Кое-какеры из Intel заставят Линуса работать по-стахановски: различия между версиями

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску
[непроверенная версия][досмотренная версия]
(Дата публикации всегда.)
(не показано 38 промежуточных версий 2 участников)
Строка 1: Строка 1:
 
{{дата|4 февраля 2018}}
{{рецензировать}}
 
{{дата|24 января 2018}}
 
 
{{тема|Наука и технологии|Intel}}
 
{{тема|Наука и технологии|Intel}}
[[File:Meltdown.png|left|уязвимость Meltdown]]
+
[[File:Meltdown.png|thumb|left|300px|Комбинация логотипов Intel и [[w:Spectre (уязвимость)|уязвимости Spectre]]]]
  +
[[File:Kernel page-table isolation.svg|thumb|left|300px|Сейчас в операционных системах один набор страниц для каждого процесса. В KPTI ([[w:en:Kernel page-table isolation|Kernel page-table isolation]]) будет два набора. Во-первых, в режиме ядра набор страниц будет включать страницы и пространства ядра, и пространства пользователя. Во-вторых, в режиме пользователя набор страниц будет включать копию страниц пространства пользователя и минимальный набор обработчиков вызовов и прерываний из пространства ядра.]]
  +
В начале [[Январь 2018 года|января 2018 года]] стало широко известно, что в процессорах [[Intel]] обнаружили уязвимости. Инженеры Intel попытались их исправить, но с патчами стало ещё хуже. Линус в гневе, поскольку ошибки Intel делают уязвимым для хакеров его детище [[Linux]] и другие операционные системы.
   
  +
Ещё [https://geektimes.ru/post/297311/ семь месяцев назад] была обнаружена уязвимость процессоров Intel. Оказалось, что все устройства с процессорами Intel, выпущенные за последние 10 лет и работающие под управлением ОС [[wWindows|Windows]], [[wLinux|Linux]] и 64-битной [[w:macOS|macOS]], имеют дыру в безопасности и могут быть взломаны. Первый публичный отчёт об уязвимости был обнародован только [[3 января 2018 года|3 января]]. В [http://archive.is/vDbPx этом отчёте] рекомендовалось выбросить старый процессор и поставить новый, что привело к панике среди менеджеров в сфере IT.
После множества сообщений от пользователей, установивших обновление безопасности для исправления уязвимостей [[w:Spectre (уязвимость)|Spectre]] и [[w:Meltdown (уязвимость)|Meltdown]] и пожаловавшихся на значительное снижение [[w:Вычислительная мощность компьютера|производительности]], внезапные перезагрузки и подобные неприятные "сюрпризы", компания [[w:Intel|Intel]] провела тестирование производительности до и после установки патчей и опубликовала полученные результаты.
 
   
  +
{|
4 января 2018 года была [https://googleprojectzero.blogspot.ru/2018/01/reading-privileged-memory-with-side.html обнародована] информация об аппаратных уязвимостях (уязвимости, имеющиеся в аппаратных средствах и возникшие при проектировании, разработке и производстве аппаратных средств), позволяющих пользовательским программам получить несанкционированный доступ на чтение памяти, используемой ядром операционной системы. В группу риска попадают все устройства с процессорами Intel, выпущенными за последние 10 лет, работающие под управлением ОС [[w:Windows|Windows]], [[w:Linux|Linux]] и 64-битной [[w:macOS|macOS]]. В результате эксплуатации уязвимостей программа, запущенная от имени пользователя, может отслеживать другие программы и похищать данные из памяти ядра, других программ и виртуальных машин. Т.о., если процессор компьютера подвержен уязвимости, работать с секретной информацией небезопасно, высок шанс утечки информации.
 
  +
|{{начало цитаты}}
В начале прошлой недели компания Intel выпустила патчи для исправления уязвимости. Основатель Linux Линус Торвальдс высказался о патчах как о [https://lkml.org/lkml/2018/1/21/192 полнейшем мусоре], а корпорация стала вскоре получать сообщения о потере производительности вплоть до 30%, вследствие чего компании пришлось провести исследование эффективности патчей.
 
  +
Это крупнейшая множественная уязвимость, с которой мы когда-либо имели дело... С уязвимостью таких масштабов невозможно выйти сухим из воды так, чтобы все остались довольны. /Главный аналитик уязвимостей Уил Дорман, [[w:Координационный центр CERT|CERT]] (центр по решениям проблем безопасности в Интернете). [https://geektimes.ru/post/297311/ Источник]./
   
  +
{{oq|en|This happens to be the largest multi-party vulnerability we’ve ever been part of... With a vulnerability of this magnitude, there’s no way that it’s going to come out cleanly and everyone’s going to happy. /[https://www.theverge.com/2018/1/11/16878670/meltdown-spectre-disclosure-embargo-google-microsoft-linux Source]./}}
[https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/ Результаты] тестирования клиентских систем выглядят достаточно обнадеживающе:
 
  +
{{конец цитаты}}|}
   
  +
Потом в Intel подумали ещё и решили, что нет, не нужно выкидывать все компьютеры с Intel, и выпустили патчи для исправления уязвимости.
* производительность игр DX11 (игры с поддержкой [[w:DirectX|DirectX 11]]) практически не подвержена влиянию обновлений;
 
   
  +
Вскоре посыпались сообщения о потере производительности при установке патчей вплоть до 30%, вследствие чего компании пришлось провести исследование эффективности патчей. [[22 января 2018 года|22 января]] корпорация Intel [https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/ порекомендовала] счастливым обладателям линуксовых серверов с процессорами Intel не ставить этих обновлений и подождать действенного патча.
* влияние обновлений на системы с процессорами 8-го поколения составляет менее 6%. В редких случаях (в веб-приложениях при редактировании фото, отображении графиков, исследовании последовательности ДНК) потери производительности могут достигать 10%;
 
   
  +
Линус Торвальдс (основатель [[Linux]]) высказался о патчах как о [https://lkml.org/lkml/2018/1/21/192 полнейшем мусоре].
* потеря производительности систем с процессорами 6-го поколения составляет около 8%;
 
  +
{|
  +
|{{начало цитаты}}
  +
Если Intel решит выдать бесплатный процессор каждому, кто покупал их за последние 20 лет, то это будет не такой бред (как то, что сейчас делает Intel). /[[Линус Торвальдс]], [https://lkml.org/lkml/2018/1/21/192 источник]./
  +
{{oq|en|If the alternative was a two-decade product recall and giving everyone free CPUs, I'm not sure it was entirely insane.}}
  +
{{конец цитаты}}|}
   
  +
Суть проблемы в том, что вредоносный код, запущенный на том же процессоре, что и другие программы, может вмешиваться в их работу, в работу ядра или [[w:Гипервизор|гипервизора]]. Для решения проблемы нужно добавить ещё одно слагаемое при вычислении виртуального адреса ячейки, это можно сделать с помощью фишки ядра Linux с длинным название [[w:en:Kernel page-table isolation|Kernel page-table isolation]] (KPTI). KPTI планировалось добавить в ядро Linux в начале [[2018 год]]а.
* на системах с [[w:Жёсткий диск|HDD]] вместо [[w:Твердотельный накопитель|SSD]] потери составляют менее 6%, и как итог ПК с Windows 7 и HDD практически не теряет производительности.
 
   
  +
KPTI позволит закрыть дыру [[w:Meltdown (уязвимость)|Meltdown]], но остаётся под вопросом [[w:Spectre (уязвимость)|уязвимость Spectre]].
[https://newsroom.intel.com/news/firmware-updates-and-initial-performance-data-for-data-center-systems/ Результаты] исследований производительности серверных систем выглядят гораздо более удручающими:
 
   
  +
{{-}}
* потеря производительности вплоть до 20% наблюдается при обработке транзакций в реальном времени [[w:Система управления базами данных|СУБД]], при случайном доступе к памяти, при большой интенсивности системных вызовов;
 
 
* потеря производительности в 3-7% наблюдается в моменты интенсивного обмена информацией по сети или обращений к диску, в [[w:Java Virtual Machine|JVM]], при выполнении запросов, анализирующих данные в [[w:База данных|БД]];
 
 
* снижение производительности на 2-5% наблюдается при большой вычислительной нагрузке на [[w:Центральный процессор|CPU]];
 
 
* влияние на производительность менее 2% проявляется при прямом доступе к ресурсам в обход функций ядра.
 
 
На текущий момент Intel [https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/ рекомендует] владельцам серверов на ОС семейства Linux с процессорами Intel не устанавливать текущих обновлений и подождать действенного патча.
 
   
 
== Источники ==
 
== Источники ==
* {{источник|url=http://www.vladtime.ru/computers/634434|Название=Создатель ОС Linux: Защитные патчи Intel полный мусор|Автор=|Издатель=vladtime.ru|Дата=24.01.2018}}
+
* {{источник|url=https://geektimes.ru/post/297311/|Название=Как ошибку Spectre, способную сломать индустрию, держали в тайне семь месяцев|Автор=Russell Brandom (перевод SLY_G)|Издатель=|Дата=18.01.2018}}
* {{источник|url=https://habrahabr.ru/company/cloud4y/blog/347418/|Название=Intel предупреждает пользователей о «неисправности» патчей Spectre-Meltdown|Автор=|Издатель=habrahabr.ru|Дата=24.01.2018}}
+
* {{источник|url=https://thenewstack.io/takeaways-cpu-apocalypse/|Название=How to Minimize the Meltdown Patch Performance Penalty|Автор=Dor Laor|Издатель=thenewstack.io|Дата=2.02.2018}}
* {{источник|url=https://habrahabr.ru/company/cloud4y/blog/346518/|Название=Насколько медленнее будет ваша система после патчей для Spectre-Meltdown?|Автор=|Издатель=habrahabr.ru|Дата=24.01.2018}}
 
* {{источник|url=https://googleprojectzero.blogspot.ru/2018/01/reading-privileged-memory-with-side.html|Название=Reading privileged memory with a side-channel|Автор=|Издатель=googleprojectzero.blogspot.ru|Дата=24.01.2018}}
 
* {{источник|url=https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf|Название=Более подробные результаты тестов клиентских систем|Автор=|Издатель=intel.com|Дата=28.01.2018}}
 
   
   
Строка 49: Строка 46:
 
{{haveyoursay}}
 
{{haveyoursay}}
   
{{Категории|Технологии|Безопасность|Программное обеспечение|Операционные системы}}
+
{{Категории|Безопасность|Информационная безопасность|Программное обеспечение|Операционные системы|Технологии}}
  +
  +
{{yes}}

Версия 08:39, 4 февраля 2018

4 февраля 2018

Комбинация логотипов Intel и уязвимости Spectre
Сейчас в операционных системах один набор страниц для каждого процесса. В KPTI (Kernel page-table isolation) будет два набора. Во-первых, в режиме ядра набор страниц будет включать страницы и пространства ядра, и пространства пользователя. Во-вторых, в режиме пользователя набор страниц будет включать копию страниц пространства пользователя и минимальный набор обработчиков вызовов и прерываний из пространства ядра.

В начале января 2018 года стало широко известно, что в процессорах Intel обнаружили уязвимости. Инженеры Intel попытались их исправить, но с патчами стало ещё хуже. Линус в гневе, поскольку ошибки Intel делают уязвимым для хакеров его детище Linux и другие операционные системы.

Ещё семь месяцев назад была обнаружена уязвимость процессоров Intel. Оказалось, что все устройства с процессорами Intel, выпущенные за последние 10 лет и работающие под управлением ОС Windows, Linux и 64-битной macOS, имеют дыру в безопасности и могут быть взломаны. Первый публичный отчёт об уязвимости был обнародован только 3 января. В этом отчёте рекомендовалось выбросить старый процессор и поставить новый, что привело к панике среди менеджеров в сфере IT.

Это крупнейшая множественная уязвимость, с которой мы когда-либо имели дело... С уязвимостью таких масштабов невозможно выйти сухим из воды так, чтобы все остались довольны. /Главный аналитик уязвимостей Уил Дорман, CERT (центр по решениям проблем безопасности в Интернете). Источник./

Потом в Intel подумали ещё и решили, что нет, не нужно выкидывать все компьютеры с Intel, и выпустили патчи для исправления уязвимости.

Вскоре посыпались сообщения о потере производительности при установке патчей вплоть до 30%, вследствие чего компании пришлось провести исследование эффективности патчей. 22 января корпорация Intel порекомендовала счастливым обладателям линуксовых серверов с процессорами Intel не ставить этих обновлений и подождать действенного патча.

Линус Торвальдс (основатель Linux) высказался о патчах как о полнейшем мусоре.

Если Intel решит выдать бесплатный процессор каждому, кто покупал их за последние 20 лет, то это будет не такой бред (как то, что сейчас делает Intel). /Линус Торвальдс, источник./

Суть проблемы в том, что вредоносный код, запущенный на том же процессоре, что и другие программы, может вмешиваться в их работу, в работу ядра или гипервизора. Для решения проблемы нужно добавить ещё одно слагаемое при вычислении виртуального адреса ячейки, это можно сделать с помощью фишки ядра Linux с длинным название Kernel page-table isolation (KPTI). KPTI планировалось добавить в ядро Linux в начале 2018 года.

KPTI позволит закрыть дыру Meltdown, но остаётся под вопросом уязвимость Spectre.

 

Источники


Статья «Кое-какеры из Intel заставят Линуса работать по-стахановски» создана участником Mary Kornysheva в рамках заданий по созданию и улучшению статей в проектах Викимедия на научную тему для получения допуска к зачёту/экзамену по предмету «Интернет-математика» в ПетрГУ (преподаватель: Andrew Krizhanovsky).


 

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.