Nul
Video: Hvorfor mikroprocessor systemer ” arkitektur er nødt til at gå open-source
Intel Nedsmeltning sikkerhedsproblem er den smerte, der bare bliver ved med at gøre ondt. Stadig, der er nogle gode nyheder. Ubuntu og Debian Linux har lappet deres distributioner. Den dårlige nyhed? Det er ved at blive tydeligere end nogensinde, at fastsættelse af Nedsmeltning forårsager betydelige problemer med ydeevnen. Det værste stadig, at mange ældre servere og apparater kører usikre, unpatchable Linux-distributioner.
Men lad os først se på, hvad der sker til ydeevne med patches. Red Hat ‘ s Nedsmeltning/Spectre performance benchmarks, der er fundet med Linux Nedsmeltning patches har følgende resultater problemer:
Målbare: 8 procent til 19 procent — Meget cached tilfældig hukommelse med buffer I/O, OLTP database arbejdsbyrde, og benchmarks med høj kerne-til-bruger-plads, overgange er påvirket mellem 8 procent til 19 procent. Som eksempler kan nævnes OLTP Arbejdsmængder (tpc), sysbench, pgbench, netperf (< 256 byte), og fio (tilfældige i/O at NvME).Beskeden: 3 procent til 7 procent — Database analytics, decision Support System (DSS), og Java Fos er påvirket mindre end den “Målbare” kategori. Disse applikationer kan have betydelige sekventiel disk eller netværk trafik, men kernel/styreprogrammer er i stand til at samle anmodninger til moderat niveau af kerne-til-bruger-overgange. Som eksempler kan nævnes SPECjbb2005, Forespørgsler/Time, og den overordnede analytiske timing (sec).Lille: 2 procent til 5 procent — HPC (High Performance Computing) CPU-krævende arbejdsmængder, der berøres mindst, med kun 2 procent til 5 procent af ydeevnen, fordi jobbene kører for det meste i user-space, og er planlagt at bruge cpu-pinning eller numa-kontrol. Som eksempler kan nævnes Linpack NxN på x86 og SPECcpu2006.Minimal: Linux accelerator teknologier, der generelt bypass kernen til fordel for brugeren direkte adgang er mindst påvirket, med mindre end 2 procent overhead målt. Eksempler testet omfatter DPDK (VsPERF på 64 byte) og OpenOnload (STAC-N). Userspace adgang til VDSO som få-tid-på-dagen er ikke påvirket. Vi forventer lignende minimal indflydelse for andre aflaster.
Du kan forvente at se lignende problemer med Windows-servere. Der er ingen måde at lappe dette problem med ydeevne — selv med chip mikrokode — med nogen af nutidens processorer.
Sandt, Intel har frigivet en mikrokode definitioner for alle sine processorer, men vi ved endnu ikke, hvor meget dette vil mindske de samlede performance problemer.
Google hævder, at deres “Retpoline,” en binær ændring teknik, der beskytter mod “filial mål indsprøjtning” angreb, ikke skader cloud ydeevne. Tidligt benchmarks, der ikke bakker op om disse håbefulde krav. Lige som med Linux-Kerne-Side Tabel Isolation (KPTI) patches, “de fleste af de Retpoline ydelsen kommer ned til I/O-arbejdsmængder og dem med høje kerne interaktivitet.”
Den nederste linje: På Linux-desktop, ligesom på Windows, vil du ikke se så meget af en opbremsning fra de patches. Det er en anden historie med dine servere — uanset om du kører Linux på en enkeltstående server eller en cloud ‘ s virtuelle maskiner (VM)r og beholdere. Hvis du er en systemadministrator, vil du gøre et ton af programmet performance test og afbalancering.
Performance problemer, og alle, i det mindste du kan beskytte dig selv fra angreb efter patches. Alt for mange systemer, patching er ikke en mulighed.
Nogle af dette, er du sikkert allerede kender. Mange elektroniske apparater, der bruger Linux, men de kan ikke blive lappet.
Som sikkerhedsekspert Bruce Schneier skrev, Nedsmeltning og Spectre “påvirke indlejrede computere i forbruger-enheder. I modsætning til vores computer og telefoner, disse systemer er designet og produceret til en lavere overskudsgrad, med mindre teknisk ekspertise. Der er ikke sikkerhed hold på opfordring til at skrive patches, og der ofte ikke er mekanismer til at skubbe patches på enheder. Vi ser allerede dette med hjemme-routere, digitale videooptagere og webcams. Den svaghed, der tillod dem at blive overtaget af Mirai botnet sidste år i August, kan simpelthen ikke være faste.”
Det er ikke bare Linux-drevet forbruger-enheder. Linux og open-source software beføjelser mange firewall, DNS (Domain Name System), load balancing, internet gateways, VPN hardware, og godkendelse og kryptering apparater. CentOS, Red Hat Enterprise Linux (RHEL) klon, er den mest hyppigt anvendte fordeling.
Men, som Richard Morrell’, CTO og sikkerhed føre af Falanx, en cyber defense selskab, påpeger: “Mange (en masse) af disse enheder er dog stadig kører platforme, der startede ud i udviklingen laboratoriet hos den leverandør som CentOS 4/5/6/7 udvikling træer. For de senere versioner, som er fint og dandy -, kerne-og mikrokode patches er til rådighed på grund af CentOS, der har gavn af det hårde arbejde, Red Hat var at få patches ud for et væld af arkitekturer.” Men, mange af de ældre “enheder, der kører versioner, 4 og 5 og har for længst afgået fra at være” standard bygger.'”
Disse vil ikke blive lappet. Morrell ‘ fortsatte [sic], “En stor del af vores sikkerhed ejendom er bygget på ikke-understøttet, ikke-patchable varianter af CentOS og andre Linux-varianter. … Mange af disse enheder er slutningen af livet, og stadig i brug i mange organisationer, der ikke har fjernet dem … fordi de stadig virker og er den lim, de kræver, og hvis det ikke er broke why fix it.”
Nå, nu de er brudt. Da lappe dem i en dødssejler, du har brug for, på et minimum, for at overvåge dine systemer, mere indgående end nogen sinde før for angribere.
En klogere beslutning for virksomheder, der vil være at erstatte denne nyligt udsatte gear. Som sikkerhed for leverandører, det er lang, lang tid, at når de opdaterer deres apparater, de gør det for at fuldt understøttet, og patchable Linux-distributioner. Hvis de ikke gør det, vil de være i en verden af juridiske smerter efter de første Nedsmeltning angreb materialisere sig.
Relaterede historier
Linux vs Nedsmeltning og Spectre kamp continuesHow Linux beskæftiger sig med Nedsmeltning, og SpectreMajor Linux redesign i arbejder for at beskæftige sig med Intel sikkerhedshul
Relaterede Emner:
Cloud
Sikkerhed-TV
Data Management
CXO
Datacentre
0