Meltdown est une vulnérabilité bien définie où un programme en mode utilisateur peut accéder à une mémoire en mode noyau privilégiée. Cela rend le patch Meltdown beaucoup plus facile que Spectre en garantissant que la mémoire du noyau n’est pas mappée d’un mode utilisateur, ce que nous voyons sous la forme d’isolement de table de page du noyau (KPTI) », a déclaré Jeff Tang, chercheur principal en sécurité chez Cylance. Dans le cas de Spectre, il s’agit d’une classe d’attaque et non d’une vulnérabilité spécifique … Les exploits sont basés sur les effets secondaires de l’exécution spéculative, en particulier la prédiction de branche. Ce type d’exploit sera adapté et continuera de se transformer et de changer, ce qui rendra les correctifs extrêmement difficiles », a déclaré Carr. Les chercheurs disent que Spectre représente également un défi plus important pour l’industrie car il nécessite un plus grand degré de coordination entre les parties prenantes pour atténuer. Cette distinction est importante à faire car la couverture médiatique, en regroupant les deux, aura tendance à faire croire aux gens que les deux sont fixes lorsque seul Meltdown est fixe, alors qu’en fait Spectre aura besoin d’années de correction. La FAQ Meltdown et Spectre 1. Y a-t-il un titre vraiment idiot qui montre à quel point la couverture médiatique est problématique? Oui. Le voici: CES 2018: Intel pour sécuriser les puces défectueuses en une semaine », de la BBC C’est idiot parce qu’au mieux, Intel aura publié des correctifs qui, lorsqu’ils sont téléchargés et installés par les propriétaires du système, corrigent le problème. Et les systèmes de correctifs ne sont pas toujours faciles.1 Bruce Schneir explique: Certains correctifs nécessitent la mise à jour du micrologiciel de l’ordinateur. Il est beaucoup plus difficile de guider les consommateurs et est plus susceptible de briquer définitivement l’appareil en cas de problème. Cela nécessite également plus de coordination. En novembre, Intel a publié une mise à jour du micrologiciel pour corriger une vulnérabilité dans son moteur de gestion (ME): une autre faille dans ses microprocesseurs. Mais il n’a pas pu transmettre cette mise à jour directement aux utilisateurs; il devait fonctionner avec les différentes sociétés de matériel informatique, et certaines d’entre elles n’étaient tout simplement pas en mesure de transmettre la mise à jour à leurs clients. Nous le voyons déjà. Certains correctifs obligent les utilisateurs à désactiver le mot de passe de l’ordinateur, ce qui signifie que les organisations ne peuvent pas automatiser le correctif. Certains logiciels antivirus bloquent le correctif ou, pire encore, bloquent l’ordinateur. Il en résulte un processus en trois étapes: corrigez votre logiciel andi-virus, corrigez votre système d’exploitation, puis corrigez le micrologiciel de l’ordinateur. Nous en verrons plus d’exemples ci-dessous. Cela suppose, bien sûr, que les correctifs de bogues ne sont pas bogués; une hypothèse risquée Vous ne pouvez pas faire tomber un réseau électrique juste pour essayer un patch », explique Agarwal. Systèmes industriels, machines hospitalières, systèmes de contrôle des compagnies aériennes, ils devront attendre. Ils ne peuvent pas simplement patcher et espérer que les choses s’arrangeront. » 2. Quelle est la gravité des bugs Meltdown et Spectre? Ils sont très mauvais. Du Guardian: La fusion est probablement l’un des pires bugs CPU jamais trouvé », a déclaré Daniel Gruss, l’un des chercheurs de l’Université de technologie de Graz qui a découvert la faille. Ils resteront mauvais pendant longtemps. Le registre : Les vulnérabilités critiques de Meltdown et Spectre récemment détectées dans Intel et d’autres processeurs représentent un risque de sécurité important. Parce que les failles se trouvent dans l’architecture du système sous-jacent, elles seront durée de vie exceptionnelle 3. Combien de jetons sont concernés? Des milliards et des milliards. Revue technologique du MIT: Combien de jetons sont concernés? Le nombre est quelque chose d’une cible mobile. Mais d’après les informations publiées jusqu’à présent par les entreprises technologiques et les estimations des analystes de l’industrie des puces, il semble qu’au moins trois milliards de puces dans les ordinateurs, les tablettes et les téléphones maintenant utilisés sont vulnérables aux attaques de Spectre, qui est le plus répandu des deux défauts. Les processeurs fabriqués par AMD, ARM, Intel et probablement d’autres, sont affectés par ces vulnérabilités: en particulier, les processeurs ARM sont utilisés dans de nombreux appareils IoT, et ce sont des appareils que tout le monde possède, mais ils oublient de les avoir une fois qu’ils fonctionnent. , ce qui laisse un vide géant à exploiter par les cybercriminels. Selon ARM, ils sécurisent déjà »un billion (1 000 000 000 000) d’appareils Certes, tous les processeurs ARM ne sont pas affectés, mais si même 0,1% d’entre eux le sont, cela signifie toujours un milliard (1 000 000 000) d’appareils affectés. (Oui, un IoT non sécurisé est important2.) 4. Suis-je à risque? Uniquement si vous naviguez sur Internet ou stockez des données dans le cloud. Blague! Ce sont les risques les plus élevés: Pour Meltdown et Spectre, un attaquant doit réellement exécuter du code sur la machine cible pour exploiter ces vulnérabilités. Cela rend les vulnérabilités plus à risque pour les éléments suivants: Tout ce qui exécute du code non fiable sur votre machine (un navigateur généralement), Tout ce qui fonctionne dans la virtualisation ou les nuages. Ainsi, pour une entreprise typique, sur votre contrôleur de domaine (par exemple), le risque est en fait très, très faible: puisque vous n’y exécutez pas de code non fiable (espérons-le), un attaquant ne devrait pas être en mesure d’exploiter ces vulnérabilités dans le premier endroit. (Meltdown et Spectre peuvent attaquer votre système via le navigateur car ils peuvent être codés en JavaScript.) J’espère que ça plait beaucoup. Et la notion de confiance. »3 Mon conseil personnel est le même que certains investisseurs donnent: ne faites rien qui signifie que vous ne dormirez pas la nuit. Pour moi, cela signifierait de ne patcher aucun correctif initialement publié, pour la même raison que je ne mets jamais à niveau vers une version a0; seule la version 1 aura les bogues résolus! Mais votre entreprise ou l’entreprise pour laquelle vous travaillez peut exiger des priorités différentes; voir l’exemple du réseau électrique ci-dessus. Et soyez très prudent pour surveiller les e-mails de phishing.
- Y a-t-il un correctif?
- Les correctifs Meltdown et Spectre entraînent-ils une baisse des performances?
Ces chiffres sont conformes aux estimations rapportées pour la première fois par The Register, un résultat de performance d’environ cinq à 30 pour cent, avec la mise en garde que ces résultats sont très variables et dépendent d’un certain nombre de facteurs tels que la charge de travail en question et la technologie impliquée. Pour la plupart des utilisateurs finaux, ils ne remarqueront jamais de différence. Les applications de bureau de type client, jeux inclus, s’exécutent presque entièrement à l’intérieur de l’espace utilisateur », a déclaré Alcorn. Donc, ils ne font pas vraiment beaucoup d’appels au noyau. Ils n’émettent pas beaucoup d’appels système. L’impact sur les performances est négligeable. » (Les fournisseurs de cloud disent qu’ils n’ont pas de résultats de performance; mais ils le diraient. Je voudrais entendre cela des clients, car les fournisseurs de cloud facturent à la seconde et à l’heure. Même si les vendeurs de cloud ont d’énormes ressources pour forcer une solution par force brute, d’une manière ou d’une autre Je ne pense pas qu’ils voudront manger à n’importe quel prix.) 7. Y aura-t-il plus de bugs comme Meltdown et Spectre? Spectre et Meltdown sont des vulnérabilités assez catastrophiques, mais elles n’affectent que la confidentialité des données. Maintenant qu’ils – et la recherche sur la vulnérabilité d’Intel ME – ont montré aux chercheurs où chercher, d’autres arrivent – et ce qu’ils trouveront sera pire que Spectre ou Meltdown. Il y aura des vulnérabilités qui permettront aux attaquants de manipuler ou de supprimer des données à travers les processus, potentiellement mortels dans les ordinateurs contrôlant nos voitures ou les dispositifs médicaux implantés. Ceux-ci seront également impossibles à résoudre, et la seule stratégie sera de jeter nos appareils et d’en acheter de nouveaux. 8. Y a-t-il une bande dessinée XKCD? Le MetaFAQ Les questions suivantes sortent de l’espace technique pour entrer dans l’espace des affaires et de l’économie politique: 9. Quelqu’un pourrait-il avoir une fusion et un spectre arbitrés? Oui. Plusieurs acteurs ont employé ou auraient pu utiliser ce que l’on pourrait appeler une exécution prédictive basée sur une connaissance préalable des bogues nommés plus tard Meltdown et Spectre. A) Le PDG d’Intel, Brian Krzanich. Interne du milieu des affaires : Le PDG d’Intel, Brian Krzanich, a vendu une grande partie de sa participation dans l’entreprise plusieurs mois après que Google eut informé le fabricant de puces d’une vulnérabilité de sécurité importante dans ses processeurs PC phares – mais avant que le problème ne soit publiquement connu. Le PDG d’Intel a vu une somme exceptionnelle de 24 millions de dollars le 29 novembre grâce à une combinaison de vente d’actions qu’il détenait et d’exercer des options d’achat d’actions. La vente d’actions a soulevé des sourcils lorsqu’elle a été révélée, principalement parce qu’elle n’a laissé à Krzanich que 250 000 actions Intel – le minimum que la société exige qu’il détienne en vertu de son contrat de travail. B) Les analystes qui ont observé Linux de près. Il était clair, rétrospectivement, que quelque chose se passait5 Quelque chose à réfléchir: Le plus grand signal apparent que quelque chose d’étrange se passait dans la communauté open source, était qu’une mesure complexe de durcissement de la sécurité avec des compromis de perf était en train d’être commise et Linus _n’a pas publiquement maudit ses auteurs_ – Matt Linton (mais pas le chanteur de Gospel Rock) (@ 0xMatt) 8 janvier 2018 Commenter duffoloniou a lié à ce bel exemple de langage mesuré de style linux, sur le chemin KAISER pour isoler l’espace utilisateur de l’espace noyau, en novembre: Néanmoins, il y aura une pénalité de performance à payer lorsque KAISER sera utilisé: KAISER affectera les performances de tout ce qui appelle ou interrompt le système: tout. Seules les nouvelles instructions (manipulation CR3) ajoutent quelques centaines de cycles à un appel système ou à une interruption. La plupart des charges de travail que nous avons exécutées présentent des régressions à un chiffre. 5% est un bon chiffre rond pour ce qui est typique. Le pire que nous ayons vu est une régression d’environ 30% sur un test de mise en réseau en boucle qui a fait une tonne d’appels système et de changements de contexte. Il n’y a pas si longtemps, un correctif lié à la sécurité avec ce genre de pénalité de performance n’aurait même pas été envisagé pour l’inclusion de la ligne principale Les temps ont changé, cependant, et la plupart des développeurs ont réalisé qu’un noyau durci n’est plus facultatif. Même ainsi, il y aura des options pour activer ou désactiver KAISER, peut-être même au moment de l’exécution, pour ceux qui ne veulent pas profiter des performances. En tout, KAISER a l’apparence d’un ensemble de patchs mis sur la voie rapide Il est apparu presque entièrement formé et a immédiatement suscité beaucoup d’attention de la part de plusieurs développeurs de noyau. Linus Torvalds soutient clairement cette idée, bien qu’il ait naturellement souligné un certain nombre de choses qui, à son avis, pourraient être améliorées. Personne n’a parlé publiquement des délais de fusion de ce code, mais 4.15 n’est peut-être pas totalement hors de question. Maintenant, est-ce que je sais qu’il y a des analystes qui se sont dopés pour vouloir vendre Intel, dont les actions ont effectivement pris un coup quand Spectre et Meltdown sont devenus publics? Non. Il aurait pu y en avoir? Oui. Aurait-il dû y en avoir? En effet, oui (et voir # 7, supra). C) Aucune telle agence Les responsables américains actuels et anciens ont également déclaré que la NSA ne connaissait pas ou n’utilisait pas Meltdown ou Spectre pour permettre la surveillance électronique des cibles à l’étranger. L’agence utilise souvent des failles informatiques pour pénétrer dans des machines ciblées, mais elle a également pour mandat d’avertir les entreprises des failles particulièrement dangereuses ou généralisées afin qu’elles puissent être corrigées. Rob Joyce, coordinateur de la cybersécurité à la Maison Blanche, a déclaré que la NSA ne connaissait pas la faille, ne l’avait pas exploitée et certainement le gouvernement américain ne serait jamais mettre une grande entreprise comme Intel dans une position de risque comme celle-ci pour essayer de maintenir ouverte une vulnérabilité. » N’aurait jamais »est un bel exemple de ce que j’appelle le Subjonctif Beltway, parce que oui ou non la NSA l’aurait fait. Tech Dirt: Bien qu’il soit concevable que la NSA ne connaissait pas la faille (ce qui la rend incapable de l’exploiter), il est risible d’affirmer que la NSA ne mettrait pas une grande entreprise en position de risque »en refusant de fournir des détails sur un exploit. Nous n’avons que l’historique complet de l’utilisation des exploits / vulnérabilités par la NSA et sa conformité hésitante au processus d’équité en matière de vulnérabilité pour servir de contre-argument. La NSA a laissé de grandes entreprises dans des positions vulnérables, souvent pendant des années – ce qui a été révélé dans un passé très récent lorsqu’un employé / entrepreneur a laissé la NSA dans une position vulnérable en laissant les outils TAO à découvert. Les Shadow Brokers fustigent les exploits de la NSA depuis des mois et les récentes attaques mondiales de logiciels malveillants / ransomwares sont liées à des exploits que l’agence n’a jamais informés des acteurs majeurs comme Microsoft jusqu’à ce que le code soit déjà ouvert. Ces exploits récemment découverts peuvent être ceux qui se sont enfuis – ceux que la NSA n’a jamais découverts et jamais utilisés. Mais cette déclaration décrit la NSA comme un honnête courtier, ce qui n’est pas le cas. Si la NSA avait eu accès à ces exploits, elle les aurait certainement utilisés avant d’en informer les entreprises concernées. Voilà comment cela fonctionne. 10. Quels sont les coûts des bugs de fusion et de spectre? Tout d’abord, supposons que les performances moyennes atteignent environ 10% pour un serveur basé sur des microbenchmarks, et que l’environnement fortement virtualisé dans la plupart des centres de données d’entreprise se lave contre l’impact moindre attendu pour les charges de travail d’entreprise. Appelons cela quelque chose de l’ordre de 60 milliards de dollars par an en ventes de systèmes dans le monde. L’impact est donc de 6 milliards de dollars par an sur la valeur de l’informatique perdue, au niveau du dénominateur le plus brut et le plus élevé. Pour les machines modernes, cela revient à abandonner deux, quatre ou peut-être même six cœurs de la machine, si les performances diminuent comme nous l’attendons sur les machines existantes pour une grande variété de charges de travail. Ajoutez cela sur les trois ou quatre générations de serveurs qui se trouvent dans les quelque 40 millions de serveurs dans le monde, et peut-être que le coup atteint plus de 25 milliards de dollars sans tenir compte de la valeur dépréciée de la base installée. Même si vous le faites, c’est probablement au nord de 10 milliards de dollars de dommages. Ce n’est pas beaucoup d’argent par rapport au produit mondial brut, mais cela apporterait un gros salaire pour un cabinet d’avocats, même Big Law. Le gardien : Trois recours collectifs distincts ont été déposés par des plaignants en Californie, en Oregon et en Indiana pour obtenir une indemnisation, et d’autres sont attendus. Tous trois citent la vulnérabilité de sécurité et le retard d’Intel dans la divulgation publique depuis sa première notification par les chercheurs des failles en juin. Intel a déclaré dans un communiqué qu’il peut confirmer qu’il est au courant des recours collectifs mais que ces procédures sont en cours, il serait inapproprié de commenter ». Les plaignants citent également le ralentissement informatique présumé qui sera causé par les correctifs nécessaires pour répondre aux problèmes de sécurité, qu’Intel conteste être un facteur majeur. 11. Y a-t-il des gagnants? Difficile à dire à ce stade, mais si tout le monde doit acheter une nouvelle machine (peu probable), Intel pourrait être un gagnant, car toutes ces machines auront besoin de nouvelles puces. En spéculant librement, je suppose que les fournisseurs de cloud seraient gagnants. À partir d’une FAQ Google qui se lit comme un argument marketing: Spectre et Meltdown sont de nouvelles vulnérabilités troublantes, mais il est important de se rappeler qu’il existe de nombreux types de menaces contre lesquelles Google (et d’autres fournisseurs de cloud) se protègent chaque jour.