Спецпроекты

Безопасность Новости поставщиков Стратегия безопасности Маркет

ALT Linux получила патчи против «чипокалипсиса»

С 11 января стали доступны патчи для программных продуктов компании «Базальт», которые закрывают уязвимость Meltdown, найденную в процессорах Intel. Для уязвимости Spectre патчей пока нет. Поскольку коррекция ПО — это не прямой путь решения проблемы, на пропатченных устройствах наблюдается снижение производительности.

Патчи «Базальта»

Российская компания «Базальт СПО», разработчик ОС семейства ALT Linux, выпустила патчи для ядер своих операционных систем, которые закрывают уязвимость CVE-2017-5754, известную также как Meltdown. Напомним, уязвимость присутствует в процессорах Intel, выпущенных с 1995 г. Пользователи могут получить обновления, содержащие патчи, с 9:00 11 января 2018 г.

Речь идет об исправлениях для продуктов ветви c7, в которую входит дистрибутив «Альт Линукс СПТ 7.0», ветви c8, то есть для дистрибутива «Альт 8 СП», а также ветви p8, к которой относятся дистрибутивы «Альт Сервер», «Альт Рабочая станция», «Альт Рабочая станция К», «Альт Образование», «Альт Симпли» и стартовые наборы. Кроме того, был разработан патч для нестабильного бранча репозитория Sisyphus.

Что касается уязвимостей CVE-2017-5753 и CVE-2017-5715, известных под общим наименованием Spectre и присутствующих в процессорах Intel, AMD и ARM, то для них патчей пока нет. «Базальт» сообщает, что работает над соответствующими обновлениями и представит их позже. Разработчик предупреждает, что в этом случае обновлением ядра обойтись нельзя, и что ликвидация этих уязвимостей может потребовать пересборки большей части или всего пользовательского ПО. Не только специалисты «Базальта», но и прочие исследователи безопасности, ознакомившиеся с проблемой, признают, что эксплуатировать Spectre гораздо труднее, чем Meltdown, однако ее гораздо сложнее и ликвидировать.

Спад производительности

«Базальт» подчеркивает, что обе уязвимости носят аппаратной характер, и модификация софта может закрыть их только непрямым путем, «ощутимо» снизив при этом производительность устройства. Разработчик советует пользователям обратиться к поставщикам процессоров за более эффективным исправлением.

Логотип «Базальт СПО» похож на логотип «Альт Линукс», с той разницей, что пингвины были заменены на морских котиков

Как пояснил по просьбе CNews советник гендиректора «Базальт СПО» Алексей Смирнов, «падение производительности очень сильно зависит от характера нагрузки, от 5 до 50%. При этом на обычных рабочих станциях оно минимальное и практически не заметно. О результатах систематического тестирования по производительности говорить пока рано».

Сущность «чипокалипсиса»

В начале января появилась информация о том, что в процессорах Intel, AMD и ARM64 обнаружены две серьезные уязвимости. Они получили названия Meltdown и Spectre. Meltdown дает возможность пользовательскому приложению получить доступ к памяти ядра, а также к другим областям памяти устройства. Spectre же нарушает изоляцию памяти приложений, благодаря чему через эту уязвимость можно получить доступ к данным чужого приложения. Из-за того огромного количества устройств, которые в итоге оказались под ударом, обнаружение Meltdown и Spectre получило в прессе название «чипокалипсис».

Meltdown и Spectre эксплуатируют недостатки механизма спекулятивного выполнения инструкций. Чтобы повысить скорость работы, процессоры прогнозируют, выполнение каких инструкций потребуется от них в ближайшее время, и начинают их выполнять досрочно. Если прогноз подтверждается, процессор продолжает выполнять инструкцию. Если же оказывается, что в ее выполнении не было необходимости, все то, что процессор уже успел сделать, откатывается назад. При этом данные прерванного выполнения могут сохраняться в кэше.

Meltdown обращается к памяти ядра как раз в ходе такого преждевременного выполнения инструкции. Потом процессор понимает, что у пользовательского приложения нет права читать эту память. Выполнение инструкции прерывается, состояние системы откатывается назад, однако при этом в кэше оседают данные, прочитанные в памяти ядра. Эти данные можно найти в кэше, проведя атаку через сторонние каналы.

Потеря производительности

При нормальной работе процессора, когда пользовательская программа выполняет такие действия как запись в файл или открытие сетевого подключения, она передает контроль над процессором ядру. Чтобы переключение между пользовательским режимом и режимом ядра происходило быстро, ядро присутствует во всех адресных пространствах виртуальной памяти процессов, оставаясь при этом невидимым для программ. Meltdown и Spectre нарушают этот режим невидимости.

Чтобы обезвредить уязвимость, память ядра нужно изолировать от пользовательских процессов, пишет издание The Register, первым сообщившее о проблеме. В результате переключение между режимом пользователя и режимом ядра начнет занимать гораздо больше времени. Это может привести к потери производительности на различных устройствах. По данным The Register, Linux и Windows угрожает замедление работы от 5% до 30%.

Компания Apple, уже выпустившая патчи против Meltdown для своих ОС, утверждает, что проведенные ею тесты не показали сколько-нибудь существенного снижения производительности после применения заплат. Компания планирует также выпустить патчи для браузера Safari на macOS и iOS, которые помогут защитить устройства от Spectre. Эффективного патча против Spectre у Apple пока нет.

Чем занимается «Базальт СПО»

В декабре 2016 г. сообщалось, что основная команда разработчиков компании «Альт линукс» во главе с ее бывшим заместителем гендиректора Алексеем Новодворским организовала новую структуру, получившую название «Базальт СПО». Новая компания привлекла 100 млн руб. инвестиций на создание линейки отечественных ОС. Средства были вложены владельцами компании ИВК через учрежденную ими инвестиционную структуру «Агентство финансовой поддержки», которой принадлежало 50% акций «Базальта».

По данным ЕГРЮЛ, официально ООО «Базальт СПО» было зарегистрировано 10 августа 2015 г. За Алексеем Новодворским в нем сейчас закреплено 24%. По 5% принадлежит Дмитрию Левину, Антону Фарыгину и Владимиру Фарыгину. Оставшиеся 2% числятся за Иваном Коровиным. Логотип «Базальт СПО» похож на логотип «Альт линукс», однако пингвины на нем были заменены на морских котиков.

Дистрибутивы компании «Альт линукс» созданы на основе репозитория свободных программ Sisyphus («Сизиф»). «Базальт СПО» сейчас предоставляет для «Сизифа» техническую инфраструктуру, развивает его технологии, а также портирует репозиторий на новые аппаратные архитектуры. «Сегодня мы первая и единственная в России компания, которая выводит на российский рынок продукцию, которая может, умеет и обязана заместить решения Microsoft», – утверждает гендиректор ИВК Григорий Сизоненко.

Разработчики заверяют, что технологии, интегрированные в ОС «Альт сервер» и «Альт рабочая станция», а также собственные методики внедрения «Базальт СПО» позволяют крупной организации гладко мигрировать на них с ОС Microsoft, осуществив переход как полностью всей ИТ-инфраструктуры, так и ее отдельных фрагментов.

Валерия Шмырова

Короткая ссылка