 Intel CPU jsou bezpečné asi jako skok z letadla bez padáku. Oprava je možná, ale s důsledkem.
Asi vás nepřekvapí, že nově zveřejněná zranitelnost byla zveřejněna až po delší době, co se o ní ví, ale až nyní se o ní dozvídáme jako veřejnost. Intel sám ji označuje za velmi vážnou hrozbu a již vydal částečnou opravu (mikrokód pro aktualizaci BIOSu), která má ovšem zajímavý vedlejší efekt. Prakticky totiž znemožňuje taktování. Intel problémy přiznává.
Zranitelnost byla objevena, pečlivě prozkoumána, zdokumentována a vyzkoušena v praxi. Vše vědeckými teamy několika Evropských univerzit. Dostala jméno „Plundervolt“. Jde o další bezpečnostní nedostatek architektury procesorů Intel samotné. A velmi vážný nedostatek, který prakticky znamená, že zabezpečení procesorů jako by neexistovalo. Prakticky vzato dělá nefunkční technologii Intel Software Guard Extensios tedy ochranu dat v paměti SGX. Ta má sloužit právě jako bezpečné odkladiště pro citlivá data, kam by neměl mít přístup jiný běžný kód a aplikace. Jenže pomocí Pundervolt lze k datům přistupovat a měnit je, lze získat třeba šifrovací klíče, hesla, nebo vytvořit zranitelnosti a mezery v aplikacích a zabezpečení počítačů s procesory Intel.
Plundervolt využívá několik již dříve objevených zranitelností a postupů, které kombinuje. Využívá přitom různé části powermanagementu procesorů, tedy možnosti úpravy napětí a taktů. A přes tento systém umožňuje měnit kód, který by měl být zabezpečený, což není. Na youtube už lze najít podrobnosti, včetně demonstrací, jak to celé funguje v praxi. Intel sám již přiznal problém, označil jej za velmi vysoké riziko a vydal první opravy. Zneužití samozřejmě hrozí u všech počítačů, které aktualizaci nedostanou. Aktuálně prý není možné využít tuto zranitelnost vzdáleně, či spíše pravděpodobně to možné je, ale veřejně to nebylo oznámeno, protože se o podobných zranitelnostech dozvídáme veřejně se zpožděním až když se je snaží Intel měsíce opravit, což ne vždy dokáže. Nicméně zranitelnost je reálná, stačí přístup k počítači a poměrně snadno lze získat přístup k čemukoliv a využití PC oběti následně jakkoliv si útočníky usmyslí. Intel proto bere celou věc velmi vážně.
Postiženy jsou všechny současné procesory Intel, tedy i nejnovější 10. generace a 10nm modely. Oprava je relativně snadná, ovšem je součástí aktualizace BIOSu, takže bez aktualizace BIOSů základních desek, což samozřejmě dělá jen minimum lidí i u nových PC, natož u několik let starých, zůstane zranitelnost zachována. To je právě největší problém děravosti Intel procesorů, že většina počítačů s Intel procesory není v tuto chvíli kvůli absenci aktualizací BIOSu ale i třeba Windows, vlastně vůbec zabezpečena a zranitelnosti jsou tak volně k využití a jsou stále sofistikovanější metody na to.
V tomto případě navíc řešení zasahuje do chování a provozu procesoru. Omezení možností měnit voltáž a takty prakticky znemožňuje taktování, a to i u „K“ procesorů Intel. V tuto chvíli tak prý aplikace dostupných záplat omezí nebo zcela znemožní taktování procesů a Intel sám říká, že se hledá nějaké řešení, které by fungovalo současně se zachování možností taktování. Intel prakticky vzato doporučuje neaplikovat záplatu, pokud chcete taktovat. Jinými slovy preferovat výkon před bezpečností, což je vlastně celé jádro problému, které dnes Intel má. MELTDOWN, SPECTRE a mnoho dalších zranitelností je tady právě proto, že jich Intel využíval. Nejsou tedy vlastně chybou, ale vlastností architektury. Intel je využíval právě ke zvýšení výkonu v řadě případů, i když musel vědět, že jsou potenciálně zneužitelné.
Nicméně záplaty a opravy ten výkon teď snižují. Nové Core i9-10980XE je pomalejší než Core i9-9980XE v řadě případů, kdy má nižší výkon na jádro a IPC, až o několik % v některých aplikacích, právě proto že jde o novou revizi čipu, kde Intel provedl některé HW opravy zranitelností. Což zkrátka snížilo výkon. V tomto případě, pokud by Intel důsledně opravil problém Plundervolt, znamenalo by to nemožnost taktování i u „K“ verzí procesorů, protože to je bezpečnostním rizikem.
- Procesory Intel nelze vlastně opravit ...
Stejně jako ve všech ostatních případech, tyto zranitelnosti a problémy mají pouze procesory Intel. Jsou zranitelné kvůli konstrukci a architektuře a žádná ze zranitelností není přítomna na AMD. Počítače s AMD procesory nelze uveřejněnými postupy vůbec ohrozit. AMD architektura neobsahuje podobné zranitelnosti a zadní vrátka a preferuje jednoznačně bezpečnost před výkonem. Můžeme ale celkem bezpečně říci, že vzhledem k tomu o kolik jsou procesory AMD dnes bezpečnější, nedá se říci, že by to jejich výkon, jakkoliv negativně ovlivňovalo. Ostatně jen mainstreamový procesor AMD (3950X) dnes stačí na poražení toho nejlepší, co Intel je schopen nabídnout, a to včetně high endu (10980XE):
Stále platí, že jediné řešení těchto bezpečnostních problémů Intelu, je zcela nová architektura a konstrukce procesorů, tedy něco, co jsme od uvedení CORE řady jako takové, vlastně neviděli. A něco, co ještě hodně dlouho neuvidíme. Do té doby se budou neustále nacházet nové a nové zranitelnosti, a je stále více v praxi celá situace nebezpečnější, protože řada počítačů je prostě nezabezpečena (neaktualizována) a Intel stále prodává další a další procesory. A všechny jeho současné procesory jsou vlastně vadné, protože ty zranitelnosti prostě mají. Problém se tedy neustále zvětšuje. Nová architektura a konstrukce a nová generace procesorů Intel ale neexistuje. Ještě štěstí, že kupovat dnes Intel procesory stejně nedává žádný smysl v serverech a většině desktopů i velké části mobilní platformy, protože je tu bezpečnější, efektivnější a často i výrazně výkonnější a výhodnější alternativa …. Nikdo, kdo bere bezpečnost a stabilitu vážně, nemůže prostě dnes používat primárně Intel platformu, protože to je přesný opak. Navíc je problém, že o mnoha dalších vážnějších zranitelností stále ještě nevíme, dozvídáme se o nich pozdě a objevují se nové a nové, kdy si tady zkrátka někdo hraje s ohněm a jen se čeká na opravdu velký průšvih, než si konečně někdo uvědomí, že prodávat dále vadné procesory a zvětšovat ten problém, je prostě špatně …
| AUTOR: Jan "DD" Stach |
|---|
| Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|
taze o to horsie
