Ne že bych chtěl Intel nějak obhajovat, ale kdyby se akademici začali šťourat například v procesorech AMD nebo Qualcomm, jistě by našli hromadu způsobů jak je zmanipulovat a dostat se do částí, kam se nikdo dostat nemá. Smutný je v mnoha směrech laxní přístup Intelu, ale snad se to začíná zlepšovat.
Z veřejně publikovaných informací ani nic takového vyplývat nemůže. Proč taky? Už jste někdy viděl, že se akademičtí pracovníci obhajují, proč zrovna bádají nad rakovinou slinivky, ale ne nad rakovinou prsu? Nehledě na to, že procesory AMD skutečně mají mnoho chyb, o kterých se prostě a jen nepíše. Už jen Schneier o několika sám píše a dokonce uveřejnil i některé rozhovory s vývojáři. Jen naivní a neinformovaný člověk si může myslet, že jen CPU Intel mají chyby. Každý procesor vytvořili lidé a tak do něj z principu zanesli i část svých chyb. Dále tu existují také nějaké principy Security through obscurity a podobné. A to ještě neřeším to, že mnoho chyb u Intelu má nešťastnou povahu hlavně proto, že jsou procesory používány k jiným věcem, než bylo původně zamýšleno apod. V neposlední řadě bych si dovolil podotknout, že bezpečnostní riziko Intel ME a AMD Secure procesor mají oba výrobci. Ovšem moc se to neřeší, protože se o tom spíše mlčí než naopak.
Mě poslední dobou připadá, že do Intelu všichni akorát kopou a nenechají na něm nit suchou. Když bylo AMD v háji s architekturou Buldozer, tak všichni jásali, jak je nová architektura Core úžasná.
Core, velmi úspěšná a rozšírená arhitektura s poměrně dlouhou historií, na které se staví (stavělo) dál, má chyby, které v době návrhu nikomu nedocházely v dnešních rozměrech (postraní kanály, přehazování bitů). Dost podobné je to s windows, kde jsou také prehistorické části kódu s prehistorickými chybami co pamatují minulé tisíciletí...
Co tím chci říct: u AMD Zen jsou chyby z návrhu na beton taky, jen se o nich neví. A okolo Intelu jsou pořád tanečky a každý si rád kopne, že to mají děravé - stále ty stejné chyby. U zranitelnosti popisované v článku se využívá dávno známý princim, jen k něčemu novému. Až to praskne na AMD bude se do něj kopat stejně? Bude.
OK, článek pana Krčmáře je napsán velmi korektně, jsou zde jiní autoři, u kterých cítím velkou zášť proti Intelu (ne jen na tomto portále), z části si za to Intel může sám, ale proč do něj kopat. Mě jako uživateli je vcelku jedno, čí děravý procesor mám, když v software je tolik chyb, které se dají zneužít snadněji, než třeba onkrétně tato chyba.
Objev chyby jistě ne, ale její interpretace už kopání být může. V "objevování" chyb u Intelu tomu tak zcela jistě v mnoha případech i je. Navíc jak píše "vogo", moc se všichni zaměřují na Intel a jednostranně se tváří, že Intel je původce všeho zla u CPU, není. Navíc se způsob použití jejich CPU a CPU obecně výrazně změnil a to je také další "hřebíček do rakve" v současnosti právě pro Intel. Jinak také znám daleko lepší možnosti, jak se dostat k citlivým datům a co má daný uživatel za CPU (AMD či Intel) je mi jedno. Na CPU bezpečnost nepadá ani nevisí a tak je ten povyk v takovém rozměru zbytečný.
Vtipem je, že AMD když navrhoval buldozer tak sice topil jak nevím co, ale nemělo takové rozsáhlé chyby.
Intel bohužel šlo přes mrtvoly a upřímně až teď je z toho skandál. A dalším vtipem je, že jejich prezentované benchmarky nikdy nebyli ovlivněné opravami. Takže vlastně zákazník kupuje "vtip". Další chyby můžou nastat, když se začne rejpat důkladně.
Architektonický inženíři od Intelu (a nějací od AMD) přepochodovali pod křídla amazonu, které jak víme investovalo nemalé peníze a hlavně čas vyřešit všechny problémy. Jinak Amazon CPU od samého začátku bylo navrhováno tak, aby spectre a meltdown nebyl nikdo schopen využít. Což vypovídá o nějakým průseru o kterém se už dávno vědělo. ;-) A dále se ignorovalo.
A jinak když už jsme u kopání... já před 7 lety jsem byl málem ukamenován, když jsem si kupoval A10-6700 od AMD. Tydle lidi pak přechodovali k AMD, takže vlastně slízáte vlastní jednotky.
Jinak Amazon CPU od samého začátku bylo navrhováno tak, aby spectre a meltdown nebyl nikdo schopen využít. Což vypovídá o nějakým průseru o kterém se už dávno vědělo. ;-) A dále se ignorovalo.
Byly doby, kdy (softwaroví) inženýři rozuměli platformě, věděli co mají očekávat a jak ji používat a nastavili podmínky běhu. Principy Core architektury byly popsány, jenže všichni se rozhodli je ignorovat. Je to stejné, jako obviňovat automobilku, že se v jejím autě někdo zabil, protože auto může jet moc rychle. Jak výrobce hardwaru, tak vendor softwaru jsou na jedné lodi - a není problém jenom Intelu, že sw architekti a vývojáři jsou nedouci, kteří se už ani nezajímají, jak funguje stroj, pro který vyvíjejí. Dnes už vývojáři nechtějí rozumět ani operačnímu systému, ani běhové platformě. Domnívají se (naivně), že všichni ostatní jsou zde od toho, aby domysleli nedomyslitelné.
Většinu chyb Intelu může úspěšně mitigovat nastavení jádra OS - ostatně Linux tyto mitigace implementoval až poté, co se o nich začalo mluvit. Ani jádroví inženýři se nenamáhali svůj výtvor udělat tak, aby byl odolný, ačkoliv to předpokládat mohli (měli).
Především to považuji za velkou hysterii. Všechny nalezené "chyby" jsou v praxi zneužitelné jen s vyvinutím velkého úsilí. Nějaká data se získat dají - ale útočník potřebuje získat buďto konkrétní data, nebo zpětně z dat vypreparovat, co znamenají. Pro desktop nebo pro vyhrazený server v běžné obchodní firmě nepředstavují prakticky žádné riziko. I proto se dá (nejen) v Linuxu mitigace chyb vypnout. By default je zapnutá právě kvůli této histerii a z důvodů předběžné opatrnosti (kdyby se následně našla metoda, jak je zneužít v praxi).
Platforma Core má svoji dokumentaci. Vyplývá z ní ale třeba to, že spekulace ovlivňuje cache, a tedy není jen implementačním detailem?
Dejme tomu, že ano. Potom:
* Je velmi složitá na pochopení.
* Je velmi složité a plné nástrah pro ni psát bezpečně.
* Zřejmě nebude zpětně kompatibilní se staršími x86/x64 procesory, ačkoli se tak prezentuje – tyto vlastnosti tu asi nebyly od nepaměti.
Můžeme se tedy hádat, kdo má vinu, ale platforma Core z toho asi nevyjde dobře, i pokud z toho formálně vyjde „nevinně“.
Já tím měl spíš na mysli, že v případech, kde jde opravdu o praktickou bezpečnost, měl by být vývojář a integrátor velmi opatrný s využíváním nových technologií. Málokdo rozumný nasadí mission critical aplikaci na sdílený server s vícero VPS - prostě z principu, protože je si vědom, že více funkcí a více lidí = více rizik.
* Je velmi složité a plné nástrah pro ni psát bezpečně.
Bezpečnost není obecná vlastnost, ale vždy musí být vztažena ke konkrétní situaci a ke konkrétní míře rizika. Asi se shodneme, že clearing ČNB musí mít jinou míru zabezpečení než desktop nebo vnitropodnikový server, a že spolehlivost desktopu se předpokládá jiná, než u řídicího střediska NASA.
Tak či onak, tyto legrácky kolem Intelu mě nechávají ledově klidným. Míru rizikovosti považuju za mnohořádově zanedbatelnější, než míru rizikovosti chyb v programech.
> * Zřejmě nebude zpětně kompatibilní se staršími x86/x64 procesory, ačkoli se tak prezentuje – tyto vlastnosti tu asi nebyly od nepaměti.
Ty chyby založené na měření odezvy cache jsou tam dlouho předlouho. Jenže až teď existuje dostatečně přesné měření spotřeby a času k tomu, aby šly využít. A většina těch nových chyb je ten samý princip aplikovaný na jinou část procesoru.
Rowhammer (princip popisované Pludervolt chyby) je navíc třeba daň za miniaturizaci (buňky se mohou ovlivnit díky malým rozestupům) a za tu Intel tak úplně nemůže.
O postranních kanálech a sledování teploty, spotřeby, proudových špiček a pod jsme se totiž učili už před dobrými patnácti lety. Jenže se to používalo na čipové karty, protože byly řádově jednodušší. A kryptografické algoritmy se proto už dávno píšou tak, aby neprozradily klíč různou délkou zpracování bitů 1 a 0.
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.