Meltdown и Spectre. Методы снижения последствий на Debian.

Автор Disconnected, 16 января 2018, 04:04:28

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

Disconnected

16 января 2018, 04:04:28 Последнее редактирование: 16 января 2018, 10:13:08 от Disconnected
Привет.

В данной теме, предлагаю обсудить проблему дальнейшей безопасной работы на Debian с этой неустранимой уязвимостью, которая затрагивает все виды процессоров выпущенные за последние 20 лет.
CVE-2017-5715 Spectre https://security-tracker.debian.org/tracker/CVE-2017-5715
CVE-2017-5753 Spectre https://security-tracker.debian.org/tracker/CVE-2017-5753
CVE-2017-5754 Meltdown https://security-tracker.debian.org/tracker/CVE-2017-5754
https://meltdownattack.com/

В теме обсуждаются патчи и любые методы защиты системы и данных при этих уязвимостях.

В частности, известно что достаточно заражения браузера вредоносным кодом, чтобы злоумышленник получил доступ к кешу процессора на Linux (неизбежно произойдёт эксалация до привилегий ядра). Заплатки на Spectre нет и видимо не будет - уязвимость в железе. На данный момент на линуксе пофиксен только Meltdown, путём выключения отображения страниц памяти ядра в адресное пространство процесса (патч Kernel page-table isolation), что навсегда снизит быстродействие в 1,5 раза за счет увеличения "цены" системных вызовов. В отдельных случаях есть отчеты о падении быстродействия в 2 раза. Плюс повышение энергопотребления. И это навсегда теперь. Похоже ничего хорошего не светит после пропатчивания на серваках где вирт.машины грузили их не менее чем на 90%.
Ориентировочные сроки выпуска новых процессоров - более 5лет. Реализация уязвимости не имеет высокого уровня сложности. Эпичный тотальный фейл.

Что можно сделать?

Подтянуть обновления безопасности ядра для фикса meltdown.
Повысить уровень безопасности, например путем использования NoScript. Стоит понимать что для реализации уязвимости на ПК должен быть предварительно заражен тем или иным способом. Именно этого возможно избежать. Не запускать сомнительное ПО, избавиться от флеша, отключить джаву в браузере, джаваскрипт.
Уязвимы гостевые ОС на зараженных хостовых.
Возможно повысит уровень безопасности серфинг в инете через вирт.машину (за исключением паравиртуализации). Не уверен. Подскажите повышает ли безопасность хостовой системы запуск приложений в песочнице или ВМ, в случае заражения ВМ?

Итак. Ещё раз кратко выводы:
"Мелдаун" закрыли, заплатив за это высокую цену в виде падения производительности и повышения энергопотребления. Для "спектра" уязвимы все процессоры, софтовых заплаток не будет, заражение соответствующей мальварью приведет к утечке критически важных данных (всех каких можно) с вашего ПК.


Кто что думает и предлагает? :)

ogost

#1
16 января 2018, 04:32:52
Цитата: Disconnected от 16 января 2018, 04:04:28Подскажите повышает ли безопасность хостовой системы запуск приложений в песочнице или ВМ, в случае заражения ВМ?
Если я всё правильно понимаю, то нет, при заражении виртуалки злоумышленнику могут быть доступны данные в памяти как виртуалки, так и хост-системы.
Цитата: Disconnected от 16 января 2018, 04:04:28Кто что думает и предлагает?
Падение производительности, опять же, если я всё правильно понимаю, будет только при вызове системных вызовов. В тех же играх производительность не падает. Поправьте, если ошибаюсь.
На системах с "чувствительными" данными:
1. Обновить браузеры, если таковые имеются. Отключать выполнение скриптов в браузере.
2. Обновить ядро. Терпеть проседание производительности, или попытаться уменьшить количество системных вызовов: использовать кеширование(?).

Disconnected

#2
16 января 2018, 09:45:02 Последнее редактирование: 16 января 2018, 09:53:29 от Disconnected
Цитата: ogost от 16 января 2018, 04:32:52
Если я всё правильно понимаю, то нет, при заражении виртуалки злоумышленнику могут быть доступны данные в памяти как виртуалки, так и хост-системы.
Похоже вы правы. Из перевода отчета Google Project Zero:
"Безопасность современной компьютерной системы основывается на изоляции адресного пространства. Операционные системы гарантируют изоляцию отдельных процессов. В современных процессорах разделение состояния между процессами ядра (kernel process) и процессами пользователя (user process) обеспечивается благодаря биту гипервизора. Вся концепция заключается в том, что этот бит сброшен в пользовательском процессе и установлен в процессе ядра. Смена процессов происходит по прерыванию (interrupt) и системным вызовам (system call / syscall)."
В общем, судя по всему выйти за пределы ВМ любого типа для малвари не проблема.
Cообщение объединено 16 января 2018, 09:50:26

ЦитироватьВ результате материал об уязвимости был опубликован на неделю ранее, чем планировали производители, то есть, до того, как у них было время на разработку защитных средств для полного устранения проблемы.
Что-то я не пойму. Проблема была известна с лета, как и патч Kernel page-table isolation. К чему именно они не были готовы?
Они её продолжали давать эксплуатировать хакерам и спецслужбам. Сознательно. Верно?
Печать
Вверх Страницы1
Действия пользователя