স্পেক্টর সুরক্ষা দুর্বলতা ভার্চুয়াল মেশিনে থাকতে পারে?


13

ভার্চুয়ালবক্সের মতো ভার্চুয়াল মেশিনটির সুরক্ষা দুর্বলতা "স্পেকটার" রয়েছে কি এটি সম্ভব? আমি মনে করি ভিএম সম্ভবত অর্ড-অফ-অর্ডার এক্সিকিউশনটি করে, তবে আমার মতে ফলাফলটি পড়তে ক্যাশে উঁকি দেওয়া সম্ভব নয়।

ভার্চুয়াল সিপিইউয়ের ক্যাশে পড়া কীভাবে সম্ভব তা নিয়ে কোনও ব্যাখ্যা আছে?


4
হ্যাঁ, একটি সামান্য গবেষণা নিশ্চিত করেছে যে ভিএমওয়্যার স্পেকটার এবং মেল্টডাউনকে সম্বোধন করার জন্য প্যাচগুলি প্রকাশ করেছে। অতিথির
ওএসকে

আমি বলবো ভার্চুয়ালাইজেশনের স্তরের উপর নির্ভর করে। আপনি যদি ভার্চুয়াল সিপিইউ অনুকরণ করছেন, তবে আপনি সম্ভবত নিরাপদ। তবে এটি আধুনিক ভিএমরা করে না।
বার্গি

ভার্চুয়াল সিপিইউয়ের ক্যাশে পড়া কীভাবে সম্ভব তা নিয়ে কোনও ব্যাখ্যা আছে?

1
@ জেএমএসের বিবরণগুলি আমি আমার উত্তরে যে ক্যানোনিকাল পোস্টে লিঙ্ক করেছি:Spectre works on a different level ... In this attack, the attacker tricks the speculative execution to predictively execute instructions erroneously. In a nutshell, the predictor is coerced to predict a specific branch result that results in asking for an out-of-bound memory access that the victim process would not normally have requested resulting in incorrect speculative execution. Then by the side-channel, retrieves the value of this memory. In this way memory belonging to the victim process is leaked to the malicious process.
মকুবাই

1
@jms ভার্চুয়ালাইজেশন কেবলমাত্র দ্রুত কারণ এটি যতটা সম্ভব সামান্য বিমূর্ততা সহ শারীরিক সিপিইউ ব্যবহার করে এবং বিচ্ছিন্নতা এবং বিমূর্ততা প্রদানের জন্য সিপিইউ হার্ডওয়্যারের উপর নির্ভর করে। qemuএমুলেশন করতে পারে এমন জিনিসগুলি যা হার্ডওয়ার সিপিইউ নয় এটি নিরাপদ হবে তবে এটি অনেক ধীর এবং ভার্চুয়ালাইজেশন থেকে পৃথক।
মকুবাই

উত্তর:


14

হ্যাঁ স্পেক্টর হোস্ট / অতিথি, অতিথি / হোস্ট এবং অতিথি / অতিথির সীমানা অতিক্রম করতে পারে কারণ এটি একটি সিপিইউ স্তরের ত্রুটি যার অর্থ কোনও সম্ভাব্য সংবেদনশীল তথ্য সিপিইউ কোরটিতে চলমান যে কোনও কিছুতেই ফাঁস হতে পারে।

ইন্টারনেটে বেশিরভাগ নিউজ স্টোরি ক্লাউড সরবরাহকারীদের দ্বারা সবচেয়ে বেশি ক্ষতিগ্রস্থ হওয়ার বিষয়ে কথা বলে কারণ তাদের ভার্চুয়ালাইজড সিস্টেমগুলির বিশাল ক্লাস্টার রয়েছে এবং সংবেদনশীল তথ্য ফাঁস হওয়ার জন্য সম্ভাব্যভাবে আপত্তিজনকভাবে ব্যবহার করা যেতে পারে।

এখন পর্যন্ত বেশিরভাগ বৃহত সরবরাহকারীদের ত্রুটিগুলির বিরুদ্ধে ঠাঁই করা উচিত ছিল, সর্বোত্তম তারা হতে পারে তবে এটি এমন একটি সমস্যা হতে চলেছে যা আমাদের সাথে কিছু সময়ের জন্য বেঁচে থাকে।

সিকিউরিটি.এসই এর সম্পর্কিত একটি প্রমিত প্রশ্নোত্তর রয়েছে এবং এতে ভিএম এর উল্লেখ রয়েছে:

আমি ভার্চুয়াল মেশিন / ধারক চালাচ্ছি, আমি কতটা দূর্বল?

অনুযায়ী স্টিফেন Ullrich এর উত্তর

  • মেল্টডাউন আক্রমণগুলি ভিএমগুলি অতিক্রম করে না, কেবল স্থানীয় প্রক্রিয়াগুলিতে কার্নেল মেমরি ফাঁস করে।
  • স্পেক্টর ভিএমগুলিতে কাজ করতে পারে।

এছাড়াও, স্টেফেন থেকে আবার , মেল্টডাউন এবং স্পেক্টারগুলি ধারকগুলির সাথে কাজ করে, কারণ ধারকরা হোস্ট কার্নেলের উপর নির্ভর করে।

ভিএমগুলি আপনার সিস্টেমে আসল সিপিইউ ব্যবহার করে কিছু সুবিধাপ্রাপ্ত নির্দেশাবলী আটকা পড়ে এবং পুনঃনির্দেশে সক্ষম হয়। এটি হোস্টের মতো একই ক্যাশে এবং নির্দেশাবলী ব্যবহার করে। এটি আপনার সিস্টেমে শারীরিক সিপিইউতে মূলত অন্য একটি স্তর।

ভার্চুয়ালাইজেশন কেবলমাত্র দ্রুত কারণ এটি যতটা সম্ভব সামান্য বিমূর্ততা সহ শারীরিক সিপিইউ ব্যবহার করে এবং বিচ্ছিন্নতা প্রদানের জন্য সিপিইউ হার্ডওয়্যারের উপর নির্ভর করে। Qemu এর মতো জিনিসগুলি অনুকরণ করতে পারে যা নিরাপদ হবে কারণ এটি একটি হার্ডওয়্যার সিপিইউ নয়, তবে এটি অনেক ধীর এবং ভার্চুয়ালাইজেশন থেকে পৃথক।

থেকে Security.se পোষ্ট ক্যানোনিকাল আবার

স্পেক্টর বিভিন্ন স্তরে কাজ করে এবং ব্যবহারকারী-স্থান থেকে কার্নেল-স্পেস ডেটা অ্যাক্সেসের অনুমতি দেয় না। এই আক্রমণে আক্রমণকারী অনুমানমূলক নির্দেশাবলী ভুলভাবে চালিত করতে অনুমানমূলক মৃত্যুদণ্ড কার্যকর করে। সংক্ষেপে, ভবিষ্যদ্বাণীকারী একটি নির্দিষ্ট শাখার ফলাফল (যদি -> সত্য) এর পূর্বে পূর্বাভাস দিতে বাধ্য হয়, যা ফলস্বরূপ মেমরি অ্যাক্সেসের জন্য জিজ্ঞাসা করে যা ভুক্তভোগী প্রক্রিয়াটি সাধারণত অনুরোধ না করে, ফলস্বরূপ ভুল অনুমানমূলক মৃত্যুদন্ড কার্যকর করে। তারপরে পাশের চ্যানেল দ্বারা, এই স্মৃতিটির মানটি পুনরুদ্ধার করে। এইভাবে, ভুক্তভোগী প্রক্রিয়া সম্পর্কিত স্মৃতি ক্ষতিকারক প্রক্রিয়াতে ফাঁস হয়।

সুতরাং, কারণ ভিএম প্রকৃত সিপিইউ হার্ডওয়্যারে চালিত হয় এবং অনুমানমূলক এক্সিকিউশন ইঞ্জিনটিকে "প্রশিক্ষণ" দেওয়ার জন্য একটি নির্দিষ্ট লুপ চালানো দরকার। তারপরে এটি হোস্ট বা অতিথির (বা অন্যান্য ভিএম) প্রক্রিয়াটি ব্যবহার করতে চাইলে নির্দিষ্ট অ্যাক্সেসের সূচকগুলির নিদর্শনগুলির জন্য ক্যাশেগুলি দেখার জন্য যথাযথ সময় ব্যবহার করতে পারে it

এইভাবে এর অর্থ হ'ল কোনও মেশিন প্রতিটি দিক থেকে শোষণযোগ্য। হোস্ট থেকে ভিএম, ভিএম থেকে হোস্ট এবং ভিএম থেকে ভিএম

হ্যাঁ, এটি কোনও উপায়েই সহজ নয় এবং এটি টেনে আনা একটি কঠিন বিষয় কারণ ভিএম সিপিইউ কোর হোস্টের ঝাঁকুনিতে বদলে যেতে পারে এবং হোস্ট সুখেও বিভিন্ন কোরে কাজগুলি নির্ধারিত করতে পারে তবে দীর্ঘ সময় ধরে যথেষ্ট তথ্য রয়েছে কিছু গুরুত্বপূর্ণ সিস্টেম বা অ্যাকাউন্টে একটি গোপন কী ছেড়ে দিতে ফাঁস হতে পারে। যথেষ্ট সময় দেওয়া হয়েছে এবং কিছু উপযুক্ত স্টিলিটি সফ্টওয়্যার সমস্ত কিছু সম্ভাব্যভাবে খোলা আছে।

আপনি যদি কোনও "সুরক্ষিত" ভিএম চান তবে আপনার গ্যারান্টি দিতে হবে যে এটির কোরগুলি বিচ্ছিন্ন। এই আক্রমণটিকে অবরুদ্ধ করার একমাত্র আসল উপায় হ'ল হোস্ট এবং ভিএমগুলিকে কেবলমাত্র নির্দিষ্ট কোর ব্যবহার করার জন্য "জোর করে" চাপানো হবে যাতে তারা কখনও একই হার্ডওয়্যারে চলতে না পারে তবে এটি ব্যয়কে কার্যকর বৃদ্ধি করতে পারে কারণ আপনি সক্ষম হবেন না প্রদত্ত হোস্টে অনেকগুলি ভিএম রয়েছে। আপনার কাছে কোর পাওয়া যায় না তার চেয়ে বেশি ভিএম চালানো থেকে আপনি কখনই পালাতে পারবেন না, যা "কম লোড" সার্ভারগুলিতে করার জন্য আমি আশা করব যেহেতু অনেকগুলি সিস্টেম তাদের জীবনের 90% অবধি অলস থাকে।


2
আমি মনে করি আপনি এই প্রশ্নের ব্যাখ্যা দিয়েছিলেন "হোস্ট সিপিইউ যদি আক্রান্ত হয়, তবে ভিএমও কি প্রভাবিত হবে?" আমি যেমন প্রশ্নটি বুঝতে পারি, এটি জিজ্ঞাসা করে "হোস্ট সিপিইউ যদি প্রভাবিত না হয় , তবে কি ভিএম এখনও প্রভাবিত হতে পারে?" আপনি এটা পরিষ্কার করতে পারেন?
AndreKR

1
@ আন্ডারেকেআর: বর্তমানে সমস্ত আউট-অফ-অর্ডার এক্সিকিউশন সিপিইউ স্পেকটার দ্বারা প্রভাবিত হয়; কেবলমাত্র সফ্টওয়্যার কাজের সাহায্যে আপনি সিস্টেমকে এক প্রকার সুরক্ষিত করতে পারেন (এবং সুতরাং ভিএমকে এটির যত্ন নিতে হবে, যদিও হাইপাইভাইজার অতিথিদের একে অপর থেকে বিচ্ছিন্ন করতে পারে যদি সিপিইউ সরবরাহ করে, যেমন ইন্টেলের আইবিআরএস স্টাফ)। কিন্তু কোনও অনুমানমূলক সম্পাদন ছাড়াই একটি ইন-অর্ডার সিপিইউতে, সফ্টওয়্যারটির দুটি অংশের মধ্যে কোনও ধরণের স্পেক্টর দুর্বলতা থাকতে পারে না। স্পেক্টারের সারমর্মটি এমন কোনও কিছুর অনুমানমূলক সম্পাদনকে উস্কে দিচ্ছে যা গোপন তথ্যকে মাইক্রোআরকিটেকচারাল অবস্থায় ফেলে দেয়; ক্রম সিপিইউ না।
পিটার কর্ডেস

সর্বাধিক আকর্ষণীয় জিনিসটি জল্পনা-কল্পনা নয়। সবচেয়ে মজার বিষয় হ'ল কোনও প্রক্রিয়া কীভাবে কী কী তা খুঁজে পেতে পারে - এমনকি কোনও ভিএম-তেও।

@jms পাশ চ্যানেল উপলব্ধ হামলার সুগম এবং তৈরি করা হয় দরকারী ফটকামূলক সঞ্চালনের দ্বারা। প্রক্রিয়াটি সরাসরি ক্যাশে লাইনগুলি পড়তে সক্ষম না হতে পারে, তবে অনুমানমূলক সম্পাদন ক্যালকের মধ্যে এমন মূল্যবোধ তৈরি করে তথ্য ফাঁস করতে পারে যা সময়কৃত আক্রমণগুলি সনাক্ত করে বা অনুমান করা যায়। স্পেক্টর হোয়াইট পেপারের সেকশন 4 এর একটি ভাল ব্যাখ্যা রয়েছে: স্পেকট্রেটটেক
মকুবাই

0

gem5

হোস্ট সিপিইউ ব্যবহার না করে আপনি যদি নিখুঁতভাবে অনুকরণের সাথে অধ্যয়নের বিষয়ে অধ্যয়ন / পুনরুত্পাদন করতে আগ্রহী হন তবে আমি মনে করি না যে সিপিইউ পাইপলাইন অনুকরণ না করে QEMU সেগুলি পর্যবেক্ষণ করার জন্য যথেষ্ট বিশদযুক্ত।

রত্ন 5 যদিও গবেষণা এবং বিকাশে সিস্টেমের কর্মক্ষমতা অনুমান করতে ব্যবহৃত হয় এবং আপনার সম্পূর্ণ স্পষ্ট এবং নিয়ন্ত্রিত পরিবেশে স্পেক্টর পর্যবেক্ষণ করার জন্য পর্যাপ্ত সিপিইউ ইন্টার্নালগুলি অনুকরণ করে।

ভিজ্যুয়ালাইজেশন সহ একটি দুর্দান্ত x86_64 ডেমো প্রকাশিত হয়েছে: http://www.lowepower.com/jason/visualizing-spectre-with-gem5.html

জহর 5 এর নেতিবাচক দিকটি হ'ল কিউইএমইউর তুলনায় এটি ধীরে ধীরে সিমুলেশনটি আরও বিশদযুক্ত।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.