گوگل: نقص های Spectre و Meltdown را بدون افت کارایی درست کردیم

گوگل: نقص های Spectre و Meltdown را بدون افت کارایی درست کردیم
  • twiter
  • linked-in
  • whatsapp

هیاهوی ناشی از افشای دو نقص امنیتی بزرگ در پردازنده ها کمابیش فروکش کرده و حالا شرکت های بزرگ در پیچ و خم رفع این نقص ها هستند. انتشار خبر وجود دو باگ بزرگ به نام های Spectre (به معنی شبح) و Meltdown (به معنی ذوب) مدتی پیش دنیای فناوری را شوکه کرد.

وجود این نقص ها در تمامی CPU های تولید شده در دو دهه ی گذشته و قرارگرفتن تمامی کاربران ویندوز، مک، اندروید و iOS در محدوده ی خطر،  ابعاد بحران را گسترده تر کرد و آگاهی شرکت های بزرگ از این مساله و پنهان کردن آن از مردم قضیه را بغرنج تر نمود.

شرکت های بزرگ فناوری از همان روزهای نخست تلاش برای رفع مشکل را آغاز کردند. ماهیت مشکل مسلما سخت افزاری است اما نمی توان تمام پردازنده های کامپیوتری جهان را به یک باره عوض کرد با این وجود می توان راه حلی نرم افزاری پیدا کرد که خطر را تا حد زیادی رفع کند.

Spectre

اما موج اول آپدیت های منتشر شده برای رفع باگ های Spectre و Meltdown عوارض جانبی بدی داشت. کاربران سیستم عامل های مختلف پس از نصب پچ منتشر شده به شدت با کندی سیستم رو به رو می شدند. کمپانی اینتل به عنوان بزرگ ترین تولید کننده پردازنده های کامپیوتری جهان، تست هایی را روی کارکرد کامپیوترها انجام داد و بنچمارک های مربوط به آن را منتشر نمود.

عمده ی تست های شرکت اینتل روی CPUهای Core i7 بود. پس از نصب پچ منتشر شده برای Spectre و Meltdown، افت کارایی سیستم در اکثر قریب به اتفاق کامپیوترها اندک بود. این آزمایش نشان داد، آپدیت های انجام شده بیشتر روی توان پاسخدهی CPU اثر می گذارد.

با گذشت چند روز بسیاری حرف از این می زدند که این مشکلات، در واقع اثرات جانبی اجتناب ناپذیر پچ های ضد Spectre و Meltdown است اما روز جمعه مشخص شد شاید راه بهتری هم وجود داشته باشد.

Spectre

کمپانی گوگل فرآیند پچ کردن سیستم برای رفع باگ های Spectre و Meltdown را در سرویس های ابری خود مانند جی میل و Google Drive قرار داده است. گوگل مدعی شده بدون ضربه زدن به کارایی سیستم موفق شده این دو نقطه ی آسیب پذیری را از بین ببرد.

اگر قرار باشد یک نفر راه حل این مشکل را پیدا کند و خیال میلیاردها کاربر را از بابت امنیت پردازنده راحت کند، چه کسی بهتر از گوگل؟ بالاخره وقتی صحبت از نرم افزار و کدنویسی است هیچ نهادی در دنیا به پای گوگل نمی رسد.

باگ « ذوب » یا Meltdown مختص CPUهای اینتل است و باگ « شبح » یا Spectre همه نوع CPU از جمله اینتل، AMD و آرم (ARM) را در بر می گیرد. این دو نقص باعث آسیب پذیری پردازنده های کامپیوتری می شوند و مهاجمان به واسطه ی آن ها می توانند به سه شیوه حمله کنند.

Spectre

شیوه ی نخست حمله به وسیله ی باگ Spectre و شیوه ی سوم از راه Meltdown صورت می گیرد. تولید کنندگان قطعه و شرکت های نرم افزاری به رهبری گوگل چند ماه پیش موفق به بستن راه این دو نوع حمله شده اند و پچ های آن ها تاثیری روی کارایی سیستم ندارد. پس اگر از آبان ماه تا کنون دستگاه خود را آپدیت کرده اید به احتمال فراوان سیستم شما نسبت به روش اول و سوم مقاومت شده است.

شیوه ی دوم حمله، از طریق باگ Spectre انجام می شود و جلوگیری از آن باعث پایین آمدن کارایی کامپیوتر می گردد. گوگل مدتی است که در پی رفع این آسیب پذیری بدون صدمه زدن به توان دستگاه است. این شرکت پس از یک سری تلاش شبانه روزی به این نتیجه رسیده بود که:

به نظر می رسد تنها راه محافظت از داشته های ما در برابر حملات نوع دوم غیر فعال کردن آن دسته از قابلیت های CPU است که نسبت به Spectre آسیب پذیر هستند.

این شیوه در عین بر طرف ساختن آسیب پذیری با « غیرفعال نمودن قابلیت های تقویت کارایی CPU » همراه بود. این قابلیت ها علاوه بر بالا بردن توان پردازنده و رساندن آن به سطحی که امروز می بینیم مبنای اصلی سرویس های ابری گوگل نیز هستند و قطع کردن آن ها همانطور که حدس زده اید سرعت کامپیوتر را پایین می آورد.

گوگل تصمیم گرفت سراغ یک روش دیگر برود، یعنی سعی کند بدون پچ کردن سخت افزارهای کامپیوتر مشکل را حل کند. به این روش « مون شات » (moonshot) می گویند. برای این کار گوگب سراغ Retpoline (رتپولین) رفت که یک تکنیک اصلاح باینری نرم افزاری هستند. رتپولین های در واقع سازه هایی نرم افزاری هستند که به وسیله ی آن ها می توان شاخه های غیرمستقیم را جدا کرد. این تکنیک توسط پائول ترنر (Paul Turner) ابداع شده که از اعضای برجسته ی تیم زیرساخت فنی گوگل است.

Spectre

گوگل با استفاده از رتپولین موفق شد مستقیما برنامه ها را اصلاح کند، به این ترتیب اصلا سراغ سخت افزار نرفت و در نتیجه کندی سیستم هم در کار نبود. این شرکت پس از انجام آزمون های متعدد اعلام کرد به این نتیجه رسیده که می تواند به کمک رتپولین، کامپیوترها را پچ کند تا در برابر شیوه ی دوم حمله با Spectre مقاومت شوند و در عین حال هیچ افت سرعتی هم پیدا نکنند.

خبر بهتر اینکه گوگل تکنیک رتپولین خود را به صورت منبع باز در اختیار جهان قرار داده؛ به این ترتیب دیگر شرکت ها می توانند با استفاده از این تکنیک، کاربران خود را در برابر حملات Spectre مقاوم سازند. برای نمونه اپل می تواند پچ هایی برای رفع مشکل امنیتی گوشی های آیفون و کامپیوترهای دارای سیستم عامل Mac (مک) بسازد.

گوگل در نهایت اعلام کرد که فعلا بهترین راه برای حل مشکل آسیب پذیری باگ « شبح » استفاده از رتپولین است. حالا که این روش در اختیار همه شرکت ها قرار گرفته احتمالا به زودی شاهد انتشار آپدیت هایی برای رفع این مشکل خواهیم بود، البته بدون افت کارایی سیستم.

مقالات مرتبط
دیدگاه شما
captcha
جدول فروش فیلم ها
  • 1.9 میلیارد تومان
    دینامیت
    اکران: 10 تیر 1400
  • 1.4 میلیارد تومان
    خورشید
    اکران: 27 آبان 1400
  • 1.3 میلیارد تومان
    هفته‌ای یک بار آدم باش
    اکران: 27 اسفند 1400
  • 920 میلیون دلار
    تک خال
    اکران: 27 اسفند 1400
  • 257.43 میلیون تومان
    پیشی میشی
    اکران: 08 مهر 1400
  • 184 میلیون تومان
    خون شد
    اکران: 27 اسفند 1400
  • 90 میلیون تومان
    لاله
    اکران: 27 اسفند 1399
  • 84 میلیون تومان
    آقای سانسور
    اکران: 26 شهریور 1400
بازی ها
  • 19 شهریور 1400
    Life is Strange: True Colors
  • 24 شهریور 1400
    Deathloop
  • 20 مهر 1400
    Back 4 Blood