neprihlásený Streda, 14. novembra 2018, dnes má meniny Irma   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Ďalší operačný systém vypína na Inteloch Hyper-Threading

Značky: bezpečnosťkauza Meltdown a Spectre

DSL.sk, 10.9.2018


Po unixovom operačnom systéme OpenBSD vypína ďalší operačný systém na procesoroch Intelu štandardne Hyper-Threading, podporu ďalšieho virtuálneho jadra na každom fyzickom jadre.

Tentokrát ide tiež o operačný systém zameraný na bezpečnosť, Qubes OS zameraný na čo najbezpečnejší desktopový operačný systém a založený na Linuxe a Xene.

Kým v prípade rozhodnutia tvorcov OpenBSD z júna nie je jasné, ktorá zraniteľnosť najviac prispela k tomuto rozhodnutiu, v prípade Qubes OS je vypnutie priamou reakciou na zraniteľnosť L1TF známu tiež ako Foreshadow. L1TF je poslednou zverejnenou a veľmi vážnou zraniteľnosťou zo série zraniteľností typu Spectre a Meltdown, ktorá dovoľuje škodlivému neprivilegovanému kódu získať prístup k dátam z L1 cache pamäte na danom jadre potenciálne obsahujúcej ľubovoľné dáta z RAM.

Základným princípom Qubes OS postaveného na virtualizačnom riešení Xen je dosahovať bezpečnosť oddelením aktivít užívateľa do rozličných navzájom izolovaných virtuálnych strojov ale s pohodlným používaním na jednom desktope. Aj v prípade infikovania jedného ďalšie tak priamo nie sú ohrozené.

Proti zraniteľnosti L1TF bohužial ale v niektorých scenároch vrátane používania virtualizačného riešenia, keď na jednom jadre naraz môžu vďaka Hyper-Threadingu bežať potenciálne nebezpečný kód a naopak dôveryhodný kód, neexistuje účinná ochrana. V prípade Xenu nie je k dispozícii riešenie v prípade používania VM s hardvérovou akceleráciou, teda typov HVM alebo PVH, naopak pri používaní paravirtualizovaných PV VM je možné zneužitiu zabrániť na úrovni opraveného Xenu.

V prípade najnovšej verzie Qubes OS 4.0 používajúcej štandardne PVH a HVM tak tvorcovia Qubes v aktualizácii riešiacej L1TF štandardne vypínajú Hyper-Threading a jeho zapnutie neodporúčajú, keď nie je bezpečné.

V prípade predchádzajúcej stále podporovanej verzie 3.2 používajúcej ešte štandardne PV a využívajúcej HVM len voliteľne napríklad na beh Windows vypli Hyper-Threading tiež, ponúkajú ale návod ako ho opäť zapnúť zmenou bootovacej konfigurácie Xenu ak užívateľ nevyužíva žiadne HVM. Zároveň ale predpokladajú riziko ďalších podobných zraniteľností a aj užívateľom verzie 3.2 odporúčajú nechať Hyper-Threading vypnutý.

Oznámenie tvorcov Xenu naznačuje ešte ďalšie čiastkové riešenie v podobe priradenia používaných jadier napevno k jednotlivým VM, čo môže byť využité na izoláciu VM s potenciálne škodlivým kódom. Nie je ale jasné na akých jadrách beží samotný kód Xenu a či je takéto nastavenia možné trvalo nastaviť aj v Qubes OS.

Zmeny v Qubes OS boli sprístupnené zatiaľ v rámci testovacieho repozitára a v stabilných aktualizáciách sa majú objaviť do niekoľkých dní. Z oznámenia nie je jasné, či sú zmeny automaticky uskutočnené a Hyper-Threading vypnutý len na Intel CPU alebo aj ďalších x86 CPU vrátane AMD, na procesoroch tohto výrobcu zraniteľnosť L1TF ale nie je prítomná a z tohto dôvodu vypnutie Hyper-Threadingu nie je potrebné.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalšia krajina plánuje zakázať autá so spaľovacím motorom, už od 2030
Mnohé slovenské eshopy majú od dnes pár dní dopravu zdarma
Google mal dlhší výpadok, Nigeríjčania si presmerovali jeho IP
Telekom spustil až 877 Mbps 4G LTE
Ďalšia verzia HTTP bude UDP, založená bude opäť na návrhu Google
V najvýkonnejších superpočítačoch prvýkrát ARM a AMD Epyc procesory
Skladací smartfón Samsungu má prísť v marci, stáť cez 1500 eur
MacBook Pro majú problém s SSD, Apple ich zvoláva
Európa vybrala kde sa pokúsi pristáť na Marse
Rýchly bezpečný DNS 1.1.1.1 k dispozícii pre smartfóny


Diskusia:
                               
 

ta firma ide dole vodou, nezachytili trend v mobilnych procesoroch a ARM sa im chysta sliapnut na krk aj v ich vacsom formate u NTB.
Jedine, ze by si kupili akcie u ARM...
Odpovedať Známka: 1.7 Hodnotiť:
 

Aby si kupili akcie u ARM, by trebalo marketingove vydaje na Qubes OS priekazne znacne navysit.
Odpovedať Známka: -3.7 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: 2.2 Hodnotiť:
 

Fakt!? A čo iné ako slovo môže byť priekazne spisovné.
Odpovedať Známka: 0.4 Hodnotiť:
 

Najhorsie je, ze aj ini komentatori to zacali pouzivat a tvoja infiltracia je az natolko efektivna, ze toto zvratene slovo pouzil niekto aj ako Meno osoby komentujucej.
Tu je spisovna verzia: "preukázateľne" a v niektorych pripadoch aj "dokázateľne".

Tieto dve slova dokonca aj lepsie zneju pri vysloveni.

K teme Intel: oni su ako MS, maju take velke mnozstva penazi a statkov, ze len tak do kolien nepojdu. A zial, ARM sa neukazalo ako dostatocny konkurent vo vykone jedneho jadra a vlakna pre vyuzitie v PC. Za to serverova buducnost moze byt ziariva, hlavne z hladiska evolucie procesorov. x86 musia so sebou nosit dedicstvo predoslych instrukcnych sad kvoli spatnej kompatibilite SW.
Odpovedať Známka: 6.0 Hodnotiť:
 

1) ARM si so sebou tiez nesie dostatocne mnozstvo bordelu. Je to cena za spatnu kompatibilitu a jedina moznost zbavit sa toho je urobit nekompatibilny procesor. To je mozne iba vtedy, ked stare procesory nikto a nic nepouziva.

2) Intel (spolu s AMD) toho zdokumentovali o svojich procesoroch ovela viac, ako ARM. Vsetko, co potrebujes n nabootovanie a vytvorenie operacneho systemu, mas dostupne ako free pdf na ich strankach. To pri ARM-e neexistuje: pre user mode architekturu si mozes kupit knizku od Addison-Wesley, pre kernel mode podpisujes NDA. K Trustzone sa ako bezny smrtelnik nedostanes vobec.

Takze vdaka bohu za Intel/AMD a je to iba dobra vec, ze ARM sa mimo embedded zariadeni moc nerozsiril. Ked uz chces alternativne architektury, tak bojuj za RISC-V alebo Sparc.
Odpovedať Známka: 10.0 Hodnotiť:
 

Takto som na to este nepozeral, lebo sa tejto teme nevenujem. Posledny jednocipak pre ktory som nieco programoval vo forme mikrokodu bol veeelmi stary a to uz v roku 2007 :D. Tusim to bol Intel 8051.
Odpovedať Hodnotiť:
 

Atmel 8051 Atmel...
Odpovedať Hodnotiť:
 

A ja som myslel že to je reálna konkurencia pre intel.
Odpovedať Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -2.5 Hodnotiť:
 

Nie je, neni nespisovne.
Odpovedať Známka: 6.0 Hodnotiť:
 

Ach jaj.
Odpovedať Známka: 10.0 Hodnotiť:
 

Zabolelo že.

To si použil mozok namiesto nacvičených reflexov.
Odpovedať Hodnotiť:
 

Za to neni nespisovné je.
Odpovedať Hodnotiť:
 

Intel i7 nakoniec preznačia na Intel atom x9, aby bol drahší atom.
Odpovedať Známka: 8.2 Hodnotiť:
 

ARM je buducnost, uz su aj na nejakych serverov a uz len troska zdokonalit, par jadierok pridat a Intel bye bye!
Odpovedať Známka: -6.0 Hodnotiť:
 

Tak to by bola velmi zla a tmava buducnost.

Vies o tom, ze ARM procesor bez NDA ani len nenabootujes?
Odpovedať Známka: 10.0 Hodnotiť:
 

A ako vie ARM procesor, či som podpísal NDA?
Odpovedať Známka: -1.4 Hodnotiť:
 

Pri bootovani ti da do konzoly zakernu otazku
Odpovedať Známka: 8.7 Hodnotiť:
 

To len pri bežnom používaní. Pri profesionálnom nasadení kvôli bezpečnosti dáva priekazne najprv odpoveď.
Odpovedať Známka: -5.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: 0.0 Hodnotiť:
 

a ty si myslis ze ked kupis intel tak tiez zaplatis poplatok za to tvoje nabootovanie, dokonca aj za gps cip platis ... ale to je nic oproti tomu vypalnemu ze ked mas pametove medium platis vypalne ze co ak by si si nan nahral nejaku pesnicku alebo film ... nikoho nezaujima ze tam chces mat len svoje vlastne data poplatok platit musis uz je fixne v cene
Odpovedať Známka: 10.0 Hodnotiť:
 

Podľa mňa je základom bezpečnosti aj vypnutá virtualizácia na úrovni BIOSu. Dnes nemá význam priplácať si za hyperthreading, keď bežne máme 4-jadrové CPU. HT malo značný význam pri single core. So starým single-core CPU od Intelu s HT sa dá pracovať s trochou trpezlivosti dokonca ešte aj dnes. Väčšina ľudí potrebuje výkon/jadro, OCčkári HT aj tak obvykle vypínajú, rovnako ako EIST. Mám pocit, že PC s vypnutým EIST, ak by som to mal posúdiť citom, ide v určitom "rytme", skrátka funguje to podľa lepšie.
Odpovedať Známka: 3.3 Hodnotiť:
 

Jasneže dá. Len s trochou trpezlivosti treba na prižmúrenie priekazne minimálne mrte + 2 oká.
Odpovedať Známka: -4.3 Hodnotiť:
 

Keď moc nepozeráš videá na youtube, je to pre veľa ľudí stále v pohode. Oni starnú, ale Prescott nestárne :-)
Odpovedať Hodnotiť:
 

Mal som na servise nový Lenovo notebook. Akože tak ma rozbolela hlava jak som to zapol, že sa mi to nezdalo normálne. Po definitívnom vypnutí antitheft v BIOSe bolo všetko v pohode. Chcel by som vidieť tie normy, podľa nich môžu prváci určite desiatovať rovno pod BTS-skou. Na ASUS doskách môžem normálne v BIOSe vypnúť aj wi-fi, čo vždy robím, ak ju nepotrebujem. Z niektorých nových ntb tento option v BIOSe však zmizol. Neviem si predstaviť, že by sa nedal vypnúť ten antitheft, išiel by som im to asi otrepať o hlavu :-)
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár