- Meltdown a Spectre, co je nutné znát
– TEST snížení výkonu procesoru Intel před a po update
Jeden z největších průšvihů všech dob je definitivně potvrzený. Má vliv na bezpečnost i výkon. V současnosti už máme pohromadě všechny informace. V uplynulých dnech téměř každý, kdo něco znamená v IT vydával své stanovisko k obrovskému bezpečnostnímu problému, který se objevil v souvislosti s procesory. Poslední dny jsme tak zjišťovali všechny skutečnosti, komunikovali s mnoha lidmi z oboru a mohli udělat i první vlastní měření výkonu. Ale vezměme to od začátku.
- O co jde? Meltdown a Spectre …
První zprávy se potvrdily. Ve zkratce tedy, co se stalo. Pátrání po mezerách v softwaru i hardwaru, který by mohli zneužít potenciální útočníci k nekalým věcem, probíhá neustále. Mnoho firem si platí jiné firmy, které nemají za úkol nic jiného, než napadat jejich systémy a hledat mezery, které jsou konstantně opravovány. A tak nějak se přišlo i na jednu z největších mezer všech dob.
Ač se to může zdát, že zranitelnost byla objevena před několika dny, není tomu tak. To se jen celá věc dostala na veřejnost. Ve skutečnosti celý problém byl objeven a identifikován už před půl rokem a okruh lidí, kteří i tom věděl, byl utajením omezen na minimum. Všichni zúčastnění totiž ihned věděli, o jak nebývale obrovský problém se jedná. Utajení sloužilo k tomu, aby se o slabinách, a té jedné velmi snadno zneužitelné, nedozvěděli právě ti, kteří by ji mohli zneužít. Posledních několik měsíců tak probíhaly práce na záplatách a vůbec hledání řešení něčeho, co vyřešit v podstatě nejde. A to je část problému. V posledních týdnech byly záplaty testovány, a tak vzbudily pozornost už části odborné veřejnosti, čímž se dostaly také na běžnou veřejnost. Původně mělo utajení skončit o později v únoru, ale nakonec bylo ukončeno dříve a spolu s tím tak bylo uspíšeno vydání všemožných Updatů, které byly po celou dobu připravovány.
Celý problém je samozřejmě velmi složitý na pochopení v celé šíři běžným uživatelem (ačkoliv se dotkne fakticky všech lidí na planetě), což umožňuje Intelu, který je tím, kdo za něj z velké části může a kvůli komu je tak závažný, tvářit se a mást veřejnost vyjádřeními, že to není jen jeho problém. Intel se právě vyjádřeními, že problém mají i ostatní, snaží odpoutat od sebe pozornost a potenciální poškození své značky a pověsti, ale i možných dalších následků. Zejména omíláním toho, že jeho procesory a platforma je prý stále nejbezpečnější na světě, což objektivně není a v tuto chvíli nemůže být pravda.
Ve zkratce existují dvě hlavní zranitelnosti. Společnost Google, která je podrobně analyzovala, je nazvala pro zjednodušení MELTDOWN a SPECTRE. Právě Meltdown je ta, o kterou jde především, a která se aktuálně hlavně řeší. Týká se výhradně Intel procesorů a několika ARM modelů (včetně těch od Apple). Především architektura procesorů Intel totiž umožňuje přístup jen částečně zpracovaného kódu do jádra systému. Což je velice snadno zneužitelné a nejde jen o bezpečnostní díru, to je přímo kráter s červeným kobercem okolo a pozváním. Mnozí tvůrci softwaru si vůbec neberou servítky, a označují to za velké selhání Intelu a jeho procesorových inženýrů.
Intel totiž o zranitelnosti zcela jistě věděl, on totiž svou architekturu s využitím této zranitelnosti přímo navrhl a využívá, kdy v některých oblastech jednoduše navyšuje výkon. Týká se proto prakticky všech procesorů architektury Core, včetně nejnovějších modelů deset let dozadu. Fakticky tak nejde o chybu, ale o záměrný designový prvek architektury procesoru. Stejný má i jedna generace ARM procesorů. MELTDOWN se naopak prokazatelně vůbec netýká procesorů AMD. Právě proto, že AMD stejný architektonický prvek jako Intel nepoužívá, a to právě s ohledem na bezpečnost.
SPECTRE je pak druhá, naštěstí velmi obtížněji využitelná zranitelnost, která se ale týká všech procesorů, a to jak Intel, AMD, VIA, tedy x86, tak ARM modelů a architektur. SPECTRE má ale dvě slabiny, kdy obě se týkají opět pouze Intel procesorů, které lze takto napadnout. V případě první slabiny jde spíše o díru v softwaru, která je snadno opravitelná (a týká se všech systémů a procesorů), v případě druhé varianty jde ale opět o hardwarovou slabinu a u AMD ji nelze díky odlišnosti architektury využít (ani teoreticky se to minimálně nepovedlo nikomu). Týká se tak reálně v praxi zase jen Intelu a některých ARM. Ovšem samozřejmě aktualizace byla provedena pro všechny.
- Intel je ten hlavní, kdo má problém. Proč je to tak závažné?
Bohužel, kvůli architektuře procesorů Intel, není fakticky reálně možné, zranitelnosti zcela opravit. Softwarový update, které nyní všichni vydávají, je jen záplata, která jen s určitou úspěšností může hlídat známé díry a zneužitelnosti, ale 100% zabránit průnikům z principu nemůže. Problém je totiž fyzický, je přímo součástí procesoru a jediná cesta, jak jej skutečně zcela opravit, je jednoduše předělat fyzicky tu část architektury a vyrobit tedy nové čipy. A takové Intel nemá. Všechny Intel procesory tedy tuhle „chybu“ a bezpečností díru mají a je tam pořád, i když nainstalujete bezpečnostní záplatu.
A tím je celá kauza tak obrovská, nebezpečná a je to takový problém. Intel procesory pohání více než 9/10 serverů na světě, na kterých stojí a padá naše civilizace. Pohání také téměř 9/10 běžných počítačů na světě. A teď zjišťujeme, že mají jednu velkou díru, kterou lze snadno zneužít téměř k čemukoliv, od prostého sledování, přes krádeže citlivých dat, přístupů, šíření virů atd. Takže problém je to gigantický, a hlavně tu bude vždy. Aktualizace operačních systémů Windows, Linux, Mac, iOS a ANDROID, dokáží tuto díru jen softwarově zalátat, ale tím ji neodstraňují zcela. Nicméně některé zranitelnosti lze zalátat jen aktualizací mikrokódu procesoru, tedy aktualizací BIOSu základní desky. A to je další potíž.
Drtivá většina provozovatelů serverů, v minulých týdnech prováděla updaty, některé ještě prováděny budou. Právě aplikace a aktualizace BIOSů však znamená nutnost odstávek, což je bezprecedentní. Jenže pak jsou tady stamiliony běžných mobilních, desktopových počítačů ve firmách a v domácnostech. Jen část z nich je pravidelně aktualizována ohledně operačního systému. Avšak jen minimum z nich je aktualizováno i z hlediska BIOSu základní desky! A proto je selhání Intelu tak obrovské svým dopadem, jelikož kvůli němu tu ten MELTDOWN a SPECTRE problém je a bude obrovský stále. Velká část počítačů bude mít tyhle zranitelnosti nadále plně a jednoduše zneužitelné a otevřené, a to si pište, že se na ně škodlivý software a viry všeho druhu zaměří.
Je tu ještě jedno hledisko, a to je výkonový dopad …
- Ztráta výkonu u Intel procesorů
Jistě jste také slyšeli, a nejen od nás, že záplaty budou mít vliv na výkon. Ono je to logické, když se jedná o prvek architektury, který Intel používal právě proto, aby byl výkonnější a teď ho nebude moci takhle využívat. Některé typy úloh to neovlivní, některé to ale ovlivní znatelně. V současné době už můžeme vliv záplat otestovat.
Aby váš počítač byl maximálně software zabezpečený proti MELTDOWN a SPECTRE zranitelnosti, jak jen je to nyní možné, musíte nainstalovat jednak záplatu na Windows (nebo jiný operační systém) a současně i provést update BIOSu základní desky (ty však všechny desky zatím nemají a mnohé ani nedostanou). V našem případě můžeme otestovat vliv těchto úprav kompletně jen na Intel Z370 platformě, která v případě ASUS desek už dostala nezbytné BIOSy. Takže jak to vypadá na Core i5-8600K po aktualizaci Windows a update BIOSů? Měříme rozdíl výkonu proti stejné sestavě a jediným rozdílem je právě ta aktualizace W10 a Biosu.
Schválně jsme všechny testy provedli několikrát a nejde tedy o žádné chyby měření. Stejně tak jsme otestovali, že po odebrání aktualizace a nahrání staršího BIOSu, se opět dostaneme na původní výkon.
Rozdíly totiž zkrátka jsou a měřitelné:
Ve dřívějším článku jsem uváděl, že v domácích podmínkách očekávám pokles výkonu tak do 5% celkem v průměru. Inu, nebyl jsem daleko. V některých aplikacích se výkon v podstatě nehnul, v některých však o několik procent poklesl.
Největší ztráty jsou v oblasti práce s archivy, databázemi a několika dalšími typy zátěže. Většina z vás si jich asi v praxi výrazně nevšimne., celkový průměr bude mínus až 3%.
Znatelný je ale vliv na výkon SSD disků, které jsou v některých případů najednou výrazně pomalejší (zejména v nejnáročnějších zátěži při čtení je propad velmi znatelný). To se odráží zejména v navýšení doby k otevírání a práci se soubory (i když pořád je to velmi rychlé, když s bavíme o SSD). Všimli jsme si v praxi jen znatelného zhoršení minimálních FPS u některých her a delšího načítání některých lokací než před tím. Není to zásadní, ale měřitelné to je.
Poznámka: V praxi jsme si také u her všimli zvýšení zátěže na procesor. Kdy před update je vytížení procesoru nižší, než po Update. Rozdíl je až 10% zátěže, což se negativně projevuje o něco málo zvýšenou spotřebou. Opravy tak nejen o několik % snižují výkon, ale zvyšují i vytížení procesoru a zvyšují spotřebu, čímž tedy celkově klesá efektivita platformy.
- Dopady pro serverovou oblast
Pochopitelně v domácích podmínkách běžného uživatele, nejsou dopady na výkon tak moc znát a těch několik jednotek % v praxi asi nikoho z nás nevytrhne. Ovšem několik % výkonu v serverech už znát je. Ptal jsem se několika provozovatelů serverových a CLOUD služeb a všichni potvrzují, že o problémech vědí a aktivně na jejich řešení pracují už několik týdnů.
Přiznávají, že v určitých oblastech mají nutné záplaty negativní vliv na výkon. A bohužel znatelný (i desítky %). Zejména v oblasti práci s archivy, rychlým přístupem a databázemi. Potýkají se s nárůstem % zátěže procesorů Intel, což zvyšuje odezvy u některých typů služeb a také zvyšuje spotřebu a snižuje efektivitu celých systémů. Některé firmy a jejich služby, které neměly dostatečnou výkonovou rezervu, se potýkají s problémy. V praxi jsou například viditelné problémy u některých online her atd. (potvrzuje i naše osobní zkušenosti).
(nárůstu zátěže na procesory na svých serverech po aktualizaci si všimli například EPIC u svých her)
Zatímco u našeho domácího PC je ten několika procentní pokles celkového výkonu pro praxi zanedbatelný a mávneme nad ním rukou, v serverech jde o stamiliony až miliardy dolarů. Nejde jen o značné náklady na alespoň zalátání těch děr, což vyžaduje velké množství času i lidí a odstávky služeb, ale jde i o to, že systémy jsou navrhovány na určitou zátěž, s určitou efektivitou atd. A propad výkonu, zhoršení efektivity bude mít za následek prostě nutnost dalších velkých finančních výdajů.
Firmy samozřejmě nemají zdaleka vše spočítáno, v tuto chvíli se snaží nahrát všechny nutné bezpečnostní updaty a jak to jen jde „obnovit zabezpečení“, ovšem všichni se kterými jsem mluvil se shodují, že je to velký, nevídaný problém a rozhodně bude mít vliv na finanční stránku věci, business a další investice.
- Zranitelnost Intel procesorů zůstává.
Světu tak dominují nejméně bezpečné procesory?!
Všichni si uvědomují závažnost celé situace, která mnoha běžným uživatelům nedochází. Vše jsem popsal výše, jde zkrátka o kombinaci toho, že procesory Intel mají v sobě velkou díru, kterou nelze vyřešit jinak než zcela novými procesory nové architektury. A tu Intel nemá a stejně tak není schopen vyměnit všechny procesory 10 let zpět, kterých se problém týká. Tedy drtivé většiny počítačů na světě. Softwarové záplaty i za cenu snížení výkonu, dokáží jen snížit riziko, ale problém nelze vyřešit softwarovou cestou a navíc velká část počítačů i některé servery aktuality, záplaty a nové BIOSy nedostanou a budou tak představovat trvalé riziko a téměř 100% jistě zdroje nákaz a nekalého řádění pro ostatní počítače na síti.
Intel navíc nadále procesory s touto chybou prodává a fakticky i nové COFFEE LAKE procesory na trh uváděl, i když věděl, že tu zranitelnost a díru v sobě mají. Většině profesionálů na bezpečnost se tak ani za mák nelíbí, jak se Intel snaží hodit část problémů i na jiné výrobce, kdy sice někteří mají také problém, ale ani náhodou není zdaleka tak gigantický, jaký jej má Intel. Zejména AMD procesory mají prokazatelně jen tu jednu malou nejméně vážnou, nejsnáze opravitelnou a v praxi fakticky nevyužitelnou zranitelnost a žádné jiné se jich netýkají (minimálně nikdo nebyl schopen využít ty zranitelnosti na AMD jako na Intelu). A tak většina principiálně a zcela logicky nesouhlasí s tvrzením Intelu, že stále nabízí nejbezpečnější platformy a procesory. Procesory, které mají fyzicky bezpečností díru jako vrata, nemohou být v žádném slova smyslu nejbezpečnější a fakticky je nelze považovat ani za bezpečné.
Na Intel se tak aktuálně chystají a formují požadavky o finanční vyrovnání nákladů na aktualizace atd. formují se i žaloby a řada firem přemýšlí o podstatných úpravách budoucí spolupráce s Intelem, kdy samozřejmě jeho procesory nadále měly pohánět další a další nové a inovované servery a počítače. Mnoho firem si uvědomuje, že problém je tak velký i kvůli „monopolu“ Intelu, a že by bylo dobré mít v záloze i jinou alternativu. Celá věc není tak čerstvá, jak se nám, běžným uživatelům může jevit, na jejím řešení se pracuje už dlouho, ale zcela určitě bude mít další dopady. Vydání softwarových aktualizací, BIOSů a záplat sice řeší část věcí a snaží se minimalizovat riziko, ale nedokáže vyřešit ten problém sám o sobě a už vůbec ne pro všechny počítače, kterých se to týká, protože všechny aktualizace nedostanou. Intel procesory jsou v tuto chvíli prokazatelně nejméně bezpečným řešením na trhu, které ještě bude přidělávat spoustu problémů.
Pokles výkonu je jen jeden z nich a řekl bych ten pro většinu z nás nejméně závažný důsledek. Pokles výkonu ale zcela určitě je a bude reálný (Intel to sám potvrzuje), v některých případech znatelný, ale prostě nezbytný. Samozřejmě pracujeme na zcela nových testech, protože je jasné, že staré výsledky už neplatí. Připravíme samozřejmě i srovnání s AMD platformou. Rozhodně nedoporučujeme používat Intel procesory a počítače s nimi bez zabezpečení a aktualizací, protože jakmile se tohle všechno rozkřiklo, hackeři se činí a pracují na využití té obří bezpečností mezery. Tahle chyba a problém na který zakládá, je v podstatě největší svého druhu v historii s obrovským dopadem (díky podílu Intel procesorů) a pokud by byla nějaká Hackerská škola, určitě by sloužil jako exemplární příklad, na kterém a podle kterého se budou další generace hackerů učit napadat systémy.
MELTDOWN a SPECTRE jsou tedy velmi reálné, berte je vážně! Zejména snadno využitelná MELTDOWN související téměř výhradně s Intel procesory, je bez ošetření alespoň těmi SW záplatami a BIOSem, jako když otevřete dveře u svého auta a necháte ho stát zaparkované samotné na rušné ulici s klíčky v zapalování a budete doufat, že s ním nikdo neodjede. Ztráta výkonu může být Váš nejmenší problém. Otázkou je, zda nadále nakupovat počítače s procesory Intel, o kterých se ví, že všechny tu díru mají, právě tohle se bude řešit z pohledu výrobců i zákazníků v dalších týdnech. Intel komunikuje velmi málo se všemi partnery, a svá vyjádření pečlivě stylizuje, snaží se vše bagatelizovat atd. Hrozí mu totiž žaloby, hrozí mu spory o vyrovnání, hrozí mu ztráty zákazníků, hrozí mu další postihy i vyšetřování, pokud se ukáže, že o celé věci dávno věděl a nadále „vadné a chybové“ procesory prodává.
Fakticky vzato, správně by měl být prodej veškerých současných Intel procesorů zastaven, protože ten problém fyzicky mají a mít vždy budou. Lze je považovat za vadné (což bude argument v chystaných sporech proti Intelu). Ale umíte si někdo přestavit, že by Intel nesměl své procesory prodávat, co by se na trhu stalo? Já ne. Intel za ně nemá náhradu, oprava architektury není jednoduchá, novou Intel ještě nedodělal a spekuluje se, že i proto skončil s CANNON LAKE, protože ta by měla zranitelnost stále a předělává tedy ICE LAKE (který ji měl mít také), ovšem na ten si počkáme minimálně do poloviny příštího roku. Intel, pokud by tedy chtěl zbavit svět nebezpečí, musel by nejen přestat prodávat své stávající procesory, ale stáhnout i miliony dalších (včetně dalších věcí). Jenže nemá, čím je nahradit a AMD, které má sice procesory evidentně nyní bezpečnější, tak samozřejmě nemá kde vyrobit potřebné množství čipů, aby Intel procesory v potřebném množství nahradilo. Zastavení prodeje děravých procesorů Intel tedy není moc schůdná alternativa, stejně tak ale prodávat a používat je nadále, jako by se nechumelilo, je alternativou snad ještě horší. To je další část tohoto celého problému, o které se v zákulisí hovoří a je noční můrou pro Intel i výrobce počítačů. Chybí jen, aby se do problému přimýchaly první žaloby, politická vyšetřování, i proto se snažil Intel celý problém utajit jak dlouho se dalo a nadále se snaží jej banalizovat.
V této souvislosti nevypadá dobře ani prodej akcií své společnosti šéfem Intelu. Ač tvrdí, že s problémy nesouvisí, je jasné, že o situaci v době prodeje dávno věděl, zatímco řada investorů nikoliv. Začne se tak nejspíše vyšetřovat, zda jednak šéf Intelu neporušil zákon, ale také zda Intel sám nezatajoval nelegálně informace (i když z pochopitelných bezpečnostních důvodů) a tím fakticky na konci roku nezmanipuloval tu rekordní cenu akcií (za kterou je šéf Intelu prodal), která by byla určitě nižší, kdyby stejně jako vedení Intelu o situaci věděli i běžní investoři. Zkrátka vše je zatím na začátku a situace se bude dále vyvíjet.
Každopádně důrazně radím situaci nepodceňovat, počítač zabezpečit jak jen je to možné, nyní, když se zranitelnosti staly obecně známé, budou samozřejmě využívány. Takže zejména majitelé Intel procesorů pozor, updatujte systém i Bios pokud můžete, pokud ne, tak pozor na data, jsou a budou v nebezpečí a nedivte se, pokud vás někdo "digitálně vykrade". A jestli zvažujete nákup nového řešení a chcete skutečně bezpečné, pak máte nad čím přemýšlet. Tuto bezprecendentní závažnou situaci budeme dále sledovat a v praxi testovat, čekáme na další updaty a Biosy.
AUTOR: Jan "DD" Stach |
---|
Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|