Linux yadrosida endi Spectre himoyasini o’chirib qo’yishning yangi imkoniyati mavjud.
Spectre yumshatishlarining ishlashga ta’siri ko’plab tizim ma’murlarini yamoqlarni o’rnatishga arziydimi yoki yo’qmi deb o’ylashga majbur qilmoqda.
Ajablanarlisi shundaki, ishlab chiquvchilar tomonidan mashhur Spectre sinfidagi zaifliklardan foydalanishning oldini olish bo’yicha amalga oshirilgan choralar ko’plab tizim administratorlari uchun haqiqiy bosh og’rig’iga aylandi, chunki ularning ba’zilari tizim ishiga sezilarli darajada ta’sir qiladi. Masalan, Single Thread Indirect Branch Predictors (STIBP) ko’rsatmasi PHP server ish faoliyatini 30% ga kamaytiradi, bu esa ko’plab administratorlarni yamoqlarni o’rnatishni ko’rib chiqishga majbur qiladi. Birinchi marta 2018-yil yanvar oyi boshida oshkor qilingan Meltdown va Spectre zaifliklari tajovuzkorlarga aksariyat zamonaviy protsessorlarda xotira izolyatsiyasi mexanizmlarini chetlab o’tish va parollar, fotosuratlar, hujjatlar, elektron pochta xabarlari va boshqa maxfiy ma’lumotlarga kirish imkonini beradi.
So’nggi bir yil ichida tizim va tarmoq ma’murlari Linux ishlab chiquvchilaridan ma’lum xavfsizlik choralarini o’chirib qo’yish variantlarini joriy etishni bir necha bor talab qilishdi va tahdid hali ham nazariy ekanligini va perimetr xavfsizlik choralarini amalga oshirish orqali uni kamaytirish mumkinligini ta’kidladilar. Linux loyiha jamoasi foydalanuvchilarni joylashtirish va himoyani o’chirib qo’yish uchun bir nechta variantlarni amalga oshirdi.
Masalan, Linux yadrosining 4.15, 4.17 va 4.19 versiyalari mos ravishda Spectre v2 (CVE-2017-5715), Spectre v4 (CVE-2018-3639) va Spectre v1 (CVE-2017-5753) ga qarshi yumshatishlarni o’chirib qo’yish imkonini beruvchi «nospectre_v2», «nospec_store_bypass_disable» va «nospectre_v1» parametrlarini qo’shdi. Yaqinda Linux yadrosiga PR_SPEC_DISABLE_NOEXEC parametri qo’shildi, bu ota-ona jarayoni tugatilganiga qaramay, Spectre yumshatishlari hali ham yoqilgan bo’lsa, bola jarayonining ishlashini oldini oladi.
Ba’zi kiberxavfsizlik mutaxassislarining fikriga ko’ra, ba’zi jarayonlar shunchaki Spectre himoyasini talab qilmaydi va yamoqlarning ishlashga ta’siri ularning afzalliklaridan sezilarli darajada ustun turadi, ayniqsa zararli kod kira olmaydigan yopiq muhitlarda, masalan, render fermalarida (kompyuter grafikasini ko’rsatish uchun klaster), jismonan izolyatsiya qilingan superkompyuterlarda yoki uchinchi tomon kodidan foydalanmaydigan boshqa tizimlarda.
