Любое решение - провал для Intel
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.
В далеком 2018 году в процессорах Intel были обнаружены уязвимости, связанные с внеочередным и спекулятивным выполнением команд. Назывались они Meltdown и Spectre, а вскоре появились и другие аналогичные по технике уязвимости, например "Spectre Variant 3a" нашел мой экс коллега Иннокентий Сенновский.
Что это за уязвимости такие? Если по-простому, то для ускорения работы процессор выполняет инструкции не по порядку. И иногда выполняются те инструкции, которые оказываться не нужны, их результат потом просто отбрасывается. Этим можно спекулировать, например, заставить выполнить инструкции без должной проверки и получить доступ к кэшу памяти, доступа к которому быть не должно! Или, проверить, выполняется ли код на виртуальной машине песочницы или на реальном процессоре? Крайне полезна функция для продвинутого вируса.
Почему мы говорим про это в 2023 году? Буквально в этом году раскрыта новая, похожая по типу уязвимость в процессорах Intel, назвали ее DownFall. С помощью нее продемонстрировали кражу ключей шифрования OpenSSL из кэша процессора. Эксперимент моделировал следующую ситуацию, на разных потоках одного процессора работали две виртуальные машины и ключ легко был угнан из одной машины в другую! То есть если вам "повезло" делить виртуальных хостинг со злоумышленником, он может копать ваши данные пока не найдет что-то ему полезное. Это самая практическая из всех уязвимостей такого типа.
И теперь Intel предъявили коллективный иск. За что? Согласно позиции истцов о подобных уязвимостях компании было известно с того самого 2018 года. Но она продолжала продавать и производить уязвимые, а значит дефектные чипы. Так же в компании было известно, что любое устранение уязвимостей, значительно снижало их производительность! Иначе никак, или скорость или безопасность. Патч к DownFall который сейчас распространяется компанией, снижает производительность примерно на 50%!
Если Intel согласится на возмещение ущерба, то количество исков возрастет в разы, ведь будет прецедент. А если нет, то проиграв дело, будет еще хуже.
А что с новыми процессорами? Вшить защиту от подобного, снизив характеристики? Или закрыть глаза и дальше?
Увидим, что выберет Intel.