Intel Gen7-gpu presteert op Linux aanzienlijk slechter na beveiligingspatch

Omdat de huidige Core architectuur van Intel nog steeds grotendeels is gebaseerd op Pentium III...
Zo oud is het eigenlijk. Veel van deze beveiligingsproblemen bestonden simpelweg niet toen Pentium III werd ontwikkeld. Een van de grootste problemen is virtualisation. Het bestond niet en nu is het wijdverspreid voor servers. Telkens weer vallen daar de klappen omdat de Intel CPU's simpelweg geen adequate beveiliging hebben voor een scenario waar een CPU met meerdere cores, verschillende programma's draait. Immers was Pentium III een single core architectuur. Er is geen adequate scheiding voor het geheugen binnen een "moderne" Intel CPU voor dit soort taken.

Daarom is Intel zo gevoelig voor beveiligingsproblemen zoals Spectre, MDS, Zombieload etc. Ze maken allen gebruik van de gebrekkige beveiliging tussen de verschillende CPU cores hun geheugen. Allen vissen data uit cache die niet goed afschermt is en dat is geen incidenteel probleem dat met een paar patches opgelost kan worden. Zoveel zou nu toch wel duidelijk moeten zijn. Nee, dit zijn architecturale defecten en dit kunnen ze alleen gaan oplossen met een geheel nieuwe architectuur. Dat ontwikkelen duurt jaren.

Intel liegt ook gewoon over hun fixes. Ze fixen alleen wat ze echt moeten fixen omdat het ze direct is gemeld door onderzoekers. Dat doen ze halfhartig omdat elke fix gepaard gaat met prestatieverlies. Onderhand zijn de onderzoekers van de Vrije Universiteit in Amsterdam, die nu al zoveel fouten hebben ontdekt en netjes gemeld, het ook zat en zijn ze naar de NYT gestapt.

Intel’s security response team worked for the next eight months to verify the findings and develop a patch, scheduled to be released on May 14. Four days before the release, however, when the company provided the researchers with details of the fix, the researchers quickly realized that the patch didn’t address all of the vulnerabilities.

Intel’s engineers had overlooked some of the proof-of-concept exploits the researchers had provided. But the researchers said that even without seeing the exploits, Intel should have been able to uncover the additional vulnerabilities on their own.

The researchers said Intel had chosen an ineffective way to address its chip vulnerabilities. Rather than fix the core issue, which would possibly require redesigning the processor, it has patched each variant as it is discovered.

“There are tons of vulnerabilities still left, we are sure,” Mr. Bos said. “And they don’t intend to do proper security engineering until their reputation is at stake.”

Whenever a new class of vulnerability is discovered, it is standard practice for engineers fixing the code to search for additional instances of the problem beyond what is known and reported.

None of the attack variants the Dutch researchers gave Intel were fundamentally different from the ones Intel did patch, so Intel should have been able to extrapolate and find the others on their own, the researchers argued.

“Many of the attacks they missed were a few lines of code different from the others. Sometimes a single line of code,” Mr. Giuffrida said. “The implication of this is of course worrisome. It means until we give them all possible variations of the problem, they won’t actually fix the problem.”

The company has addressed the core problem through hardware fixes in some of its chips and will do similar fixes to other chips, Intel’s Ms. Rosenwald said.

https://www.nytimes.com/2...ology/intel-chip-fix.html

Ondertussen vindt er nu al een tijdje een op het eerste gezicht een vreemd fenomeen plaats. Elke keer als er weer een beveiligingsfout word gevonden, worden er paradoxaal meer Xeon's gekocht. Dat gebeurd omdat elke keer er reële capaciteit verdwijnt met elke beveiligingsupdate omdat ze allemaal prestatie impacts hebben. Een server is een complex systeem met veel verificatievereisten, softwareontwikkeling en nog meer verificatie. Het is niet zo simpel als een hoop Epyc chips kopen omdat je Intel helemaal zat bent na de zoveelste beveiligingsfout. Daarom worden er maar Xeon's gekocht om het verlies op korte termijn te compenseren. Omdat Intel veel meer verdient aan Xeon's, zijn ze nu al twee jaar lang bezig om de andere markten af te knijpen. Daar komen de tekorten aan desktop en laptop Core I chips vandaan.

Dit is natuurlijk niet houdbaar op lange termijn. Het is dan ook de vraag wanneer het omslagpunt zal plaatsvinden waar Epyc echt gaat doorbreken omdat het verificatieproces en de migratie naar Epyc, goedkoper is geworden dan doorgaan met Xeon. Ik heb geen idee hoe lang het zal duren, maar op deze manier gaat het een keer gebeuren.


In groot contrast staat dan ook AMD haar Zen architectuur. Die is vanaf de grond af ontworpen als een nieuwe architectuur die zeer doelbewust is ontwikkeld voor schaalbaarheid en beveiliging voor toepassing in moderne, grote datacentra. Het doel vanaf het begin was een serverarchitectuur ontwikkelen die klaar was voor de wereld van big data. Daarom komt AMD met zaken zoals 64c chips, betere SMT en hebben die chips wel een fatsoenlijke beveiliging. Niks is schadelijker voor een datacentrisch bedrijf dan een verlies aan vertrouwen dat je die data wel veilig kan opslaan. Denk hierbij aan medische gegevens, financiële gegevens, big data, bedrijfsgevoelige informatie etc. Dat wil je niet uitgelekt hebben omdat de financiële en imagoschade gigantisch kan zijn, zie bijvoorbeeld Equifax in de VS. AMD heeft dat heel goed begrepen. Epyc zal echt niet perfect zijn als platform, maar het is op het moment veel beter dan Xeon.

edit: Paar zinnen iets beter leesbaar gemaakt.

[Reactie gewijzigd door DaniëlWW2 op 23 juli 2024 18:12]