Alkuvuoden polttavimmat puheenaiheet tietoturvan saralla ovat olleet Meltdown- ja Spectre-haavoittuvuudet, niiden korjaukset ja niistä aiheutuneet komplikaatiot. Etenkin Intelillä on ollut ongelmia päivitystensä kanssa, sillä ne ovat aiheuttaneet paitsi suorituskykyhävikkiä, myös uusia suoraan käyttäjille näkyviä ongelmia.
Kotikäyttäjien kannalta Intelin päivitysten vaikutus suorituskykyyn on käytännössä olematon tai lähes olematon. Päivitysten myötä syntyneet satunnaiset uudelleenkäynnistymiset ovat kuitenkin ongelma, joka näkyy helposti kotikäyttäjänkin arjessa. Intelin mukaan ongelman piti alun perin koskea vain Haswell- ja Broadwell-arkkitehtuureja, mutta sittemmin yhtiö on päivittänyt lausuntoaan koskemaan kaikkia Core-arkkitehtuureita Sandy Bridgestä lähtien.
Intelin tuoreimman lausunnon mukaan yhtiön insinöörit uskovat nyt löytäneensä perimmäisen syyn Haswell- ja Broadwell-arkkitehtuurien uudelleenkäynnistymisongelmaan ja edistyneensä jo huomattavasti sen korjaamisessa. Yhtiö ei kuitenkaan kerro, onko myös muiden Core-arkkitehtuureiden uudelleenkäynnistysongelmat kiinni samasta seikasta tai miten niiden korjaus edistyy.
Lopullista korjausta odotellessa Intel suosittelee, että OEM-valmistajat ja muut yhtiön tuotteita käyttävät palveluntarjoajat lopettavat nykyisten päivitysten jakelun ehkäistäkseen uudelleenkäynnistysongelman leviämistä. Lisäksi Intel toivoo kumppaniensa keskittyvän Haswell- ja Broadwell-prosessoreiden tulevan päivityksen esiversioiden testaamiseen, jotta lopullinen versio saataisiin jakoon mahdollisimman nopeasti.
Lisäksi Intel pyrkii tarjoamaan käyttäjille, joille järjestelmän vakaus on ensisijainen seikka, mahdollisuutta palata käyttämään edellistä versiota prosessorin mikrokoodista siihen saakka, kunnes lopullinen ja ongelmaton mikrokoodiversio on valmis. Mikäli edellinen mikrokoodiversio tuodaan saataville, se tulee asentaa BIOS-päivityksen muodossa. Edelliseen mikrokoodiversioon paluu ei vaikuta Spectren ensimmäisen variantin tai Meltdownin korjauksiin, mutta poistaa suojauksen Spectren kakkosvariantilta.
Lähde: Intel
Ei ole. Taidat sekoittaa johonkion muuhun, esim. Larrabee-johdannaisiin (knights-sarjaan/xeon Phi:hin?)
The Mill on Ivan goddardin visio hyvin erilaisesta prosessorista, jossa ei ole esimerkiksi normaaleita rekistereitä ollenkaan, vaan tulokset menee järjestyksessä "hihnalle" josta sitten seuraavat operaatiot ne poimii. Ja jos tuloksen pitää elää kauemmin kuin hihiassa on pituutta. ne pitää sieltä explisiittisesti tallettaa muistiin ja ladata muistista kun niitä tarvitaan (ja latausoperaation tulos ilmestyy hihnalle, josta sitä tarvitseva operaatio sen nappaa).
The Millillä ei ole mitään tekemistä Intelin kanssa, vaan Mill Computing on pikkufirma, jolla ei ole mitään muita tuotteita, vaan kehittää vain tuota.
Mill Computing, Inc.
The Mill itseasiassa jossain määrin muistuttaa TTA-prosessoreita joiden kanssa itse töissäni puuhastelen, mutta Ivan kuvittelee että tuollainen kelpaisi CPUksi (me emme kuvittele, vaan me suuntaamme TTA-prosessorimme vain signaalinkäsittelyyn)
Aivan juu, väsyneet aivot käänsivät Knights-sarjan Mill-sarjaksi Knights Millin takia
Nyt kuuluu retpolinea Windowsiin. Kiva juttu, menetettyä vauhtia takaisin.
Tämä on kyllä erittäin positiivinen yllätys. Vanhemmat prossut ottavat nyt vähän uudempia sukupolvia suorituskyvyssä kiinni.
Laitan vielä tähän pari linkkiä suoraan näkyviin, vaikka tuolta Hardocp:n artikkelistakin ne löytyvät:
https://support.microsoft.com/en-us/help/4482887/windows-10-update-kb4482887
Mitigating Spectre variant 2 with Retpoline on Windows – Microsoft Tech Community – 295618
Jotta retpolinea voi hyödyntää, niin koneessa pitää olla
Lisäksi tehtävä manuaalisesti rekisterimuutokset, joihin löytyvät ohjeet tuolta Microsoft Tech Community -linkistä.
Toiniiko Sandyssä(2700K)?
Pitäisi mun ymmärtääkseni toimia. Hardocp:n mukaan tuon pitäisi kait saapua tavallisille tallaajille huhtikuun päivityksen mukana.
"It is enabled by default in the latest Windows Client Insider Fast builds (for builds 18272 and higher on machines exposing compatible speculation control capabilities) and is targeted to ship with 19H1."
Windows 10 19H1: The complete changelog jossa siitä ei tosin ole mainintaa.
Tuossa kun jonkin aikaa sitten ostin BF V:n niin oli shokeeraava ero toimivuudessa riippuen oliko ottanut nuo pois(sillä spectre toolilla) vai ei. Jostain 5-10fps:stä suoraan 70-90fps:ään.
Lisää "hupia" luvassa: SPOILER alert, literally: Intel CPUs afflicted with simple data-spewing spec-exec vulnerability
Uusi haavoittuuvuus, nyt näyttää vähän ikävämmälle tapaukselle. Intel on tiennyt tuosta 2kk.
SPOILER, the researchers say, will make existing Rowhammer and cache attacks easier, and make JavaScript-enabled attacks more feasible – instead of taking weeks, Rowhammer could take just seconds. Moghimi said the paper describes a JavaScript-based cache prime+probe technique that can be triggered with a click to leak private data and cryptographic keys not protected from cache timing attacks.
Moghimi doubts Intel has a viable response. "My personal opinion is that when it comes to the memory subsystem, it's very hard to make any changes and it's not something you can patch easily with a microcode without losing tremendous performance," he said.
"So I don't think we will see a patch for this type of attack in the next five years and that could be a reason why they haven't issued a CVE."
Jos tuo pitää paikkansa, niin Intel joutuu suunnitelemaan prosessoriensa muistinkäsittelyn kokonaan uusiksi. Ja bugi koskee ilmeisesti kutakuinkin kaikkia Intelin prosessoreita jotka ovat käytössä tällä hetkellä. EPYC taisi saada juuri lisämyyntiä…
Tuolla ei vielä yksinään tehdä yhtään mitään.
Tuolla saa vain ongittua osittaisia virtuaalimuistin mäppäystietoja, joilla yksinään ei voi vielä tehdä mitään, vaan niitä pitää hyödyntää jollain muulla exploitilla.
Niitä muita haavoittuvuuksia lienee ihan riittävästi siihen, että tuloksia alkaa tulemaan. Tuskin menee kovin kauaa kun jostain pullahtaa ulos proof-of-concept hyökkäyskoodi tuollekin.
Intel on tietänyt 3kk, sillä 3kk ajan jälkeen haavoittuvuudesta julkaistaan tutkimus paperi internettiin. Mystisesti 1.3.2019 tuli windows 10 koneeseen pieni päivitys joka hidastutti gpu piirtämisen 10ms->21ms ihmettelin kun 100fps putos 34-50fps.
Ameriiikasta löytyy kyllä tahoja joilla on rahaa ja valtaa rakentaa ja hyödyntää monimutkaisia hyökkäyksiä ja troijalaisia.
Taisin viime kuussa ihmetelläkkin täällä miksei vielä ole lyhyttä uutista tullut haavoittuvuudesta, mutta siiitähän sai kertoakkin vasta nyt 1.3.2019
Mikä päivitys 1.3. tuli?
Mikkisoftan sivu sanoo https://support.microsoft.com/en-us/help/4482887/windows-10-update-kb4482887
Eikö tuotakin patsia testattu jo viime vuonna insidereillä?
Alkaa into näihin päivityksiin kohta hiipua, kun joka päivitys tuntuu rikkovan jotain.
Jep kaikista Intelin prossuista on löytynyt haavoittuvuus, joka on nimetty "Spoiler" nimiseksi. Tätä haavoittuvuutta ei löydy AMD eikä ARM prosessoreista.
New 'Spoiler' speculative execution security flaw claimed in Intel Core CPUs | Computing
Taisi AMD kasvattaa prossumyyntiään taas varsinkin serveri puolella missä tietoturva on monissa palveluissa kriittistä, koska mitä luin tosta Spoilerista sitä ei tosiaan asiantuntijoiden mukaan pysty korjaamaan softapäivityksellä juuri mitenkään ainoa keino korjata ongelma on vaihtaa prossua tai hyväksyä, että järjestelmä käyttäminen on riskialtista tunnetun haavoittuvuuden takia.
Tuo sinulle tullut päivitys nähtävästi sisältää jo retpolinen. Onkohan se oletuksena päällä?
edit: jos nyt oikein ymmärsin, mitä ei tapahdu kovin usein, tämä retpoline ei olisikaan tulossa jakeluun peruskäyttäjille vasta huhtikuussa vaan olisi saatavilla jo nyt.
Onko muuten tiedossa että jos tuon päivityksen tekee, toimiiko se inspectre-appsi enää siinä tarkoituksessa että sillä saa, esim pelaamista varten, disabloitua spectren ja sen toisen?
Pitikö tämän nyt sitten tulla jossain vaiheessa myös automaattisesti vai vain itse hakemalla? Muutamia pienempiä päivityksiä W10:iin tullut viikon-parin aikana mutta ei ilmeisesti tätä?
Ei ollu mullekaan tähän koneeseen ainakaan vielä itsestään asentunut.
Kovin tapahtuu taustalla koko ajan kumminkin eli korjauksia ekan päivityksen päälle ja lisää tulossa.
Mulle on vielä epäselvää pitkääkö Retpoline itse kytkeä päälle, vai laittaako MS sen joka tapauksessa etänä päälle sen jälkeen kun innokkaimmat on ensin käyneet bsodit läpi.
Ilmeisesti retpoline pelittää skylake-xlläkin
Managed to get some speed back on M.2s using Retpoline
Onko joku testannut? @xarot
ajoin tuon retpolinen omalla koneella niin kyllähän tuolla jonkunverran lisää vauhtia. levy siis 950pro 512gb.
katso liitettä 206855 katso liitettä 206856
Ja taas me menemme
https://www.cs.vu.nl/~herbertb/download/ridlers/files/ridl.pdf
https://www.cs.vu.nl/~herbertb/download/ridlers/files/fallout.pdf
Coffee-lake R:ää myöten näyttäisivät toimivan ja taas kerran AMD vaikuttaisi olevan turvassa
Muoks: intelin oma linkki unohtui
INTEL-SA-00233
Intel suosittelee Hyper-Treadingin disablointia:
Intel Reveals New Spectre-Like Attack, Advises Disabling Hyper-Threading
Jotenkin alkaa tuntua, että Intelin prosessoreiden vauhti tulee siitä, että rakenteessa on menty sieltä missä aita on matalin ja turvallisuuden kustannuksella. Kuinkahan kovaa AMD:n viritelmät kulkisivat jos ne olisi rakennettu samalla hälläväliä asenteella?
Dodii… Sais ne uudet Ryzenit jo tulla, niin pääsisi eroon tästä tietoturvaseulasta… :smoke:
Tajuttoman hidas tuo prosessi. Pistäisi vielä tietää tarkalleen, mistä on lukemassa, jotta tuota voisi käytännössä hyödyntää. Ja miten tarkan kellon ym ominasiuudet tuo vaatii, jotta toimii? Millä alustalla tuota ajettiin ym?
Vähintään 3-10% ilmeisesti suorituskyky taas kärsii kun tulee softa-fixi näille uusille haavoittuvuuksille.. ja toki paljon isompi jos ei tule nopeasti korjausta = pakko laittaa HT pois käytöstä (esim. ChomeOS kehittäjät toimivat näin ja pistivät HT:n kokonaan pois käytöstä ainakin toistaiseksi). :think:
CPU.fail
How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities
Full mitigation requires using the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology. This capability is available for macOS Mojave, High Sierra, and Sierra in the latest security updates and may reduce performance by up to 40 percent2, with the most impact on intensive computing tasks that are highly multithreaded.
:kahvi:
Intelin pitäisi syytteisiin jo joutua. Ja applelle amdtä koneeseen, osakkeenomistaja kiittää.
:kahvi:
Tuossa tarinassa on kerrottu ne lukunopeudet, kyllä ne aika nopeilta (pahimmillaan) kuulostivat. Eihän ne toki ole juuri mitään, siis verrattuna keskusmuistin nopeuksiin, mutta kyllä sillä aika nopeasti vuotaa esim. vaikka yksityisen asymmetrisen salausavaimensa. (Alle sekunnissa pahimmillaan.)
Ja, hauskasti se nopeus kasvoi lähestulkoon kunkin uuden prosessorisukupolven myötä. i7-920 Nehalem oli luokkaa 80 tavua sekunnissa, mutta se noin kymmenen sukupolvea tuoreempi i7-9900K (Coffee Lake R) vuosi 50000 tavua sekunnissa. Plus, toki vain nuo uudemmat kuluttajaprosessorit vuosivat SGX:n läpi.
Toki ihan tasaisesti tuo kasvu ei mennyt noiden esimerkkipahistelukoodissa: Haswell -> Broadwell välissä hypätään sadoista tavuista sekunnissa tuonne kymmeniin kilotavuihin, kun sinne lisättiin tuli ”Transactional Synchronization eXtensions (TSX)”, jolla vuotaa dataa vauhdikkaammin.
Ei saakeli mitä numeroita taas. 😀
Ongelmahan tässä on että homma toimii virtuaalikoneelta toiselle, eli AWS:ssä voi vakoilla aika montaa muuta. Silloin hieman hitaampikin tahti riittää kun koodia voidaan ajella vaikka kuukausi. Noh eiköhän tuokin korjata aika nopeasti (softapurkalla).
Tätä lukiessa tulee mieleen että onneksi viimeinenkin Intelin pöytäkone saadaan myytyä tästä taloudesta ja lähtee tänään eteenpäin ostajalle. Ei sillä, pitkään 2600K jaksoi kakkoskoneessa / paremmalla puoliskolla olla käytössä. Uusia AMD:n prosessoreita odotellessa hän saa tyytyä sitten läppäriin…
Paljonko Intelin prossuista on jo lähtenyt tehoja puoleen vuoteen? :rofl:
Paljonko Inteliltä on lähtenyt myyntiä on se mielenkiintoinen kysymys.
Intel Corporation – Intel Reports First Quarter 2019 Financial Results
Q1 2018 vs Q1 2019 myynti aivan sama, mutta muuttuvat kustannukset ovat kasvaneet hiukan . Sama sisääntuleva rahamäärä saatu siis hiukan suuremmalla pii-pinta-alalla.
Vaikka kysymys saattoi olla retorinen, herjamielessä heitetty, niin pohdinpa tuota itsekin. 0-40% lukuja on heitelty eri puolilla vaihtelevasti. Perusjampan kotihommissa (sukupolvesta ja HT:stä riippuen) taitaa vaikutus olla prosenttien luokkaa. Suuremmat erot taitaa sitten löytyä palvelinympäristöstä ja raskaasta, hyvinsäikeistyvästä hyötykäytöstä. Onhan noita joitain vertailuja olemassa (mm. @Zetteri taisi vertailla pelikäytössä) miten eri korjaukset on syöneet suorituskykyä, ongelmaksi vaan äkkiä muodostuu että noita testejä saisi olla tekemässä harva se kuukausi, kun uusia reikiä löytyy ja paikkausten päällekin lisäillään paikkaa. Lisäksi emolevyvalmistajien viitseliäisyys BIOS-päivityksen muodossa tuotavasta korjauksesta on vaihtelevaa, siinä missä Windowsin päivitykset tulevat huomattavasti useampaan koneeseen.
Phoronix MDS: The Newest Speculative Execution Side-Channel Vulnerability – Phoronix lainannut Intelin lausuntoa, ja ymmärsin niin että ei koskisi esimerkiksi 8700K ja 9900K prossuja.
Mutta sitten on tietysti nuo vanhat uudelleen nimetyt 8000 ja 9000 sarjan prossut.
Tuleepa nämä intelin reikäisyys paljastukset sopivasti kun uudet Ryzenit tulossa myyntiin. :cigar2:
Edit: Virhehän siinä oli..
Eli jos koneessa on esim 32 Gigaa muistia ja on tiedossa, minne muisti on mapattu (ei tarvitse virtuaalimuistia käsitellä) ja koneessa ajetaan softaa, joka vie sen kaiken suorituskyvyn, saaden 50 000 tavua sekunnissa, niin se saa käytyä läpi 1/32 osan muistista. 1024000000 / 50000 sekunnissa =20480 sekuntissa = 0,237 päivää. Eli 32 Gigaa 7,59 päivää. Tietysti on suuri riski, että se avain tms, kun sitä ei enää tarvita muuttuukin välillä eri osoitteeseen tai katoaa sieltä muistista.
Eli jos ei tiedetä melkoisen tarkkaan, mistä pitää aloittaa niín melkoisen turha homma.
Minusta (Edelleen) isompi ongelma on nykymuistikampojen datan korruptoituminen kun kikkaillaan sopivasti. Se sentään voi kaataa ohjelmia tai koko kone voi pahimmillaan mennä uudestaanasennukseen, jos oikein todella hyvin sattuu..
Tossa käydään käsittääkseni 1 Teratavu lävitse. Virhe vai jokin muu syy?
Aika jännä jos ei yhtään missään näy. Ehkä OEM sopumukset on pitkiä tai kate otetaan huoltosopimuksista. Voi olla että enterprise puolella ole juuri vaihtoehtojakaan intelille? Mahtaako Dell tai HPE edes tarjota järjestelmiä kuin Intel alustoille?
Intel clarified that it's not recommending everyone to disable Hyper-Threading, but that some of its customers should consider the option depending on their security needs:
"Once these updates are applied, it may be appropriate for some customers to consider additional steps. This includes customers who cannot guarantee that trusted software is running on their system(s) and are using Simultaneous Multi-Threading (SMT). In these cases, customers should consider how they utilize SMT for their particular workload(s), guidance from their OS and VMM software providers, and the security threat model for their particular environment. Because these factors will vary considerably by customer, Intel is not recommending that Intel® HT be disabled, and it’s important to understand that doing so does not alone provide protection against MDS."
Google seems to be one of those select customers which considers the risk of keeping HT enabled just too big. The company has published on the Chromium site that HT will be disabled in Chrome OS version 74:
"To protect users, Chrome OS 74 disables Hyper-Threading by default. For the majority of our users, whose workflows are primarily interactive, this mitigates the security risk of MDS without a noticeable loss of responsiveness. Chrome OS 75 will contain additional mitigations."
Jos käytän 7700k prosessoria vain pelaamiseen, pidänkö siis hyperthreadining päällä vai otanko pois käytöstä?
Mietityttää tuo 'it's not recommending everyone to disable Hyper-Threading' eli kenen kannattaa ottaa pois päältä ja kuka voi pitää sitä päällä kuten ennenkin.
Hyvä kun Ubuntulle myös korjaukset tulleet (Kernel, QEMU ja kumppanit), HT käytöstä poisto suositeltavaa "turvallisuuden parantamiseksi"
Moni uudempi peli hidastuu jos 4c 8t prosusta ottaa HT:n pois. 4c 4t on vähän mopo jo. 4c 8t vastaa lähes 6c 6t prosuja ja voi ilmeisesti olla jossain tietyssä tilanteessa jopa parempikin.
Katotaan rauhassa minkälaisia patcheja tulee. Spectre-hyökkäyksiä ei ole tullut kai tietoon vielä ainuttakaan.
Sääliksi käy kauniita kerneleitä joihin tulee turhaa spagettia, sekä Linusin pelihousuja.
Ihmettelin toisessa ketjussa syksyllä tutkijoita jotka käski kategorisesti tiputtamaan HT:n prosuista kokonaan pois. Ajattelin silloin, että riittävästi faktaa ei ole ja tutkijat meni politiikan puolelle. Nyt tulee mieleen että he saattoivat olla oikeassa. Jos he olikin oikeassa, silloin myös AMD-prosujen HT on huono ajatus pitkän päälle.
Hieman harhaanjohtavasti taas kirjoitettu. "Suositellaan SMT disabloimista", mutta "Intel ei suosittele HT disabloimista".
SMT yhdistetään monesti AMD vastaavaan toteutukseen, vaikka tuo uusinkaan ei tainnut sitä koskea. HT on taas intelin brändi/nimitys heidän SMT toteutuksesta. Suurin osa ei vain ymmärrä että HT = SMT.
Kuuluivatko ne haavoittuvuudet Meltdown- vai Spectre-perheeseen jotka vaativat korjauksena sekä BIOS- tason mikrokoodipäivityksen että käyttöjärjestelmätason päivityksen? Toimivaa mutta
vanhaa BIOSia en ole päivittämässä ellei ole pakko joten jos tuo kyseinen haavoittuvuus sattuu olemaan juuri se jonka korjaukset rampauttavat suorituskykyä eniten sen voisi poistaa
tilapäisesti käytöstä InSpectrellä koska ilman BIOS-päivitystä se hidastaa konetta turhaan.
CPU firmwaren eli mikrokoodin voi päivittää sekä BIOS, että käyttöjärjestelmän päivityksien kautta. Microsoft saa viralliset microkoodipäivitykset suoraan AMD tai INTELILTÄ laitettavaksi mukaan käyttöjärjestelmä päivityksiin varsinkin jos kyse on kriittisistä päivityksistä. Windows update sitten katsoo mikä CPU koneessa on ja päivättää cpu firmwaren oikealla versiolla. Molempiä päivityksiä ei tarvita eikä vanhempiin emolevyihin edes BIOS päivityksiä enää edes tule.
Suurin syy miksi BIOS päivityksiä tarvitaan on se, että Microsoft ei automaattisesti laita ei kriittisiä microkoodi päivityksiä jakeluun windows updaten kautta. BIOS päivitykset usein myös päivittelevät paljon muutakin kuin vain cpu firmwaren.
Windows update ei kyllä asentele mitään firmiksiä uusiksi. Se mitä tehdään on ajonaikaisen ohjauksen muuttaminen. Seuraavassa bootissa taas kadonneet, kunnes käyttis ne taas uudelleen asettaa. Bios päivitys asentaa ne pysyvästi.
Ei se bioskaan niitä pysyvästi prossuun asenna. Samalla tavalla ne katoavat, MUTTA ne nyt päivitetään vain ennen käyttiksen lataamisen aloittamista, jokakerta. Eli käyttiksen ei tarvitse tietää asiasta mitään, jos BIOS hoitaa..
Molemmat Win10 ja Linux osaavat ladata bootissa uusimman microkoodin CPU:lle sillä, että se latautuu vasta bootissa eikä BIOS vaiheessa ei ole mitään käytännön merkitystä. Mikrokoodin latautuminen tapahtuu nykyraudalla mikrosekunneissa, joten sitä ei voi edes havaita bootin hidastumisena.
Mitenkäs sellainen tilanne jossa dual boot, linux salattu, windows pelkästään pelaamiseen; kuinka saada kaikki hidastavat pätsit pois windows-puolella ja linuxissa päälle? Ilmeisesti ei mitenkään jos ymmärsin oikein näitä viestejä? EDIT: vedetääs heti takaisin, eli jos ei asenna uutta BIOS:ia (ei edes tarjolla) niin sitten ilmeisesti tuo aiempi haluttu kuvio olisi mahdollinen. Mutta saako windowsista kaikkia pätsejä pois päältä?