Názor ke zprávičce Nový útok na CPU Intel dostal jméno SPOILER od Miroslav Šilhavý - Notebooky se snad taky dají odpojit od všech...

Notebooky se snad taky dají odpojit od všech sítí, o tom to ale není. Výrobci procesorů prostě jedou po zisku, a bezpečnost asi neřeší.

To není úplně o honbě za ziskem. To je o jistém kompromisu ve výkonu. Technologie, které stojí za těmito slabinami, stojí také za velkým navýšením výkonu. Pokud chceme, aby určité části procesoru nezahálely, ale pracovaly např. na predikci zpracování, zároveň chceme, aby více jader a vláken sdílelo cache, nutně se to v pipeline potká a nutně bude měřitelný vliv z jednoho vlákna do druhého. Jediné řešení je všechny tyto technologie povypínat, ale to se z velké části technologicky vrátíme někam do dob Pentia 4.

Ve skutečnosti, jen málokdy je nutné mít takto dokonalou izolaci od sebe. Pokud např. mám svůj vlastní firemní server a na něm několik vlastních VPS, prakticky mě tato rizika nezajímají (sám sebe hackovat nebudu). Na veřejném hostingu se dá toto riziko účinně snížit např. tím, že budete úzkostlivě hlídat, aby jednotliví zákazníci nevěděli, které VPS spolu sousedí. Pak se totiž nedá vést žádný smysluplný vektor útoku.

O rizicích budu uvažovat na serverech, kde uživatelé, ať už přímo, nebo prostřednictvím nějaké aplikace, mohou spouštět vlastní kód. Tam už je riziko o něco větší, ale opět, o kolik? Jak moc smysluplná informace se dá spolehlivě získat těmito slabinami?

No a konečně, samotný operační systém může některé operace provádět s nastavenou afinitou na určité jádro procesoru a odizolovat ostatní od možnosti z citlivých informací čerpat ostatním. Zde bych chtěl možná jen upozornit, že nelze házet vinu jen na výrobce CPU, ale stejnou měrou rizika nedomysleli ani výrobci OS. O tom, jestli je to chyba, či vlastnost, jestli za to může výrobce CPU nebo OS, o tom se už vedly jiné nekonečné diskuse.