Cpu vulnerabilities

Straipsnis skirtas aprašyti pataisų išjungimą skirtą spectre ir meltdown šeimos CPU pažeidžiamumams, įvairiose operacijų sistemose. Išjungus pataisymus gali ženkliai padidėti darbo našumas, ypač sistemose su Haswell ar senesniais procesoriais.

Žemiau pateiktoje lentelėje surašyti žymiausi CPU pažeidžiamumai bei jų skylių užlopymo šalutinis poveikis CPU našumui.

Laikraštis Kaimietis[keisti]

2019 metais laikraštis "kaimietis" rašo:

Eina kalbos, kad Intel ir AMD susitarę sugalvojo, kaip paspartinti procesorių pardavimų skaičių, investavę keleta šimtų tūkstančių, prisisamdė "didelių egzpertų" kurie atrado šiuos pažeidžiamumus ir padvigubino ar net patrigubino naujų Intel ir AMD procesorių pardavimus (kuriuose jau šios spragos ištaisytos). Kiekvieną kartą po naujo pažeidžiamumo atradimo, procesorių perkamumas stebėtinai didėdavo.. Kadangi pažeidžiamumą iš programinės pusės galima tik "dalinai" ištaisyti, be to prarandamas procesoriaus našumas, galutiniam vartotojui lieka tik pirkti naują. Taip Intel reklamuojant naujos kartos procesorius 2018 metais, buvo akcentuojama, kad šios spragos ištaisytos ir vėl galite naudotis naujais procesoriais be jokios našumo praradimo rizikos. Bet tik išleidus naujus procesorius, po maždaug pusmečio, išėjo nauja pažeidžiamumų banga kuri paveikė ir juos. Dabar tai vyksta nuolat kelis ar keleta kartų į metus stabiliai, nuo pat 2017 metų. Taigi kyla klausimas ar tai daroma specialiai? Vėlgi, kadangi AMD ir Intel naudoja tą pačią architektūra, buvo paveiktos abi kompanijos, nors jų procesorių gaminimo keliai jau senai išsiskyrę, naudojamos technologijos taipogi, todėl AMD procesoriai tapo mažiau pažeidžiami. Manoma, kad apie pažeidžiamumus Intel žinojo senai tik klausimas ar jie per aplaidumą nekreipė į tai dėmesio ar darė tai specialiai, kad vėliau išaiškėjus, galėtų tai panaudoti savo naudai. Kol kas nėra iškelta nei viena viešai žinoma byla prieš Intel ar AMD už nekokybiškų gaminių pardavimą, o ir pats Intel ar AMD nepasisiūlė geranoriškai naudotojams kompensuoti žalą. Manoma, kad jie pirmiausia parašė laiškus siūlydami didelius "honorarus" įvairiems "geležies" testavimo internetiniams puslapiams ir/ar jų autoriams, kur viešai skelbiami procesorių našumo testai, po programinio jų pažeidžiamumų ištaisymo. Galimai buvo prašoma suklastoti rezultatus, kad žmonėms būtų parodyta, kad joks našumas nėra įtakotas arba įtakotas labai mažai, po programinio lygio pažeidžiamumų pataisymo.

Linux[keisti]

lscpu parodo visus cpu pažeidžiamumus ir ar jie yra aktyvūs.. Kaip ir įprastai, Linux'e viskas labai paprasta ir patogu...

/etc/default/grub

GRUB_CMDLINE_LINUX="mitigations=off"

Sugeneruojam bootloader konfigą

update-grub

• Spectre & Meltdown checker

Windows[keisti]

CPU Microcode atnaujinimas gali būti išjungtas pašalinus failą: C:\Windows\System32\mcupdate_GenuineIntel.dll

Spectre ir meltdown pataisymai gali būti išjungti šiomis registro pataisomis:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Įrankis skirtas pažiūrėti esamą pažeidžiamumų situaciją ir/arba išjungti spectre ir meltdown pažeidžiamumų pataisas: https://www.grc.com/inspectre.htm

MacOS[keisti]

Irankiai patikrinimui[keisti]

• Spectre pazeidziamumo patikrinimas narsykleje