Paskelbta apie dar vieną „Intel“ procesorių pažeidžiamumą
Saugumo spragos „Intel“ procesoriuose jau seniai nebestebina. Pranešama apie dar vieną, kuri negali būti pataisyta su programinės įrangos atnaujinimu. Užbėgant įvykiams už akių reikia pasakyti, kad norint išnaudoti naują saugumo spragą reikia turėti fizinę prieigą prie kompiuterio. Ataka nuotoliniu būdu yra negalima.
Naujas saugumo pažeidžiamumas susijęs su Converged Security and Management Engine, arba tiesiog CSME. CSME yra mažas procesorius pačiame procesoriuje, kuris gali pasiekti visus duomenis ir yra skirtas viso lusto saugumui. Tai lyg juodoji procesoriaus dėžė, kuri gali sustabdyti įvairias operacijas. Minėtas pažeidžiamumas yra CSME tik skaitomojoje atmintyje (ROM- Read-Only Memory). Kadangi ROM negalima perrašyti, programinės įrangos atnaujinimai nėra galimi. Šis ROM leidžia pasiekti mikroschemų rinkinio raktą sugeneruojant visus kitus šifravimo raktus. Vienas iš tų raktų yra Integrity Control Value Blob (ICVB). Jis leidžia programišiams pasigaminti bet kurio CSME modulio kodą, o tai jiems leidžia veikti nepastebėtiems ir su kompiuteriu daryti ką nori.
Šį naują pažeidžiamumą turi „Intel“ procesoriai, kurie yra pagaminti per pastaruosius 5 metus, išskyrus 10-os kartos „Ice Point“ mikroschemų rinkinius ir sisteminius lustus.
Loading ...
Kaip tik vakar bendravau su vienais LT duomenų centro valdytojais ir jie skundėsi, kad Intel pažeidžiamumai tampa vis didesnė bėda. Ypač dėl to, kad Cloud variantu CPU overbook gali būti nuo 200 iki 1000 proc, reiškia kad įvairūs VM gali tuo pačiu metu pasiekti tuos pačius resursus, todėl jie būtinai turi diegti visus fixus. Diegiant fixus krenta performance ir tai jau perkopė 20%. Tai reiškia, kad procesoriaus resursas sumažėjo ketvirtadaliu ar penktadaliu, todėl atitinkamai mažėja overbook galimybė kas mažina uždarbį. O klientams kainą pakelti nėra taip paprasta, nes jam visiškai neįdomu tech dalis, jis perka paslaugą. Tiesa sakant prieš keletą metų esu gavęs nurodymą perkalbėti su top klientais ir siūliau optimizuoti kodą su DevOps pagalba, nes CPU panaudojimas kai kuriuose VM perkopė 50% average, todėl tokie klientai tapo nuostolingais. Yra buvę atvejų kai tiesiog nutraukiamos sutartys..
Vnž ką norėjau pasakyti, kad jau ir DC rinkoje jau rimtai yra mastoma pereiti ant AMD, bent jau kol intel nepaleis naujos architektūros
20% dar salygiskai „nedaug“ 🙂 Yra sriciu, kur HT visiskai isjungiamas del saugumo (man rodos pas FreeBSD dabar by default eina tai) patch’ai ant virsaus, del ko bendras sistemos throughput’as krenta 50-70% priklausomai pagal metrika.
Vertinant investicijas ir tai, kad elektros sanaudos ir užimama vieta nesikeičia, HT public cloud yra beveik visais atveja naudojama, nes kitaip tiesiog neapsimoka. Žinoma private cloud įmonės renkasi išjungti dėl saugumo, bet jie gali sau tai leisti. Su AMD gali gauti daugau už mažiau. 20-25% yra daug, kai tu paskaičiavai ir suplanavai be tokio minuso
O dėl didesnio praradimo sutinku, situacija atrodo apgailėtina. Pvz dabar dirbtu distribucijoje, tai matau šiek tiek naujų kvotų atkeliauja jau su AMD, nors valstybininkai 100% RFP leidžia vis dar su intel, ir išvis dar 5 ar 6 kartos.. Nu bet ten viskas visada lėčiau, pvz reikalavimai būna tik core kiekis ir passmark score (dažniausiai netpatchinto cpu), kas iš tiesų visai neatspindi realios naudos.