» »

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

Ben Klemens - Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti, so se zaradi ranljivosti Spectre in Meltdown, ki sta v več inačicah najbolj prizadeli Intelove, nekoliko zmerneje pa tudi AMD-jeve in ARM-jeve procesorje, odločili za radikalno potezo. V OpenBSD ne bo več podprto večnitenje HyperThreading (HT), da bo sistem imun na Spectre in sorodne napade. Hkratno večnitenje na istem jedru (SMT), kar počne tudi Intelova tehnologija HT, običajno uporablja iste predpomnilnike TLB (translation lookaside buffer) in L1, zaradi česar so napadi Spectre bistveno lažji. Ob tem razvijalci dodajajo, da poganjanje niti z različnimi varnostnimi privilegiji na istem jedru tako ali tako ni bila nikoli posebej modra zamisel.

Ali bodo procesorji zaradi ukinitve podpore HT v OpenBSD-ju počasnejši? Zdi se tako, a ni nujno, pravijo pri OpenBSD. V ne tako redkih primerih je učinek HT zanemarljiv ali celo negativen, saj si niti lahko konkurirajo. So pa seveda tudi obratni primeri, kjer je pohitritev zaradi HT občutna. A prevladalo je mnenje, da bo ranljivosti Spectre še več in da gre v resnici za razred ranljivosti, ki ga lahko krpamo, a ga ne bo mogoče nikoli zares popraviti, dokler Intel bistveno ne spremeni arhitekture svojih procesorjev. Na obstoječih je zato edina možnost onesposobitev HT, česar pa številni proizvajalci sistemov v BIOS-u sploh ne omogočajo. Rešitev bo zato nov hw.smt sysctl v OpenBSD.

Intel je HT v svojih procesorjih vključeval od leta 2002, glavni razlog pa je seveda povečanje zmogljivosti. OpenBSD bo najprej HT onemogočil v verziji OpenBSD/amd64, kasneje pa še v ostalih.

37 komentarjev

LightBit ::

Torej bodo spremenili i7 v i5. OpenBSD ima že tako bolj slab SMT.
Iz tega lahko zaključimo, da so i3 in i5 bolj varni kot i7.

DamijanD ::

Že skoraj kot dieselgate...

SuperVeloce ::

LightBit je izjavil:

Torej bodo spremenili i7 v i5. OpenBSD ima že tako bolj slab SMT.
Iz tega lahko zaključimo, da so i3 in i5 bolj varni kot i7.

i3 so itak s HT-jem, pa tudi kakšen i5 se najde (mobile recimo)
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

Zgodovina sprememb…

LightBit ::

Sem mislil, da ga imajo samo i7.
No, moj i5 je brez HT-ja.

D3m ::

Torej bo Pentium 4560 postal pravi dvojedrnik. :P
|HP EliteBook|R5 6650U|

prodamscene ::

No ja glede na to zakaj se openBSD uporabla, ga po mojem disablan HT ne bi smel tolk prizadeti...

Matek ::

DamijanD je izjavil:

Že skoraj kot dieselgate...
To je dober point, ja. Kupil si procesor na podlagi nekih specifikacij, končal pa z (včasih) konkretno počasnejšim. A je kaka skupinska tožba na vidiku?
Bolje ispasti glup nego iz aviona.

tikitoki ::

Skupinske tozbe in odskodnine so zgolj za americane

MrStein ::

OpenBSD je disablal SMT tudi na AMD procesorjih (Zen..)?

SMT ... običajno uporablja iste predpomnilnike TLB (translation lookaside buffer) in L1, zaradi česar so napadi Spectre bistveno lažj

L2 oziroma L3 predpomnilnik je tudi ponekod skupen. A tega niso upoštevali (v tem patch-u)?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

D3m ::

Piše samo HyperThreading. Nič o SMTju.
|HP EliteBook|R5 6650U|

opeter ::

D3m je izjavil:

Torej bo Pentium 4560 postal pravi dvojedrnik. :P


Odvisno, kakšen sistem uporabljaš ;)
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Dr_M ::


Security oriented BSD operating system OpenBSD is making the move to disable Hyper Threading (HT) on Intel CPUs and more broadly moving to disable SMT (Simultaneous Multi Threading) on other CPUs too.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

tikitoki ::

Me zanima kdaj pridejo CPUju, ki te pomankljivosti odpravijo na hardware nivoju in kako se bodo obnesli. Mal neumno se mi zdi kupovati nov CPU, ki ga bom moral nato menjati zaradi ze znanih problemov.

D3m0r4l1z3d ::

"Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti"... šele zdaj so poskrbeli za varnost.
ETN Wallet addr.: etnkGuvhDzR7Dh8us4e69VStubGbmQHrh5pe2fnpNDhEhX5
A1nCWrFBMK2NmkycgVN4sAwhvY8YyNNbF6KUSJyFZ99QKU8phCn
Cryptopia ref. link: https://www.cryptopia.co.nz/Register?referrer=Anymalus

filip007 ::

Rezanje funkcij, nevem kam to pelje?
Trevor Philips Industries

harmony ::

tikitoki je izjavil:

Me zanima kdaj pridejo CPUju, ki te pomankljivosti odpravijo na hardware nivoju in kako se bodo obnesli. Mal neumno se mi zdi kupovati nov CPU, ki ga bom moral nato menjati zaradi ze znanih problemov.

Najbrz svetega nikoli. Boli Intel za varnost. Dokler je ovc, bo tako.

MrStein ::

Avti so nevarni. Kdaj bodo začeli prodajati avte, ki niso nevarni!?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

D3m0r4l1z3d ::

Točno tako.
ETN Wallet addr.: etnkGuvhDzR7Dh8us4e69VStubGbmQHrh5pe2fnpNDhEhX5
A1nCWrFBMK2NmkycgVN4sAwhvY8YyNNbF6KUSJyFZ99QKU8phCn
Cryptopia ref. link: https://www.cryptopia.co.nz/Register?referrer=Anymalus

japol ::

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?

klinker ::

japol je izjavil:

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?


;((

LightBit ::

@japol Večinoma za firewall.

MrStein ::

japol je izjavil:

Kolk je dejansko uporaben ta OS? A lahko laufam gor window programe,...? Al je to bol za kšne CNCje in podobno?

Kot Linux, samo še za kako stopnjo manj.
Torej za kake niše.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

D3m0r4l1z3d je izjavil:

"Razvijalci operacijskega sistema OpenBSD, ki ga poznamo predvsem zaradi svoje zavezanosti k varnosti"... šele zdaj so poskrbeli za varnost.

Ne. Zdaj so se odločili, da ne bodo več krpali z novimi zaplatami, pač pa bodo cel zid podrli.

Sicer pa, če OpenBSD poznaš, potem veš, zakaj ga lahko uporabljaš. Kolega ga je uporabljal celo kot namizje (oz. ga še). Ostali nevedneži lahko brez skrbi ostanete na Wintendo sistemih... :))
sudo poweroff

Dr_M ::

Se oglasa nekdo, ki uporablja welcome to hackers sistem...
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

jukoz ::

OpenBSD ni omejen na požarne zidove. Uporabljamo ga za vse: poštne strežnike, podatkovne strežnike, arhivske strežnike, za strežnike za web portale. Kar češ. Odkar je Youtube nehal uporabljati Flash lahko gledaš tudi youtube na firefoxu (na chromiumu je delal že prej ker ima chromium nek black magic v sebi).

Kar ne dela gor je VMWare in VirtualBox, zaradi česar sem še na Linuxu. Sicer pa uvajajo svojo virtualizacijo (podprt OpenBSD in Linux, v prihondje tudi win).
V vsem ostalem je za moje pojme top. Dokumentacija je top, ko nekaj nastaviš z naslednjo verzijo deluje, razen če ni posebej omenjeno v release notes...

V paketing in portih najdeš vse kar imajo na drugih unix sistemih.

Glede HWja so sicer malo specifični, Bluetooth ne dela in nikoli ne bo (ker je zanič), driverji pa za večino HWja so, če proizvajalec da na voljo specifikacijo.

Za zagreteže, Outlook in IE delata z wine =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

poweroff ::

Dr_M je izjavil:

Se oglasa nekdo, ki uporablja welcome to hackers sistem...

Jaz uporabljam vse operacijske sisteme. Primarno pa se ve, kaj uporabljam.
sudo poweroff

pegasus ::

poweroff je izjavil:

Sicer pa, če OpenBSD poznaš, potem veš, zakaj ga lahko uporabljaš. Kolega ga je uporabljal celo kot namizje
Je zelo ok desktop, garantiram iz prve roke. Pravzaprav je edina smiselna izbira danes za vse aplikacije, ki komunicirajo z internetom. Za vse ostalo je linux. Wintendo je sprejemljiv samo še za scenarije, ko je mašina offline zaprta v faradayevi kletki :D

nsa_ag3nt ::

Ni Qubes boljša izbira ?
https://gizmodo.com/c/goodbye-big-five

andromedar ::

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove. Uporabljamo ga za vse: poštne strežnike, podatkovne strežnike, arhivske strežnike, za strežnike za web portale. Kar češ. Odkar je Youtube nehal uporabljati Flash lahko gledaš tudi youtube na firefoxu (na chromiumu je delal že prej ker ima chromium nek black magic v sebi).

...


Chromium je delal že prej, ker Chromium vseguje Googlovo implementacijo Flasha (PepperFlash)
Eh?

LightBit ::

nsa_ag3nt je izjavil:

Ni Qubes boljša izbira ?

Ne, ker imajo hypervisor-ji tudi veliko ranljivosti.

pegasus ::

andromedar je izjavil:

Chromium je delal že prej,
A ni najboljša izbira iz de družine iridium?

LightBit ::

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove.

Fokusiran je precej na požarne zidove.
Sicer dela marsikaj, če imaš ta prav hardware (brez ACPI bugov, ...).

pegasus ::

jukoz ::

LightBit je izjavil:

jukoz je izjavil:

OpenBSD ni omejen na požarne zidove.

Fokusiran je precej na požarne zidove.
Sicer dela marsikaj, če imaš ta prav hardware (brez ACPI bugov, ...).


Glede na število prodanih FW in vsega ostalega, bi rekel da se mi z uporabo OpenBSDja ne fokusiramo na požarne zidove. Mislim da so backup strežniki kar številka ena =)

Pravega HWja pa dandanes ni težko dobiti, oz se moraš kar potruditi da dobiš slabega. HP Microserver Gen10 je en tak tip, kjer ACPI še ne deluje. Pri vsem ostalem smo OK.
Kar me res preseneča je kvaliteta gonilnikov za serijske kartice (zaradi narave dela jih veliko uporabljamo), ki je na OpenBSD veliko boljša kot na Linux-u (debian). Zaradi tega počasi tudi menjamo na Linuxu temelječe strežnike za industrijo z OpenBSDjem. Na embedded platformah smo sicer še na Linuxu (rPi in BBB), ampak tudi tam testiramo in bomo šli na OpenBSD, sploh tam, kjer ni potrebe po priklopu na zunanji zaslon.

LightBit ::

Ali ni za backup strežnike bolj primeren ZFS, HAMMER kakor UFS2?

jukoz ::

Kaj ma pa datotečni sistem veze z backupom? Najbolj primeren je fat32, da ga boš lahko vsaj bral čez 10 let =)

LightBit ::

Verjetno je dobro, če je tak da ne pozabi vsega ko gre kaj narobe. FAT32 je precej omejen glede velikosti.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenBSD bo zaradi ranljivosti Spectre onesposobil HyperThreading

Oddelek: Novice / Procesorji
3714639 (11783) LightBit
»

Kaj vemo o napadih Spectre in Meltdown na procesorje (strani: 1 2 )

Oddelek: Novice / Varnost
9136335 (30830) D3m
»

OpenBSD praznuje 20 let

Oddelek: Novice / Operacijski sistemi
139420 (6647) opeter
»

Odkrita varnostna luknja v privzeti namestitvi OpenBSD

Oddelek: Novice / Varnost
194284 (3219) poweroff
»

OpenBSD 3.9

Oddelek: Novice / Ostala programska oprema
194063 (2813) nejc_

Več podobnih tem