W zeszłym tygodniu światło dzienne ujrzały informacje o kolejnych lukach bezpieczeństwa procesorów x86. W odróżnieniu od Spectre/Meltdown podatność znalazła się tylko w procesorach Intela. Szybko wydano łatki i zaktualizowany mikrokod, ale sprawa podatności Microarchitectural Data Sampling po raz kolejny odświeżyła dyskusję o smutnym wyborze administratorów – wydajność czy bezpieczeństwo?

MDS to kolejna podatność, której całkowite załatanie jest niemożliwe. Według danych opublikowanych przez Intela, zmodyfikowany kod, który pozwala na jej ominięcie może powodować 3-procentowy spadek wydajności układów. Producent zaznacza jednak, że w określonych scenariuszach procesory zwolnią jeszcze bardziej. Dotyczy to także najnowszych układów 9. generacji, a także serwerowych procesorów Xeon 2. generacji.

Mowa tu wyłącznie o aktualizacjach pozwalających na ominięcie podatności, a przecież należy także uwzględnić, że część producentów systemów operacyjnych zdecydowała się na rekomendację całkowitego wyłączenia Hyper-Threadingu, czyli intelowskiej implementacji wielowątkowości. Ogranicza to atakującym możliwość przejmowania danych z bufora spoza własnej domeny, ale także powoduje kolejne spadki wydajności procesorów.

Zobacz też: Podatność MDS/ZombieLoad w procesorach Intela, konieczna aktualizacja mikrokodu

Od czasu upublicznienia pierwszych sprzętowych podatności znanych jako Spectre/Meltdown mieliśmy do czynienia z kilkoma iteracjami ataku wykorzystującego mechanizm predykcji procesorów. Każdorazowo wydawane aktualizacje negatywnie wpływały na wydajność procesorów, gdyż całkowite wyeliminowanie aktualizacją oprogramowania luk sprzętowych zwyczajnie jest niemożliwe. Nie będzie przesady w twierdzeniu, że procesory Intela z miesiąca na miesiąc, w miarę ujawniania kolejnych podatności, stają się coraz wolniejsze.

Wiemy już nawet o ile konkretnie. Według wyliczeń Quentina Adama, dyrektora wykonawczego francuskiego dostawcy usług PaaS Clever Cloud, na wszystkich podatnościach w procesorach Intela odnotowano dotąd straty rzędu… 25% mocy obliczeniowej w skali wszystkich serwerowni. Szacunki to obejmują okres zaledwie 18 ostatnich miesięcy. Uwzględniono spadek powodowany wyłącznie aktualizacjami mikrokodu i instalacją programów omijających podatności.

Zobacz też: Podatność w procesorach Intela – jak sprawdzić, czy twój komputer jest bezpieczny?

Szef Clever Cloud zwraca uwagę na jeszcze jedną kwestię. Spadki nie są odczuwalne dla klientów, gdyż Clever Cloud amortyzuje je poprzez dokładanie kolejnych układów. Słowem – aby zachować deklarowaną w ofercie wydajność, montuje w serwerach coraz więcej coraz mniej wydajnych procesorów. Rzecz w tym, że te nie tanieją. Dochodzi do patologicznej sytuacji, w której administratorzy dużych usług płacą Intelowi więcej i więcej, a dostają coraz mniej.

Tweet spotkał się ze sporym zainteresowaniem i dość gorzką diagnozą. Według komentujących aktualna sytuacja na rynku procesorów daje trzy opcje: cena, wydajność i bezpieczeństwo. Administratorzy mogą jednak wybrać tylko dwie z nich.