Ďalší operačný systém vypína na Inteloch Hyper-Threading

Značky: bezpečnosťkauza Meltdown a Spectre

DSL.sk, 10.9.2018

Po unixovom operačnom systéme OpenBSD vypína ďalší operačný systém na procesoroch Intelu štandardne Hyper-Threading, podporu ďalšieho virtuálneho jadra na každom fyzickom jadre.

Tentokrát ide tiež o operačný systém zameraný na bezpečnosť, Qubes OS zameraný na čo najbezpečnejší desktopový operačný systém a založený na Linuxe a Xene.

Kým v prípade rozhodnutia tvorcov OpenBSD z júna nie je jasné, ktorá zraniteľnosť najviac prispela k tomuto rozhodnutiu, v prípade Qubes OS je vypnutie priamou reakciou na zraniteľnosť L1TF známu tiež ako Foreshadow. L1TF je poslednou zverejnenou a veľmi vážnou zraniteľnosťou zo série zraniteľností typu Spectre a Meltdown, ktorá dovoľuje škodlivému neprivilegovanému kódu získať prístup k dátam z L1 cache pamäte na danom jadre potenciálne obsahujúcej ľubovoľné dáta z RAM.

Základným princípom Qubes OS postaveného na virtualizačnom riešení Xen je dosahovať bezpečnosť oddelením aktivít užívateľa do rozličných navzájom izolovaných virtuálnych strojov ale s pohodlným používaním na jednom desktope. Aj v prípade infikovania jedného ďalšie tak priamo nie sú ohrozené.

Proti zraniteľnosti L1TF bohužial ale v niektorých scenároch vrátane používania virtualizačného riešenia, keď na jednom jadre naraz môžu vďaka Hyper-Threadingu bežať potenciálne nebezpečný kód a naopak dôveryhodný kód, neexistuje účinná ochrana. V prípade Xenu nie je k dispozícii riešenie v prípade používania VM s hardvérovou akceleráciou, teda typov HVM alebo PVH, naopak pri používaní paravirtualizovaných PV VM je možné zneužitiu zabrániť na úrovni opraveného Xenu.

V prípade najnovšej verzie Qubes OS 4.0 používajúcej štandardne PVH a HVM tak tvorcovia Qubes v aktualizácii riešiacej L1TF štandardne vypínajú Hyper-Threading a jeho zapnutie neodporúčajú, keď nie je bezpečné.

V prípade predchádzajúcej stále podporovanej verzie 3.2 používajúcej ešte štandardne PV a využívajúcej HVM len voliteľne napríklad na beh Windows vypli Hyper-Threading tiež, ponúkajú ale návod ako ho opäť zapnúť zmenou bootovacej konfigurácie Xenu ak užívateľ nevyužíva žiadne HVM. Zároveň ale predpokladajú riziko ďalších podobných zraniteľností a aj užívateľom verzie 3.2 odporúčajú nechať Hyper-Threading vypnutý.

Oznámenie tvorcov Xenu naznačuje ešte ďalšie čiastkové riešenie v podobe priradenia používaných jadier napevno k jednotlivým VM, čo môže byť využité na izoláciu VM s potenciálne škodlivým kódom. Nie je ale jasné na akých jadrách beží samotný kód Xenu a či je takéto nastavenia možné trvalo nastaviť aj v Qubes OS.

Zmeny v Qubes OS boli sprístupnené zatiaľ v rámci testovacieho repozitára a v stabilných aktualizáciách sa majú objaviť do niekoľkých dní. Z oznámenia nie je jasné, či sú zmeny automaticky uskutočnené a Hyper-Threading vypnutý len na Intel CPU alebo aj ďalších x86 CPU vrátane AMD, na procesoroch tohto výrobcu zraniteľnosť L1TF ale nie je prítomná a z tohto dôvodu vypnutie Hyper-Threadingu nie je potrebné.




Najnovšie články:



Diskusia:

kedy vypnu Intel? Od: iovciciak | Pridané: 10.9.2018 10:05 ta firma ide dole vodou, nezachytili trend v mobilnych procesoroch a ARM sa im chysta sliapnut na krk aj v ich vacsom formate u NTB. Jedine, ze by si kupili akcie u ARM... Odpovedať Známka: 1.7 Hodnotiť:

Re: kedy vypnu Intel? Od: syntaxterrorX. XX | Pridané: 10.9.2018 10:13 Aby si kupili akcie u ARM, by trebalo marketingove vydaje na Qubes OS priekazne znacne navysit. Odpovedať Známka: -3.7 Hodnotiť:

Re: kedy vypnu Intel? Od: Slovo priekazne nie je spisovné. | Pridané: 10.9.2018 10:55 Slovo priekazne nie je spisovné. Odpovedať Známka: 2.2 Hodnotiť:

prakticky logik Od: syntaxterrorX. XX | Pridané: 10.9.2018 11:00 Fakt!? A čo iné ako slovo môže byť priekazne spisovné. Odpovedať Známka: 0.4 Hodnotiť:

Re: prakticky logik Od: Hroch_asdf | Pridané: 10.9.2018 11:48 Najhorsie je, ze aj ini komentatori to zacali pouzivat a tvoja infiltracia je az natolko efektivna, ze toto zvratene slovo pouzil niekto aj ako Meno osoby komentujucej. Tu je spisovna verzia: "preukázateľne" a v niektorych pripadoch aj "dokázateľne". Tieto dve slova dokonca aj lepsie zneju pri vysloveni. K teme Intel: oni su ako MS, maju take velke mnozstva penazi a statkov, ze len tak do kolien nepojdu. A zial, ARM sa neukazalo ako dostatocny konkurent vo vykone jedneho jadra a vlakna pre vyuzitie v PC. Za to serverova buducnost moze byt ziariva, hlavne z hladiska evolucie procesorov. x86 musia so sebou nosit dedicstvo predoslych instrukcnych sad kvoli spatnej kompatibilite SW. Odpovedať Známka: 6.0 Hodnotiť:

Re: prakticky logik Od: qwertyuiop1 | Pridané: 10.9.2018 12:10 1) ARM si so sebou tiez nesie dostatocne mnozstvo bordelu. Je to cena za spatnu kompatibilitu a jedina moznost zbavit sa toho je urobit nekompatibilny procesor. To je mozne iba vtedy, ked stare procesory nikto a nic nepouziva. 2) Intel (spolu s AMD) toho zdokumentovali o svojich procesoroch ovela viac, ako ARM. Vsetko, co potrebujes n nabootovanie a vytvorenie operacneho systemu, mas dostupne ako free pdf na ich strankach. To pri ARM-e neexistuje: pre user mode architekturu si mozes kupit knizku od Addison-Wesley, pre kernel mode podpisujes NDA. K Trustzone sa ako bezny smrtelnik nedostanes vobec. Takze vdaka bohu za Intel/AMD a je to iba dobra vec, ze ARM sa mimo embedded zariadeni moc nerozsiril. Ked uz chces alternativne architektury, tak bojuj za RISC-V alebo Sparc. Odpovedať Známka: 10.0 Hodnotiť:

Re: prakticky logik Od: Hroch_asdf | Pridané: 10.9.2018 15:30 Takto som na to este nepozeral, lebo sa tejto teme nevenujem. Posledny jednocipak pre ktory som nieco programoval vo forme mikrokodu bol veeelmi stary a to uz v roku 2007 :D. Tusim to bol Intel 8051. Odpovedať Hodnotiť:

Re: prakticky logik Od: man in shadow | Pridané: 12.9.2018 4:42 Atmel 8051 Atmel... Odpovedať Hodnotiť:

Re: prakticky logik Od: Dušan123 | Pridané: 11.9.2018 6:53 A ja som myslel že to je reálna konkurencia pre intel. Odpovedať Hodnotiť:

Re: prakticky logik Od: Slovo priekazne nie je spisovné. | Pridané: 10.9.2018 13:18 Slovo priekazne nie je spisovné. Odpovedať Známka: -2.5 Hodnotiť:

Sú inú krčmu, najlepšie takú pre autistov ako Bill Aspergers Gates Od reg.: moja vlast | Pridané: 10.9.2018 13:56 Nie je, neni nespisovne. Odpovedať Známka: 6.0 Hodnotiť:

Re: Sú inú krčmu, najlepšie takú pre autistov ako Bill Aspergers Gates Od: čitateľ | Pridané: 10.9.2018 16:46 Ach jaj. Odpovedať Známka: 10.0 Hodnotiť:

Re: Sú inú krčmu, najlepšie takú pre autistov ako Bill Aspergers Gates Od reg.: moja vlast | Pridané: 10.9.2018 20:57 Zabolelo že. To si použil mozok namiesto nacvičených reflexov. Odpovedať Hodnotiť:

Re: Sú inú krčmu, najlepšie takú pre autistov ako Bill Aspergers Gates Od: Bhjv | Pridané: 11.9.2018 7:57 Za to neni nespisovné je. Odpovedať Hodnotiť:

Intel by mal robiť len atomy a i9, aby nebolo z čoho vyberať. Od: Ach jaj | Pridané: 10.9.2018 10:12 Intel i7 nakoniec preznačia na Intel atom x9, aby bol drahší atom. Odpovedať Známka: 8.2 Hodnotiť:

ARM je buducnost Od: rolh | Pridané: 10.9.2018 11:00 ARM je buducnost, uz su aj na nejakych serverov a uz len troska zdokonalit, par jadierok pridat a Intel bye bye! Odpovedať Známka: -6.0 Hodnotiť:

Re: ARM je buducnost Od: qwertyuiop1 | Pridané: 10.9.2018 12:13 Tak to by bola velmi zla a tmava buducnost. Vies o tom, ze ARM procesor bez NDA ani len nenabootujes? Odpovedať Známka: 10.0 Hodnotiť:

Re: ARM je buducnost Od reg.: Uhlik | Pridané: 10.9.2018 12:22 A ako vie ARM procesor, či som podpísal NDA? Odpovedať Známka: -1.4 Hodnotiť:

Re: ARM je buducnost Od: ARMadaspasy | Pridané: 10.9.2018 12:47 Pri bootovani ti da do konzoly zakernu otazku Odpovedať Známka: 8.7 Hodnotiť:

ničivý praktik Od: syntaxterrorX. XX | Pridané: 10.9.2018 13:43 To len pri bežnom používaní. Pri profesionálnom nasadení kvôli bezpečnosti dáva priekazne najprv odpoveď. Odpovedať Známka: -5.0 Hodnotiť:

Re: ničivý praktik Od: Slovo priekazne nie je spisovné. | Pridané: 10.9.2018 20:09 Slovo priekazne nie je spisovné. Odpovedať Známka: 0.0 Hodnotiť:

Re: ARM je buducnost Od: rolh | Pridané: 10.9.2018 13:40 a ty si myslis ze ked kupis intel tak tiez zaplatis poplatok za to tvoje nabootovanie, dokonca aj za gps cip platis ... ale to je nic oproti tomu vypalnemu ze ked mas pametove medium platis vypalne ze co ak by si si nan nahral nejaku pesnicku alebo film ... nikoho nezaujima ze tam chces mat len svoje vlastne data poplatok platit musis uz je fixne v cene Odpovedať Známka: 10.0 Hodnotiť:

Re: ARM je buducnost Od: PCmanik | Pridané: 10.9.2018 15:49 Podľa mňa je základom bezpečnosti aj vypnutá virtualizácia na úrovni BIOSu. Dnes nemá význam priplácať si za hyperthreading, keď bežne máme 4-jadrové CPU. HT malo značný význam pri single core. So starým single-core CPU od Intelu s HT sa dá pracovať s trochou trpezlivosti dokonca ešte aj dnes. Väčšina ľudí potrebuje výkon/jadro, OCčkári HT aj tak obvykle vypínajú, rovnako ako EIST. Mám pocit, že PC s vypnutým EIST, ak by som to mal posúdiť citom, ide v určitom "rytme", skrátka funguje to podľa lepšie. Odpovedať Známka: 3.3 Hodnotiť:

ničivý praktik Od: syntaxterrorX. XX | Pridané: 10.9.2018 16:25 Jasneže dá. Len s trochou trpezlivosti treba na prižmúrenie priekazne minimálne mrte + 2 oká. Odpovedať Známka: -4.3 Hodnotiť:

Re: ničivý praktik Od: PCmanik | Pridané: 10.9.2018 18:00 Keď moc nepozeráš videá na youtube, je to pre veľa ľudí stále v pohode. Oni starnú, ale Prescott nestárne :-) Odpovedať Hodnotiť:

Re: ARM je buducnost Od: PCmanik | Pridané: 10.9.2018 19:56 Mal som na servise nový Lenovo notebook. Akože tak ma rozbolela hlava jak som to zapol, že sa mi to nezdalo normálne. Po definitívnom vypnutí antitheft v BIOSe bolo všetko v pohode. Chcel by som vidieť tie normy, podľa nich môžu prváci určite desiatovať rovno pod BTS-skou. Na ASUS doskách môžem normálne v BIOSe vypnúť aj wi-fi, čo vždy robím, ak ju nepotrebujem. Z niektorých nových ntb tento option v BIOSe však zmizol. Neviem si predstaviť, že by sa nedal vypnúť ten antitheft, išiel by som im to asi otrepať o hlavu :-) Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár