25 Ağustos 2018

İşlemci açığı krizi Foreshadow'la sürüyor

İsmail Gökhan Bayram

bilisim@evrensel.net igbayram

DİĞER YAZILARI

Yapay zekada fiyat savaşları 8 Şubat 2025

Stargate, OpenAI’ı kurtarabilir mi? 25 Ocak 2025

Yapay Zekanın arkasındaki görünmez maliyet 4 Ocak 2025

Geniş dil modellerinde yeni rakip: DeepSeek V3 28 Aralık 2024

Çocukları çevrimiçi tehlikelerden kim koruyacak? 14 Aralık 2024

Sosyal medyaya yaş sınırlaması çocukları koruyabilir mi? 30 Kasım 2024

Medyanın arama tekeli ile imtihanı 23 Kasım 2024

Teknoloji patronları ABD seçiminin galiplerinden 9 Kasım 2024

Platformlar ve yayıncılar çevrim içi radikalleşmenin neresinde? 19 Ekim 2024

Hamam böceği yuvası mutfakta değil 10 Ekim 2024

YAZI ARŞİVİ

İşlemcilerde performansı arttırmak için kullanılan spekülatif yürütme ve dallanma öngörüsü mekanizmalarını kötüye kullanan Meltdown ve Spectre yan kanal saldırıları [0] ortaya çıktığından beri güvenlik araştırmacıları benzer açıkları bulmak üzere yoğun bir çaba sarf ediyor. İşlemci üreticilerinin tasarım süreçlerinde işlemci hızına yoğunlaşıp işlemci güvenliğini pek de umursamamaları nedeniyle benzer nitelikte azımsanamayacak sayıda açık bulundu. Her bir açık için işlemci üreticileri işlemcinin kendi dahili kodlarını güncelleyen mikrokod güncellemeleri yayınlıyor. Ve bu mikrokod güncellemelerinin çoğu işlemci performansında hissedilebilir düşüşlere yol açıyor.

İki hafta kadar önce L1 Terminal Fault(L1TF) ya da Foreshadow olarak adlandırılan ve Intel işlemcilerin 1. seviye ön belleğinden(L1 Cache) veri çalabilen üç yeni açık duyuruldu[1]. Söz konusu açıklar Intel’in Temmuz ayında yayınladığı mikrokod güncellemeleri ile sunucu işlemcileri için büyük ölçekte çözülmüştü. Masaüstü işlemcileri için de yamalar kısa sürede geldi. Ancak yamalarla birlikte gelen lisans metni ufak ama fazlasıyla can sıkıcı bir madde içeriyordu: …(yamaların) performansa etkisi ile ilgili herhangi bir test ve değerlendirme sağlayamaz, yayınlayamazsınız[2].

Intel bu lisans maddesinin gündem olmasının ardından kısa süre içinde geri basıp yeni bir lisans metni yayınlamak zorunda kalsa da niyeti oldukça açıktı: bu ve benzeri yamaların performansa etkileri şirketlerden gelen resmi açıklamalar dışında konuşulmasın. Meltdown ve Spectre krizinin başından beri işlemci üreticileri yamaların performansa çok da fazla etkisi olmadığı yönünde açıklamalarla krizin aslında bir kriz olmadığına kamuoyunu ikna etmeye çalışıyor. Öte yandan kullanıcılar hâlâ açıkların ve yamaların kendilerini ne kadar etkileyeceğine dair bir fikir sahibi değil. Bazı yamalar işletim sistemi güncellemeleri ile birlikte otomatik olarak yapılırken bazıları ise kullanıcıların BIOS/UEFI güncellemeleri yapmalarını gerektiriyor. Hangi kullanıcının hangi yamaları yapması gerektiği ve bu yamalar sonucunda ne kadar performans kaybı yaşayacağı ise meçhul.

İşin sunucu tarafında riske girmemek için bütün yamalar zaten mecburen yapılıyor. Orada hangi yama yapılmalı gibi bir tartışma zaten mevcut değil. Ancak sıradan kullanıcı için kendisini büyük olasılıkla etkilemeyecek bir saldırı için işlemci performansını ne kadar düşüreceği belirsiz bir yamayı yapmaya ya da yapmamaya karar vermek için daha fazla veriye ihtiyaç var. Ve bu veriyi krizin üstünü örtmeye çaba sarf eden işlemci üreticilerinin güvenilir bir şekilde sunamayacağı da neredeyse kesin.

[0] https://goo.gl/VB6MGZ

[1] https://goo.gl/Vgyq6B

[2] https://goo.gl/wESZU2