.. Kenneth Lee 版权所有 2018-2020
:Authors: Kenneth Lee :Version: 1.0
给程序员解释Spectre和Meltdown漏洞
我犹豫了很久要不要写这篇东西。伦理上我当然不想鼓励攻击行为,所以更好的方法是不 要讨论它。问题是这玩意儿论文都出来了,不讨论它似乎又是掩耳盗铃。所以,不轻不重 地讨论一下吧。
Spectre和Meltdown是缓冲时延旁路攻击的两种实际攻击方法。
什么叫旁路(Side Channel)攻击呢?就是说,在你的程序正常通讯通道之外,产生了一 种边缘特征,这些特征反映了你不想产生的信息,这个信息被人拿到了,你就泄密了。这 个边缘特征产生的信息通道,就叫旁路。比如你的内存在运算的时候,产生了一个电波, 这个电波反映了内存中的内容的,有人用特定的手段收集到这个电波,这就产生了一个旁 路了。基于旁路的攻击,就称为旁路攻击。这个论文对这种攻击有一个归纳: https://csrc.nist.gov/csrc/media/events/physical-security-testing-workshop/documents/papers/physecpaper19.pdf 。读者可以体会一下可能的攻击方法:时延,异常(Fault),能耗,电磁,噪声,可见光 ,错误消息,频率,JTag等等,反正你运行总是有边缘特征的,一不小心这个边缘特征就 成了泄密的机会。
缓冲时延(Cache Timing)旁路是通过内存访问时间的不同来产生的旁路。假设你访问一 个变量,这个变量在内存中,这需要上百个时钟周期才能完成,但如果你访问过一次,这 个变量被加载到缓冲(Cache)中了,下次你再访问,可能几个时钟周期就可以完成了。这 样,如果我攻击一个对象(比如一个进程,或者内核),要得到其中某个地址ptr的内容, 我只要和它共享一个数组,然后诱导它用ptr的内容作为下标访问这个数组,然后我检查这 个数组每个成员的访问时间,我就可以知道ptr的值了。
你一定觉得这是不可能的,对吗?在Cache Timing Side Channel刚被提出来的时候,大家 也是认为出问题的机会是很小的,只是理论上有效而已——直到Spectre和Meltdown被提出来 (其实之前已经有人用这种方法来对内核地址随机化(KSLR)进行攻击了,Spectre和 Meltdown只是综合利用了预执行的漏洞而已)……
这个事情坏就坏在现代的CPU基本上都支持指令预执行。比如,下面这段代码:::
if(condition)
do_sth();
你以为condition不成立,do_sth就不会执行,但condition存在内存上,从内存中把 condition读出来,可能要几百个时钟周期,CPU闲着也是闲着,于是,它好死不死,它偷 偷把do_sth()给它执行了!CPU本来想得好好的:我先偷偷执行着,如果最终condition不 成立,我把动过的寄存器统统放弃掉就可以了。
问题是,大部分CPU在执行do_sth()的时候,如果有数据被加载到Cache中了,它是不会把 它清掉的(因为这个同样不影响功能),这样就制造了一个“不同”了,旁路就产生了。
现在我们来看看Meltdown是怎么构造的。假设我现在在用户态执行一个程序,我可以在程 序中制造这样一段代码:::
raise_exception();
access(probe_data[data*4096]);
其中,raise_exception()表示制造一个异常,比如你除零错,或者访问非法地址之类的。 后面那个数组是我(攻击程序)自己创建,我可以通过访问另一个一样大的数组一类的手 段,导致这个数组的Cache全部被清掉。这样,理论上我访问这个数组的每个成员的时间都 应该要数百时钟周期。
然后data是内核的一个地址(我想攻击的那个地址。另,为了避免部分人误会,严格来说 ,ptr的值是内核的一个地址,而data=*ptr),理论上这个地址我是没有权限访问的,但 第一句话产生一个异常后,系统已经陷入到内核了。又“照理说”,access那一句是不应该 执行的,但CPU又把它预执行了,这样,数组probe_data中的其中一个(下标等于data的) 成员就被Load进Cache了。
等异常从内核返回后,我检查一下probe_data每个成员的加载速度(如果data的大小是字 节,这个数组只要256项(乘4096是为了让cacheline隔开而已),我就足以偷到内核中的 一个字节了)。然后重复这个过程,我就可以读出内核中的所有数据,包括你的root密码 了。
按Meltdown论文的说法,他们在Intel的CPU上可以用五百多K每秒的速度Dump内核映像!
还是那句话,恐怖不恐怖?惊喜不惊喜?
为了解决这个问题,Linux上现在提出的解决手段是KPTI(通用技术称为Kaiser),内核和 用户态不共享页表,每次你异常、IO、系统调用,都要把内核页表重新装进来。
现在我们来看看Spectre攻击。Meltdown只能从用户态攻击内核,Spectre攻击就灵活多了 ,它可以攻击任何有缺陷的对象。它要求被攻击的对象里面有如下Pattern的代码:::
if(index1<array_a_size) {
index2=array_a[index1];
if(index2 < array_b_size);
value = array_b[index2];
}
我们可以看到,理论上,如果index1越界,后面的代码不会被执行。但按预执行理论,即 使index1超出了array_a_size的范围,它还是会“预执行”,一旦这个预执行被执行,我就 可以通过控制index1的长度,让array_b的特定下标的数据Cacheline被点亮,如果我有办 法访问一次array_b的全部内容,index1的内容就被我抠出来了。
要营造这样一种情形,其实是相当不容易的。既要有这样的Pattern,还要让攻击程序有办 法访问array_b。但如果你的程序在执行我写的代码呢?比如Linux Kernel执行EBPF( Spectre的论文就是用这种手段构造这种攻击的),或者你的浏览器执行别人网页上的 JavaScript呢?
你以为你的eBPF和Java Script已经经过了安全检查了,肯定不会访问你的重要数据的,结 果,指令预执行把你给出卖了。
Spectre有两种变体,一种依靠默认的预执行行为,一种是利用预执行预测算法的BTB Aliasing漏洞在攻击程序中控制预执行的行为,然后再投入对问题代码的攻击。
相比Meltdown,Spectre是个更麻烦的东西,一方面它不容易构造,大家都有侥幸心理,希 望没有问题,另一方面,它的攻击面又很大,大家都冒不起这个险。最保险的方式是关掉 指令预测,但部分报告说关掉这个预测,性能可以直接下降到原来的10%,一朝回到解放前 。
现在一般公司用的方法是半人工检查有没有这种模式,同时在不同区域切换的时候清空BTB (避免攻击程序训练被攻击程序),x86的IBPB和IBRS,ARM的IC IALLU等,都是这种手段 ,但暂时来说,性能损失都是相当大的。
对于BTB攻击,Google提出另一个软件方案,叫retpoline,所谓“ret蹦蹦床”,它认为CPU 预执行就像一个精力过度充沛的孩子,闲不下来,所以,在每个可以产生指令预执行的地 方都制造一个蹦床,让CPU在那里跳,而不会往下走。这个手段其实很简单,比如你原来要 这样执行的:::
jmp %eax
do_sth
现在可以改成这样:::
call 2f
1:
pause
jmp 1b
2:
mov %eax, (%esp)
ret
do_sth
跳转会在2分支上发生(ret不使用BTB),而预执行会被骗到1分支上蹦跶。但其实我认为 这个方案在很多CPU上是有问题的,参考这里:Is retpoline really safe?。因为这个方 案仅仅保护绝对地址跳转,不保护相对地址跳转,但BTB训练是可以训练相对地址的。如果 把所有相对地址都修改为ret调用,这个成本就不见得低了。
另外,这个方案要求修改编译器,然后要求你重新编译所有的代码(请注意,你不是只有C 代码),这个移植成本和性能成本有多大,估计你也能猜到了。但相对来说,它比起关闭 指令预测,还是快多了。
这些攻击都是深刻种在CPU设计理念中的,只要你做高速CPU,不做指令预测和预执行几乎 是不可能的。AMD开始认为自己免疫,估计现在不敢这么说了。ARM处理器也好不到哪里去 。因为整个行业的芯片设计者都没有考虑过这个问题,所以,中不中招,完全是个运气问 题。但总得来说,它对Intel的影响更大,因为Intel的量大,而且换代速度更慢一些。
而且,我认为,很多的芯片设计师并没有很严肃看待这件事,预执行为CPU性能提升带来很 很多红利。他们很辛苦对预测执行进行优化,这些优化都没有考虑Cache加载带来的影响。 他们一点都不想放弃这些红利。所以,很多设计师的思路还停留在如何补救Spectre和 Meltdown引起的漏洞上。
但只要Cache还在发生变化,新的漏洞会被陆续发现,比如最新提出的:Skyfall 和 Solace。(参考:https://skyfallattach.com)
所以,做CPU的同学们严肃点,别指望可以糊弄过去。这个问题也不是软件可以解决的:你 们想象一下,我写一段代码,已经给CPU说了,“如果如何如何,就不要如何如何”,结果你 CPU告诉我,“逻辑上,我会这么控制你的执行流程,但设计上,麻烦你考虑一下,如果我 不这样执行,你的Cache可能会变哦,所以请你再考虑一下Cache上的影响,会不会导致你 泄密好吗?”——你给我这样写程序试试?一两个关键函数这样搞还马虎接受,所有软件写作 的时候都要这样来考虑?你干脆别提供指令集算了。对99%的软件来说,预执行和Cache都 是透明的好不好?你们十年来取得的成就很了不起,但和安全比起来,呵呵……呵呵。