ProHoster > Blog > ειδήσεις στο διαδίκτυο > Το λογισμικό προστασίας LVI της Google σημείωσε επιτυχία 14 φορές

Το λογισμικό προστασίας LVI της Google σημείωσε επιτυχία 14 φορές

Zola Bridges από την Google πρότεινε για το σετ μεταγλωττιστών LLVM, μια ενημερωμένη έκδοση κώδικα με την εφαρμογή προστασίας SESES (Speculative Execution Side Effect Suppression), η οποία βοηθά στον αποκλεισμό επιθέσεων στον κερδοσκοπικό μηχανισμό εκτέλεσης σε επεξεργαστές Intel, όπως π.χ. HVAC. Η μέθοδος προστασίας υλοποιείται σε επίπεδο μεταγλωττιστή και βασίζεται στην προσθήκη οδηγιών από τον μεταγλωττιστή κατά τη δημιουργία κώδικα μηχανής LFENCE, τα οποία εισάγονται πριν από κάθε εντολή ανάγνωσης ή εγγραφής στη μνήμη, καθώς και πριν από την πρώτη εντολή διακλάδωσης στην ομάδα εντολών που τελειώνει το μπλοκ.

Η εντολή LFENCE περιμένει να δεσμευτούν όλες οι προηγούμενες αναγνώσεις μνήμης και απενεργοποιεί την προκατάληψη των επόμενων εντολών μετά το LFENCE μέχρι να ολοκληρωθεί η δέσμευση. Η χρήση του LFENCE οδηγεί σε σημαντική μείωση της απόδοσης, επομένως η προστασία προτείνεται να χρησιμοποιείται σε ακραίες περιπτώσεις για ιδιαίτερα κρίσιμο κώδικα. Εκτός από την πλήρη προστασία, η ενημερωμένη έκδοση κώδικα προσφέρει τρεις σημαίες που σας επιτρέπουν να απενεργοποιήσετε επιλεκτικά ορισμένα επίπεδα προστασίας για να μειώσετε τον αρνητικό αντίκτυπο στην απόδοση.

Στις δοκιμές που πραγματοποιήθηκαν, η χρήση της προστασίας SESES για το πακέτο BoringSSL οδήγησε σε μείωση του αριθμού των λειτουργιών ανά δευτερόλεπτο που εκτελούνται από τη βιβλιοθήκη κατά 14 φορές - η απόδοση της προστατευμένης έκδοσης της βιβλιοθήκης ήταν κατά μέσο όρο μόνο 7.1% της μη προστατευμένη έκδοση (παραλλαγή ανάλογα με τη δοκιμή από 4% έως 23%).

Για σύγκριση, προτείνεται Προηγουμένως, για το GNU Assembler, ένας μηχανισμός που εκτελεί αντικατάσταση LFENCE μετά από κάθε λειτουργία φόρτωσης μνήμης και πριν από ορισμένες οδηγίες διακλάδωσης έδειξε μείωση απόδοσης περίπου 5 φορές (22% του κώδικα χωρίς προστασία). Η μέθοδος προστασίας είναι επίσης προτείνεται и εφαρμόστηκε από μηχανικούς της Intel, αλλά τα αποτελέσματα δοκιμών απόδοσης για αυτό δεν έχουν ακόμη δημοσιευθεί. Αρχικά, οι ερευνητές που εντόπισαν την επίθεση LVI προέβλεψαν μείωση της απόδοσης κατά 2 έως 19 φορές κατά την εφαρμογή πλήρους προστασίας.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο