Nové CPU Intelu měly být zabezpečené, ale ukázalo se, že nejsou. Mají ještě vážnější problémy.
Žádný procesor na trhu není zcela bez chyb, ale množství a závažnost, které obsahují procesory Intel, je naprosto alarmující. Problém navíc je, že jde o velmi závažné snadno zneužitelné bezpečnostní mezery, o kterých se veřejnost dozvídá se zpožděním. A ani tak nejsou zdaleka všechny opraveny. Mnoho problémů se záměrně tají po určitou dobu, aby měl Intel (případně AMD atd.) čas na to vydat opravu, záplatu apod. Mnohé bezpečnostní experty ale už opravdu hodně rozčiluje přístup Intelu.
Aktuálně totiž vyšlo najevo, že Intel vědomě uváděl zákazníky v omyl a lhal o zabezpečení nejnovějších procesorů CASCADE LAKE, kdy tvrdil v polovině tohoto roku, že tahle nová série jeho procesorů je zabezpečena proti dosud nejvážnější bezpečnostní mezeře nazvané ZOMBIELOAD. Až nyní se na veřejnost dostala informace, že Intel už ale více než půl roku ví o nové závažnější verzi této zranitelnosti, Zombieload v2 (TAA), která byla objevena, otestována a prokázána. Intel se dohodl na NDA, tedy utajení této informace před veřejností. Až nyní skončilo informační embargo a bylo tedy vše zveřejněno. Intel tak prokazatelně věděl o zranitelnosti i nejnovějších procesorů, které teprve přichází na trh, a přesto o nich tvrdil, že zranitelné nejsou!
Nový CASCADE LAKE je děravý a nebezpečný, jako všichni jeho předchůdci od HASWELLu počínaje. Intel sice opravil několik desítek problémů, ale dalších několik stovek zůstává neopraveno. A hlavně ty největší problémy zůstávají a jsou postupně zveřejňovány další. Zombieload V2 sám zůstává neopravený a jde o velmi vážnou a relativně jednoduše zneužitelnou zranitelnost, které umožňují útočníkům získat přístup prakticky k čemukoliv a provádět cokoliv. A není to zdaleka jediný problém.
Aktuálně bylo provedeno podrobnější srovnání bezpečnosti AMD a Intel platforem. A jak jsem řekl, žádná platforma není 100%, ale v případě AMD je aktuálně známo a v řešení jen několik málo desítek problémů, kdy žádný přitom není závažného charakteru, většina je navíc spíše v rovině teoretické, než praktické využitelnosti. Naproti tomu seznam problémů a chyby Intel procesorů čítá několik stovek problémů včetně desítek nejzávažnějších zranitelností, které lze prokazatelně v praxi zneužít, často ani nevyžadují přímý fyzický přístup útočníka k danému stroji, i a hlavě pro ně dosud není ani oprava tedy ani obrana. Mnozí provozovatelé klíčových systémů se tak snaží vypnutím hyperthreadingu (tedy 2 vláken na 1 jádro), snížit riziko, kdy provedení HT v současné architektuře Intelu je součástí mnoha problémů. To však snižuje výrazně výkon a efektivitu systémů s těmito CPU. Mnozí také upozorňují na fakt, že útočníci mají stále lehčí práci. Zranitelnosti Intel platformy se stávající stále snadněji přístupné a zneužitelné, a navíc i když Intel alespoň některé díry záplatoval, mnoho systémů a počítačů je nemá nainstalované. Nestačí totiž jen aktualizace pro Windows či Linux OS, musíte nainstalovat i nový BIOS apod. A to mnoho uživatelů nedělá.
Zejména provozovatelé velkých systémů nejsou z přístupu Intelu vůbec nadšeni. Děravost jeho platformy je stále vážnější a rostoucí problém, tím spíše, že všechna dosavadní řešení mají negativní dopad na výkon. Samotné záplaty dokáží výkon snížit až o několik % napříč různými aplikacemi, pokud navíc vypnete HT, tak jde pokles výkonu do desítek %. Když tedy máte systém poskytující určitý výkon, který potřebujete, a ten se vám vlivem bezpečnosti (nebezpečnosti) Intel platformy sníží, musíte to kompenzovat přidáním dalších procesorů, a to stojí obrovské peníze, prostor, čas a vlastně je to zbytečné, protože jak se ukazuje, Intel spousta problémů záměrně tají a dozvídáme se o nich až v okamžiku, kdy skončí doba mlčenlivosti těch, kteří je objevili a prokázali. Záplata a řešení, které Intel během té doby měl najít, však stále neexistují.
Intel to samozřejmě tají záměrně. Ví, že na ty zranitelnosti vlastně neexistuje jiné řešení, než zcela nová architektura. A tu nemá. Ta současná má ty chyby, protože jich sama záměrně využívá k navýšení výkonu. Prakticky všechny chyby, která má Intel, tak se u konkurenční AMD platformy neobjevují a není možné jich využít, protože AMD udělalo architekturu tak, aby tyhle problémy neměla. Intel ale skutečně novou architekturu nepředstavil už dlouho. Ani nový 10nm ICE LAKE není výrazně novou architekturou a stále má většinu zranitelností CORE série. Všechny současné procesory Intel, včetně těch nejnovějších jsou tak vlastně vadné, děravé a více či méně nejen potenciálně nebezpečné. Jediné skutečné řešení by bylo je fyzicky nahradit bezpečnějšími, a hlavně přestat ty stávající dále prodávat a šířit problém. Obojí je ale velmi problematické z hlediska praxe. Intel nemá, a ještě několik let mít nebude žádnou náhradu a řešení! A AMD, které by bylo jedinou alternativou, tak nemá nastavené výrobní kapacity na to, tohle zvládnout a TSMC by mu muselo poskytnout značnou část výrobních kapacit (které ale vytěžují i jiní), aby dokázalo Intel početně zastoupit a nahradit.
Navíc umíte si představit ten tanec, kdyby prodej procesorů Intel by skutečně zastaven, a navíc firma musela nahradit či kompenzovat zákazníkům již nakoupené procesory, včetně starších modelů? To by zdaleka nepostihlo jen Intel, ale celý řetězec, k čemu by třeba byly desky pro Intel CPU, když by neexistovala kompatibilní náhrada za CPU atd. Bohužel se tak opět ukazuje velký problém, když jedna firma ovládá tak zásadní část trhu. Pokud totiž udělá zásadní chybu, odnesou to úplně všichni. Proto i když prakticky v každé jiné oblasti by byl další prodej vadných produktů co nejrychleji zakázán a produkty jsou obvykle stahovány z trhu, v případě procesorů Intel na to není vůle ani odvaha. A tak Intel dál nabízí, uvádí a prodává vadné procesory, o kterých ví, že vadné jsou a budou, protože je není možné opravit, když problém je přímo v konstrukci samotné architektury Core. A skutečné nové architektury a generace Intel CPU se nedočkáme dříve jak v roce 2022, a to jen pokud vše půjde dobře a bez problémů.
Do té doby můžeme jen doporučit se Intel platformě vyhýbat, jak je to jen možné, i když bohužel v řadě oblastí výrobci nenabízí AMD alternativy, aby to bylo možné. I když i to se výrazně mění a změnilo za poslední rok a měnit bude i nadále. Pokud už u děravé Intel platformy skončíte, dávejte si extra pozor na virové nákazy, nebezpečné přílohy, stránky atd., instalujte záplaty, BIOSy atd. Bohužel ani tak nemáte jistotu, protože řada těch věcí prostě nemá řešení a můžete jen doufat. To je také vlastně evidentně jediná strategie Intelu samotného, snaží se o problémech mlčet, tajit je, bagatelizovat a doufá, že to přejde …
AUTOR: Jan "DD" Stach |
---|
Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|