Apenas CPUs novas podem realmente consertar ZombieLoad e Spectre

As CPUs atuais têm falhas de design. Spectre os expôs, mas ataques como Foreshadow e agora ZombieLoad exploram fraquezas similares. Essas falhas de "execução especulativa" só podem ser resolvidas com a compra de uma nova CPU com proteção integrada.

Patches diminuem a velocidade de CPUs existentes

A indústria vem lutando freneticamente para consertar "ataques de canal lateral" como Specter e Foreshadow, que induzem a CPU a revelar informações que não deveriam. A proteção para CPUs atuais foi disponibilizada por meio de atualizações de microcódigo, correções em nível de sistema operacional e correções para aplicativos como navegadores da Web.

As correções de espectros desaceleraram computadores com CPUs antigas, embora a Microsoft esteja prestes a acelerá-las volte novamente. Corrigir esses erros geralmente diminui o desempenho em CPUs existentes.

Agora, o ZombieLoad gera uma nova ameaça: para bloquear e proteger totalmente um sistema desse ataque, é necessário desativar o hyper-threading da Intel. É por isso que o Google desativou o hyperthreading nos Chromebooks da Intel. Como de costume, as atualizações do microcódigo da CPU, as atualizações do navegador e os patches do sistema operacional estão a caminho para tentar fechar o furo. A maioria das pessoas não precisa desabilitar o hyper-threading quando esses patches estiverem instalados.

Novos CPUs da Intel não são vulneráveis ​​a ZombieLoad

Mas o ZombieLoad não é um perigo nos sistemas com novos processadores da Intel. Como diz a Intel, o ZombieLoad “é tratado em hardware, começando com os processadores Intel Core 8ª e 9ª Geração, bem como com a família de processadores escaláveis ​​Intel® Xeon® de segunda geração”. Os sistemas com essas CPUs modernas não são vulneráveis ​​a isso. novo ataque.

O ZombieLoad afeta apenas os sistemas da Intel, mas o Specter também afetou a AMD e alguns processadores da ARM. É um problema de todo o setor.

CPUs têm falhas de projeto, permitindo ataques

Como a indústria percebeu quando o Specter criou sua cabeça feia, CPUs modernas apresentam algumas falhas de design:

O problema aqui é com "execução especulativa". Por motivos de desempenho, as CPUs modernas executam automaticamente instruções que eles acham que precisam executar e, se não o fizerem, podem simplesmente retroceder e retornar o sistema ao estado anterior…

O problema principal com o Meltdown e o Spectre está no cache da CPU. Um aplicativo pode tentar ler a memória e, se ler algo no cache, a operação será concluída mais rapidamente. Se ele tentar ler algo que não está no cache, ele será concluído mais lentamente. O aplicativo pode ver se algo está completo ou não, e enquanto tudo o mais durante a execução especulativa é limpo e apagado, o tempo que levou para executar a operação não pode ser oculto. Em seguida, ele pode usar essas informações para criar um mapa de qualquer coisa na memória do computador, um pouco por vez. O cache acelera as coisas, mas esses ataques aproveitam essa otimização e a transformam em uma falha de segurança.

Em outras palavras, as otimizações de desempenho nas CPUs modernas estão sendo abusadas. O código em execução na CPU - talvez até mesmo código JavaScript em execução em um navegador da Web - pode aproveitar essas falhas para ler a memória fora de sua caixa de proteção normal. Na pior das hipóteses, uma página da Web em uma guia do navegador pode ler sua senha do banco on-line em outra guia do navegador.

Ou, em servidores em nuvem, uma máquina virtual pode espionar os dados em outras máquinas virtuais no mesmo sistema. Isso não é possível.

RELACIONADO: Como as falhas de fusão e espectro afetarão o meu PC?

Os patches de software são apenas Bandaids

Não é surpresa que, para evitar esse tipo de ataque de canal lateral, os patches fizeram com que os processadores executassem um pouco mais devagar. O setor está tentando adicionar verificações extras a uma camada de otimização de desempenho.

A sugestão para desabilitar o hyper-threading é um exemplo bastante típico: ao desabilitar um recurso que faz seu processador funcionar mais rápido, você está fazendo isso mais seguro. Os softwares mal-intencionados não podem mais explorar esse recurso de desempenho, mas isso não acelera mais o seu PC.

Graças a muito trabalho de muitas pessoas inteligentes, sistemas modernos foram razoavelmente protegidos contra ataques como Espectro sem muita lentidão. Mas patches como esses são apenas bandaids: essas falhas de segurança precisam ser corrigidas no nível de hardware da CPU.

As correções no nível do hardware fornecerão mais proteção, sem reduzir a velocidade da CPU. As organizações não precisam se preocupar se têm a combinação certa de atualizações de microcódigo (firmware), patches do sistema operacional e versões de software para manter seus sistemas seguros.

Como uma equipe de pesquisadores de segurança colocou em um trabalho de pesquisa, estes "não são meros bugs, mas na verdade, estão na base da otimização." Projetos de CPU terão que mudar.

Intel e a AMD está construindo consertos em novas CPUs

As correções em nível de hardware não são apenas teóricas. Os fabricantes de CPU estão trabalhando intensamente em alterações arquitetônicas que corrigirão esse problema no nível de hardware da CPU. Ou, como a Intel disse em 2018, a Intel estava “avançando a segurança no nível de silício” com processadores de 8ª geração: Nós redesenhamos partes do processador para introduzir novos níveis de proteção através do particionamento. que protegem contra as variantes 2 e 3 de [Specter]. Pense nesse particionamento como "muros de proteção" adicionais entre aplicativos e níveis de privilégio de usuário para criar um obstáculo para os agentes mal-intencionados.

anunciou que suas CPUs de 9ª geração incluem proteção adicional contra Foreshadow e Meltdown V3. Essas CPUs não são afetadas pelo ataque ZombieLoad recentemente revelado, então essas proteções devem estar ajudando.

A AMD também está trabalhando em mudanças, embora ninguém queira revelar muitos detalhes. Em 2018, Lisa Su, CEO da AMD, disse: “A longo prazo, incluímos mudanças em nossos futuros núcleos de processador, começando com o design do Zen 2, para abordar potenciais explorações semelhantes ao Specter.”

Para alguém que quer o desempenho mais rápido sem que quaisquer patches diminuam o ritmo - ou apenas uma organização que deseja ter certeza de que seus servidores estão protegidos o máximo possível - a melhor solução será comprar uma nova CPU com essas correções baseadas em hardware. Espera-se que melhorias em nível de hardware evitem outros ataques futuros antes mesmo de serem descobertas.

Obsolescência não planejada

Embora a imprensa às vezes fale sobre "obsolescência planejada" - um plano da empresa vai se tornar desatualizado, então você terá que substituí-lo - isso é uma obsolescência não planejada. Ninguém esperava que tantos CPUs precisassem ser substituídos por motivos de segurança.

O céu não está caindo. Todos estão tornando mais difícil para os invasores explorarem bugs como o ZombieLoad. Você não precisa sair correndo e comprar uma nova CPU agora. Mas uma correção completa que não prejudique o desempenho exigirá novo hardware.

Via: How to Geek