Безопасность vs производительность
20 марта 2019
Весь прошлый год внимание исследователей привлекали атаки на процессор, позволяющие узнать, какие данные он обрабатывает в данный момент. Естественно, шли работы по внедрению защит от этих атак. Эта задача оказалась нетривиальной. Кэш процессора предназначен для увеличения скорости обработки данных, и внесение изменений в логику работы программ одновременно с защитой от атак на процессор приводило к существенной «просадке» производительности.
Атака через уязвимость Spectre позволяет злоумышленнику исполнить вредоносный код, если в коде атакуемой программы используется непрямая инструкция ветвления. Технология Retpoline позволила внедрить защиту с минимальными потерями производительности.
Хотя и не с первого раза:
От предыдущих «методов смягчения», применяемых Microsoft в Windows, новый Retpoline отличается, в первую очередь, производительностью. По данным разработчика, в частности приложения Office в Windows 10 благодаря Retpoline стартуют примерно на 25% шустрее. Проверить, насколько Windows на вашем компе защищена от этой самой уязвимости Spectre, можно с помощью специальной утилитки InSpectre.
В связи с тем, что защита Retpoline так или иначе все же снижает производительность, ее можно включить или отключить:
Как включить Retpoline в Windows 10, при условии, что у вас установлены ОС Windows 10 v.1809 и обновление KB4482887.
- открываем командную строку Windows 10 от имени Администратора (это важно) и по очереди вводим следующие две команды:
reg add «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0x400
на запрос разрешить перезапись имеющихся значений жмем Y
reg add «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400
на запрос разрешить перезапись имеющихся значений тоже жмем Y
- перезагружаем компьютер.
как включить Retpoline в Windows 10 Server
- тоже открываем командную строку от имени Администратора и вводим такие две команды:
reg add «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0x400
и
reg add «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401
- перезагружаем компьютер.
необходимые изменения при должной квалификации можно внести также посредством Редактора реестра Windows 10.
И самое важное – согласно данным Microsoft, серия Skylake и более новые процессоры Intel Retpоline не поддерживают.
Но включить в ОС поддержку защиты от Spectre мало – это защитит только от атак на операционную систему. Нужны еще и программы, также собранные с поддержкой Retpoline. Используют ли ваши программы эту технологию? На этот вопрос могут ответить только производители.
Как работает технология? Вот ссылка для тех, кто хочет ознакомиться с описанием более подробно. А если кратко, то в код программ внедряется бесконечный цикл, маскирующий переходы.
Бесконечный цикл, который теоретически заполнил бы конвейер команд инструкциями JMP.
При этом:
Использование LFENCE, PAUSE или, в более общем случае, инструкции, приводящей к остановке конвейера команд, не позволяет ЦП тратить энергию и время на это умозрительное выполнение.
Антивирусная правДА! рекомендует
Мы неоднократно упоминали, что у антивируса есть самозащита, не позволяющая злоумышленнику отключить его или модифицировать его работу. Но это только если попытки воздействия идут на уровне операционной системы – если во время выполнения команд процессором на ходу меняются инструкции, самозащита бессильна. Внедрять Retpoline? Хороший вопрос. Антивирус и так своими проверками не способствует быстродействию компьютера. Да и реальных атак через уязвимости процессора не отмечено (хотя концепты были).
Как вы считаете?
- Нужно внедрить Retpoline, хотя это и вызовет некоторое замедление работы системы.
- Не нужно внедрять Retpoline, пока не появятся реальные вредоносные программы, использующие атаки типа Spectre.
- Смысла в Retpoline нет, так как использующая Spectre вредоносная программа сначала должна запуститься на компьютере, а от этого защищает антивирус.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
kozinka.ru
17:05:12 2019-03-21
Пaвeл
16:36:00 2019-03-21
Людмила
07:19:34 2019-03-21
ka_s
07:11:39 2019-03-21
Sasha50
07:02:22 2019-03-21
Пaвeл
06:42:12 2019-03-21
Sasha50
02:52:04 2019-03-21
razgen
00:58:33 2019-03-21
Rider
00:21:12 2019-03-21
I23
23:46:27 2019-03-20
Lia00
23:35:35 2019-03-20
Andromeda
23:30:49 2019-03-20
Альфа
23:26:51 2019-03-20
Геральт
21:48:11 2019-03-20
Lenba
21:42:18 2019-03-20
orw_mikle
21:41:06 2019-03-20
robot
20:52:01 2019-03-20
Шалтай Александр Болтай
19:29:55 2019-03-20
Шалтай Александр Болтай
19:21:54 2019-03-20
matt1954
18:55:13 2019-03-20
Татьяна
18:38:36 2019-03-20
Toma
16:18:15 2019-03-20
anatol
15:06:52 2019-03-20
SGES
14:08:58 2019-03-20
achemolganskiy
13:52:52 2019-03-20
Masha
12:23:35 2019-03-20
Alexander
12:05:09 2019-03-20
Dvakota
11:58:03 2019-03-20
Неуёмный Обыватель
11:51:01 2019-03-20
kozinka.ru
11:31:55 2019-03-20
Я так думаю.
=======
Первоапрельский выпуск будет весёленьким! На подготовку дали достаточно времени (хотя, я думаю, он уже готов).
Спасибо за каникулы! Можно немножно расслабиться...
Oleg
11:21:42 2019-03-20
I46
11:17:05 2019-03-20
Вячeслaв
11:12:00 2019-03-20
Вот и выходит ситуация и нужно и колется
marisha-san
11:08:05 2019-03-20
Alexander
11:04:45 2019-03-20
Неожиданно "открытую" новую уязвимость системы под красивым названием Spectre придумали "залатать" хитроумной Retpoline, да и то, только на "десятке". И тут же умники-разработчики проекта такой защиты предупредили, что производительность системы в целом "просядет".
И тут выясняется, что проект Retpoline ещё находится в стадии тестирования. У хакеров инструментарий для Spectre ещё не "заточен". Логистика доставки вредоноса к Spectre ещё не продумана.
Так стоит искать ответ на вопрос в конце сегодняшнего выпуска АП "Как вы считаете?", и выбирать из трёх вариантов? Может быть это несколько преждевременно? Тем более, что из статьи не понятно (по крайней мере, мне), как Dr.Web себя позиционирует в связи с проблемой Spectre в общей цепочке защиты. Мне проще полагать, что MS ответственен за своевременные заплатки своей системы, а "Доктор Веб" отвечает за решение вопросов своей компетенции, в том числе и за обеспечение дружественного взаимодействия с MS. И я уверен, пока у меня стоит Dr.Web Security Space, - мой компьютер под надёжной защитой…
@admin, а что, очередной выпуск АП, действительно, планируется только на первое апреля?
Zserg
11:01:22 2019-03-20
dyadya_Sasha
10:52:43 2019-03-20
vinnetou
10:33:25 2019-03-20
Dmur
10:31:19 2019-03-20
maestro431
10:31:12 2019-03-20
Александр
10:28:58 2019-03-20
Денисенко Павел Андреевич
10:21:17 2019-03-20
sanek-xf
09:21:40 2019-03-20
Natalya_2017
09:17:21 2019-03-20
vkor
09:11:02 2019-03-20
Склоняюсь к варианту 3.
B0RIS
09:08:25 2019-03-20
Vlad X
08:47:56 2019-03-20
защитит.
EvgenyZ
08:42:46 2019-03-20
Любитель пляжного футбола
07:49:45 2019-03-20
Адептам "Десятки", если они не используют по полной свой процессор, играя в игрушки всякие или работая с ресурсоёмкими программами, в принципе, можно включить данный компонент, разницу особо они не ощутят. Всем остальным по этому поводу можно и не париться. Только антивирус установите нормальный да и правила ИБ соблюдайте, вот и будет вам счастье. :)
Пaвeл
07:30:37 2019-03-20