為了充分保護自己免受潛在的Zombieload攻擊,供應(yīng)商和早期基準測試表明,您將面臨高達40%的性能損失。英特爾芯片Zombieload安全漏洞有多糟糕?這取決于你問誰。但潛力是嚴重的,攻擊者可以監(jiān)視你的數(shù)據(jù)。是的,修復(fù)程序已經(jīng)存在,但即使使用操作系統(tǒng)補丁的新微碼,為了完全保護您的系統(tǒng)免受潛在的Zombieload攻擊,您必須關(guān)閉Intel CPU超線程。如果您不希望計算機以一腳踩的方式運行,則不希望關(guān)閉超線程。但是,如果沒有超線程,您的系統(tǒng)是否安全?英特爾認為你會好的。但那么,還有什么呢?其他公司不同意。
Canonical,Ubuntu Linux背后的公司,建議禁用超線程- 如果系統(tǒng)用于執(zhí)行不受信任或潛在的惡意代碼。當然,沒有人意味著運行這樣的代碼,但是如果你在云上,則無法控制下一個虛擬機(VM)中的鄰居正在運行的內(nèi)容。Red Hat同意Zombieload在云上尤其危險。
正如云安全公司Twistlock的首席技術(shù)官John Morello所說,“這個漏洞可能對密集的,多租戶的公共云提供商產(chǎn)生最大的影響。在單用戶環(huán)境中,它的興趣遠沒那么大。”
盡管如此,Apple和Google都警告他們的MacOS和Chrome OS用戶可能希望禁用超線程來獲得全面保護。事實上,谷歌現(xiàn)在默認從Chrome OS74開始禁用超線程。
因此,如果您想真正保護您的系統(tǒng) - 虛擬或物理 - 您必須關(guān)閉超線程。這是一個糟糕的性價比。
即使英特爾承認,禁用超線程也會使CPU性能降低9%。蘋果公司已經(jīng)發(fā)現(xiàn),通過包括多線程工作負載和公共基準測試在內(nèi)的測試,性能將降低Mac的速度“降低40%。”Zombieload的研究人員表示同意。他們表示,關(guān)閉超線程會使“某些工作負載的性能下降30%至40%”。
其他基準測試也顯示完全保護自己免受Zombieload攻擊將導(dǎo)致你的速度占很大比例。
多少?Linux基準測試站點Phoronix使用其最新的穩(wěn)定版本和修補后的Linux 5.0內(nèi)核測試了Ubuntu 19.04上的工作負載,而新的英特爾CPU微碼圖像發(fā)現(xiàn)Linux - 迄今為止最重要的云操作系統(tǒng) - 遭遇了嚴重的性能問題。其測試的幾何平均值顯示,“現(xiàn)在這些默認緩解措施的開箱即用性能降低了16%”。
當您關(guān)閉超線程以獲得最大安全性時,通常情況會更糟。在PostgreSQL的基準,例如,發(fā)現(xiàn)幾乎40%的一個表演停止性能下降。與此同時,Ngnix基準測試的性能受到了約34%的痛苦。
那么,你應(yīng)該一直保護你的服務(wù)器嗎?英特爾表示,“實際利用MDS [微架構(gòu)數(shù)據(jù)采樣,又稱Zombieload]是一項非常復(fù)雜的工作.MDS本身不會為攻擊者提供一種選擇泄露數(shù)據(jù)的方法。”
至于我,它可能很復(fù)雜,但是已經(jīng)有了漏洞的全部細節(jié),以及概念驗證代碼,只有時間才有人制作一個易于使用的攻擊程序。所以,我已經(jīng)在我的基于云的服務(wù)器上禁用了超線程。我建議你也這樣做。