, nu numai Microsoft reactioneaza 🙂

  2. TARCAU D DRAGOS a scris pe:

    Cum este posibil ? Din pacate foarte simplu, PROFIT ! Clientul nu mai conteaza, doar profitul. Daca ne aruncam un ochi in piata de jocuri vedem asta si mai pregnant. DLCuri, PASSuri, microtranzactii, lootbox uri samd. Profit ! Si atat!

  3. Dumitrescu Radu a scris pe:

    FFoarte bun articolul!In sfarsit si la noi in tara se implica si vorbeste detaliat ddespre aceste vulnerabilitati!

  4. Robert Cervencu a scris pe:

    UUn articol marca lab501,ce se intampla acum arata ca atat timp cat nu ai de unde s-a aalegi,producatori doar te trateaza cu c….!

  5. Amfetamina a scris pe:

    Si eu care tocmai mi-am comandat un upgrade de la haswell to cofee 😀 ,.brr! Sper ca e ultimul upgrade pe care il fac,(asa am promis sotiei) in conditiile in care jocurile sunt un mare shit remestecat si redigerat, mai ales in 2017.Toate aceste ”vulnerabilitati’ sunt masluite si stiute de toata lumea ‘buna’ !Bleah,.mercantilismul bbossilor din ‘IT’ e criminal!

  6. Test a scris pe:

    Nu inteleg lumea care se amabaleaza atat pt niste probleme de securitate.
    Pt servere si bussiness mai inteleg dar sa te agiti atat ca utilizator normal.?
    Normal ca din toata chestia asta reiese ca:
    Windows 7,8 BAD
    Windows 10 Good

    Old CPU BAD
    New Cpu Good

    Atata vreme cat ai windows si intel/AMD poti sa te astepti la asa ceva mai mult decat in cazul altor arhitecturi.

    Relax people.

  7. ropittbul a scris pe:

    Felicitari pentru articol !

  8. Necula Daniel a scris pe:

    Si in mod miraculos google si expertii lor ce au descoperit aceste vulnerabilitati , mmentioneaza ca cei cu platforme Android si servicii oferite de google sunt protejati. La naiba ! Facand o paralela cu ce marfuri alimentare se vand in mall-uri desi se stie ce calitate au nu stiu ce e asa de deosebit ca software sau hardware sunt probleme.
    Traim intr-o jungla,la propriu !

  9. Necula Daniel a scris pe:

    Cum ramane cu bug-ul referitor la schimbarea date 2000 la calculator ? Era prezentat aproape ca sfarsitul lumii. Iar oamenii s-au grabit sa cumpere scule noi.
    Asa ca … The true is out there !

  10. Monstru Post author a scris pe:

    Eduard – in mediul Linux s-au miscat imediat, de fapt de acolo a inceput tot.

  11. Dacus a scris pe:

    Cum zicea și Necula Daniel, țin minte câtă isterie a fost cu bug-ul anului 2000. Cum era dezbătut în toate revistele de profil, iar la TV (CNN) apăreau tot felul de experți care bătau apa-n piuă. Ba chiar și holivudu’ s-a băgat în joc. Chiar a fost un film în care se spărgeau niște conturi bancare ținând cont de updatarea serverelor etc.

    Putem specula însă pe marginea faptului că aceste “buguri” sunt de fapt niște “feature” ;), bune de utilizat la un moment sau altul de către diferite organizații neexistente, mai ales dacă “alții” își fac propriile sisteme de operare, utilizează propriile rețele de socializare etc. ca să ne se uite “dușmanul” la ei în casă așa ușor.
    Un “feature” la nivel hardware ar fi ideal pentru asemenea organizații neexistente.
    De la stuxnet încoace, orice este posibil.

  12. Laurentiu Roman a scris pe:

    MSI se pare ca de-abia a patch-uit bios-ul placii mele pentru Intel ME. Sa speram ca vor face la fel si pentru aceste doua vulnerabilitati, daca este posibila o mitigare la nivel de Bios.

    Chiar fiecare vulnerabilitate are nevoie de o mascota? Unde suntem, Japonia?

  13. DeMons a scris pe:

    Tot vad oameni care spun ca nu mai cumpăra Intel, cumpăra în continuare.
    Ori ca nu exista concurenta..
    Acum exista!

  14. Laurentiu Roman a scris pe:

    @DeMons, considerand ca Intel inca are un IPC formidabil comparat cu AMD, si ca vulnerabilitatea va afecta memoria ambelor arhitecturi, si ca AMD avea deja “probleme” cu memoria de pe cip.

    Nici nu stiu cat poate sa ajute o combinatie Ryzen Vega considerand ca deja si-au vandut sufletul inamicului.

  15. Liviu a scris pe:

    Frumos explicat ! Imi place articolul – felicitari si LA MULTI ANI pe noul an- am urmarit pe forum . Am urmarit din chiar 29decembrie , dar initial se vorbea doar de Intel , ca de fapt “buba majora” la ei este.

  16. Florin a scris pe:

    Și ce vom face noi ceilalți cu placi de baza mai vechi (h61m asta am eu)? Vom primi update de bios vreodata

  17. Monstru Post author a scris pe:

    Cel mai probabil nu…

  18. AMD a scris pe:

    In goana dupa performanta,producatorii de procesoare au uitat cel mai important lucru,securitatea datelor.Intel e campion la asta,Meltdown este asemanator lui Spectre, insa arhitectura Intel ii confera o mai buna libertate. Meltdown poate fi oprit doar cu un patch care sa reduca performantele procesorului cu pana la 30%.Asta spune mult despre lupta incorecta ce se duce intre competitori.Meltdown afecteaza doar procesoarele intel,repararea prin pach reduce performantele cu pana la 30%,asta spune mult despre cat de murdar se joaca acest joc,prea seamana cu problema emisiilor la Volkswagen.

Lasa-ne un comentariu: