» »

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

Ben Klemens - Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti, so se zaradi ranljivosti Spectre in Meltdown, ki sta v več inačicah najbolj prizadeli Intelove, nekoliko zmerneje pa tudi AMD-jeve in ARM-jeve procesorje, odločili za radikalno potezo. V OpenBSD ne bo več podprto večnitenje HyperThreading (HT), da bo sistem imun na Spectre in sorodne napade. Hkratno večnitenje na istem jedru (SMT), kar počne tudi Intelova tehnologija HT, običajno uporablja iste predpomnilnike TLB (translation lookaside buffer) in L1, zaradi česar so napadi Spectre bistveno lažji. Ob tem razvijalci dodajajo, da poganjanje niti z različnimi varnostnimi privilegiji na istem jedru tako ali tako ni bila nikoli posebej modra zamisel.

Ali bodo procesorji zaradi ukinitve podpore HT v OpenBSD-ju počasnejši? Zdi se tako, a ni nujno, pravijo pri OpenBSD. V ne tako redkih primerih je učinek HT zanemarljiv ali celo negativen, saj si niti lahko konkurirajo. So pa seveda tudi obratni primeri, kjer je pohitritev zaradi HT občutna. A prevladalo je mnenje, da bo ranljivosti Spectre še več in da gre v resnici za razred ranljivosti, ki ga lahko krpamo, a ga ne bo mogoče nikoli zares popraviti, dokler Intel bistveno ne spremeni arhitekture svojih procesorjev. Na obstoječih je zato edina možnost onesposobitev HT, česar pa številni proizvajalci sistemov v BIOS-u sploh ne omogočajo. Rešitev bo zato nov hw.smt sysctl v OpenBSD.

Intel je HT v svojih procesorjih vključeval od leta 2002, glavni razlog pa je seveda povečanje zmogljivosti. OpenBSD bo najprej HT onemogočil v verziji OpenBSD/amd64, kasneje pa še v ostalih.

37 komentarjev

LightBit ::

Torej bodo spremenili i7 v i5. OpenBSD ima že tako bolj slab SMT.
Iz tega lahko zaključimo, da so i3 in i5 bolj varni kot i7.

DamijanD ::

Že skoraj kot dieselgate...

SuperVeloce ::

LightBit je izjavil:

Torej bodo spremenili i7 v i5. OpenBSD ima že tako bolj slab SMT.
Iz tega lahko zaključimo, da so i3 in i5 bolj varni kot i7.

i3 so itak s HT-jem, pa tudi kakšen i5 se najde (mobile recimo)
Main desktop: i7 4790 + 212evo, h87m pro4, 7870xt, 4x8GB 1600CL8, 850evo

Zgodovina sprememb…

LightBit ::

Sem mislil, da ga imajo samo i7.
No, moj i5 je brez HT-ja.

D3m ::

Torej bo Pentium 4560 postal pravi dvojedrnik. :P
|Lenovo E575|A6-9500B|
|Lenovo A10|Mediatek MT8121|

prodamscene ::

No ja glede na to zakaj se openBSD uporabla, ga po mojem disablan HT ne bi smel tolk prizadeti...

Matek ::

DamijanD je izjavil:

Že skoraj kot dieselgate...
To je dober point, ja. Kupil si procesor na podlagi nekih specifikacij, končal pa z (včasih) konkretno počasnejšim. A je kaka skupinska tožba na vidiku?
Bolje ispasti glup nego iz aviona.

tikitoki ::

Skupinske tozbe in odskodnine so zgolj za americane

MrStein ::

OpenBSD je disablal SMT tudi na AMD procesorjih (Zen..)?

SMT ... običajno uporablja iste predpomnilnike TLB (translation lookaside buffer) in L1, zaradi česar so napadi Spectre bistveno lažj

L2 oziroma L3 predpomnilnik je tudi ponekod skupen. A tega niso upoštevali (v tem patch-u)?
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

D3m ::

Piše samo HyperThreading. Nič o SMTju.
|Lenovo E575|A6-9500B|
|Lenovo A10|Mediatek MT8121|

opeter ::

D3m je izjavil:

Torej bo Pentium 4560 postal pravi dvojedrnik. :P


Odvisno, kakšen sistem uporabljaš ;)
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Dr_M ::


Security oriented BSD operating system OpenBSD is making the move to disable Hyper Threading (HT) on Intel CPUs and more broadly moving to disable SMT (Simultaneous Multi Threading) on other CPUs too.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

tikitoki ::

Me zanima kdaj pridejo CPUju, ki te pomankljivosti odpravijo na hardware nivoju in kako se bodo obnesli. Mal neumno se mi zdi kupovati nov CPU, ki ga bom moral nato menjati zaradi ze znanih problemov.

Anymal ::

"Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti"... šele zdaj so poskrbeli za varnost.
ETN Wallet addr.: etnkGuvhDzR7Dh8us4e69VStubGbmQHrh5pe2fnpNDhEhX5
A1nCWrFBMK2NmkycgVN4sAwhvY8YyNNbF6KUSJyFZ99QKU8phCn
Cryptopia ref. link: https://www.cryptopia.co.nz/Register?referrer=Anymalus

filip007 ::

Rezanje funkcij, nevem kam to pelje?
Plejstejšon.

harmony ::

tikitoki je izjavil:

Me zanima kdaj pridejo CPUju, ki te pomankljivosti odpravijo na hardware nivoju in kako se bodo obnesli. Mal neumno se mi zdi kupovati nov CPU, ki ga bom moral nato menjati zaradi ze znanih problemov.

Najbrz svetega nikoli. Boli Intel za varnost. Dokler je ovc, bo tako.

MrStein ::

Avti so nevarni. Kdaj bodo začeli prodajati avte, ki niso nevarni!?
Teštiram če delaž - umlaut dela: ä ?

Anymal ::

Točno tako.
ETN Wallet addr.: etnkGuvhDzR7Dh8us4e69VStubGbmQHrh5pe2fnpNDhEhX5
A1nCWrFBMK2NmkycgVN4sAwhvY8YyNNbF6KUSJyFZ99QKU8phCn
Cryptopia ref. link: https://www.cryptopia.co.nz/Register?referrer=Anymalus

japol ::

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?

klinker ::

japol je izjavil:

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?


;((

LightBit ::

@japol Večinoma za firewall.

MrStein ::

japol je izjavil:

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?

Kot Linux, samo še za kako stopnjo manj.
Torej za kake niše.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Matthai ::

Anymal je izjavil:

"Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti"... šele zdaj so poskrbeli za varnost.

Ne. Zdaj so se odločili, da ne bodo več krpali z novimi zaplatami, pač pa bodo cel zid podrli.

Sicer pa, če OpenBSD poznaš, potem veš, zakaj ga lahko uporabljaš. Kolega ga je uporabljal celo kot namizje (oz. ga še). Ostali nevedneži lahko brez skrbi ostanete na Wintendo sistemih... :))
All those moments will be lost in time, like tears in rain...
Time to die.

Dr_M ::

Se oglasa nekdo, ki uporablja welcome to hackers sistem...
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

jukoz ::

OpenBSD ni omejen na požarne zidove. Uporabljamo ga za vse: poštne strežnike, podatkovne strežnike, arhivske strežnike, za strežnike za web portale. Kar češ. Odkar je Youtube nehal uporabljati Flash lahko gledaš tudi youtube na firefoxu (na chromiumu je delal že prej ker ima chromium nek black magic v sebi).

Kar ne dela gor je VMWare in VirtualBox, zaradi česar sem še na Linuxu. Sicer pa uvajajo svojo virtualizacijo (podprt OpenBSD in Linux, v prihondje tudi win).
V vsem ostalem je za moje pojme top. Dokumentacija je top, ko nekaj nastaviš z naslednjo verzijo deluje, razen če ni posebej omenjeno v release notes...

V paketing in portih najdeš vse kar imajo na drugih unix sistemih.

Glede HWja so sicer malo specifični, Bluetooth ne dela in nikoli ne bo (ker je zanič), driverji pa za večino HWja so, če proizvajalec da na voljo specifikacijo.

Za zagreteže, Outlook in IE delata z wine =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

Matthai ::

Dr_M je izjavil:

Se oglasa nekdo, ki uporablja welcome to hackers sistem...

Jaz uporabljam vse operacijske sisteme. Primarno pa se ve, kaj uporabljam.
All those moments will be lost in time, like tears in rain...
Time to die.

pegasus ::

Matthai je izjavil:

Sicer pa, če OpenBSD poznaš, potem veš, zakaj ga lahko uporabljaš. Kolega ga je uporabljal celo kot namizje
Je zelo ok desktop, garantiram iz prve roke. Pravzaprav je edina smiselna izbira danes za vse aplikacije, ki komunicirajo z internetom. Za vse ostalo je linux. Wintendo je sprejemljiv samo še za scenarije, ko je mašina offline zaprta v faradayevi kletki :D

nsa_ag3nt ::

Ni Qubes boljša izbira ?
https://www.rt.com/news/419978-germany-merkel-no-go-zones/

andromedar ::

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove. Uporabljamo ga za vse: poštne strežnike, podatkovne strežnike, arhivske strežnike, za strežnike za web portale. Kar češ. Odkar je Youtube nehal uporabljati Flash lahko gledaš tudi youtube na firefoxu (na chromiumu je delal že prej ker ima chromium nek black magic v sebi).

...


Chromium je delal že prej, ker Chromium vseguje Googlovo implementacijo Flasha (PepperFlash)
Eh?

LightBit ::

nsa_ag3nt je izjavil:

Ni Qubes boljša izbira ?

Ne, ker imajo hypervisor-ji tudi veliko ranljivosti.

pegasus ::

andromedar je izjavil:

Chromium je delal že prej,
A ni najboljša izbira iz de družine iridium?

LightBit ::

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove.

Fokusiran je precej na požarne zidove.
Sicer dela marsikaj, če imaš ta prav hardware (brez ACPI bugov, ...).

pegasus ::

jukoz ::

LightBit je izjavil:

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove.

Fokusiran je precej na požarne zidove.
Sicer dela marsikaj, če imaš ta prav hardware (brez ACPI bugov, ...).


Glede na število prodanih FW in vsega ostalega, bi rekel da se mi z uporabo OpenBSDja ne fokusiramo na požarne zidove. Mislim da so backup strežniki kar številka ena =)

Pravega HWja pa dandanes ni težko dobiti, oz se moraš kar potruditi da dobiš slabega. HP Microserver Gen10 je en tak tip, kjer ACPI še ne deluje. Pri vsem ostalem smo OK.
Kar me res preseneča je kvaliteta gonilnikov za serijske kartice (zaradi narave dela jih veliko uporabljamo), ki je na OpenBSD veliko boljša kot na Linux-u (debian). Zaradi tega počasi tudi menjamo na Linuxu temelječe strežnike za industrijo z OpenBSDjem. Na embedded platformah smo sicer še na Linuxu (rPi in BBB), ampak tudi tam testiramo in bomo šli na OpenBSD, sploh tam, kjer ni potrebe po priklopu na zunanji zaslon.

LightBit ::

Ali ni za backup strežnike bolj primeren ZFS, HAMMER kakor UFS2?

jukoz ::

Kaj ma pa datotečni sistem veze z backupom? Najbolj primeren je fat32, da ga boš lahko vsaj bral čez 10 let =)

LightBit ::

Verjetno je dobro, če je tak da ne pozabi vsega ko gre kaj narobe. FAT32 je precej omejen glede velikosti.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

Oddelek: Novice / Procesorji
373904 (1048) LightBit
»

Nova ranljivost v Intelovih procesorjih

Oddelek: Novice / Varnost
292759 (457) bbf
»

Kaj vemo o napadih Spectre in Meltdown na procesorje (strani: 1 2 )

Oddelek: Novice / Varnost
918403 (2898) D3m
»

OpenBSD praznuje 20 let

Oddelek: Novice / Operacijski sistemi
134967 (2194) opeter
»

Kateri *BSD?

Oddelek: Operacijski sistemi
101160 (1002) atlet

Več podobnih tem