Processador Vulnerabilidade MeltDown / Spectre (aka Kaiser bug)

[miguelbazil]

Já tinha acontecido algo semelhante no Meltdown/Spectre. A Intel sabia do problema 6 meses antes e quando foi feito o disclose (meio forçado, é certo), a Intel não tinha nada pronto. Eles andaram às aranhas.


Uma das coisas que me deixa mais chateado nestas vulnerabilidades é que muita gente não lhes dá grande importância, porque não há sinal que tenham sido usadas por quem tenha más intenções. O grande problema é que há uma grande probabilidade que, a serem usadas, não deixarem qualquer trace no sistema atacado.
Isto é, na verdade, andamos na ignorância.
Eu se fosse uma das empresas de Cloud e as empresas de hosting, tinha mesmo muito medo.

Definitivamente, e é algo que eu tenho pensado seriamente nos últimos tempos. Mas a minha questão agora é: como é que nós, como utilizadores, nos protegemos disto? É que tudo o que é sistema online está baseado em sistemas da intel, e nós não podemos evitar isso. Sempre que interagimos com os sistemas, estamos em risco. Mesmo a ter lá os dados...

É que ter todos os sistemas online é demasiado confortável para voltar atrás a ter tudo local, em papel, a ter que ir para filas intermináveis...

 

[Rafx]

A questão é que já não é a primeira vez que se fala em desactivar o HT...

Questão mais pertinente que essa é quem o indemniza os compradores que compraram cpu/PC (nos assemblados/laptops) com determinadas características/performance e que de repente vão ter perda de performance abrupta por causa da Intel falhar gravemente na segurança dos produtos que vende.

Isto no caso de se ter que desactivar o HT para garantir segurança.

Mesmo mantendo o HT, se houver quebra de performance que se note com um Patch é suficiente para uma firma de advogados dos EUA com dois dedos de testa e competência conseguir um lawsuit de centenas de milhões.

 

[Dark Kaeser]

PC? Laptops?

Greg Kroah-Hartman (que está a fazer as vezes do Linus Torvalds) quando lançou as patches para o kernel linux:

Note, this release, and the other stable releases that are all being
released right now at the same time, just went out all contain patches
that have only seen the "public eye" for about 5 minutes. So be
forwarned, they might break things, they might not build, but hopefully
they fix things. Odds are we will be fixing a number of small things in
this area for the next few weeks as things shake out on real hardware
and workloads

http://lkml.iu.edu/hypermail/linux/kernel/1905.1/05371.html

e agora quem tem centenas/milhares de servidores faz o quê? Espera a ver se os fabricantes de boards lançam updates de microcode? Aplicam estes patches que por regra só é feito quando é estritamente necessário? Arriscam a que aconteça o mesmo que da outra vez em que os produtores de SO (Red Hat, SUSE e até a própria MS) que integraram o microcode da Intel nos SO apenas para descobrirem dias depois que os sitemas ficaram instáveis e ficavam a fazer reboots aleatórios e uns quantos ficaram offline e terem que reverter as alterações feitas?

 

[Rafx]

@Dark Kaeser

Estava a falar do ponto de vista do consumidor comum.

Clientes empresariais, em particular os maiores, atendendo a que se trata de potenciais milhões perdidos individualmente por cada cliente, entre perda de performance, disponibilidade ao cliente final, recursos técnicos envolvidos a solucionar o problema, etc, a Intel deve oferecer compensação financeira, nem que seja descontos á grande em novas compras/troca de hardware.

Caso contrário era processos em tribunal, de 'high profile' e perder a maioria desses clientes a curto-médio prazo.

 

[Dark Kaeser]

O consumidor comum apenas quer saber de MHz e FPS, o resto é paisagem

 

[godevskii]

Questão mais pertinente que essa é quem o indemniza os compradores que compraram cpu/PC (nos assemblados/laptops) com determinadas características/performance e que de repente vão ter perda de performance abrupta por causa da Intel falhar gravemente na segurança dos produtos que vende.

Isto no caso de se ter que desactivar o HT para garantir segurança.

Mesmo mantendo o HT, se houver quebra de performance que se note com um Patch é suficiente para uma firma de advogados dos EUA com dois dedos de testa e competência conseguir um lawsuit de centenas de milhões.

Ninguém, aliás quando compras o pc/portátil em nenhum contrato de venda/compra vem lá especificado x de performance, até porque isso varia derivado a vários factores. Quanto muito poderia ser processada por negligência porque aparentemente sabia de algumas vulnerabilidades e deixou-se andar e continuou a vender novos produtos sem informar o consumidor agindo de má fé, mas provar que eles sabiam já é outro problema.

Mas sinceramente o pessoal está a fazer uma enorme tempestade, aqui há uns anos roubaram as chaves de encriptação de um sistema global de comunicações móveis, voz e dados, e meteram aí na dark web para quem quisesse e não vi tanto alarido... O principal sistema de cartões de crédito dos US foi hackeado e roubaram dados de milhoes de cc e a vida continua... Tipo o pessoal tem de perceber que existe maneira de quebrar tudo, seja muito ou pouco seguro é uma questão de tempo e esforço, por isso chill out.

 

[Mr.Wolf]

Se googlarmos por intel meldown lawsuit, encontramos os processo que a intel enfrenta por causa dos exploits iniciais.
Em relação à perda de performance dos CPUs, foi a própria intel que informou de forma conservadora a % perdida e tb é quantificado por varios testes.
Quando a industria (MS, distros linux, ...) recomendam desligar o HT por questoes de segurança, tb sabemos quantificar o preço/custo pago e qual o desempenho perdido.
Em relação ao roubo de dados privados de clientes de empresas, tb se encontra o mesmo tipo de processos e multas aplicadas.

A segurança informática é um tema serio, o mundo e a economia esta informatizado.

 

[godevskii]

@Mr.Wolf então diz-me quanto é que vou receber por todos os cpu's intel que tenho em casa vulneráveis? E isso de avaliar a performance perdida pode ser feito, mas quando comprei não dizia em lado nenhum garantido pela intel x performance por isso agarro-me aos tomates. Os únicos problemas para a intel é opinião publica e as grandes empresas que têm contratos preto no branco e esta-lhes a custar tempo e dinheiro para "garantir" a segurança dos seus serviços. Tirando isto a intel esta-se a cag**. É triste? É. Gostava que fosse diferente? Sim. Mas o mundo é isto e não vale a pena dramatizar.

 

[Mr.Wolf]

No meu post anterior, nao disse que ias receber alguma coisa, disse que as empresas sao responsabilizadas e pagam por isso.
Não é necessario saber a especificação de performace, o fabricante afirma e quantifica a perda de performance.

A segurança é importante e é necessário responsabilizar para que a situação futura mude. Para a proxima geração este tipo de exploits nao é aceitável pq existiu pressão e responsabilização dos fabricantes. A preocupação com a segurança é bem real, nao podemos só pensar no nosso PC.

O problema é que inicialmente os sistemas informáticos não foram desenhados a contemplar ataques maliciosos, fazer isso em qq projeto tem custos adicionais, mas é necessário e tem vindo a evoluir nesse sentido.

 

[DJS]

Aqui em casa jà começou a ter repercussões.

Update forçado do windows 10 hoje no Pc da rapariga e o word fez o ultimo autosave da tese ontem. Pumba 1 dia e meio de trabalho no galheiro.

 

[ptfuzi]

O autosave na pasta temp não é de 15 em 15min?

 

[DJS]

Devia ser de 10 em 10 mas o ultimo que là està é de ontem as 17. Nem recovery de ficheiros encontrou nada là. Jà no meu pc da empresa também recebi o update mas como tou sempre a fazer save para compilar não perco nada.

 

[Rafx]

Aqui em casa jà começou a ter repercussões.

Update forçado do windows 10 hoje no Pc da rapariga e o word fez o ultimo autosave da tese ontem. Pumba 1 dia e meio de trabalho no galheiro.

Não percebi muito bem o porquê de perder o trabalho.

Então ela esteve a trabalhar 1 dia e tal numa tese sem fazer save ao que estava a fazer?
Ou o update apagou/corrompeu o ficheiro em que estava a trabalhar e só tinha backup antigo?

 

[blaster_00]

Updates forçados à padeiro dão nisso. É quase preciso ser um hacker para conseguir desligar essa porra.

 

[Dark Kaeser]

Ou então livrarem-se do maior mal

já está assim há uns dias

 

[DJS]

Não percebi muito bem o porquê de perder o trabalho.

Então ela esteve a trabalhar 1 dia e tal numa tese sem fazer save ao que estava a fazer?

Exacto levantou-se para uma pausa e quando voltou estava reiniciado. Normalmente o autosave do word devia salvar mas o ultimo era do dia anterior và-se là saber porquê.

Se jà andava a contar trocar o 4690 por um ryzen então agora com estas ùltimas tretas menos dùvidas me deixam. Jà da ùltima vez que troquei para a amd foi por me ter queimado com os Willamette.

 

[Nemesis11]

O site Phoronix tem um artigo interessante. A primeira parte do artigo são benchmarks sobre o impacto das mitigações do MDS em Linux. A segunda parte, é sobre o impacto de todas as mitigações (Spectre, Meltdown, MDS, etc), em Linux, usando processadores Intel e AMD. Nos processadores Intel, além do teste com todas as mitigações, é testado isto, mais o SMT a off. Esta segunda parte é a mais interessante.

Há testes que pouco se nota na performance:

E há outros onde a perda de performance é substancial. Especialmente tudo o que mete context switchs:

Por exemplo, o Postgres (Servidor de Bases de Dados), é bastante afectado:

E no fim, tem o gráfico total, com o aglomerado de todos os benchmarks:

https://www.phoronix.com/scan.php?page=article&item=mds-zombieload-mit&num=7

Em média, os sistemas Intel perdem 16% de performance, com SMT ligado. Com SMT desligado, perdem mais. Os sistemas AMD perdem 3%.

 

[DJS]

Tà ai uma coisa esperta sim senhor

 

[NeoToPower]

O meu xeon x5492 apesar de nao ter HT perdeu um bom bocado de performance. No gta5 aguentava relativamente bem. Com as mitigações tive de reduzir tudo o que era cpu bound porque começou a deixar de carregar texturas e objectos no jogo apesar de manter um framerate acima dos 40. Estive para comprar um 9400f mas mudei de ideias e vou esperar pelos ryzen 3000.

 

[SVM]

Já há comparações do impacto em jogos?

Esta situação é particularmente vergonhosa. Se AMD estivesse a apresentar uma falha desta dimensão, já tinha sido comida viva...

São literalmente biliões e biliões de dólares perdidos por toda a cadeia de consumo.

Estão a imaginar o que é uma empresa de servidores ter uma estrutura de custo fixada também com base no preço dos equipamentos, e de um momento para outro comer com uma diluição desta proporção?

Não deve ser bonito.

Eu realmente ontem quando estava a usar o meu portátil notei uma lentidão incomum, literalmente estava-me a dar break no word...mas nem me tinha passado pela cabeça que pudesse estar relacionado com o patch do Windows que recebeu.

Estimo que a Intel seja devidamente punida pelas instâncias legais deste mundo fora.