Procesory a chyby, ktoré sa nedajú opraviť

Antivírusy a bezpečnostné programy vás ochránia pred vírusmi, ktoré vykonávajú nejakú špecifickú činnosť. Napríklad sa snažia ukradnúť dáta o vašich platbách cez internet alebo vám zašifrovať súbory. Novoobjavená chyba v procesoroch je však ešte zákernejšia, hoci jej zneužitie nie je úplne elementárne.

Meltdown a Spectre, tak sa volajú objavené zraniteľnosti. Tentoraz nejde o chybu v operačnom systéme a to, ako s procesorom spolupracuje. Teraz je to chyba priamo vo vnútri procesora. Možno sa tak baviť o konštrukčnej špecifikácii a o tom, ako je CPU navrhnutý. Na rozdiel od bežných zraniteľností na systémovej úrovni, práve tu je pre CPU záchrana vo forme operačného systému. Kým spočiatku to vyzeralo, že sa týkala iba procesorov Intel, ukázal sa širší dosah. Chyba sa môže týkať procesorov Intel od roku 1995 (okrem modelov Itanium a Atom spred roka 2013). Najnovšie tak ide aj o AMD a iné procesory vo všeobecnosti. Druhá chyba bola rizikovejšia a hneď na začiatku bolo jasné, že je aplikovateľná na viac známych procesorov.

 

Meltdown – od významu pretavenia hraníc bezpečnosti, ktoré sú väčšinou vynútené hardvérom. Tentoraz ani posledná inštancia, teda hardvér, nedokázal chybe zabrániť.

Spectre – chyba nazvaná ako prízrak, ktorý nás bude ešte dlho prenasledovať a nie je možné ho jednoduchou záplatou odstrániť. To aj napriek tomu, že zatiaľ ide o špekulatívne prevedenie kódu, ktorý by využíval zraniteľnosť tejto chyby.

Meltdown a Spectre

Chyba Meltdown umožňuje narušiť pamäťový priestor a dostať sa do kernelu, teda úplného jadra systému vďaka cache pamäti procesora. Aj preto sú obe objavené zraniteľnosti netradičné. Totiž práve operačný systém je ten, ktorý sa zneužitiu zraniteľností bude snažiť zabrániť. Je to z toho dôvodu, že nie je možné aplikovať záplatu priamo na procesor.

To je kus hardvéru, ktorý už bol nejako vyrobený a používa špecifikácie svojich inštrukčných súprav. Jediné, čo sa dá nateraz spraviť, je ošetriť ju na úrovni ovládačov alebo správania sa operačného systému. Iste viete, že na to, aby bol procesor dostatočne svižný, potrebuje pamäť cache. Tá je uvádzaná v každej špecifikácii procesora. Napríklad CPU Intel Core i7-8550U 1,8 ÷ 4 GHz má 8 MB cache. Vďaka tomu je výkonnejší ako procesory, ktoré majú porovnateľnú frekvenciu, ale štvrtinu cache. Samozrejme, nie je to len o frekvencii a cache, ale aj o architektúre.

Prečo to spomíname? V súvislosti s tým, že kvôli záplatám, ktoré vydal Microsoft, ale aj iní výrobcovia OS pre svoje operačné systémy, by mohli byť procesory pomalšie. Táto záplata núti vyprázdňovať cache CPU, aby nedochádzalo k zneužitiu zraniteľnosti Meltdown. To znamená operáciu navyše a logicky aj odstránenie „nakešovaných“ údajov. Našťastie, dnes sú procesory tak extrémne rýchle, že bežný používateľ aplikovanie záplaty nepostrehne. Menšiu komplikáciu by mohla predstavovať využiteľnosť na strane serverov.

Tam je enormný nápor používateľov žiadajúcich vysoký výkon. Hovorí sa o možnom poklese výkonu do 30 %. Nie však trvalo, ale len za istých okolností. Akých, to teraz nie je presne známe. Faktom je, že najviac by sa to mohlo dotknúť firiem, ktoré poskytujú cloudové a virtualizačné riešenia pre svojich klientov. Vy, ako používateľ webovej aplikácie Google Fotky, nemusíte spomalenie vôbec zbadať. Reálne totiž neviete, či je sekundová odmlka spôsobená zahltením vášho Wi-Fi routera alebo tým, že ste si v prehliadači spustili viacero záložiek.

Chyba Spectre je veľmi podobná tej predchádzajúcej. Avšak táto spôsobuje riziko vykrádania dát medzi aplikáciami. Nestane sa však to, že Internet Explorer ukradne dáta prehliadaču Chrome. Teoreticky by sa to stať mohlo, ale len formou exploitu. Teda programu / doplnku, ktorý by zneužil chybu Spectre a dokázal by pristupovať k výhradným dátam v pamäti inej aplikácie. Čiže skôr sa predpokladá, že pôjde o škodlivý program na tento účel napísaný. Ako sa teda chrániť? V prvom rade potrebujete mať nainštalovanú záplatu.

Nedajte sa odradiť správami o tom, že poklesne výkon vášho procesora. Verte nám, to si ani len nevšimnete. Nie, ak máte klasický otáčkový disk. Používatelia operačného systému Windows 10 majú aktualizáciu v tomto čase pravdepodobne nainštalovanú. Systém ju stiahol a nainštaloval. Má označenie KB4056890. Microsoft nie je jediný, kto behom niekoľkých dní od zverejnenia chyby vyrobil záplatu.

Promptne zareagoval aj Apple a aktualizoval počítače s macOS aj mobilný systém iOS. Operačný systém pre hodinky watchOS nebol údajne ani jednou chybou postihnutý. Apple vo svojich opravných balíčkoch upravoval prehliadač Safari a vykresľovacie jadro WebKit, ktoré pracuje na systémovej úrovni. Neodstraňoval vyslovene žiadnu chybu v konkrétnej zraniteľnosti. Podobne ako v prípade Windows išlo o implementovanie preventívnych opatrení.

Pevné disky

Takisto sa objavili správy o tom, že aktualizácia operačného systému by mohla mať negatívny dopad na rýchlosť pevných diskov. Opäť platí, že toto sú prípady, keď potrebujete vyslovene špecifický hardvér. To znamená špeciálny SSD disk ako napríklad Intel Optane 900P.

To je disk zameraný na špičkový výkon a jeho 3D XPoint pamäte nemajú variabilné časy prenosu dát, ako v prípade štandardných SSD s NAND hradlami. Ak ste totiž niekedy merali výkon SSD disku vo vašom notebooku, stretli ste sa s rôznymi výsledkami. Ideálne bolo spraviť viac meraní a urobiť z nich priemer.

Toto sa netýka série Optane od Intelu, a tak boli najlepšie na otestovanie dopadu aktualizácie na výkon diskov. Správy hovoria o tom, že bezpečnostná aktualizácia nespomaľuje pevné disky, no v niektorých skutočne špecifických prípadoch môžete zaznamenať výkonovú degradáciu. A keďže majú tieto disky prenosové rýchlosti v stovkách MB/s, úbytok v podobe jednotiek MB/s reálne nepostrehnete.

Pomôžu antivírusy?

V zásade sa nedá hovoriť o tom, že by ste boli vďaka antivírusu imúnni. Meltdown a Spectre vyžadujú taký špecifický kód, že je potrebné ho najprv poznať. Teda reagovať, až po nejakom prípade, kedy niekto vyrobí takýto škodlivý kód. Pravdepodobnosť, že sa niekto bude snažiť nabúrať do vášho systému alebo aplikácie, je zatiaľ minimálna.

Avšak existuje, no zatiaľ iba ako proof-of-concept. Teda riešenie, ktoré sa dá urobiť, ale v praxi ho napodobniť nie je jednoduché. Aj to je dôvod, prečo sa taká stará chyba v CPU neobjavila skôr. Podobne na tom boli aj operačné systémy. Desať rokov v sebe niesli chyby, ktoré si v kóde nikto nevšimol. Daný kód alebo mechanizmus zostával v systéme aj naprieč generačným aktualizáciám systému ako takého.

Ashampoo Spectre Meltdown CPU Checker je program, ktorý stačí spustiť a on preverí, či je váš systém postihnutý touto chybou. Proces u nás trval na operačnom systéme Windows 10 približne 25 sekúnd. V prípade, že sa nájde nejaké riziko, je potrebné stiahnuť si záplatu pre váš operačný systém. Je síce malá pravdepodobnosť, že by ste ju v tomto čase už nemali. Avšak môžete mať nastavené oneskorené aktualizácie alebo aplikované špeciálne nastavenia a nemusíte ju mať. Nástroj nájdete na stránke www.ashampoo.com a je zadarmo. Určený je pre Windows 7 a vyšší.

Verdikt

Objavené chyby sú problémom. To je jasné a nemá zmysel si nahovárať, že o nič nejde. Nenafukujme však bublinu ešte viac. Záplaty existujú a vy ste tak chránení proti tejto zraniteľnosti. Rozhodne sa neoplatí čakať a aktualizácie treba nainštalovať. Spomalenie naozaj ani nepostrehnete. Možno v ojedinelých prípadoch pri detailnom benchmarkovaní systému. To ale asi bežne doma či v práci nerobíte. Ako vyzerá chyba Meltdown v ukážkovom príklade, si môžete pozrieť na YouTube. Video hľadajte pod názvom Meltdown in Action: Dumping memory.