قابلیت Hyper-Threading پردازنده اینتل را غیرفعال کنید

به گزارش کارگروه امنیت سایبربان؛ شاید Theo de Raadt را نشناسید، وی مهندس نرم افزار، خالق سیستم عامل OpenBSD، متخصص امنیت و برنامه نویس است که پروژه‌هایی چون OpenBSD و OpenSSH را در کارنامه فعالیت حرفه‌ای خود دارد. de Raadt که حالا 50 سال سن دارد، به همه توصیه کرده پیش از اینکه هکرها دست به کار شوند، خود قابلیت Hyper-Threading پردازنده‌های اینتل را از طریق BIOS غیر فعال کنند.

هفته جاری این صاحب نظر طی پستی در بلاگ شخصی خود نوشته است: آسیب پذیری های TLBleed و Foreshadow نشان دادند غیر فعال کردن قابلیت Hyper-Threading بر روی تمامی سیستم‌های اینتل یک ضرورت است. وی ادعا کرده رفع این آسیب پذیری ها به آپدیت Microcode جدید برای پردازنده‌ها و تغییر کُد برنامه‌ها نیاز دارد اما هیچ یک از این‌ها برای متوقف کردن حملات کافی نیست و باید Hyper-Threading را غیر فعال کرد.

به اعتقاد این متخصص امنیت، قابلیت Hyper-Threading اینتل شکست خورده است. وی ادعا می‌کند فناوری یاد شده که امکان به اشتراک گذاشتن منابع پردازنده میان هسته‌های مجازی را می‌دهد، فاقد توانایی‌های لازم در تفکیک امنیتی Thread ها از یکدیگر است و همین ضربه سنگینی به امنیت می زند. علی رغم اینکه سوء استفاده از نقص‌های امنیتی شناسایی شده در پردازنده‌های اینتل از پیچیدگی بسیار بالایی برخوردار است، de Raadt معتقد است در نهایت حمله کنندگان راهی می‌یابند تا از طریق اجرای کُدهای JavaScript در مرورگر، بتوان اطلاعات حساس چون اطلاعات سطح هسته سیستم عامل و محتوای حافظه رم در سیستم‌های مجازی سازی شده را استخراج کرد.

شاید اوایل که نقص‌های امنیتی Meltdown و Spectre شناسایی شدند بسیاری تصور می‌کردند با یک‌بار نصب وصله امنیتی همه چیز تمام می‌شود اما زمان نشان داد نقص‌های یاد شده به این آسانی دست بردار نیستند و شاهد چندین نقص امنیتی جدید مشابه Spectre بودیم. de Raadt معتقد است تا پیش از رفع نقص‌ها در سطح ریزمعماری های اینتل،  شانس اینکه در آینده شاهد تعداد بیشتری از نقص‌های امنیتی یاد شده باشیم وجود دارد. این متخصص امنیت معتقد است Hyper-Threading خود باگ‌های مرتبط با قابلیت Speculative Execution را تشدید می‌کند، بنابراین حالا بهترین زمان ممکن است تا غیرفعال شود. همچنین وی توصیه کرده همواره کاربران Firmware مادربرد سیستم‌هایشان را به روز نگه دارند.

خالق OpenBSD از اینتل انتقاد کرده  است که این کمپانی شفاف سازی نکرده چگونه می‌خواهد نقص‌های امنیتی مرتبط با Meltdown و Spectre را یک‌بار برای همیشه برطرف کند یا اصلاً چنین امکانی وجود دارد یا نه.

اینتل در واکنش به گفته‌های این متخصص برجسته کامپیوتر می‌گوید در صورتی که استراتژی‌های معرفی شده چون نصب آپدیت‌ها در پیش گرفته شوند، غیر فعال کردن Hyper-Threading ضروری نیست، با این حال اینتل پنهان نکرده است شاید در کسر کوچکی از سیستم‌ها که تضمینی وجود ندارد همه آپدیت‌ها را دریافت کرده باشند، غیر فعال کردن Hyper-Threading می‌تواند یک راهکار باشد. پیش‌تر این کمپانی گفته بود در صورتی که بر روی سیستم خود دست به مجازی سازی نمی‌زنید، با نصب آپدیت‌ها تهدید آسیب پذیری Foreshadow پایین است. با این حال از آنجایی که بسیاری از سازندگان مادربردها، لپ تاپ‌ها و سیستم‌های سرور از ارائه آپدیت Microcode برای محصولات قدیمی‌تر خود طفره می‌روند، امکان نصب آپدیت‌ها برای همه سیستم‌ها وجود ندارد. همچنین اینتل اذعان کرده ممکن است نیاز باشد دیتاسنترها گام‌هایی فراتر از نصب آپدیت‌ها بردارند که می‌تواند به غیرفعال کردن Hyper-Threading اشاره داشته باشد.

حال باید منتظر ماند و دید هکرها در بهره گیری از نقص‌های امنیتی پردازنده‌های اینتل تا چه اندازه موفق عمل می‌کنند، ممکن است عواقب آن چندین سال بعد مشخص شود.