Intel, Google и AWS реагируют на инциденты с безопасностью ЦП: у AMD и ARM также есть проблемы с огромными последствиями

Google Безопасность AWS Операционная система

Эта статья была изначально создана "AI Frontline", оригинальная ссылка:Intel, Google и AWS реагируют на инциденты с безопасностью ЦП: у AMD и ARM также есть проблемы с огромными последствиями
Переводчик | Ядер-Кола Дебра Натали
Монтажер | Винсент Тина

英特尔、谷歌和AWS回应CPU安全事件:AMD和ARM也有问题,影响巨大
Руководство по передовой ИИ:В Intel отмечают, что исправление уязвимости процессора, которое будет выпущено на следующей неделе, вряд ли затронет обычных пользователей. Кроме того, Intel позиционирует баг как общеотраслевое событие.

На телефонной конференции, состоявшейся в среду днем, Intel опубликовала дополнительные новости, связанные с уязвимостью ядра ЦП, и официально назвала ее «Анализ обхода и эксплуатация». Руководители компании заявили, что соответствующий патч будет выпущен в ближайшие несколько недель. Кроме того, в то время как большинство обычных пользователей ПК почти не затронуты, эта партия исправлений приводит к разочаровывающим результатам снижения производительности, в диапазоне от 0% до 30%.

Три основных производителя, Intel, Google и AWS, последовательно ответили, заявив, что масштаб инцидента с ошибкой был относительно большим, и они всегда настаивали на том, чтобы AMD, которая не пострадала, также была обнаружена Google.


Для получения дополнительных галантерейных товаров, пожалуйста, обратите внимание на публичный аккаунт WeChat «AI Frontline» (ID: ai-front)

Intel пояснила, что сообщила об уязвимости ARM, AMD и многим другим поставщикам операционных систем. Сторона также подчеркнула, что уязвимость была впервые обнаружена командой безопасности проекта Google Zero, и это заявление также было подтверждено Google.

Intel заявила, что выпустит обновление микрокода для решения этой проблемы, и некоторые из этих исправлений будут введены в аппаратное обеспечение с течением времени.

По словам Intel, изначально они планировали раскрыть эту информацию пользователям на следующей неделе, когда программное обеспечение и прошивка будут относительно готовы, но из-за неточных сообщений СМИ общественный резонанс заставил ее сделать заявление заранее. В ответ Intel заявила, что уязвимости не могут быть использованы, изменены или удалены данные, добавив, чтоВ средствах массовой информации неверно сообщать, что эта «ошибка» или «дефект» является проблемой, уникальной для продуктов Intel.Судя по проведенному анализу, многие типы вычислительных устройств (процессоры и операционные системы от разных производителей) также уязвимы для этих атак.

Microsoft отказалась комментировать эту историю, но, как ожидается, выпустит собственный соответствующий патч. Кроме того, AWS и Google выпустили собственные отчеты (см. ниже).

Что это значит:На данный момент мы видим, что основные поставщики микросхем и операционных систем знают о проблеме и работают над ее исправлением. Первый патч, скорее всего, будет включен в новый пакет исправлений Microsoft во вторник.Неясно, на сколько различных типов программного обеспечения и архитектур ЦП повлияет эта партия исправлений и как именно она повлияет на производительность ПК.

Но может ли влияние исправления быть более неприемлемым, чем сама проблема безопасности? По предварительным данным, в зависимости от конкретной задачи и модели процессора,В результате пользователи ПК могут столкнуться с «снижением производительности от 5% до 30%».

Интел кажетсяТвердо верим, что обычные пользователи никаким образом не пострадают.. "Вопреки некоторым отчетам, любое потенциальное влияние на производительность будет зависеть от фактической рабочей нагрузки, — говорится в заявлении. — Для обычного пользователя компьютера это не окажет существенного влияния, и со временем произойдет снижение производительности". через некоторое время."

Intel также пояснила, что «в зависимости от фактической рабочей нагрузки», но клиенты по-прежнему не могут точно оценить влияние.

Руководители заявили, что Intel не делала различий между клиентскими ПК и серверами центра обработки данных, когда изучала влияние уязвимости. На самом деле, приложения, используемые обычным пользователем, могут столкнуться со снижением производительности от 0% до 2%, но настройка сложных рабочих нагрузок, основанных на взаимодействии между приложениями и операционной системой, может привести к снижению производительности до 30%.

что мы можем сделать?

Intel рекомендует патч, патч или патч. Я уверен, что вы уже знакомы с клише: «Проконсультируйтесь с поставщиком вашей ОС или производителем системы и установите все доступные обновления как можно скорее. Следуйте передовым методам обеспечения безопасности для защиты от вредоносных программ, которые помогут предотвратить возможные вредоносные действия по использованию до тех пор, пока обновление полностью завершено».

Пострадает ли машинное обучение?

По мнению некоторых экспертов, это зависит от модели ансамбля, и вызовы каждой части модели могут оказывать влияние. Кроме того, создание новой программы повлечет за собой новые накладные расходы, алгоритм освобождения/выделения памяти будет более сложным, а процессор ЦП станет узким местом для загрузки изображений с помощью глубокого обучения с помощью графического процессора.

Ответ Google: это повлияет на браузер Chrome, обновите его в соответствии с операцией.

Google, со своей стороны, сообщает, что это повлияет на его браузер Chrome, но пользователи могут воспользоваться двухэтапной стратегией: во-первых, убедитесь, что ваш браузер обновлен до версии 63; во-вторых, вы можете включить дополнительную функцию, называемую изоляцией сайта, тем самым изоляция каждого сайта в отдельном адресном пространстве. Этот необязательный элемент можно включить в chrome://flags/#enable-site-per-process. Наконец, Chrome 64, выпуск которого запланирован на 23 января этого года, сможет защитить пользователей от атак по сторонним каналам.

Полный список затронутых устройств выглядит следующим образом:

Все продукты Google, явно не указанные ниже, не требуют действий пользователя.

Android

  • Устройства с последними обновлениями безопасности защищены. Кроме того, мы пока не обнаружили, что данная уязвимость была успешно воспроизведена, то есть произошла утечка информации без авторизации устройств ARM Android.

  • Устройства Nexus и Pixel с последними обновлениями безопасности защищены.

    • Google Apps/G Suite (Gmail, Календарь, Диск, Веб-сайт и т. д.):

  • Никаких дополнительных действий пользователя или клиента не требуется.

    • Гугл Хром:

  • Некоторым пользователям или клиентам необходимо принять меры.

    • ОС Google Chrome (например, Chromebook):

  • Требуются некоторые дополнительные действия пользователя или клиента.

    • Облачная платформа Google

  • Google App Engine: никаких дополнительных действий не требуется.

  • Google Compute Engine: требуются дополнительные действия.

  • Google Kubernetes Engine: требуются дополнительные действия.

  • Облачный поток данных Google: требуются некоторые дополнительные операции.

  • Google Cloud Dataproc: требуются дополнительные действия.

  • Все остальные продукты и сервисы Google Cloud: никаких дополнительных действий не требуется.

  • Google Home / Chromecast: никаких дополнительных действий не требуется.

  • Google Wifi/OnHub: никаких дополнительных действий пользователя не требуется.

    • Для конкретных операций см.:

    https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

    Amazon ответил: эта ошибка существует уже более 20 лет, и была выпущена новая версия Linux.

    Вчера Amazon также ответил, что эта ошибка на самом деле является проблемой современных процессоров, таких как Intel и AMD, уже более 20 лет.В настоящее время только небольшая часть парка MC2 Amazon устойчива к атакам, и она будет находиться в следующие несколько часов был отремонтирован.

    Обновленное ядро ​​Amazon Linux доступно в репозитории Amazon Linux. При запуске с конфигурацией Amazon Linux по умолчанию после 22:45 (GMT) 3 января 2018 г. обновленный пакет будет автоматически включен. Пользователи Amazon Linux AMI могут выполнить следующие команды, чтобы гарантировать получение обновленных пакетов:

    https://alas.aws.amazon.com/

    Что такое эксплойт обхода анализа?

    Согласно Intel, злоумышленник может обойти необходимые ограничения уровня привилегий, наблюдая за содержимым привилегированной памяти, используя метод ЦП, называемый «спекулятивным выполнением». В результате злоумышленники смогут получить доступ к данным, к которым у них обычно нет доступа. Однако Intel заявила, что не может удалить или изменить содержимое данных.

    На самом деле, Intel и исследователи обнаружили три варианта эксплойта, а именно «обход проверки границ», «внедрение целевой ветки» и «мошенническая загрузка данных», которые немного различаются по конкретным методам атаки. Но с помощью обновлений операционной системы все три проблемы можно эффективно решить.

    Стив Смит, глава отдела разработки Intel, сообщил о важном открытии, добавив, что фактического использования уязвимости не наблюдалось. Он также отрицал, что уязвимость была недостатком, и что она явно нацелена на Intel. Во время телефонной конференции Смит подчеркнул инвесторам, что «то, как работает процессор, строго соответствует нашим ожиданиям от дизайна».

    Смит также сказал, что это открытие побуждает производителей оборудования по всему миру «ответственно относиться к устранению уязвимости».

    Это отраслевая проблема

    Упомянутые выше компании запланировали выпустить соответствующие патчи на следующей неделе. Intel, с другой стороны, заявила, что причина ее предварительных комментариев заключалась в том, что «есть много неточных сообщений в СМИ», но следует подчеркнуть, что заявление чипового гиганта не опровергает ни одно из этих сообщений. Intel только что сделала заявление для СМИ, а затем провела телефонную конференцию.

    Intel заявила: «Intel и другие технологические компании осведомлены о новых исследованиях в области безопасности, в которых описываются методы анализа программного обеспечения, которые, если их использовать в злонамеренных целях, могут привести к сбору конфиденциальных данных с вычислительных устройств».

    Intel считает, что уязвимость тесно связана и с другими типами архитектур — в данном случае определенно с AMD (хотя она отрицает, что ее собственные чипы будут затронуты) и ARM, которая лежит в основе большинства смартфонов. Кроме того, есть несколько других производителей и поставщиков операционных систем, чьи продукты «уязвимы».

    «Мы знаем об этой общеотраслевой проблеме и тесно сотрудничаем с производителями микросхем, чтобы разработать и протестировать меры по смягчению последствий для защиты наших клиентов», — пояснил представитель Microsoft в интервью по электронной почте. обновления для защиты пользователей Windows от связанных уязвимостей в аппаратных чипах Intel, ARM и AMD».

    AMD отрицала, что ее процессорные продукты были затронуты, и подчеркнула в интервью, что текущий риск для процессоров AMD «практически равен нулю».

    Intel попыталась объяснить, почему она не выступила с инициативой раскрыть проблему — чиповый гигант заявил, что он почти завершил внутреннее устранение уязвимости, когда появились новости. «Мы стремимся ответственно раскрывать информацию о проблемах безопасности, поэтому Intel и другие поставщики планируют официально раскрыть эту проблему, когда они выпустят соответствующие обновления программного обеспечения и прошивки на следующей неделе», — заявили в Intel.

    Ответ Intel сомнительный, пользователи сети его не покупают

    Хотя чиновник ответил, пользователи сети, похоже, не купились на это.Большинство пользователей сети отнеслись к этому ответу скептически, думая, что Intel была недостаточно честной, и такой подход был самообманом. Дискуссия об Intel в известной социальной сети Reddit также в самом разгаре, и, помимо безумного дисса Intel, некоторые пользователи сети также дали свой собственный анализ.

    Мы выдернули содержание обсуждения некоторых пользователей сети:

    Точка зрения нетизенов 1:Это может не иметь большого значения для предприятий с отдельными центрами обработки данных, поскольку они не будут затронуты проблемами безопасности, которые приносит эта уязвимость, и поэтому, безусловно, продолжат эксплуатировать свои центры обработки данных без исправления ядра. Но для ученых-исследователей это может (было бы?) действительно более серьезной проблемой, поскольку они обычно не управляют своими собственными ядрами, а выполняют вычислительные задачи в облаке. Тем не менее, ЦП редко является узким местом производительности, большинство вычислений с интенсивным использованием BLAS теперь выполняются на графическом процессоре, наборы данных часто полностью загружаются в ОЗУ, а новые потоки не часто создаются в современных библиотеках.

    Вторая точка зрения нетизенов:Это почти наверняка приведет к отзыву продукта и возможному удалению патча ядра из ядра Linux.

    Точка зрения нетизенов три:

    Почти все процессоры Intel, выпущенные за последние 20 лет, были затронуты, и многие из процессоров, которые все еще используются сегодня, вероятно, давно сняты с производства, и нет возможности быстро производить совместимые материнские платы. Intel может отозвать недавний процессор, но полный отзыв затронутых процессоров займет годы и может даже привести к банкротству компании. Таким образом, пользователи могут продолжать жить с этим исправлением ядра только до тех пор, пока не будет куплен новый процессор, а снижение производительности, вызванное этим исправлением проблемы, может потребовать покупки нового процессора раньше, чем планировалось. Возможно, Intel предоставит покупателям, покупающим новые чипы по этой причине, соответствующие скидки, чтобы восстановить к ним доверие покупателей.

    Точка зрения нетизенов четыре: Может быть, пришло время купить акции AMD.

    Пятая точка зрения нетизенов:

    Или продать акции Intel.

    https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx (генеральный директор Intel продал много акций Intel)

    Шестая точка зрения нетизенов:Он не только продал кучу акций, он продал все акции, которые мог продать (по закону генеральный директор должен владеть 250 000 акций, поэтому он продал все, кроме 250 000 акций.... ..)

    Седьмая точка зрения нетизенов: Вероятно, поэтому Microsoft опубликовала уведомление о том, что некоторые виртуальные машины в Azure необходимо сначала перезапустить, иначе они автоматически перезагрузятся 10 января. Конечно, это, вероятно, просто стандартное обслуживание, так как они не публикуют много информации. Добавлено: это интересно, Microsoft только что выпустила предупреждение, заставляющее всех, кто еще не выполнил повторное развертывание, немедленно выполнить повторное развертывание. Похоже, это из-за того, что только что выпустил Project Zero:

    https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

    Точка зрения нетизенов восемь:Я не эксперт в этом, но похоже, что проверка границ структуры данных пропускается - проверка определенно займет больше времени и ресурсов, и если вы уверены, что проверка не нужна, простое исключение этого шага может сэкономить тактовый цикл .

    Звучит как что-то связанное со спекулятивным исполнением. Если вы выполняете инструкцию спекулятивно, вы можете в конечном итоге отбросить ее результат, поэтому чем дешевле выполнение инструкции, тем лучше. Возможно, Intel думает, что они могут пропустить проверку привилегий во время спекулятивного выполнения, и если окажется, что инструкция действительно нужна, выполнить инструкцию до фактического выполнения результата. Однако, возможно, окажется, что это спекулятивное выполнение открывает некоторые способы получения данных через бэкдоры, такие как кэширование, синхронизация и т. д., если бы исключение было перехвачено раньше, проблема не была бы раскрыта.

    Девятая точка зрения нетизенов:То, насколько сильно этот патч влияет на производительность, будет зависеть от конкретной вычислительной задачи, но не может составлять всего 34%. Этот патч снижает производительность ядра при переключении контекста. Если ваше приложение выполняет много системных вызовов, это может оказать огромное влияние на вашу производительность. Однако мы не поймем, насколько велико влияние, пока не увидим реальные случаи.

    Точка зрения нетизенов десять:Вот две статьи, в которых они протестировали его на инсайдерах Windows 10 с интегрированным и включенным исправлением, и результаты показывают, что обычному пользователю действительно не о чем беспокоиться. Производительность ЦП при композитинге, реальных рабочих нагрузках и в играх практически не изменилась, а различия в тестах находятся в пределах погрешности. Вероятно, единственное, что имеет значение, это для пользователей с дисками NVMe, такими как 960 Pro, которые являются очень быстрыми дисками, с потерей производительности около 5%, что для большинства людей незначительно. И, как и в случае с твердотельными накопителями на основе NVME и SATA, снижение производительности составляет почти 0%, поскольку эти диски недостаточно быстры, чтобы на них можно было повлиять.

    7700К + 1080Ти:

    https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update2

    3930К + 1080Ти:

    https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-kaempft-mit-schwerer-sicherheitsluecke-im-prozessor-design.html

    Одиннадцатая точка зрения нетизенов:О, подождите, AMD также считается «небезопасной»? О, о, о, это исправление, которое считает AMD небезопасной, а не то, что AMD действительно небезопасна. Добавлено: ошибка не влияет на AMD. Но, судя по всему, они выпускают исправления для всех архитектур, а не только для Intel, что, в свою очередь, влияет на производительность AMD. Возможно, после тщательного тестирования AMD откатится на допатч-версию. Дополнительное Tucao: Это гений Когда у вас есть проблема, вы заставляете других иметь проблемы.

    Точка зрения нетизенов двенадцать:

    Отказ от ответственности: я инженер Intel, но мои комментарии являются моими собственными, и я не принимал непосредственного участия в этом опросе.

    Я прочитал статью Google о Meltdown и могу поделиться некоторыми мыслями. Я также могу ответить на все вопросы, но, разумеется, я не буду делиться внутренней информацией Intel.

    Атака в основном использует спекулятивное выполнение и опирается на атаки на стороне кэша. На самом деле это не «ошибка», потому что спекулятивное выполнение предназначено для работы, что означает, что оно не влияет на регистры или память (если не зафиксировано), но может влиять на кэши. Таким образом, эта атака приведет к тому, что ЦП сначала попадет в какую-то ошибку или ловушку, а затем выполнит некоторые инструкции, которые обращаются к привилегированной памяти в программном порядке. Эти инструкции никогда не удаляются, потому что ловушки могут привести к их поломке, но могут выполняться спекулятивно, что может повлиять на кэши. Затем атака будет использовать атаку по побочному каналу для доступа к кэшированному контенту, потенциально обнаруживая в нем привилегированные данные.

    В принципе любое оборудование, поддерживающее спекулятивное выполнение, может быть атаковано. Большинство проблем можно решить на уровне операционной системы, и, конечно, есть много способов исправить их на аппаратном уровне. Но в настоящее время серьезность этого недостатка в основном напрямую связана с глубиной выхода из строя двигателя и размерами других конструкций. Очень плохо, это в основном означает, что более быстрое ядро ​​более уязвимо и более уязвимо. В статье Google говорится, что они обнаружили проблемы у всех Intel, AMD и ARM, но не смогли атаковать ни AMD, ни ARM, вероятно, потому, что AMD и ARM не такие сложные или имеют меньшую глубину неисправных движков (хотя похоже, есть еще одна связанная проблема с ARM). Так Intel выявил наиболее серьезные проблемы, потому что интеловский внезапный движок имеет более высокую производительность.

    Атаки Spectre происходят гораздо реже, но одинаково затрагивают всех производителей процессоров. Риск меньше, потому что атака должна быть нацелена на конкретный процесс, но соответствующее исправление также затруднено.

    Справочная статья

    https://www.pcworld.com/article/3245508/components-processors/intel-responds-to-the-cpu-kernel-bug.html

    https://www.reddit.com/r/sysadmin/comments/7nl8r0/intel_bug_incoming/

    https://www.reddit.com/r/MachineLearning/comments/7ny7kx/n_considering_the_bug_find_in_intel_processors/

    https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

    https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?from=timeline

    https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

    Сегодняшняя рекомендация

    ЦП Intel выявляет серьезные ошибки, исправление снизит производительность на 25–30 %: http://t.cn/RHRU1wi

    Чтобы получить больше контента, вы можете следить за AI Frontline, ID: ai-front и отвечать на «AI», «TF» и «Big Data» в фоновом режиме, чтобы получить серию мини-книг и навыков в формате PDF «AI Frontline». карты.


Категории