Re: Ancora su Spectre e Meltdown

To: debian-italian@lists.debian.org
Subject: Re: Ancora su Spectre e Meltdown
From: Davide Prina <davide.prina@gmail.com>
Date: Sun, 21 Jan 2018 13:24:03 +0100
Message-id: <[🔎] 97d0f91b-6ea4-d28b-35fd-9d295b539e69@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] fce5qeFe4ttU1@mid.individual.net>
References: <[🔎] CA+vfGHbT3gGO9zU9FM54jrCQzbNTxVBYMZ6S6rQ1wKojv89xew@mail.gmail.com> <[🔎] fce5qeFe4ttU1@mid.individual.net>

On 19/01/2018 13:15, Alessandro Pellizzari wrote:

On 18/01/2018 22:10, Luca Costantino wrote:
Ho scaricato il tool messo a disposizione su GitHubhttps://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh percontrollare se il proprio sistema è disponibile.


$ apt show spectre-meltdown-checker
Package: spectre-meltdown-checker
Version: 0.31-1
[...]
Homepage: https://github.com/speed47/spectre-meltdown-checker
[...]
Description: Spectre & Meltdown vulnerability/mitigation checker
 A simple shell script to tell if your Linux installation is vulnerable

against the 3 "speculative execution" CVEs that were made public early2018.

Sul github c'è la 0.32 che ha un po' di modifiche aggiuntivi: valore diritorno dello script, parametro --coreos, diverse modifiche sparse

Interessante perché permette anche di testare una versione di Linux nonin esecuzione e quindi vedere il progresso rispetto alla versioneprecedente.

Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio2018), eppure mi ritrovo ancora il sistema vulnerabile nella parteiniziale del secondo attacco...

da quello che ho letto io non è possibile correggere questi"comportamenti" delle CPU, ma solo mitigarli

Immagino che per mitigare gli altri attacchi debba aspettare almeno4.5, giusto?

per chiarezza mitigare non vuol dire eliminare/risolvere il problema, mavuol dire soltanto diminuire il suo impatto. Il problema rimane sempre.Da quello che ho letto l'unico modo di risolvere il problema è cambiare CPU.

Però Intel, secondo me, potrebbe metterci anche anni prima di buttarfuori un processore che non ha questi "problemi" (che non li mitiga, mali elimina alla radice). È stata "sfortunata" che chi ha cercato "bug"hardware ha usato processori Intel. Questo potrebbe voler dire che in unprossimo futuro potrebbero uscire problemi che hanno altre marche diprocessori e non Intel...

È uscito da poco un post di Kroah sull'argomento:

http://kroah.com/log/blog/2018/01/19/meltdown-status-2/


$ grep . /sys/devices/system/cpu/vulnerabilities/*

grep: /sys/devices/system/cpu/vulnerabilities/*: File o directory nonesistente

$

 If your kernel does not have that sysfs directory or files, then
 obviously there is a problem and you need to upgrade your kernel!

$ uname -v
#1 SMP Debian 4.14.13-1 (2018-01-14)

infatti in testing è arrivato solo ora il primo aggiornamento a Linuxcon mitigazioni Spectre/Meltdown


 Some “enterprise” distributions did not backport the changes for this
 reporting, so if you are running one of those types of kernels, go bug
 the vendor to fix that, you really want a unified way of knowing the
 state of your system.

ma chi usa stable aggiornato, e che dovrebbe avere mitigazioni maggiori,ha quella directory?


 these files are only valid for the x86-64 based kernels, all other
 processor types will show something like “Not affected”. As everyone
 knows, that is not true for the Spectre issues, except for very old
 CPUs

Infatti leggevo che per ARM non si sa ancora quando verranno inserite lepatch.


 I need to go find a working microcode update to fix my laptop’s CPU so
 that it is not vulnerable against Spectre

leggevo che l'ultimo microcode rilasciato da intel causava crash casualisu diverse sue CPU...

Però qui dice che spectre può essere risolto, e quindi non mitigato, conun aggiornamento del microcode? A me risultava che tutti questi problemipotessero essere solo mitigati e non risolti.

Per mitigare lo spectre bisogna ricompilare il kernel con un compilatorepatchato per retpoline.

ma non dovrebbe essere per mitigare spectre ed avere impatti minimisulle prestazioni (0-1,5%) bisogna... questo perché le altre metodologiehanno impatti non trascurabili sulle prestazioni

Inoltre sembra che reptoline sarà disponibile solo sui rami 4.9, 4.14 eda 4.15 in poi.

Credo che ci vorranno settimane per vedere tutti gli exploit mitigati opatchati, con una combo di kernel, compilatore, firmware e forse anchequalche utility in user-space.

Penso che l'unica sia tenere aggiornato e incrociare le dita. :)

però, da quello che leggevo, non è conosciuto ancora nessun tipo diattacco che sia in grado di sfruttare queste "funzionalità" disuper-lettura.


Da quello che ho letto mi è sembrato di capire che:

* soluzione sicura/definitiva: cambio CPU, ma non si sa quale sial'acquisto da fare: intel e altri potrebbero metterci anni a progettaree implementare CPU sicure; la ricerca di problemi di sicurezza hardwareè agli albori e a breve potrebbero uscire "funzionalità" più pericolosedi quelle trovate fin'ora

* le mitigazioni di sicuro non riguarderanno tutti i processori chesoffrono delle vulnerabilità trovate (solo processori abbastanza recentiavranno mitigazioni complete) e quindi ci saranno dispositivi cheresteranno privi di protezione per anni (si pensa ad esempio a moltitelefonini e vecchi PC) fino a quando non verranno rottamati

* c'è una fascia di dispositivi, soprattutto IOT, che sono fatti percostare poco e avere così un ampio mercato. Per molti di questi nonesiste un piano di aggiornamenti di sicurezza (anche se ci fosserol'utente normale non sarebbe in grado di farli) e di solito laprogettazione dell'hardware salta completamente la parte sicurezza perabbassare i costi

Infine una nota: come dicevo è arrivato in testing la prima patch aLinux con mitigazioni, se non ho capito male, per spectre e meltdown(solo variante 3). Il sistema sembra usabile normalmente per ora, solouna cosa è diventata praticamente inusabile da quanto è diventata lenta:uso virtualbox con varie macchine Debian (probabilmente tutte old-stableo più vecchie) su cui eseguo alcune attività; le macchine partono esembrano funzionare abbastanza normalmente, ma per alcune cose, cheerano già abbastanza lente, ora sono diventate di una lentezza che lerende inutilizzabili. Magari queste patch richiedono un maggior uso diRAM o risorse... e io ero già al limite prima (ogni tanto dovevoterminare con killall -9 e riavviare il processo).


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Elenco di software libero: http://tinyurl.com/eddgj
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

Follow-Ups:
- Re: Ancora su Spectre e Meltdown
  - From: Davide Prina <davide.prina@gmail.com>

References:
- Ancora su Spectre e Meltdown
  - From: Luca Costantino <luca.costantino@gmail.com>
- Re: Ancora su Spectre e Meltdown
  - From: Alessandro Pellizzari <shuriken@amiran.it>

Prev by Date: Sincronizzare automaticamente una chiavetta usb
Next by Date: Re: mini.iso non allineata.
Previous by thread: Re: Ancora su Spectre e Meltdown
Next by thread: Re: Ancora su Spectre e Meltdown
Index(es):
- Date
- Thread