[Soci SLIP] La sicurezza non esiste (Patch PTI)

[Gianluca Boero]

Quindi da ora in avanti converrebbe privilegiare l'acquisto di AMD a 
sfavore di Intel?


Il 04/01/2018 00:34, Lucio Crusca ha scritto:
> Il 03/01/2018 13:10, Lucio Crusca ha scritto:
>> È di questi giorni la notizia che TUTTE le CPU Intel degli ultimi 10 
>> anni circa, e forse anche le AMD (non confermato, AMD smentisce), 
>
> Conferma ufficiale degli sviluppatori Linux: le CPU AMD non risentono 
> di questo problema di sicurezza.
>
> Il problema per AMD adesso è un altro, se vi interessa sapere quale 
> mettetevi comodi mentre vi racconto la storia per come la vedo io.
>
> Qualcuno, in un qualche giorno dei mesi passati, scopre il problema 
> delle CPU Intel e lo segnala in forma privata ad Intel.
>
> Intel prende contatti con Microsoft ed Apple e sviluppa internamente 
> una patch per il kernel Linux che implementa in software quella 
> sicurezza che le CPU Intel sbagliano ad implementare in hardware. La 
> patch porta con sé un peggioramento delle prestazioni della CPU di 
> circa il 15% in determinate situazioni di carico di lavoro.
>
> Gli ingegneri di Intel, nello sviluppare la loro patch, sbadatamente 
> dimenticano di aggiungere un semplice controllo, ovvero il fatto che 
> tale patch sia abilitata di default solo per le CPU Intel e non anche 
> per quelle di AMD, loro diretto concorrente. In questo modo la patch 
> finirà per rallentare tutte le CPU x86 e amd64, non solo quelle di 
> Intel. AMD non ne sa nulla, perché in quel momento tutte le 
> informazioni sono tenute private fra chi ha scoperto la vulnerabilità 
> e Intel, responsabile di creare la patch.
>
> Gli ingegneri di Intel inviano la patch agli sviluppatori del kernel, 
> i quali capiscono subito che il problema è serio e che la patch 
> necessita un'approvazione particolarmente veloce. La patch entra nel 
> ramo di sviluppo del kernel 4.15 che sarà rilasciato fra pochi giorni. 
> Nella concitazione del momento gli ingegneri di Intel sbadatamente 
> dimenticano di far notare che magari le CPU di AMD non sono a rischio 
> e che quindi la patch rallenta inutilmente anche quelle.
>
> Nel frattempo, sempre in California, pochi chilometri a nord ovest 
> dalla sede Intel, AMD lavora da 2 anni alle sue nuove CPU Ryzen ed al 
> driver libero amdgpu per le sue nuove schede video Polaris e Vega. Il 
> kernel 4.15 dovrebbe segnare una pietra miliare per AMD, perché sarà 
> il primo che includerà di default questi nuovi driver liberi completi 
> di tutte le features previste da AMD.
>
> Gli sviluppatori del kernel accettano la patch di Intel ed il problema 
> diventa di pubblico dominio. Tuttavia Intel tiene le labbra serrate e 
> non rilascia alcuna dichiarazione riguardo al problema di sicurezza 
> delle sue CPU. La stampa tecnica inizia a far girare la notizia 
> basandosi solo su quanto si può evincere guardando il codice sorgente 
> della patch, che include la stringa "cpu_insecure" e gli autori sono 
> gli ingegneri di Intel.
>
> AMD a quel punto capisce che qualcosa non quadra e smentisce subito 
> che le proprie CPU siano affette da quel problema di sicurezza (come 
> riportato nella mia mail precedente). Anche AMD si mette a sviluppare 
> una "contropatch" per fare in modo che la patch di Intel non penalizzi 
> le performance delle CPU AMD, ma, ovviamente, è in svantaggio sul 
> tempo rispetto ad Intel che ha avuto le informazioni per prima. Intel 
> continua a tacere.
>
> AMD presenta la propria patch agli sviluppatori del kernel, i quali la 
> accettano immediatamente (si parla di cose accadute poche ore fa), ma 
> potrebbe essere troppo tardi per includerla nel kernel 4.15. Quello 
> che potrebbe succedere quindi è che il kernel 4.15, che doveva essere 
> la pietra miliare per AMD, di default rallenti anche le CPU AMD. Da 
> notare che la prossima release stabile di Ubuntu inluderà proprio il 
> kernel 4.15 e che quindi per i prossimi 2 anni la maggior parte degli 
> utenti Linux userà quel kernel. Certo, esiste l'opzione per 
> disabilitare la patch di Intel (pti=off nei parametri di boot), ma in 
> quanti lo sapranno e la useranno?
>
> Intel, vedendo che comunque AMD ha prodotto una patch che è stata 
> accettata dagli sviluppatori di Linux, anche se forse non in tempo per 
> il kernel 4.15, si affretta a fare finalmente una dichiarazione 
> riguardo al problema delle sue CPU, ovvero questa:
>
> https://newsroom.intel.com/news/intel-responds-to-security-research-findings/ 
>
>
> Se non avete voglia di leggerla tutta, vi riassumo in italiano le 
> parti salienti: secondo Intel la patch che ha sviluppato è una feature 
> di sicurezza che serve a tutti. Quasi come dire che il problema di 
> sicurezza delle sue CPU sia in realtà una feature, non un bug. Infatti 
> non esita a concludere la dichiarazione con queste parole:
>
> "Intel crede che i propri prodotti siano i più sicuri al mondo e che, 
> con il supporto dei suoi partners, le attuali soluzioni a questo 
> problema forniscano la miglior sicurezza possibile per i propri clienti".
>
> Non sono però sicuro di aver tradotto correttamente l'ultima parte: 
> può darsi che il significato corretto sia "le attuali soluzioni a 
> questo problema forniscano la miglior sicurezza possibile di tenersi i 
> propri clienti".
>
> La speranza è che Linus veda oltre il suo naso e includa anche la 
> contropatch di AMD nel kernel 4.15, a costo di ritardarne il rilascio 
> di una settimana.
>
> Staremo a vedere.
>
> N.B.: sono tutte mie illazioni, ma è l'unica spiegazione ragionevole 
> che sono riuscito a darmi dei fatti che abbiamo a disposizione.
>
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/

-- 
Gianluca Boero

-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20180104/b53972a2/attachment.html