Meltdown и Linux
Величайший факап в сфере инфобезопасности за последние 20 лет — Meltdown и Spectre — заставил высококлассных спецов по защите данных досрочно выползти из-под новогодней елочки, опохмелиться огуречным рассолом и приступить к созданию заплаток. Какова ситуация с защитой от Meltdown в операционной системе Linux?
Защита KPTI от Meltdown в Linux
Две новости: во-первых, ядро уже заштопали. Более того, его и не особо-то пришлось штопать, так как разработчики Linux всегда крайне серьезно относились к безопасности. Достаточно было немного допилить и активировать технологию Kernel Page Table Isolation (KPTI). В Linux 4.15-rc6 опция включена по умолчанию для процессоров Intel. Когда новшество распространится на конечные дистрибутивы следует узнавать на официальных сайтах дистрибутивов. Оперативнее других сработала компания Red Hat, 3 заплатки уже прилетели через службу обновления. Разработчики других дистрибутивов пока в новогоднем анабиозе, но о проблеме уже знают и уж тем более предупредили пользователей. Разработчики Mint вообще традиционно не парятся о таких пустяках — на сайте Минта нет ни предупреждений о том, что такая проблема существует, ни тем более заплаток. Оно и понятно: поди объясни основной целевой аудитории Минта — школьникам, домохозяйкам и ламерам — о том, что такое Meltdown и почему уязвимость имеет критический статус опасности.
Meltdown и падение производительности в Linux
По-вторых, и это плохая новость, уже проведены тесты производительности ядер с активированной защитой от Meltdown. В синтетических тестах на производительность подсистемы I/O зафиксировано значительное падение показателей. В реальных тестах очень сильно упали СУБД — PostgreSQL, Redis и др. Падение составило до 30%. Почти не изменилась производительность на таких задачах, как компрессия видео и компиляция ядра Linux, что и понятно.
Рост цен на хостинг
Уже сейчас можно сделать один неприятный прогноз, учитывая негативное воздействие патча на производительность серверных приложений — хостинг для сайтов станет медленнее и дороже. Рост цен может составить 10-20%.
Meltdown и перегрев процессоров
На настольных компьютерах тоже не всё прекрасно. Отдельные исследователи выяснили, что заплатка не только снижает производительность, но и заметно разогревает процессор. В некоторых тестах зафиксирован подъем температуры CPU на 10° C.
Отношение к безопасности разработчиков Ubuntu и Mint
Разработчики Ubuntu практически сразу предупредили пользователей об опасности:
У «программеров»-ламаков из команды Mint всё хорошо.
Комментарии
Алик Зандер
9 января, 2018 - 11:18
Пока ещё нет обнародованных случаев использования уязвимости. Возможно, их не было.
Пользователи Минта (домохозяйки, ламеры, пенсионеры) не очень интересны хакерам. Поэтому разработчики этого чудесного дистрибутива не спешат защищать пользователей.
Чингачгук
9 января, 2018 - 16:06
И я вам скажу даже больше. Все делятся своими успехами использования бага в твиттере и даже репостят друг друга, подтверждая своими примерами.
twitter точка com/brainsmoke/status/948561799875502080
Всего-то возможность читать из абсолютного любого произвольного места адресного пространства из ring-3, минуя всякие защиты страниц.
pomodor
9 января, 2018 - 18:17
Хакерская элита давно об этом знала и активно юзала. Если почитать доки с описанием уязвимостей, то ничего сложного там нет. Неспециалист, разумеется, до такого бы не догадался, а хакер, который зарабатывает поиском дыр себе на жизнь, вполне мог бы найти за пару лет. Проверить кэш процессора на соблюдение ограничений безопасности — вполне себе здравая идея.
Как раз эта категория наиболее интересна. Деньги в интернете тратят преимущественно домохозяйки, заказывая в интернет-магазинах всякий шлак. А еще домохозяйки не парятся с защитой. И еще эта категория сильнее других подвержена социальному инжинирингу.
К сожалению, это общее отношение к безопасности "разработчиков" Минта. У них другие приоритеты: главное, чтобы было красиво и как можно проще. Если какая-либо новая фича заставит пользователя напрячь извилину, то от нее отказываются.
Texnoline
10 января, 2018 - 12:03
Реально хомячки, куда безопаснее — чем банки, корпы и госы, нет СБ, нет власти и денег, чтобы найти кулхацкера;)
leserf50
9 января, 2018 - 19:47
Теперь меня достали графические браузеры с гнилым javascript(ом) и перешёл на links (кстати, сейчас на нём здесь сижу)
pomodor
9 января, 2018 - 19:57
JS не гнилой, а изящный и очень эффективный. Повторюсь, гниль нашли в CPU. Без Meltdown через JS невозможно ничего съединороссить у пользователя.
leserf50
10 января, 2018 - 14:16
Зачем повторяться? Тем более у меня AMD, которому Meltdown не страшен, а Spectre работает через JS.
pomodor
10 января, 2018 - 18:37
Затем, что вы продолжаете рекомендовать полное отключение JS как решение проблемы Meltdown. Ну-ну. Во времена React и Angular, когда 90% кода сайта выполняется на стороне клиента, отказаться от JS. Это, конечно, можно, только большинство сайтов перестанут работать или будут работать с дикими глюками и урезанной функциональностью.
Ну и за JS обидно. Почему вы называете его гнилым? Красивый и элегантный язык, очень эффективный. Гнилой язык — это, например, 1C.
leserf50
10 января, 2018 - 19:17
Сколько раз уже пишу здесь, что я школоло, и иногда могу ошибаться. Повторяю, просто интересуюсь Linux, вантузом не интересуюсь вообще, кроме как троллю виндузятников.
pomodor
10 января, 2018 - 19:33
Самокритично. :) Но я бы не сказал, что вы школоло. Интересоваться проблемами и искать решения — это уже по определению не соответствует тому, что мы привыкли считать школолой (школоло от рус. глупец, необразованный, неумный; неумелый). Так что выше нос! :)
leserf50
10 января, 2018 - 20:08
Школоло, от слова "школьник, ученик". И я себя глупцом и неумелым не называл.
И сколько уже прошло времени с создания моей темы http://liberatum.ru/forum/27144
:(
pomodor
10 января, 2018 - 20:30
Всё же школьник — это школьник, а школоло — это несколько иное. Школолой можно оставаться и после выпускного, что убедительно доказывают некоторые анонимные комментаторы.
По поводу уведомлений. Знаю, что это очень важно. И первое, что будет сделано — это подписка на уведомления и анальная кара для парсера. Надеюсь, в начале этого года переедем на новую платформу и тогда все пожелания будут реализованы.
Texnoline
10 января, 2018 - 12:00
на хрен тебе эти браузеры с JS, возьми топор и расхерачь ты этот америкосовский шпион- свой компутер, и сразу беги в церковь имени Кириила Спасителя!;)
leserf50
10 января, 2018 - 14:26
Хватит меня троллить.
Чингачгук
11 января, 2018 - 17:25
И давно links перестал поддерживать javascript?
leserf50
11 января, 2018 - 18:19
Разве links поддерживает JS? Не видал ещё. Он сверхлёгкий. Показывает текст HTML, картинки и на этом всё.
Чингачгук
11 января, 2018 - 19:42
Русская педивикия утверждает, что поддерживает. Враки, естественно.
Пяница Одменструатор
10 января, 2018 - 07:04
Оно и правильно. Это лучше, чем ломать потом голову почему после обновления ядра моя ОС не загружается, как это случилось с Ubuntu 16.04 после прилета патченного от уязвимости ядра..
Алик Зандер
10 января, 2018 - 07:48
Ubuntu 17.10 убивает ноутбуки Леново, превращая их в кирпич. Подробности на Linux TheBest (Обзоры и настройка Linux дистрибутивов). Новую версию 17.10 разработчики обещали выпустить 11 января.
Но прецедент убийства компа дистрибутивом Линукса есть. Сегодня угроблены некоторые модели Леново, а где гарантии, что пропатченная 17.10 не угробит Асер?
Texnoline
10 января, 2018 - 11:57
хочешь гарантии, ставь Debian 9.2.1, круче вашей Бубунты, да и плесать с бубном не будешь, над спаленными Леновами и т.д.
Комментировать