FERRAMENTAS LINUX: O modo de proteção App-To-App "Lite" do Specter V2, está pronto para o kernel Linux

quarta-feira, 17 de outubro de 2018

O modo de proteção App-To-App "Lite" do Specter V2, está pronto para o kernel Linux




Confira !!



Estamos nos aproximando de um ano desde que as vulnerabilidades do CPU Specter e Meltdown chocaram o setor e, embora nenhuma nova vulnerabilidade de execução especulativa da CPU tenha sido divulgada recentemente, os desenvolvedores do kernel continuam aprimorando as técnicas de mitigação baseadas em software Specter / Meltdown para ajudar a compensar custos de desempenho incorridos com hardware de geração atual.

O mais recente trabalho de hoje é um conjunto revisado de patches de um desenvolvedor da Intel para o modo "Lite" Specter Variant Two para proteção de aplicativo para aplicativo. Isso está melhorando o modo light para a proteção do Spectre V2 de aplicativo para aplicativo / userspace-userspace. A aplicação do Specter V2 aos ataques de aplicativos é muito menos provável devido ao KASLR, mas nos últimos meses os desenvolvedores do kernel da Intel, SUSE e outros fornecedores têm trabalhado em uma solução. O modo light destina-se a evitar os custos de desempenho com a habilitação de IBPB (Barramento de Previsão de Ramificação Indireta) para todos os aplicativos, mesmo que eles não sejam um alvo para explorar ou reter informações confidenciais.

Tim Chen resumiu nos remendos "deixar o STIBP o tempo todo é caro para certas aplicações que têm ramificações indiretas freqüentes. Uma dessas aplicações é o perlbench na suíte de testes SpecInt Rate 2006, que mostra uma redução de 21% na taxa de transferência. Outros aplicativos como o bzip2 no mesmo conjunto de testes com ramificações indiretas mínimas têm apenas uma redução de 0,7% na taxa de transferência. O IBPB também irá impor sobrecarga durante os comutadores de contexto ... A aplicação à exploração de aplicativos é geralmente difícil devido à aleatorização do layout do espaço de endereço nos aplicativos e à necessidade de conhecer antecipadamente o layout do espaço de endereço de um aplicativo. Os usuários podem não querer incorrer em sobrecarga de desempenho do IBPB e STIBP para processos gerais não sensíveis à segurança e usar essas atenuações apenas para processos sensíveis à segurança."

Os patches adicionam o parâmetro do módulo do kernel spectre_v2_app2app para controlar o comportamento. O comportamento padrão é o modo automático que permite que o kernel decida, mas através desta opção o usuário pode ir com o modo" lite "onde a mitigação é ativada apenas para não dumpable processos como daemons e outros processos privilegiados.O modo "estrito" é o que protege todos os processos do usuário como o meio mais seguro, mas potencialmente pode regredir muito o desempenho com essa atenuação do aplicativo app-tp do Spectre V2 e pode não ser totalmente necessário dependendo os processos e preocupações de segurança do seu sistema (ou a falta dele) ou há spectre_v2_app2app = off para desabilitar completamente essa proteção.

Esses patches também expõem uma interface PRCTL para que os usuários possam restringir a capacidade individual de especulação indireta de um aplicativo para proteger manualmente determinados processos do usuário.

Com os patches V3 recém publicados , o STIBP é ignorado quando o IBRS avançado é usado, além de uma variedade de outras correções. Embora os patches Specter / Meltdown sejam geralmente aceitos upstream no kernel sempre que estiverem prontos e quando as necessidades de segurança o justifiquem, uma vez que essa funcionalidade não é particularmente urgente, o tempo desses patches pode significar que veremos esse último código Specter fundido no próxima  janela de mesclagem do kernel 4.20 ~ 5.0.


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário