Intels nya sårbarhet Cacheout drabbar Skylake-processorer

Trädvy Permalänk
Medlem
Plats
Karlskrona
Registrerad
Aug 2009

Att de har brister finner jag inte chockerande. Vi kommer säkert hitta saker i AMD, ARM osv också framåt. Det som dock är lite intressant är att AMD hittills drabbas så mycket mindre av dessa. Men intressantast av allt är hur Intel, efter att ha drabbats och vetat om sina brister, säger sig implementera säkerhetsfixar i hårdvara, släpper nya CPU:er och dessa är sårbara. Gång på gång.

De maskiner hemma som kör Intel (inklusive min dual CPU Xeon) har påtagligt fått sämre prestanda och att Intel själva flera gånger säger sig ha fixat det hela i nya CPU:er och sedan har problem som inkluderar de nya processorerna känns inte direkt förtroendeingivande.

Gigabyte Aorus Master | 32gb DDR4 3466MHZ CL14 | Ryzen 3950X | 1080Ti
Asus Z97 Pro Gamer | 32gb ram DDR3 2400MHz | i7 4790k | 2 x R9 390 - Barnen fått ta över
Asrock P67 Extreme4 rev3 | 16gb DDR3 2400MHz | i7 2600K | R9 290 - Barnen fått ta över
En massa bärbara, servrar, RPi's och andra boxar

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av Olle P:

Detta är en sårbarhet som i princip bara är ett allvarligt hot mot servrar samt andra datorer med kvalificerat hemlig information.

Att Spectre v1 är potentiellt allvarliga hot mot både konsumenter och servers, Meltdown är (var då det är patchat även i HW nu) för servers och i speciella fall för konsumenter tycker jag man med fog kan hävda. Foreshadow är ett problem i det specifika fallet där flera, för vandra okända, delar dator (molntjäns) och man får köra sin egen kärna (normalfallet i Azure, AWS, etc är dock att man får välja ett par färdiga OS-varianter, då blir det helt plötsligt ett icke-problem).

Men hur får att CacheOut skulle vara ett allvarligt problem? Till och med forskarna verkar ha gått med på att sätta nivån till "medium" (finns en variant med CVE-2020-0549 där nivån är satt till "låg"). Och det är förutsatt att man inte stänger av TSX.

Skrivet av kelthar:

Nej, det kan det inte. Det är ännu en komponent som illasinnade kan använda när de vill utnyttja ett system. Oftast består en attack av många olika exploits.

Processen av olika typer av exploits kan i grova drag se ut så här:
Intrång (exploit 1) -> Elevering av rättigheter (exploit 2) -> Stjäla info / installera kod (exploit 3) .. etc

Det är som ett pussel för att ta sig in genom skalen på en lök tills man när kärnan eller så lång man behöver nå för att åstadkomma det som man vill åstakomma.

Det bästa är att patcha mot alla exploits, för man vet var de hittar en attackvektor i slutändan. Om de tar sig in i ens system så kan de utnyttja de som man inte patchat.

Håller helt med om sista stycken. Delen som dock helt verkar falla bort i just fallet med CPU-buggarna är att de i vissa fall i praktiken verkar helt teoretiska. Ta MDS t.ex., detta är vad man skriver om detta i Linux-dokumentationen

"17.2. Exposure assumptions

...beskrivning av exakt vilka saker som måste vara uppfyllda för att det ska gå att utnyttja...

The existence of such a construct in the kernel cannot be excluded with 100% certainty, but the complexity involved makes it extremly unlikely.
"

D.v.s. inte ens säker om man överhuvudtaget ens är tekniskt möjlig tatt utnyttja. Just den, rätt väsentligt, detaljen faller hela tiden bort (rätt mycket då forskarna har noll intresse att lyfta fram det, de vill ju hålla upp intresset).

Jobbet som forskarna gör är direkt lysande. Otroligt mycket arbete bakom och är först när man har fakta på bordet som man kan göra bra beslut. Att det verkligen handlar om buggar visar man ju också med fungerande proof-of-concepts (PoC).

Men här är det åter igen rätt mycket som faller bort i pressen: ta artikeln vi nu läser, PoC som presenteras bygger på att TSX är påslaget (där är i princip alltid avslaget, på nya CPUer och har i princip alltid varit det för konsumenter) och man modifierade processen som attackerades (men beskriver hur det i teorin kan fungera ändå, grejen är att då minskar risken med åtskilliga tiopotenser).

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Registrerad
Jan 2020

@Yoshman
@kelthar
@inquam

Problemet är att det är en väldigt lam attityd mot buggarna överlag, trots att de introducerar en allvarlig lokal attackvektor. Vi går runt med en stark tro att ingen skadlig kod kommer in i våra system, men faktum är att det fixar andra exploits/användarmisstag när vi minst anar det.

Att patcha dem leder till prestandaförlust helt klart, men att påstå att de skulle vara så små som staplarna visar viftar jag bort som idioti. Jag känner inte alls igen mig i det scenariot. Innan Meltdown hade jag ansvar för ett system som klarade av att köra på EN fyrkärnig xeon, efteråt så blev problemen rent av vansinniga. Systemet gick som sirap och det fick migreras över till FYRA liknande servrar, en av dem tolvkärnig, för att få acceptabel pretanda. Det introducerade dock nya problem med inkonsekvens och krascher vilket har tagit över ett år att få att fungera skapligt. Jag blir rent av arg att Intel tjänat pengar på hårdvara, för att systemet är tvingat av säkerhetsskäl att köra med patcharna på. Nu först börjar det komma AMD-alternativ, men kommer ETT sådant kunna ersätta de servrar som går nu? De har ju också patchar...

För att inte tala om all onödig utvecklingstid som gått åt till rena dumheter. Systemet ska inte behöva mer än en server, så att det behövde byggas om för flerservermiljö är bara bortkastat på sikt.

Trädvy Permalänk
Medlem
Plats
.:: :: oVERdOZe bbS :: ::.
Registrerad
Aug 2004
Skrivet av Balconette:

...
Problemet är att det är en väldigt lam attityd mot buggarna överlag, trots att de introducerar en allvarlig lokal attackvektor. Vi går runt med en stark tro att ingen skadlig kod kommer in i våra system, men faktum är att det fixar andra exploits/användarmisstag när vi minst anar det.
...

Du missade nog att jag skrev:

Citat:

Det bästa är att patcha mot alla exploits, för man vet var de hittar en attackvektor i slutändan. Om de tar sig in i ens system så kan de utnyttja de som man inte patchat.

Ellers?

MOS8500 > 68000 > 8088 > 286 > 386 > 486 > PMMX > ???? > 3570K > 2700X > 3900X. Fan vad jag älskar datorer!

Hoppas att ARM/RISC kommer med nån sexig skit supersnart!

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av Balconette:

@Yoshman
@kelthar
@inquam

Problemet är att det är en väldigt lam attityd mot buggarna överlag, trots att de introducerar en allvarlig lokal attackvektor. Vi går runt med en stark tro att ingen skadlig kod kommer in i våra system, men faktum är att det fixar andra exploits/användarmisstag när vi minst anar det.

Att patcha dem leder till prestandaförlust helt klart, men att påstå att de skulle vara så små som staplarna visar viftar jag bort som idioti. Jag känner inte alls igen mig i det scenariot. Innan Meltdown hade jag ansvar för ett system som klarade av att köra på EN fyrkärnig xeon, efteråt så blev problemen rent av vansinniga. Systemet gick som sirap och det fick migreras över till FYRA liknande servrar, en av dem tolvkärnig, för att få acceptabel pretanda. Det introducerade dock nya problem med inkonsekvens och krascher vilket har tagit över ett år att få att fungera skapligt. Jag blir rent av arg att Intel tjänat pengar på hårdvara, för att systemet är tvingat av säkerhetsskäl att köra med patcharna på. Nu först börjar det komma AMD-alternativ, men kommer ETT sådant kunna ersätta de servrar som går nu? De har ju också patchar...

För att inte tala om all onödig utvecklingstid som gått åt till rena dumheter. Systemet ska inte behöva mer än en server, så att det behövde byggas om för flerservermiljö är bara bortkastat på sikt.

Då är du ju ett lysande exempel på något som faktiskt ska lusläsa vad forskarna skriver och verkligen förstå attackvektorerna.

Som jag skrivit ovan, det råder inget tvivel om att alla de sårbarheter som hittats verkligen är buggar. Men dels måste man sätta det i relation till andra risker i sitt specifika fall. Det är t.ex. en risk att du blir dödad av ett vilt djur bara du går ut, men sannolikheten att det kommer hända just dig i en "typisk" miljö är ju så många tiopotenser lägre än att du blir överkörd eller halkar omkull och slår sönder huvudet att det överhuvudtaget inte är något att bry sig i. Om du råkar se ett potentiellt farligt djur finns ju ingen anledning att reta upp det.

I detta fall måste OS-tillverkarna utgå från det värsta, de vet inte exakt vilken miljö just ditt system kör under. Så de ska patcha allt by-default. I de flesta fall kan man sluta där, för majoriteten av användarna märks inte skillnaden i prestanda.

Har man speciella krav finns och patchar ställer till problem där får man titta mer detaljerat: exakt vilka fall är relevanta för mig! Jag har stängt av fixarna för flera av dessa (både på Intel och AMD) i t.ex. byggservers. Orsak: attackvektorerna är inte användbara där och framförallt fixarna för Spectre påverkar fall med intensiv I/O klart negativt (notera att både AMD och Intel ser en klar prestandaförlust i sockperf testet, det just p.g.a. av att det är I/O-intenstivt).

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Registrerad
Jan 2020
Skrivet av kelthar:

Du missade nog att jag skrev:

Ellers?

Kanske skulle skriva att jag höll med dig om problemet med att det kan dyka upp oväntade murbräckor närsom, speciellt på ett system som inte är uppdaterat.

Skrivet av Yoshman:

Då är du ju ett lysande exempel på något som faktiskt ska lusläsa vad forskarna skriver och verkligen förstå attackvektorerna.

Som jag skrivit ovan, det råder inget tvivel om att alla de sårbarheter som hittats verkligen är buggar. Men dels måste man sätta det i relation till andra risker i sitt specifika fall. Det är t.ex. en risk att du blir dödad av ett vilt djur bara du går ut, men sannolikheten att det kommer hända just dig i en "typisk" miljö är ju så många tiopotenser lägre än att du blir överkörd eller halkar omkull och slår sönder huvudet att det överhuvudtaget inte är något att bry sig i. Om du råkar se ett potentiellt farligt djur finns ju ingen anledning att reta upp det.

I detta fall måste OS-tillverkarna utgå från det värsta, de vet inte exakt vilken miljö just ditt system kör under. Så de ska patcha allt by-default. I de flesta fall kan man sluta där, för majoriteten av användarna märks inte skillnaden i prestanda.

Har man speciella krav finns och patchar ställer till problem där får man titta mer detaljerat: exakt vilka fall är relevanta för mig! Jag har stängt av fixarna för flera av dessa (både på Intel och AMD) i t.ex. byggservers. Orsak: attackvektorerna är inte användbara där och framförallt fixarna för Spectre påverkar fall med intensiv I/O klart negativt (notera att både AMD och Intel ser en klar prestandaförlust i sockperf testet, det just p.g.a. av att det är I/O-intenstivt).

Vad ska jag säga? Har en sett förödelsen med egna ögon så blir det att en inte vet om en ska skratta eller gråta när det kommer nya buggar. Speciellt om det leder till en patch som sinkar nuvarande system ännu mer. Jag hade gärna skippat patcharna och låtit systemet rulla på beprövad mark. Men jag kan inte ta risken att stå där en dag och behöva ta ansvaret för en avstängd patch, även om risken att den skulle varit avgörande för intrångets magnitud sannolikt skulle vara försumbar. Meltdown är dock en faktisk risk i detta system givet att inte någon annan exploit leder till rootbehörighet, men det är också efter den patchningen som allt elände började.

Trädvy Permalänk
Medlem
Plats
.:: :: oVERdOZe bbS :: ::.
Registrerad
Aug 2004
Skrivet av Balconette:

Kanske skulle skriva att jag höll med dig om problemet med att det kan dyka upp oväntade murbräckor närsom, speciellt på ett system som inte är uppdaterat.

Det är ibland svårt att utröna om någon håller med en eller inte i ett masscitat. GL HF

MOS8500 > 68000 > 8088 > 286 > 386 > 486 > PMMX > ???? > 3570K > 2700X > 3900X. Fan vad jag älskar datorer!

Hoppas att ARM/RISC kommer med nån sexig skit supersnart!

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av Yoshman:

Men hur får att CacheOut skulle vara ett allvarligt problem?

Det är allvarligt i betydelsen "allvarligt nog att motivera (kostsamma) motåtgärder" endast om man hanterar känsliga/värdefulla data.
Den som vet att motståndaren lägger stora resurser på att komma över de data man har ska nog utgå ifrån att även CacheOut kommer utnyttjas.

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.