Fortsett til innholdet.
Personlige verktøy

 

Seksjoner
Meninger, obervasjoner, erfaringer fra IT-markedet: IT-currents

Spectre 4.0

Publisert 06-05-2018 09:33 • Tags: SikkerhetTeknologi
Journalister blir ofte beskyldt for å gjøre hva som helst for en god historie. Nå ser vi forskere gjøre det samme. Finner marginale problemer, slår dem opp som verdens undergang. De fortjener å bli ignorert.

‘8 nye feil i Intel-prosessorer’ roper tyske forskere. De burde skamme seg. Påstandene vekker oppsikt, men er i realiteten like håpløse som ‘8 svakheter ved alle biler'. Eller et nærmest hvilket som helst annet produkt. Prosessorer er imidlertid et bedre mål for ‘forskningen’ fordi svært få forstår hvordan de fungerer og enda færre kan stille kritiske spørsmål til konklusjonene. Forskerne lister opp selvfølgeligheter i moderne prosessor-arkitekturer, kaller dem farlige, viser at de kan utnyttes og høster stor ære. Få skjønner hva de sier og enda færre tør å være kritiske - kalle en spade for en spade.

Realiteten er langt unna forskernes krisemaksimering, og vi har vært der før: Moderne prosessorer er raske, smarte og benytter alle triks i boka for å bli det. Hvis vi heller vil ha sakte, ineffektive og garantert sikre prosessorer, må vi stille akkurat det kravet. Ingen gjør det - heller ikke etter at media har boltret seg i irrelevans og skapt usikkerhet. Prisen er for høy, nytteverdien for liten.

Markedet trenger ikke denne støyen. Den er unyttig, kostnadsdrivende og utviklingshemmende – og bidrar til redusert sikkerhet fordi viktig sikkerhetsarbeid blir satt på vent. Kort og brutalt – hvis forskerne ikke har annet å forske på, bør de skifte beite.

Det som sannsynligvis kommer ut av Meltdown og Spectre 1.0 – den opprinnelige 'oppdagelsen' som ble publisert like etter årsskiftet (se Meltdown: Fra krise til farse), er en beskjeden og optimal endring i generelle prosessorer fra Intel og andre: Et flagg eller en instruksjon som kan slå av prefetching, enkelte caching-funksjoner, branch prediction og annet som kan oppfattes som risikabelt. Da kan kundene velge selv – i programmer, OS eller hardware/firmware. Sakte og sikkert eller raskt og normalt. En 'ja takk, begge deler' variant som både kan fungere og ha beskjeden kostnad.

I mellomtiden er de aller fleste tjent med å ignorere de fantasifulle trusselbildene og konsentrere seg om mer relevante utfordringer og trusler.


Se også Om (u)sikre CPUer og realisme og Meltdown og Spectre: Når støvet legger seg.