01net

Meltdown e Spectre, le patch rallentano i sistemi

Le patch prodotte per correggere le vulnerabilità Meltdown e Spectre cominciano a essere disponibili e, come previsto, oltre alla risoluzione dei problemi di sicurezza bisogna fare i conti con il preannunciato calo di prestazioni dei sistemi.

La scorsa settimana Microsoft aveva confermato che i computer subiranno un rallentamento, e che saranno quelli più obsoleti a mostrare le conseguenze più evidenti dell’installazione delle patch.

Ora anche Intel conferma. La società ha i pubblicato dati che descrivono le conseguenze delle patch sulle Cpu Core di sesta, settima e ottava generazione.

In sintesi, i processori Core di ottava generazione saranno quelli che subiranno un impatto minore dalle patch, con SSD il calo nelle prestazioni complessive sarà fra il 4 e il 6% per la normale operatività e con un calo di reattivià del 12%. I processori Intel di settima generazione avranno conseguenze simili, con un aumento della perdita di reattività al 14%, mentre i core di sesta generazione saranno quelli più inficiati, con perdita di prestazioni del 10% e superiore al 20% nella reattività.

La spiegazione di Microsoft

Poiché i client Windows interagiscono con il codice non attendibile in molti modi, tra cui la navigazione di pagine web con pubblicità e applicazioni di download, Microsoft consiglia di proteggere tutti i sistemi con gli aggiornamenti Windows Update e aggiornamenti del microcodice.

Per Windows Server, dice Microsoft, gli amministratori devono assicurarsi di disporre di mitigazioni a livello di server fisico per poter isolare i carichi di lavoro virtualizzati in esecuzione sul server.

Per i server on premise questo può essere fatto applicando al server fisico l’appropriato aggiornamento del microcodice e, se si utilizza l’aggiornamento Hyper-V utilizzando la versione recente di Windows Update.

Se si esegue su Azure, non è necessario adottare alcuna misura per raggiungere l’isolamento virtualizzato in quanto abbiamo già applicato gli aggiornamenti dell’ infrastruttura a tutti i server in Azure che assicurano che i carichi di lavoro sono isolati da altri clienti in esecuzione nel nostro cloud. Ciò significa che altri clienti che utilizzano Azure non possono attaccare le macchine virtuali o applicazioni utilizzando queste vulnerabilità.

I clienti di Windows Server, in esecuzione sia in locale che nel cloud, devono anche valutare se applicare ulteriori mitigazioni di sicurezza all’ interno di ciascuna delle loro istanze fisiche o guest VM di Windows Server.

Queste mitigazioni sono necessarie quando si esegue un codice non attendibile all’ interno delle istanze di Windows Server (ad esempio, si consente ad uno dei clienti di caricare un frammento binario o di codice che si esegue all’interno dell’ istanza di Windows Server) e si desidera isolare l’applicazione binaria o il codice per assicurarsi che non possa accedere alla memoria all’interno dell’ istanza di Windows Server a cui non dovrebbe avere accesso.

Non è necessario applicare queste mitigazioni per isolare le macchine virtuali Windows Server da altre macchine virtuali su un server virtualizzato, in quanto sono invece necessarie solo per isolare il codice non attendibile in esecuzione all’ interno di una specifica istanza di Windows Server.

Microsoft ricorda che attualmente supporta 45 edizioni di Windows. Le patch per 41 di esse sono già disponibili tramite Windows Update.

La questione performance

Microsoft notava sul proprio blog relativo alla sicurezza come molti dei parametri di riferimento pubblicati non comprendessero aggiornamenti del sistema operativo e del silicio.

In generale le mitigazioni della variante 1 e della variante 3 hanno un impatto minimo sulle prestazioni, mentre la riparazione della variante 2, inclusi OS e microcodice, ha un impatto sulle prestazioni.


Con Windows 10 su silicio più recente (2016-era PC con Skylake, Kabylake o CPU più recente), i benchmark di Microsoft mostrano rallentamenti a una sola cifra, ma non si aspettiamo che la maggior parte degli utenti noti un cambiamento perché queste percentuali si riflettono in millisecondi.
Con Windows 10 su vecchio silicio (2015-era con CPU Haswell o meno recente), alcuni benchmark mostrano rallentamenti più significativi.
Con Windows 8 e Windows 7 su vecchio silicio (2015-era con CPU Haswell o precedente), ci si aspetta che la maggior parte degli utenti notino una diminuzione delle prestazioni del sistema.
Windows Server su qualsiasi silicio, specialmente in qualsiasi applicazione ad alta intensità di IO, mostra un impatto più significativo sulle prestazioni quando si abilitano le mitigazioni per isolare il codice non attendibile all’ interno di un’ istanza di Windows Server. Questo è il motivo per cui si desidera fare attenzione a valutare il rischio di codice non attendibile per ogni istanza di Windows Server, e bilanciare la sicurezza rispetto ai compromessi in termini di prestazioni per l’ ambiente.