якщо після Про ZombieLoad ви в паніці з'ясовуєте, як відключити функцію Intel Hyper-Threading, щоб запобігти використанню нової вразливості, схожої на Spectre і Meltdown, то зробіть глибокий видих - офіційне керівництво Intel фактично не рекомендує робити це для більшості випадків.
ZombieLoad аналогічна попереднім атакам по «побічним каналам» (англ. side-channel attack), що змушує процесори Intel відкривати доступ до потенційно конфіденційної інформації, яка зазвичай ізольована і доступна тільки для додатків, що її використовують. Дослідники з безпеки повідомили раніше, що ця вразливість присутня у більшості чіпів Intel і може бути використана у Windows, MacOS та Linux.
Intel зі свого боку не погоджується з тим, наскільки серйозним оцінюється ризик ZombieLoad. Компанія навіть вирішила дати ZombieLoad іншу назву - Microarchitectural Data Sampling (MDS) або мікроархітектурна вибірка даних. Погодьтеся, це звучить набагато менш страшно, ніж посилання до якихось зомбі.
«Вразливість MDS заснована на вибірці даних, що просочуються з невеликих структур у ЦП при використанні побічного каналу, що локально виконується, спекулятивного виконання», — пояснюють у компанії. «Практична експлуатація MDS є дуже складною справою. Сама по собі вразливість не дає зловмиснику спосіб вибрати ті дані, які він хоче отримати».
"MDS вже усунена на апаратному рівні в багатьох наших останніх процесорах Intel Core 8-го і 9-го покоління, а також у сімействі процесорів Intel Xeon Scalable другого покоління", - йдеться у повідомленні компанії. «Для інших порушених продуктів заходи щодо зниження ризику доступні за допомогою оновлення мікрокоду у поєднанні з відповідними оновленнями операційної системи та програмного забезпечення гіпервізора, які є доступними з сьогоднішнього дня. Ми надали на нашому веб-сайті і продовжуємо закликати всіх підтримувати свої системи в актуальному стані, оскільки це один із найкращих способів забезпечення безпеки».
Представники Intel також вказали і на те, що дослідницька група ZombieLoad працювала з компанією та іншими фахівцями в індустрії ПК, щоб виправити вразливість, перш ніж про неї буде публічно відомо. «Ми хотіли б висловити нашу подяку дослідникам, які працювали з нами, та нашим партнерам по галузі за їхній внесок у скоординоване вирішення цієї проблеми».
То що щодо Hyper-Threading?
Intel заявила, що відключення Hyper-Threading – не обов'язковий та не єдиний варіант для користувачів ПК. Насправді, за словами Intel, кожен клієнт сам вирішує, що робити. Якщо ви не можете гарантувати безпеку встановленого у вас програмного забезпечення, тоді так, мабуть, відключити Hyper-Threading – це гарна ідея. Якщо ж програмне забезпечення поставляється тільки з магазину Microsoft, з ІТ-відділу або просто встановлено з довірених джерел, на вашу думку, ви, ймовірно, можете залишити Hyper-Threading включеним. Все дійсно залежить тільки від того, наскільки ви переживаєте свою безпеку.
"Оскільки фактори значно різняться для різних клієнтів, Intel не рекомендує відключати Hyper-Threading, оскільки важливо розуміти, що це не єдиний шлях забезпечити захист від MDS і не забезпечує захист саме по собі", - йдеться в заяві компанії.
У той же час, реакції виробників операційних систем відрізняється один від одного.
Google випустив виправлення для Chrome OS, яке за промовчанням відключає Hyper-Threading для Chromebook. Люди, які хочуть увімкнути технологію мультипоточності назад, можуть зробити це самостійно, вважають у компанії.
Apple випустила оновлення для MacOS Mojave і повідомила, що клієнти компанії, особливо вимогливі до безпеки, можуть самостійно відключити Hyper-Threading.
Microsoft заявила, що випустила патчі для свого програмного забезпечення, щоб скоротити ймовірність використання MDS, але також зазначила, що клієнти мають додатково отримати оновлення прошивок від своїх виробників ПК.
У зв'язку з тим, що здебільшого постачальники операційних систем вирішили залишити Hyper-Threading увімкненим, загроза ZombieLoad, очевидно, не така серйозна, як це здавалося ще добу тому. До того ж, досі немає жодного відомого випадку використання вразливості у реальній атаці.
У цьому використання патчів без відключення технології Hyper-Threading майже знижує продуктивність процесорів Intel.
Але ви не повірите, якщо подивіться на Intel впливу патчів безпеки на продуктивність при відключеному Hyper-Threading. Компанія стверджує, що виправлення безпеки разом з відключенням Hyper-Threading підозрюють невеликий вплив на продуктивність.
Портал категорично не згоден з думкою Intel про те, що відключення Hyper-Threading не є особливою проблемою, хоча Intel і демонструє у своєму документі, що продуктивність практично не змінилася. Проблема полягає у штучності тестів Intel при відключенні Hyper-Threading, оскільки компанія не тестувала специфічні багатопотокові навантаження. Якби Intel взяла тести Blender, Cinebench або інші, розраховані на багатоядерні та багатопотокові процесори, ми відразу побачили б потужний провал у швидкодії.
Щоб підкреслити, наскільки важливою є технологія Hyper-Threading, можна просто подивитися на процесори Intel i9-9900K за $500 та i7-9700K за $375, головна відмінність яких полягає якраз у підтримці Hyper-Threading. Відключення Hyper-Threading на процесорах Intel – це неймовірний удар для всіх, кому важлива багатопотокова продуктивність.
Але є й хороша новина для тих, хто використовує нові процесори Intel. Як заявили в компанії, багато з останніх процесорів 8-го і 9-го покоління вже мають виправлення апаратного мікрокоду, тому власникам i9-9900K немає жодних причин відключати Hyper-Threading. Небезпека ZombieLoad, очевидно, вища для більш старих процесорів. Власники цих систем повинні будуть покладатися на оновлення операційної системи та програмного забезпечення, а також на роботу антивірусних рішень, що ними використовуються, щоб знизити ризик отримання шкідливого коду. А також ще раз нагадаємо той факт, що досі не відомо про жодну атаку, яка використовує ZombieLoad.
Джерело: 3dnews.ru