[Soci SLIP] La sicurezza non esiste (Patch PTI)
Gianluca Boero
gianlucaboero a alice.it
Gio 4 Gen 2018 20:02:13 CET
Quindi da ora in avanti converrebbe privilegiare l'acquisto di AMD a
sfavore di Intel?
Il 04/01/2018 00:34, Lucio Crusca ha scritto:
> Il 03/01/2018 13:10, Lucio Crusca ha scritto:
>> È di questi giorni la notizia che TUTTE le CPU Intel degli ultimi 10
>> anni circa, e forse anche le AMD (non confermato, AMD smentisce),
>
> Conferma ufficiale degli sviluppatori Linux: le CPU AMD non risentono
> di questo problema di sicurezza.
>
> Il problema per AMD adesso è un altro, se vi interessa sapere quale
> mettetevi comodi mentre vi racconto la storia per come la vedo io.
>
> Qualcuno, in un qualche giorno dei mesi passati, scopre il problema
> delle CPU Intel e lo segnala in forma privata ad Intel.
>
> Intel prende contatti con Microsoft ed Apple e sviluppa internamente
> una patch per il kernel Linux che implementa in software quella
> sicurezza che le CPU Intel sbagliano ad implementare in hardware. La
> patch porta con sé un peggioramento delle prestazioni della CPU di
> circa il 15% in determinate situazioni di carico di lavoro.
>
> Gli ingegneri di Intel, nello sviluppare la loro patch, sbadatamente
> dimenticano di aggiungere un semplice controllo, ovvero il fatto che
> tale patch sia abilitata di default solo per le CPU Intel e non anche
> per quelle di AMD, loro diretto concorrente. In questo modo la patch
> finirà per rallentare tutte le CPU x86 e amd64, non solo quelle di
> Intel. AMD non ne sa nulla, perché in quel momento tutte le
> informazioni sono tenute private fra chi ha scoperto la vulnerabilità
> e Intel, responsabile di creare la patch.
>
> Gli ingegneri di Intel inviano la patch agli sviluppatori del kernel,
> i quali capiscono subito che il problema è serio e che la patch
> necessita un'approvazione particolarmente veloce. La patch entra nel
> ramo di sviluppo del kernel 4.15 che sarà rilasciato fra pochi giorni.
> Nella concitazione del momento gli ingegneri di Intel sbadatamente
> dimenticano di far notare che magari le CPU di AMD non sono a rischio
> e che quindi la patch rallenta inutilmente anche quelle.
>
> Nel frattempo, sempre in California, pochi chilometri a nord ovest
> dalla sede Intel, AMD lavora da 2 anni alle sue nuove CPU Ryzen ed al
> driver libero amdgpu per le sue nuove schede video Polaris e Vega. Il
> kernel 4.15 dovrebbe segnare una pietra miliare per AMD, perché sarà
> il primo che includerà di default questi nuovi driver liberi completi
> di tutte le features previste da AMD.
>
> Gli sviluppatori del kernel accettano la patch di Intel ed il problema
> diventa di pubblico dominio. Tuttavia Intel tiene le labbra serrate e
> non rilascia alcuna dichiarazione riguardo al problema di sicurezza
> delle sue CPU. La stampa tecnica inizia a far girare la notizia
> basandosi solo su quanto si può evincere guardando il codice sorgente
> della patch, che include la stringa "cpu_insecure" e gli autori sono
> gli ingegneri di Intel.
>
> AMD a quel punto capisce che qualcosa non quadra e smentisce subito
> che le proprie CPU siano affette da quel problema di sicurezza (come
> riportato nella mia mail precedente). Anche AMD si mette a sviluppare
> una "contropatch" per fare in modo che la patch di Intel non penalizzi
> le performance delle CPU AMD, ma, ovviamente, è in svantaggio sul
> tempo rispetto ad Intel che ha avuto le informazioni per prima. Intel
> continua a tacere.
>
> AMD presenta la propria patch agli sviluppatori del kernel, i quali la
> accettano immediatamente (si parla di cose accadute poche ore fa), ma
> potrebbe essere troppo tardi per includerla nel kernel 4.15. Quello
> che potrebbe succedere quindi è che il kernel 4.15, che doveva essere
> la pietra miliare per AMD, di default rallenti anche le CPU AMD. Da
> notare che la prossima release stabile di Ubuntu inluderà proprio il
> kernel 4.15 e che quindi per i prossimi 2 anni la maggior parte degli
> utenti Linux userà quel kernel. Certo, esiste l'opzione per
> disabilitare la patch di Intel (pti=off nei parametri di boot), ma in
> quanti lo sapranno e la useranno?
>
> Intel, vedendo che comunque AMD ha prodotto una patch che è stata
> accettata dagli sviluppatori di Linux, anche se forse non in tempo per
> il kernel 4.15, si affretta a fare finalmente una dichiarazione
> riguardo al problema delle sue CPU, ovvero questa:
>
> https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
>
>
> Se non avete voglia di leggerla tutta, vi riassumo in italiano le
> parti salienti: secondo Intel la patch che ha sviluppato è una feature
> di sicurezza che serve a tutti. Quasi come dire che il problema di
> sicurezza delle sue CPU sia in realtà una feature, non un bug. Infatti
> non esita a concludere la dichiarazione con queste parole:
>
> "Intel crede che i propri prodotti siano i più sicuri al mondo e che,
> con il supporto dei suoi partners, le attuali soluzioni a questo
> problema forniscano la miglior sicurezza possibile per i propri clienti".
>
> Non sono però sicuro di aver tradotto correttamente l'ultima parte:
> può darsi che il significato corretto sia "le attuali soluzioni a
> questo problema forniscano la miglior sicurezza possibile di tenersi i
> propri clienti".
>
> La speranza è che Linus veda oltre il suo naso e includa anche la
> contropatch di AMD nel kernel 4.15, a costo di ritardarne il rilascio
> di una settimana.
>
> Staremo a vedere.
>
> N.B.: sono tutte mie illazioni, ma è l'unica spiegazione ragionevole
> che sono riuscito a darmi dei fatti che abbiamo a disposizione.
>
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
--
Gianluca Boero
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20180104/b53972a2/attachment.html
Maggiori informazioni sulla lista
Soci