Az OpenBSD letiltja az Intel processzorok Hyper-Threading funkcióját

A fejlesztők szerint ez segít a Spectre stílusú támadási formák elleni védekezésben, hiszen a megosztott erőforrások miatt amúgy sem jó ötlet, ha különböző biztonsági funkciók egy processzormaghoz tartozó két szálon futnak.

Az OpenBSD letiltja az Intel processzorok Hyper-Threading funkcióját

Az OpenBSD fejlesztőcsapata meglehetősen szokatlan lépésre szánta el magát: egyszerűen letiltották az Intel processzorokban található Hyper-Threading funkció használatát, ugyanis szerintük az is közrejátszik a Spectre eredetű támadások viszonylag egyszerű kivitelezésében. Aki szeretné, természetesen manuálisan engedélyezheti a HT támogatást, így a szabad választás joga megmarad.

A biztonságra koncentráló nyílt forráskódú operációs rendszer fejlesztője, Mark Kettenis erősen úgy véli, a szimultán többszálú implementációk közrejátszanak a Spectre stílusú időzítéses támadások sikeres kiaknázásában. A 2002-ben bemutatott Hyper-Threading támogatás lényege, hogy minden fizikai processzormaghoz tartozik egy virtuális processzormag is, ami bizonyos esetekben segít a rendszer erőforrás-kihasználásának maximálásában, így a teljesítményt is növeli. Ez persze nem minden alkalmazásra igaz, ugyanis például játékok vagy HPC alkalmazások alatt akár ronthat is a teljesítményen az aktív HT támogatás, CineBench alatt viszont akár 30%-os gyorsulást is hozhat a konyhára.

A Hyper-Threading az OpenBSD csapata szerint azért veszélyes, mert az efféle megoldásoknál jellemzően megosztásra kerülnek a címfordítási gyorsítótárak (TLB) és az elsőszintű gyorsítótárak (L1 Cache) az egyes szálak között, ami nagyban hozzájárul a Spectre stílusú támadások sikeres kivitelezéséhez, hiszen így a gyorsítótár időzítésre alapozó támadásformák sokkal egyszerűbben kivitelezhetőek.

Galéria megnyitásaA támadó a folyamat során elemezheti, mennyi időre volt szükségük a kriptogáfiai algoritmusoknak a feladat elvégzéséhez. A műveletekhez szükséges idő-adatok birtokában visszafejtheti a beviteli értékeket, ezáltal bizalmas adatokra tehet szert, ami rengeteg veszélyt hordoz magában. Éppen ezért az OpenBSD csapat szeretné csökkenteni a támadási felület nagyságát, valamint az eddig még fel nem fedezett, hasonló koncepció mentén dolgozó ártó kódok ellen is védekezni szeretnének, így a Hyper-Threading támogatást alapértelmezetten kikapcsolják. Erre azért is lehet szükség, mert egyre több az olyan konfiguráció, amelynél gyárilag a BIOS-ban már nincs mód a HT támogatás kikapcsolására, tehát szoftveres megoldást kellett találni a kihívásra.

A HT letiltása negatív hatást gyakorolhat egyes alkalmazások futására, ám az OpenBSD fejlesztői szerint ennek mértéke nem lesz jelentős, főleg, hogy egyes alkalmazások eleve lassabban futnak aktív HT támogatás mellett, mint nélküle. Az szerintük nagyobb veszélyt jelent, ha különböző biztonsági domainek futnak a különböző szálakon, amelyek azonos processzormaghoz tartoznak.

Aki mégis vállalja a kockázatot, mert valamely alkalmazás miatt feltétlenül szüksége van a HT támogatásra, egy új beállítással engedélyezheti azt. Ez a hw.smt.sysctl nevet kapta, ami alap esetben letiltja a HT támogatást, de igény szerint ezt manuálisan vissza lehet kapcsolni. A változás egyelőre csak az Intel processzorait érinti, de később egyéb gyártók termékeire is kiterjesztik.

A döntésre egyébként azért került sor, mert az Intel nem fordított elég figyelmet a nyílt forráskódú szoftverek közösségére, nem reagált a közösség érdeklődésére, illetve a friss veszélyekről sem tájékoztatta őket előre. A nagy baráti cégekkel szemben persze más gyakorlatot folytatott a gyártó, hiszen őket jó előre tájékoztatta és együtt is működött velük. Az OpenBSD közösség a patchek körüli gyakorlatot és koordinálatlanságot is kritizálta. Összességében ezek vezettek odáig, hogy a HT támogatás letiltásra került egészen addig, míg az Intel nem készít egy olyan javítást, ami kisebb teljesítménycsökkenést eredményez, mint ez a lépés.

Neked ajánljuk

Kiemelt
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
0% THM
{{ product.displayName }}
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap arrow_forward