Debian rifiuta il nuovo microcode di intel
Su /.[¹] è riportata una notizia alquanto preoccupante per la sicurezza:
Bruce Perens writes: "The Register reports that Debian is rejecting a
new Intel microcode update because of a new license term prohibiting the
use of the CPU for benchmarks and profiling. There is a new license term
applied to the new microcode: "You will not, and will not allow any
third party to (i) use, copy, distribute, sell or offer to sell the
Software or associated documentation; (ii) modify, adapt, enhance,
disassemble, decompile, reverse engineer, change or create derivative
works from the Software except and only to the extent as specifically
required by mandatory applicable laws or any applicable third party
license terms accompanying the Software; (iii) use or make the Software
available for the use or benefit of third parties; or (iv) use the
Software on Your products other than those that include the Intel
hardware product(s), platform(s), or software identified in the
Software; or (v) publish or provide any Software benchmark or comparison
test results"
Questo cambio di licenza di intel può rendere davvero problematico il
lato sicurezza per i sistemi operativi distribuiti con licenza libera.
I problemi dei bug hardware che stanno continuamente uscendo obbligano
continuamente i produttori di CPU a creare mitigazioni (non patch) nei
microcode associate, in alcuni casi, a mitigazioni a livello di sistema
operativo o altro software (es: compilatori, browser, ...); queste
mitigazioni causano un progressivo degrado delle prestazioni e loro non
vogliono più permettere i confronti con la concorrenza, ...
Tenendo conto che le CPU che non saranno affette dai bug hardware che
vengono trovati oggi saranno sul mercato fra un bel po' di anni, secondo
me, vogliono evitare di far capire al pubblico non esperto che stanno
vendendo qualcosa di sempre più scadente e sempre meno sicuro.
Come mai vengono scoperti solo ora tutti questi problemi?
Dall'idea che mi sono fatto io è perché è sempre stato tenuto segreta
una parte delle informazioni e solo ora nascono strumenti che permettono
di individuare i punti "segreti" in cui cercare falle di sicurezza.
Ad esempio sandsifter[²], si può vedere una sua presentazione [³] che
permette di capire come è possibile arrivare ad estrarre tutte le
possibili istruzioni non documentate partendo da un numero potenziale
troppo grande per essere analizzato (probabilmente 2^64 * 3) ad un
insieme ristretto su cui indagare (probabilmente qualche milione).
Ciao
Davide
[¹]
https://linux.slashdot.org/story/18/08/22/2213233/intel-publishes-microcode-security-patches-with-no-benchmarks-or-profiling-allowed
[²] https://github.com/xoreaxeaxeax/sandsifter
[³] https://www.youtube.com/watch?v=KrksBdWcZgQ
--
Dizionari: http://linguistico.sourceforge.net/wiki
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: