Chyby v CPU Meltdown a Spectre
V čase, keď tieto riadky čítate, je váš počítač voči objaveným chybám už pravdepodobne chránený. Používatelia operačných systémov Windows, iOS či Linux už prostredníctvom aktualizácií dostali záplatu, ktorá zabráni zneužitiu zadných dvierok na prístup k vašim dátam. Kde sa ale chyby označované ako Meltdown a Spectre vôbec vzali? A aký je podľa testov reálny vplyv na výkon procesorov?
Podstata chýb Meltdown a Spectre
Už niekedy počas minulého roka došlo k objaveniu chyby v samotnej architektúre procesorov Intel. Tá siaha do ďalekej minulosti a je veľmi pravdepodobné, že ju obsahujú všetky CPU spoločnosti Intel vyrobené v posledných 20 rokoch. V čom presne problém spočíva?
Najčastejšie vykonávané úlohy sa procesory snažia vykonať s predstihom, aby ich v prípade potreby mohli iba rýchlo načítať z cache pamäte. Takýchto úloh vykonáva CPU rad, len niektoré z nich ale nájdu svoje uplatnenie. Ich pozostatky potom zostávajú uchované v cache pamäti, kým nie sú prepísané. A práve k týmto miestam sú v procesoroch otvorené postranné dvierka. Útok touto metódou sa nazýva Spectre a je ho možné aplikovať na Intel, ARM aj AMD procesory.
Kvôli architektonickým odlišnostiam a relatívne malému rozšíreniu sú majitelia procesorov AMD relatívne v bezpečí. V prípade Intelu je situácia odlišná a postihnuté sú všetky, vrátane aktuálne predávaných procesorov Skylake, Kaby Lake, Coffee Lake, Kaby Lake-X a Skylake-X. Chyby sa však týkajú aj vyložene serverových CPU Intel Xeon.
V prípade chyby Meltdown sú postihnuté procesory Intel a napodiv aj ARM Cortex-A75. V dôsledku hardvérovej chyby v návrhu procesorov dochádza pri načítaní špekulatívnych výpočtov k zásahu až do samotného jadra operačného systému. Útočník potom môže získať prístup k tým najcitlivejším údajom. Procesor totiž neskoro priradí používateľské práva na jednotlivé špekulatívne výpočty. Než dôjde k ich aplikácii, sú dáta útočníkom prečítané.
Možno si poviete, že vaše dáta nestoja nikomu za pomerne zložité sledovanie. Ale akékoľvek cloudové úložisko beží na virtuálnych serveroch, a práve táto chyba je kľúčom na čítanie rôznych procesov (súborov) v celom cloude. Na viacjadrové servery tak útočník s použitím inteligentného ransomware „preskakuje“ z jedného procesorového vlákna na druhé. To už je poriadny problém. Jedinou poľahčujúcou okolnosťou je, že dáta je možné iba čítať a nie je možné ich nijako poškodiť, alebo dokonca podvrhnúť. Čo s tým, najmä Intel, urobí?
Ochrana proti chybám Meltdown a Spectre
Prvé správy zo začiatku januára zneli hrozivo. Pokles výkonu až o 30 % by určite zaznamenal na svojom PC prakticky každý používateľ. Aká je však pravda? S miernym odstupom sa totiž už môžeme pozrieť na niekoľko nezávislých testov po prvej veľkej vlne zaplátania. V rámci aktualizácie došlo dokonca aj na doteraz nevídanú odstávku profesionálnej virtualizačnej platformy EC2 spoločnosti Amazon.
Spoločnosť Microsoft už v týchto dňoch záplatala prakticky všetky verzie Windows vrátane už inak nepodporovaného Windows XP. Svoje opravy dostalo pochopiteľne jadro Linuxu a samozrejme MacOS. Aktuálne došlo tiež ku kompletnej ochrane majiteľov telefónov iPhone alebo tabletov Apple iPad, konkrétne ide o iOS 11.2.2. Používatelia systému Android to majú horšie. Aktualizáciu totiž získajú len posledné generácie kľúčových telefónov veľkých značiek. Väčšina výrobcov sa totiž o predané telefóny veľmi nestará a neposkytuje pravidelné bezpečnostné záplaty. Je to taká daň za bezplatný operačný systém, ktorý je roztrieštený na tisíce rôznych hardvérových konfigurácií. Netreba ale panikáriť, vykonanie útoku je veľmi zložité a extrémne prácne, a tak relatívne nepravdepodobné.
Základné záplaty pre všetky aktuálne operačné systémy boli vydané už na začiatku januára. Pre plnú ochranu systému však niektorí výrobcovia po dohovore s Intelom pristúpili na aktualizáciu BIOSu základnej dosky. To sa neskôr ukázalo ako zdroj veľkého počtu náhodných reštartov. Počas písania tohto článku je zaplátanie pomocou nových BIOSu zastavené.
Meltdown a Spectre, reálny vplyv na výkon
Prakticky, najlepšie na tom sú majitelia iPhonov a iPadov, u ktorých je merateľný pokles na úrovni 2,5 %. V prípade starších modelov iPhone 6 alebo 6S je pokles vyšší, pokojne okolo 15 %. Nie je však možné spoľahlivo vyhodnotiť, či je pokles viazaný na bezpečnostnú aktualizáciu, alebo či ide o pokles daný nižším výkonom staršieho zariadenia s opotrebovanou batériou.
Spoločnosť Intel zmerala výsledky procesorov po aplikácii opráv Meltdown a Spectre. Vo väčšine prípadov ide o minimálny prepad.
U typických domácich počítačov z poslednej doby (od generácie Intel Skylake) je pokles opäť v rádoch malých jednotiek percent. Viditeľný rozdiel nie je ani v hrách, kde však podľa testov rastie celkové využitie procesora. V prípade starších procesorov je možné očakávať prepad o niečo vyšší, v rozmedzí 10 – 20 % (podľa tlačovej správy spoločnosti Intel sa pokles bude držať skôr okolo 10 %). To už je pomerne citeľný pokles. Vzhľadom na vek procesorov odporúčame upgrade na novú platformu.
Vlastníte moderný „Káčkový“ procesor značky Intel a chcete dohnať stratený výkon? Nie je nič jednoduchšie, než nechať na procesore odborne vykonať tzv. DELID. Neviete, čo to znamená? Máme pre vás nachystaný článok Čo je DELID procesora vrátane inštruktážneho videa.
Ešte vyšší pokles je však zaznamenaný u prevádzkovateľov veľkých datacentier, ktorý približne v 90 % vsádza na platformu Intel. Očakávaný prepad v prípade databázových serverov sa potom pohybuje nad 20 %, čo je naozaj veľa. Iste bude zaujímavé sledovať, ako sa s tým Intel vysporiada.
Ako je na tom Coffee Lake?
Možno vás v spojení s chybami Meltdown a Spectre zaujíma, ako sú na tom aktuálne predávané procesory radu Intel Coffee Lake. Áno, tipujete správne. Chyby obsahujú už z továrne a Intel nemá žiadnu šancu s tým niečo urobiť. Výhodou je, že po nainštalovaní operačného systému bude chyba automaticky opravená. Spätne však vychádza najavo, že Intel o chybe vedel ešte pred štartom predajov radu Coffee Lake.
Šéf spoločnosti Intel, Brian Krzan, v posledných dňoch ohlásil, že v druhej polovici roka 2018 sa na trh dostanú nové procesory vrátane opravených chýb. Bohužiaľ nijako zatiaľ nešpecifikoval, či pôjde o hardvérovo upravené existujúcej procesory Coffee Lake, alebo dôjde na vydanie úplne novej generácie.
Intel konečne pripravil záplaty chýb Meltdown a Spectre
Intel vyčlenil masívne ľudské zdroje na opravu chýb Meltdown a Spectre. Počiatočné problémy (zhruba od polovice januára do polovice februára) sú konečne odstránené a nič nebráni inštalácii update. Pôvodný plán s aktualizáciou mikrokódu CPU pomocou BIOSu je minulosť. Nielen, že by sa k takémuto kroku odhodlalo úplne mizivé množstvo používateľov, navyše ani výrobcovia pre staršie dosky nové verzie BIOSu už nevydávajú. Riešenie však našiel Microsoft a potrebnú aktualizáciu sprístupnil cez službu Windows Update. Zatiaľ sú k dispozícii aktualizácie pre staršie procesory generácie Haswell a Broadwell.
Finálna hardvérová oprava je stále pomerne ďaleko a zatiaľ je nutné ísť cestou softvérových záplat. Aktualizovaný mikrokód procesora sa aplikuje pri štarte systému a nie je nutné aktualizovať BIOS. V prípade veľkých datacentier, kde bežia stovky a tisícky serverov, však ide podľa mnohých nezávislých zdrojov o najväčšiu hrozbu v dejinách počítačov.
Zdroj obrázkov: Bleepingcomputer.com
