Notizie su bug CPU e strategia che verrà adottata su Linux (?)
Apro questa discussione per aggiornare sulla situazione con quanto ho
letto ultimamente sui problemi di sicurezza delle CPU e come
sono/verranno affrontati.
Greg Kroah-Hartman, il manutentore del ramo stabile di Linux, ha
detto[¹] (faccio una traduzione/riassunto) che i problemi di sicurezza
delle CPU saranno tra noi per un tempo molto lungo. Sono tutti problemi
di bug di CPU e in un certo modo sono tutti lo stesso problema, ma
ognuno deve essere risolto con una modalità propria. Tutti sono
potenzialmente mortali per la tua sicurezza. Ad esempio RIDL e
Zombieload possono rubare dati tra applicazioni, macchine virtuali,
anche enclavi di sicurezza.
Per risolvere ognuno di questi occorre applicare patch a Linux, al
microcode a al BIOS della propria CPU. Qualsiasi sistema operativo ne è
affetto.
Esperti di sicurezza ritengono che la miglior risposta a questa classe
di problemi sia disattivare l'SMT (Simultaneous MultiThreading) e subire
la diminuzioni di prestazioni. Linux ha adottato questa strada, ma non è
sufficiente. Bisogna rendere sicuro il sistema operativo su ogni nuova
modalità che può venir trovata per bucare l'hyper-threading. Per Linux
questo significa fare il flush dei buffer di CPU ogni volta che c'è un
cambio di contesto (es: quando la CPU ferma l'esecuzione di una VM e ne
avvia un'altra). Ogni flush impiega un sacco di tempo.
La cattiva notizia è che ora bisogna scegliere tra sicurezza e
prestazioni. E questa non è una buona scelta.
Quindi vuol dire che verrà tolto il supporto per l'SMT su Linux di
default? Verrà attivato il flush ad ogni cambio di contesto?
Vuol dire che le macchine non recentissime non saranno più in grado di
eseguire programmi attuali e quelle attuali saranno lentissime...
Inoltre ho letto che Intel ha proposto l'adozione di un nuovo tipo di
memoria che dovrebbe in teoria eliminare tutti i tipi di problemi di
Side-channel attack.
Ciao
Davide
[¹]
https://linux.slashdot.org/story/19/10/28/2325230/top-linux-developer-on-intel-chip-security-problems-theyre-not-going-away
--
Dizionari: http://linguistico.sourceforge.net/wiki
Elenco di software libero: http://tinyurl.com/eddgj
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: