Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Zranitelnost x86 procesorů (Intel)

Příspěvky, které nespadají do žádného z vytvořených fór.
DarkLogic
Příspěvky: 1315
Registrován: 13 years ago

Re: Zranitelnost x86 procesorů (Intel)

Příspěvekod DarkLogic » 5 years ago

A nebo to vubec neresit.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

A pokračujeme i dnes :thumbsup:

https://www.root.cz/clanky/nova-trida-z ... -roku-2011

Byly zveřejněny informace o nové třídě zranitelností, které ohrožují většinu procesorů firmy Intel vydaných po roce 2011. Fallout, RIDL a ZombieLoad opět zneužívají spekulativního vykonávání.

Nová skupina útoků se souhrnně nazývá MDS (Microarchitectural Data Sampling) a ve skutečnosti zneužívá čtyř různých chyb. Jejich společných znakem je, že dovolují vyčítat data z interních pamětí procesorů sloužících k ukládání instrukcí během spekulativního vykonávání. Jde například o Line Fill Buffers, Load Ports nebo Store Buffers. Tyto zásobníky jsou využívány ke čtení a zápisu dat z a do RAM.

Chyby je možné zneužít na fyzických počítačích, ale i ve virtualizovaném prostředí. Neprivilegovaný kód dokáže pomocí těchto postranních kanálů přečíst data jiných procesů, jádra operačního systému, interních stavů procesoru, ale i z Software Guard eXtensions (SGX). To by měly být oddělené a přísně střežené části paměti, do kterých je možné ukrýt citlivý obsah.

Bylo prokázáno, že útoky je možné v praxi uskutečnit a stačí k tomu i spuštění javascriptového kódu v prohlížeči. Útočník se takto může dostat ke kryptograficky citlivému materiálu, jakým jsou šifrovací klíče nebo hesla.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

Vypíchnu ještě jeden důležitý link z předchozí zprávy:

https://cpu.fail
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

https://www.root.cz/zpravicky/zaplata-p ... dil-intel/

Server Phoronix včera provedl benchmark záplaty proti nové zranitelnosti MDS/ZombieLoad procesorů Intel. Podle testů Intelu má být dopad na výkon se zapnutým HT do 3 % a s vypnutým HT do 9 %. Největší dopad byl naměřen v Java zátěži na serveru bez HT a to 19 %.

Proti tomu testy Phoronixu se zapnutým HT ukazují dopad až 41% při přepínání kontextu (ctx_clock), 27 % při zátěži síťových socketů (Stress-NG) a asi 5 % při kompilaci LLVM. Pokud navíc vypnete HT, aby byla ochrana proti MDS účinější, bude výkonnostní dopad ještě větší. Vypnout záplatu MDS můžete přepínačem jádra mds=off.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

https://www.root.cz/zpravicky/nova-zran ... -cacheout/

Na dlouhý seznam zranitelností procesorů Intel přibyla další položka. CacheOut alias L1 Data Eviction Sampling (L1DES) alias CVE-2020–0549 je opět technikou využívající zranitelnosti v systému spekulativního vykonávání, který procesory Intel používají mnoho posledních generací, a to výrobně až do října 2018. Útočníkovi tato chyba umožňuje získat citlivá data z kernelu OS, sousedících virtuálních strojů či dokonce z enklávy Intel SGX (Software Guard Extensions), jíž některé procesory Intel disponují.
0 x

the.max
Příspěvky: 1306
Registrován: 16 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 years ago

Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.

Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

tak to je. Ale o nějakej router mi vůbec nejde. Spíš je horší že tyhle průšvihy se dají zneužít i skrz webovou stránku a to už je prostě bežnej desktop z kterýho ten router ovládám.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

Sidi
Příspěvky: 510
Registrován: 8 years ago

Příspěvekod Sidi » 4 years ago

the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.

Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.


V rámci sítě jsme měli menší VM zázemí a volné kapacity se pronajaly několika firemním zákazníkům pro nějaké drobné VPS. Pak jsou takovéhle zranitelnosti samozřejmě problém.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.

Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.

No jasně, jenž tvé data neběží jen na "tvém" hardwaru (ačkoliv Intel Management engine a podobně, že). Zcela jistě nejen ty, ale také lidé, na kterým ti záleží, používáte různé cloudové služby. A tam už praktický problém s těmito hardwarovými backdoory je.
0 x

the.max
Příspěvky: 1306
Registrován: 16 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 years ago

Ale však jo, tohle nerozporuji a psal jsem to. Pokud na procesoru běží nějaký OS na kterém se spouští další aplikace k jejichž spuštění či ovládání má přístup někdo další, případně si tam může spustit vlastní palikaci, tak je to problém.

Svůj dotaz jsem směřoval spíše tak, jak tyto zranitelnosti mohou ohrozit router s RoSem, ke kterému je přístup skrz SSH, případně Winbox, ale ať skrz SSH, nebo skrz Winbox tam nejsem za normálních okolností schopen spustit nějaký cizí kód, snad krom skriptování. Prostě za normálních okolností nejsem schopný se na router přihlásit, odněkud si na něj zkopírovat např nějaký rootkit a ten tam pak spustit tak, jak to mohu jedoduše udělat na deskopu, nebo na serveru, VPSce atd...

Prostě, jestli je nějaký objektivní důvod bát se provozovat router s RoSem na Intelu.

Možná by bylo zajímavé vyrobit anketu, kde by se dalo checkboxy označit na čem kdo provozuje router (x86/x86_64 Intel, x86/x86_64 AMD, CCR, Cisco, Juniper atd... i když, i v tom Ciscu, nebo Juniperu také vlastně může být Intel :-(

Každopádně jsem přesvědčen, že drtivá většina x86 routerů poběží na Intelu, AMD bude v jasné menšině, pokud vůbec.

EDIT: Přecejen, pokud provozuji router na Intelu s Linuxem, tak pořád na tom mohu být lépe, protože po každém dalším průseru Intelu mám obvykle možnost řešit díru buď aktualizací mikrokódu (pokud Intel vydá) (protože výrobce desky bývá mnohdy velmi pomalý při vydání nové verze BIOSu s aktualizovaným mikrokódem, případně už je deska EoL), to samé záplaty na úrovni jádra mohu použít tak, že si prostě buď stáhnu nové jádro, případně si ho zkompiluji sám, stejně tak aktualizace dalších balíčků skrz které je možné se do systému vloupat, narozdíl od případu, kdy na routeru běží 'nějaký' jiný sytém od nějakého třetího vendora, kdy jsem plně odkázán pouze na něj.

Stojí pak tedy za to riziko (nebo jaké to je riziko) provozovat router na záplatovaném Intelu, kdy velkou část jeho výpočetního výkonu seberou právě ty záplaty, nebo router provozovat na AMDčku, který těmito problémy (snad) netrpí, ale zase za cenu teoreticky nižšího výkonu kvůli jeho architektuře (jiná organizace cache, jiné propojení jednotlivých jader a napojení na cache). Je to vůbec měritelné? Pokud ano, při jakém PPS se to začne projevovat a jak?
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

Pokud máš dell, hp atd.. servery tak biosy vypouštěji každou chvíli a to i pro svoje firemní notebooky/desktopy. I 6 let starej notebook co sem teď dostal na opravu tak má možnost updatovat bios co je pouze 2 měsíce starej.

Zhoršení výkonnosti je ale většinou je znatelný pouze v konkrétních specifických výpočtech. Není to u všeho. Mnohem větší zhoršení výkonu nastává když to opravuje operační systém ve svém kódů.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

the.max píše:Svůj dotaz jsem směřoval spíše tak, jak tyto zranitelnosti mohou ohrozit router s RoSem, ke kterému je přístup skrz SSH, případně Winbox, ale ať skrz SSH, nebo skrz Winbox tam nejsem za normálních okolností schopen spustit nějaký cizí kód, snad krom skriptování...

Ok, ale taková diskuze je relevantní asi jako kdybysme se bavili o tom, jak může bombardování ublížit letícím ptákům. Teoreticky může, ale energie vynaložená na takovou diskuzi je k ničemu. Západní agentury si z IT udělaly backdoorové eldorádo (viz aktuální kauza Crypto AG nebo v nedávné minulosti Vault 7) a my víme houby, kdo všechno disponuje příslušnými zero day exploity. Toto je problém o kterém se bavme.

- https://www.svethardware.cz/kryptografi ... uzby/51293
- https://cs.wikipedia.org/wiki/Vault_7
0 x

the.max
Příspěvky: 1306
Registrován: 16 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 years ago

Hapi:
Jop, to se ví, že aplikace všech záplat na Intel procesory u Linuxového kernelu, bere 30-40% výkonu, což je fakt dost. A po vypnutí HT v Biosu to je ještě horši. Při těchto počtech mi přide výhodnější jít do AMD. Blbý je, že 'serverové' desky s AM4 se až na pár vyjímek od Asrocku neexistují, s TR4 to není o mnoho lepší a to nemluvím o ceně. Desky jsou pro Epycy, ale ta cena ;-(
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

sinda
Příspěvky: 22
Registrován: 4 years ago

Příspěvekod sinda » 4 years ago

hapi píše:Pokud máš dell, hp atd.. servery tak biosy vypouštěji každou chvíli a to i pro svoje firemní notebooky/desktopy. I 6 let starej notebook co sem teď dostal na opravu tak má možnost updatovat bios co je pouze 2 měsíce starej.
Updatovat mikrokód na CPU je možné i bez aktualizace BIOSu. Dostupné jsou tyto aktualizace jak pro Intel, tak i pro AMD.

the.max píše:Jop, to se ví, že aplikace všech záplat na Intel procesory u Linuxového kernelu, bere 30-40% výkonu, což je fakt dost. A po vypnutí HT v Biosu to je ještě horši. Při těchto počtech mi přide výhodnější jít do AMD.
AMD na tom o moc líp není. Jen se to tolik nerozmazává. Ale náchylné jsou na stejný vektor útoku podobně.
0 x