Nella battaglia tra AMD e Intel, quali processori sono più sicuri?

La corsa di cavalli tra AMD e Intel è divertente da seguire, ma quando si tratta di sicurezza, c'è molto di più in gioco dei framerate nei giochi. Si profila un'apparizione spettrale che è facile da dimenticare. Gli exploit di esecuzione speculativa come Spectre e le sue varianti, così come ZombieLoad e una serie di altri attacchi del canale laterale, sono ancora più spaventosi che mai.

Intel ha visto il peso della colpa per la vulnerabilità, ma neanche i processori AMD sono esattamente liberi. Lontano da esso.

Entrambe le società sono state costrette a implementare patch di mitigazione e correzioni hardware proprie per assicurarsi che gli utenti rimangano al sicuro da questi exploit potenzialmente cattivi. Ma con tutto ciò che è stato fatto, qual è l'opzione più sicura e sicura per il 2019: Intel o AMD?

Combattendo dal primo giorno

exploit dello spettro di sicurezza del processore amd intel 2

I primissimi exploit rivelati durante l'ultimo doloroso anno e mezzo di rivelazioni di bug, furono Spectre e la sua variante, Meltdown. Ma dove gran parte del catalogo posteriore di AMD è stato influenzato dal solo Spectre, i chip Intel rilasciati nel lontano 2008 erano vulnerabili a entrambi. Altri exploit che sarebbero emersi nei mesi seguenti, tra cui Foreshadow, Lazy FPU, Spoiler e MDS, erano tutti vettori di attacco praticabili su CPU Intel, ma non su AMD.

Per il merito di Intel, ha combattuto la buona battaglia per i suoi utenti da quando questi exploit sono emersi, rilasciando correzioni di microcodice e mitigazione attraverso partner software come Apple e Microsoft, che rendono in gran parte ridondanti questi percorsi di exploit.

Intel ha anche iniziato a implementare correzioni hardware molto più permanenti su alcuni di questi exploit nei suoi ultimi processori. Queste correzioni funzionano indipendentemente dal microcodice e dagli aggiornamenti del software e rendono i processori selezionati sicuri e protetti da quegli attacchi particolari in virtù del loro design. Si tratta di prodotti che non presentano gli stessi difetti dei processori precedenti e rappresentano lo sforzo migliore per bloccare attacchi come Spectre.

Intel ha iniziato a implementare correzioni hardware nei suoi chip con il rilascio di CPU Whiskey Lake-U di ottava generazione, tra cui Core i7-8665U, i7-8565U e i5-8365U, che sono protette da Meltdown, Foreshadow e RIDL grazie all'hardware i cambiamenti.

La gamma desktop di chip di nona generazione, come 9900K, 9700K e 9600KF, include tutti la stessa mitigazione hardware. L'intera seconda generazione di processori Intel Xeon, basata sul design Cascade Lake di Intel, tuttavia, finora gode della più completa raccolta di correzioni hardware di tutte le CPU Intel, con solo Spectre v1 v2 e V4, che richiedono una certa protezione del software.

Ulteriori correzioni arriveranno nel tubo con la progressiva proliferazione di CPU mobili Ice Lake da 10 nm per tutto il resto dell'anno .

Intel Ice Lake non elimina il chip insicuro dello spettro
Walden Kirsch / Intel Corporation

In una discussione con Digital Trends, Intel ha chiarito che non esiste alcuna differenza sostanziale nella sicurezza tra le correzioni di microcodice / software e le mitigazioni dell'hardware.

Ma è importante notare che l'utente finale non deve intraprendere alcuna azione per essere protetto da correzioni hardware. Laddove sono richiesti aggiornamenti del sistema operativo o del software, è possibile che non vengano installati e che gli utenti possano essere vulnerabili.

Le correzioni hardware sono una soluzione molto più permanente al problema e, secondo Intel, "I futuri processori Intel includeranno mitigazioni hardware che risolvono le vulnerabilità note". È confortante sapere che Intel sta progettando i suoi prodotti futuri pensando alla sicurezza, ma quelle correzioni hardware lo faranno non essere esaustivo.

Come Paul Kocher, senior technology advisor di Rambus, ha detto a Digital Trends all'inizio di quest'anno: “Quando hai a che fare con la variante più elementare di Spectre, l'unica strategia che Intel ha articolato spinge il problema sul software in un modo che gli sviluppatori di software non sono attrezzati per gestire […] La soluzione proposta è tutto ciò che hai un ramo condizionale, quindi un'istruzione “if” in un programma, che potrebbe portare a problemi se fosse errata. Dovresti mettere un'istruzione chiamata "L Fence! Anche con il nuovo design, inserire L Fence deve impedire che si verifichino speculazioni e che abbia un impatto sulle prestazioni. "

Sebbene non sia così influenzato da Intel, AMD sta apportando anche correzioni hardware al suo hardware di nuova generazione. I suoi processori Ryzen 3000 presentano tutte le correzioni hardware per Spectre e Spectre V4, oltre alle protezioni del sistema operativo.

Il prezzo della sicurezza

Le correzioni hardware non sono importanti solo perché si assicurano che chiunque disponga di quel chip abbia le stesse correzioni immediatamente, ma poiché le correzioni hardware non hanno le stesse perdite di prestazioni di alcune patch software. In alcuni casi, devono disattivare in modo efficace funzionalità importanti per proteggere da determinati attacchi.

Sebbene non sia direttamente paragonabile agli effetti della mitigazione sui PC Windows, Phoronix ha condotto test approfonditi su come hanno influenzato la piattaforma Linux. Si nota un notevole calo delle prestazioni in una varietà di test. Nei casi in cui l'hyperthreading è stato completamente disattivato, come raccomandato da aziende come Apple e Google , si è verificato un calo medio del 25 percento delle prestazioni complessive .

AMD non era immune alla perdita di prestazioni con l'attenuazione del software in atto. I test di Phoronix hanno riscontrato un calo di alcuni percento nella maggior parte dei casi, sebbene in genere fossero molto meno impattanti di quelli di Intel. Ciò era vero anche nell'ultima serie di test con CPU Ryzen 3000 , in cui i chip Intel sono partiti più velocemente in alcuni casi ma sono diventati notevolmente più lenti dopo la mitigazione.

amd intel security amdslide01

Quando abbiamo contattato Intel per discutere del colpo di prestazioni derivante dalle sue mitigazioni dell'exploit, ha minimizzato l'impatto, suggerendo che, "in generale, mentre sono stati osservati impatti sulle prestazioni su carichi di lavoro selezionati per data center, per il consumatore medio l'impatto di queste correzioni è minimo."

Ci ha anche indicato un rapporto del blog sulla sicurezza, The Daily Swig , che ha raccolto una serie di affermazioni sul successo delle prestazioni dalle mitigazioni delle varianti di Spectre. I risultati sono stati per lo più positivi sul fronte Intel, con diverse fonti di Swig che suggeriscono che l'impatto sugli utenti finali è minimo. Tuttavia, ha dimostrato che in alcuni casi, in particolare nei datacenter e nei server cloud, alcuni test hanno visto un impatto del 10-15 percento rispetto alle correzioni.

Per quanto sia deludente perdere prestazioni su un processore, la preoccupazione maggiore è che i produttori di dispositivi non implementeranno le mitigazioni per paura che il loro dispositivo appaia meno capace della concorrenza. Intel ha reso le patch un'implementazione opzionale per i produttori di dispositivi e gli utenti finali. È qualcosa di cui Linus Torvalds, il creatore di Linux , è stato fortemente critico all'inizio del 2018 .

Quando abbiamo chiesto a Intel se questa pratica avrebbe continuato ad andare avanti, ha suggerito che non avrebbe imposto patch di sicurezza per i suoi partner, ma che, "Come sempre, Intel incoraggia tutti gli utenti di computer a assicurarsi che mantengano i loro sistemi aggiornati , in quanto è uno dei modi migliori per rimanere protetti. "

Far sì che chiunque lo faccia, che si tratti di uno smartphone o di un laptop, è qualcosa con cui molte aziende lottano, anche se è uno dei modi più importanti per proteggere i tuoi dispositivi da hacker e malware in generale. Quindi, il fatto che queste particolari patch possano causare cali delle prestazioni rende ancora più difficile la vendita. Soprattutto perché ci sono pochissime prove che suggeriscono che qualsiasi attacco di esecuzione speculativa abbia effettivamente avuto luogo in natura.

Nella nostra discussione con Intel sulla questione, ha nuovamente minimizzato la gravità di questi percorsi di exploit, affermando che "Lo sfruttamento delle vulnerabilità del canale laterale di esecuzione speculativa al di fuori di un ambiente di laboratorio è estremamente complesso rispetto ad altri metodi che gli aggressori hanno a disposizione".

Ha anche indicato uno studio Virginia Tech del 2019 che ha evidenziato come una media di appena il 5,5% delle vulnerabilità scoperte sia stata attivamente utilizzata in natura.

Non aver paura. Sii premuroso

Dato che Spectre e il suo genere sono spaventosi, le affermazioni di Intel dovrebbero mitigare questa paura. È improbabile che finora lo spettro sia stato sfruttato in natura. È anche probabile che chiunque cerchi di hackerare il tuo particolare sistema utilizzerà altri metodi prima ancora di prendere in considerazione un percorso di attacco come Spectre e le sue varianti. Ci sono modi molto più semplici per farlo. Non da ultimo solo chiamarti e cercare di ingegnerizzarti socialmente per rinunciare alle tue informazioni private.

Ma ciò non significa che non dovremmo tener conto delle nostre preoccupazioni per Spectre quando si tratta di acquistare nuovo hardware. Resta il fatto che l'hardware Intel è più suscettibile di quello di AMD, semplicemente perché esiste un numero maggiore di potenziali percorsi di exploit sulle CPU Intel e una maggiore dipendenza da patch software che potrebbero essere state o meno implementate.

Lisa Ku, CEO di AMD
AMD

L'hardware più recente di entrambe le società è più sicuro e meno influenzato dalle mitigazioni rispetto ai chip più vecchi. Troverai più correzioni hardware sia negli ultimi processori Ryzen serie 3000 che nei chip Intel di nona generazione. Ice Lake promette un numero sempre maggiore di correzioni e le indiscusse chip Intel Comet Lake S nel 2020 includeranno senza dubbio ulteriori correzioni.

Se sei preoccupato per Spectre, vale sicuramente la pena aggiornare il tuo processore a uno dei chip di ultima generazione di Intel e AMD. Se sei particolarmente preoccupato o non vuoi preoccuparti delle patch software, le CPU AMD sono meno colpite da questi attacchi.

Vale anche la pena sottolineare che la maggior parte degli esperti con cui abbiamo parlato pensa di non aver visto l'ultimo di questi tipi di exploit, con un potenziale aumento del potenziale. Cioè, fino a quando Intel e i suoi contemporanei non sviluppano una nuova strategia preventiva, magari come un nucleo sicuro proprio sul dado . Quei potenziali nuovi exploit non scoperti potrebbero portare a un ulteriore degrado delle prestazioni anche sull'hardware esistente.

Questa è solo una speculazione; forse un modo adatto per guardare al futuro di un bug di esecuzione speculativa. Per ora, è improbabile che ci sia un impatto molto reale per la persona media quando si tratta di questo tipo di bug. Ma, se devi scegliere un vincitore in termini di sicurezza e prestazioni, non si può negare che l'hardware AMD abbia attualmente il vantaggio. L'hardware Intel è ancora eccezionale in molti modi, ma è qui che i suoi punti di forza sono rivolti contro di esso.