Greg Kroah-Hartman è il manutentore del kernel Linux e cura il rilascio delle varie point-release dando una mano a Linus Torvalds. Hartman è intervenuto all’Open Source Summit Europe e ha detto la sua circa i problemi di sicurezza legati all’esecuzione speculativa delle CPU (principalmente quelle Intel).
A gennaio 2018 sono state rese di pubblico dominio le prime falle note come Meltdown & Spectre di cui sono poi sono emerse diverse varianti. Si tratta di attacchi side-channel che sono stati risolti mediante patch al sistema operativo, aggiornamenti del firmware e altri accorgimenti. A marzo 2018 è stata trovata una nuova vulnerabilità nota come Branchscope mentre quest’anno, a maggio, sono comparse le falle note come MDS (Microarchitectural Data Sampling).
Dal 2018 ad oggi sono state scoperte poi diverse altre falle più o meno gravi: ognuna richiede accorgimenti specifici. Per risolvere questi problemi è necessario patchare sia il kernel Linux che il BIOS ma anche il microcodice della CPU.
Tutte queste falle riguardano l’esecuzione speculativa che consente alle CPU di eseguire istruzioni in modo speculativo, sulla base di ipotesi considerate verosimili, migliorando sensibilmente le prestazioni. Il Microarchitectural Data Sampling ad esempio consente a un programma di leggere dati che altrimenti non sarebbe in grado di vedere.
Hartman drastico sulle CPU Intel: “Emergeranno presto nuove falle”
“Questi problemi staranno con noi per molto tempo. Sono tutti bug delle CPU, in un certo senso sono tutti lo stesso problema. MDS, RDDL, Fallout, Zombieload: sono tutte varianti dello stesso problema di fondo. RIDL e Zombieload , ad esempio, possono rubare dati da applicazioni, macchine virtuali, persino enclavi sicure come il contenuto di Intel Software Guard Extensions (SGX)”.
Secondo Hartman la miglior soluzione al problema è stata trovata da OpenBSD che ha deciso di disattivare il multithreading (SMT) nonostante il drastico calo delle performance.
In ambiente Linux per stare tranquilli bisogna svuotare i buffer della CPU ogni volta che si verifica un context-switch (ad esempio quando la CPU smette di eseguire una VM per avviarne un’altra).
Ogni svuotamento del buffer richiede molto tempo: al crescere del numero di macchine virtuali e container in esecuzione cresce il tempo perso. Bisogna quindi decidere: prestazioni o sicurezza? Per stare tranquilli bisogna installare una delle ultime distribuzioni: Ubuntu, Debian, Red Hat o SUSE e il più recente kernel Linux LTS.
Fino a quando la corrente generazione di CPU Intel (ma non solo…) sarà installata su computer e server questa tipologia di problematiche sarà sempre dietro l’angolo.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.