24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Предложенная Google программная защита от атаки LVI показала снижение производительности в 14 раз
Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок.
Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до того как фиксация будет завершена. Применение LFENCE приводит к существенному снижению производительности, поэтому защиту предлагается применять в крайних случаях для особо критичного кода. Помимо полной защиты патч предлагает три флага, позволяющих выборочно отключить определённые уровни защиты для снижения негативного влияния на производительность.
В проведённых тестах применение защиты SESES для пакета BoringSSL привело к снижению числа выполняемых библиотекой операций в секунду в 14 раз - производительность собранного с защитой варианта библиотеки в среднем оказалась всего 7.1% от показателей незащищённого варианта (разброс в зависимости от теста от 4% до 23%).
Для сравнения, предложенный ранее для GNU Assembler механизм, осуществляющий подстановку LFENCE после каждой операции загрузки из памяти и перед некоторыми инструкциями ветвления, показал снижение производительности примерно в 5 раз (22% от кода без защиты). Метод защиты также предложен и реализован инженерами Intel, но результаты тестирования производительности для него пока не опубликованы. Изначально исследователи, выявившие атаку LVI, прогнозировали снижение производительности при применении полной защиты в 2-19 раз.
>>7144810 (OP) > снижение производительности в 14 раз Лол вот из-за этого говна я вообще обновы шинды отключил уже пару лет как когда эти говнозаплатки только ввводить начали, у меня и так пека старая а если ее еще в 20 раз замедлят вообще охуенно будет.
>>7144946 Я вот, например, до сих пор мучаюсь вопросом, как произвести декомпиляцию и дизассемблирование системных файлов мс дос? Код посмотреть хочется.
Пиздец, если подумать то все эти манязащиты с патчами нихуёво так грузят ПК в рантайме. Без них печки бы работали куда быстрее, хоть и с огромным потенциалом к взлому. Жаль что такого никогда не будет и люди такие пидорасы.
>>7144946 Пожалуйста, оставьте свой почтовый адрес, чтобы мы могли с вами связаться. Можем предложить вам удаленную занятость и зарплату 9К в наносек (естественно в долларах).
>>7145173 Причем тут физический доступ, воннакрай просто сканировал айпишники на дырки таких додиков необновляторов вроде тебя, потом шифровал всё и требовал битки.
>>7145193 Не обновлялся. Порты по которым он стучался у меня закрыты по умолчанию, в брандмауэре - если ты его отключил, то сам виноват, дебил + у меня еще антивирь имеется в качестве второго кордона защиты. Да и к тому же эта залупа это не ваннакрай, это хуйня для работы кторой нужен доступ то ли напрямую к ПК, то ли к домашней сети.
>>7144971 При чем тут обновление шинды, это же фикс для компилятора. То есть, каждый разраб сам патчит свои программы. Ну и он не на весь код распространяется, а только на важный в плане безопасности.
>>7144810 (OP) >инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Пиздец какой идиотизм. За такой патч в дурку надо отправлять, а не в гугл
Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до того как фиксация будет завершена. Применение LFENCE приводит к существенному снижению производительности, поэтому защиту предлагается применять в крайних случаях для особо критичного кода. Помимо полной защиты патч предлагает три флага, позволяющих выборочно отключить определённые уровни защиты для снижения негативного влияния на производительность.
В проведённых тестах применение защиты SESES для пакета BoringSSL привело к снижению числа выполняемых библиотекой операций в секунду в 14 раз - производительность собранного с защитой варианта библиотеки в среднем оказалась всего 7.1% от показателей незащищённого варианта (разброс в зависимости от теста от 4% до 23%).
Для сравнения, предложенный ранее для GNU Assembler механизм, осуществляющий подстановку LFENCE после каждой операции загрузки из памяти и перед некоторыми инструкциями ветвления, показал снижение производительности примерно в 5 раз (22% от кода без защиты). Метод защиты также предложен и реализован инженерами Intel, но результаты тестирования производительности для него пока не опубликованы. Изначально исследователи, выявившие атаку LVI, прогнозировали снижение производительности при применении полной защиты в 2-19 раз.
https://www.opennet.ru/opennews/art.shtml?num=52581