La începutul acestui an, o bomba a fost aruncată pe internet – s-au găsit vulnerabilități critice în procesoarele moderne, care permit furtul datelor personale sensibile (de exemplu, parolele stocate). Aceste defecte de hardware pot fi deja abordate de către patch-urile de securitate, dar … remedierile în sine cauzează probleme diferite. Am testat modul în care instalarea soluțiilor afectează sistemele GE Smallworld GIS.
Meltdown și Spectre – ce se întâmplă?
În general, defectele se bazează pe executarea speculativă greșită. Până în prezent, există trei variante cunoscute ale problemei:
- Operațiuni speculative de gestionare a erorilor de execuție (CVE-2017-5754) – „Meltdown”
- Limitele de execuție speculative – verificare bypass (CVE-2017-5753) – „Spectre”
- Execuție speculativă ramură țintă injecție (CVE-2017-5715) – „Spectre”.
Prima vulnerabilitate (cunoscută sub numele de Meltdown) permite citirea întregului conținut al memoriei sistemului, inclusiv a informațiilor sensibile, a parolelor și a altor zone “secrete”, printr-un proces neavizat (de ex., care rulează pe un cont de utilizator obișnuit). Atacul poate funcționa pe aproape toate procesoarele Intel fabricate după 1995, astfel încât problema privește computerele personale, dispozitivele mobile și serverele cloud.
Alte două defecte (numite “Spectre”) permit oricărui proces să citească memoria altor procese (dar nu datele de kernel) și să fure informații de la acestea. Aici sunt vulnerabile procesoarele Intel, dar și CPU-urile AMD și ARM (folosite de exemplu la smartphone-uri).
În prezent există patch-uri împotriva acestor defecte atât pentru Windows cât și pentru Linux. Înseamnă că problema este rezolvată? Din păcate, nu în întregime … Majoritatea rapoartelor despre Meltdown și Spectre afirmă că soluțiile vin cu costuri de performanță (și asta nu e tot – în conformitate cu cele mai recente știri, patch-urile pot chiar să blocheze anumite sisteme).
Cât de mult îi afectează pe utilizatorii Smallworld?
Am verificat cum patch-urile afectează serverul cu Smallworld 4.3 TSB 9 instalat. Echipa noastră a efectuat teste de performanță limitate folosind sistemul de arhitectură simplă. Testele au fost efectuate pe un PC care rulează Windows 10 Professional 1709 cu:
- Intel i7-7700 3.6 GHz (4 cores / 8 threads)
- RAM 16 GB DDR4
- SSD NVMe 256 GB
Smallworld Core versiunea 4.3 cu cea mai recentă actualizare TSB 9 a fost instalată. Pentru a face testele am folosit baza de date demonstrativă Cambridge care vine cu produsul. Pentru început, am testat performanța SWMFS în sistemul de operare fără remedierea Meltdown/Spectre în scenariile:
- durata medie de realizare a trei copii de rezervă ale bazei de date Cambridge
- durata medie a citirii și scrierii sintetice utilizând instrumentul swmfs_test (1,000,000 blocks).
Rezultatele
Durata medie pentru salvarea bazei de date Cambridge pe sistem fără remedierile Spectre / Meltdown a fost de 5 minute și 20 de secunde. După instalarea patch-urilor BIOS și a actualizării Windows, timpul mediu de copiere a fost de 5 minute și 55 de secunde. Aceasta înseamnă că scăderea performanței a fost de ~ 10%.
Pentru testele sintetice cu instrumentul swmfs_test (citire și scriere 1.000.000 blocuri) rezultatul a fost:
- 66.03 secunde pentru sistem fără remedierile Meltdown / Spectre
- 87.68 secunde pentru sistem cu remedierile Meltdown / Spectre (performanța scade cu ~25%).
Este important să rețineți că testele sintetice monitorizează caracteristicile selectate care simulează comportamentul serverului la încărcarea extremă. Aceasta poate să nu reflecte performanțele operațiilor din viața reală, cum ar fi inserarea sau căutarea obiectelor în baza de date Smallworld. Scăderea performanței de 25% este un caz extrem, care probabil nu va fi observat în timpul utilizării reale a sistemului.
Încă o mențiune importantă – scăderea performanței nu este cauzată de sistemul Smallworld în sine. Acesta este doar impactul remedierilor care blochează pur și simplu operațiile selectate ale procesoarelor.
Ce puteți face în privința scăderii performanței?
Vestea proastă este că patch-urile de securitate disponibile inhibă inevitabil performanța generală a serverelor și a stațiilor de lucru. În cazul sistemului Smallworld, performanța reală va fi afectată între 5% și 25%.
Cea mai bună modalitate de a câștiga din nou productivitatea pierdută este de a efectua în primul rând un audit al performanței mediului dvs. Smallworld. Aceasta include identificarea și analiza deep-down atât a decalajelor de productivitate, cât și a oportunităților de optimizare. Apoi, ar trebui să urmeze implementarea unor remedii pe diferite niveluri ale mediului Smallworld. Acesta este locul unde echipa de asistență Globema vă poate ajuta – avem experiență în astfel de proiecte de audit și, de asemenea, instrumente dev & admin pentru a îmbunătăți eficiența operațională a Smallworld.
De asemenea, putem efectua analize de vulnerabilitate Meltdown / Spectre și să recomandăm acțiuni adecvate (ca în unele cazuri instalarea de patch-uri Meltdown / Spectre să nu fie necesară sau chiar nerecomandată!).
