SaturdaysTalks: nuova opzione nel Kernel Linux per disabilitare Spectre. Molto rumore per nulla?

Delle vulnerabilità Spectre e Meldown, relative alle CPU Intel, ne stiamo parlando ormai da più di un anno. Scenari apocalittici e momenti di panico hanno attraversato la testa di ciascuno di noi, ma ora che i tempi sono più tranquilli è possibile fare un bilancio effettivo. Quanti attacchi di vasta scala sono stati riconducibili a queste falle? Apparentemente zero, o almeno noi di MMUL non ne siamo al corrente. Rimane però il fatto che le mitigazioni a questi problemi sono state da subito oggetto di dibattito: in quanto non rimovibile dalla CPU stessa, il problema è stato gestito via software, eliminando la possibilità di utilizzare la funzionalità che scatena il problema. Funzionalità che però garantiva una maggiore velocità di esecuzione dei processi. Risultato? Un generale, e naturale, rallentamento. Ma se il problema di fatto sembra non sfruttabile o facilmente arginabile con limitazioni di altro tipo, ha ancora senso mantenere le mitigazioni e scadere nelle performance? La risposta pare sia no, o quantomeno, è nata da subito l’esigenza di rendere l’abilitazione e disabilitazione delle mitigazioni controllabile dall’utente. Come spiega Catalin Cimpanu di ZDNet, dal kernel 4.15 è possibile disabilitare le mitigazioni mediante l’aggiunta del parametro nospectre_v2 alla command line di esecuzione […]

Continue reading

Linux 4.20: nuova patch per Spectre riduce incredibilmente le prestazioni

Vi ho parlato diffusamente qui su LFFL di Meltdown & Spectre, le falle che hanno di fatto reso il 2018 l’annus horribilis per i produttori di CPU, soprattutto per Intel. Di Spectre sono emerse diverse varianti che sono state pian piano patchate dai devs anche su Linux. Ogni patch ha portato piccoli cali prestazionali più […]

L’articolo Linux 4.20: nuova patch per Spectre riduce incredibilmente le prestazioni sembra essere il primo su Lffl.org.

Continue reading

Linux e la coperta corta della sicurezza contro le performance, tra Spectre e malware c’è poco da stare sereni

La scorsa settimana abbiamo parlato delle patch STIBP (Single Thread Indirect Branch Predictors, una protezione dalle varianti di Spectre) e di come queste avessero influenzato negativamente le performance del Kernel Linux, al punto che Linus Torvalds era intervenuto, educatamente, sottolineando l’importanza di rendere opzionali questo genere di patch così impattanti. Bene, lo scorso venerdì sono state pubblicate le nuove release dei vari Kernel attualmente manutenuti, in particolare le versioni 4.19.4 e 4.14.83 hanno visto includere il revert (o annullamento) della patch relativa a STIBP. Le patch originali erano già un backport dal ramo 4.20, ma visti i problemi di performance evidenziati ed il continuo sviluppo che ancora è eseguito in ambito STIBP si è preferito optare per il revert. La questione risulta interessante per sollevare nuovamente il tema dei problemi alle CPU, di cui abbiamo tanto parlato, da cui è necessario proteggersi: performance e sicurezza non andranno mai d’accordo, almeno fino a quando non verranno prodotte CPU non affette da Meltdown e Spectre, ed il giorno della loro distribuzione di massa è ancora lontano. Se a tutto questo aggiungiamo le altre minacce che ogni giorno vengono scoperte, c’è poco da stare tranquilli. L’ultima minaccia di questo tipo in ordine di […]

Continue reading

L1TF e Spectre RSB: patch da Canonical tramite Livepatch

Eccoci con l’oramai quasi quotidiano bollettino riguardante gli aggiornamenti Meldown/Spectre/Foreshadow che ci perseguiteranno a lungo fino a che non cestineremo tutto l’hardware buggato che ci siamo trascinati in giro per 20 anni. Quanta mestizia. Chi deciderà di acquistare un i9 di Intel con hardware protection probabilmente si risparmierà un po’ di patch ma per tutti gli altri piovono quasi giornalmente creando non pochi disagi… Ai sistemisti di sicuro, been there done that. Per cercare di rendere la cosa un po’ più indolore, Canonical sta rilasciando molte di queste fastidiose patch tramite il proprio Canonical Livepatch Service che consente di aggiornare il kernel senza bisogno di riavviare la macchina. Questo giro include le mitigation per sette CVE: CVE-2018-3620 e CVE-2018-3646 relative a Foreshadow, conosciuto anche come L1 Terminal Fault, che consentirebbe di accedere ad alcune informazioni nella cache L1; CVE-2018-15594 relativo a Spectre v2. La paravirtualizzazione sui kernel Linux antecedenti alla 4.18.1 non gestirebbe correttamente alcune chiamate indirette rendendo possibili degli attacchi agli utenti paravirtuali; CVE-2018-6555 riguardante l’implementazione IRDA presente nei kernel precedenti alla versione 4.17, esposta ad attacchi di tipo DoS e ad esecuzioni di codice arbitrario; CVE-2018-14633 sistema invece una falla nel codice che gestisce l’ISCSI tramite la quale […]

Continue reading

Intel: hardware protection per Meltdown e Spectre sulle nuove CPU

Ad inizio settimana, durante il Fall Desktop Launch Event, Intel ha presentato le CPU di nona generazione rivolte al mercato desktop. Tra le innumerevoli novità spicca sicuramente l’inclusione dell’hardware protection per due delle varianti di Spectre e Meltdown, come già annunciato dall’azienda lo scorso marzo. The new desktop processors include protections for the security vulnerabilities commonly referred to as “Spectre”, “Meltdown” and “L1TF”. These protections include a combination of the hardware design changes we announced earlier this year as well as software and microcode updates. I nuovi processori desktop includono le protezioni contro le vulnerabilità di sicurezza conosciute come “Spectre”, “Meltdown” e “L1TF”. Queste protezioni includono una combinazione di modifiche hardware annunciate precedentemente quest’anno e degli aggiornamenti al software ed al microcodice. Nel dettaglio: Speculative side channel variant Spectre V2 (Branch Target Injection) = Microcode + Software Speculative side channel variant Meltdown V3 (Rogue Data Cache Load) = Hardware Speculative side channel variant Meltdown V3a (Rogue System Register Read) = Microcode Speculative side channel variant V4 (Speculative Store Bypass) = Microcode + Software Speculative side channel variant L1 Terminal Fault = Hardware Intel conferma che la variante 1, per il momento, continuerà ad essere indirizzata tramite delle patch software al […]

Continue reading

OpenSource Summit: critiche ad Intel per l’atteggiamento verso Spectre e Meltdown e l’opinione di Torvalds

La scorsa settimana si è svolto l’Open Source Summit 2018, presso il Vancouver Convention Center, e tra i vari temi affrontati all’interno della conferenza non poteva mancare quello relativo alle falle dei processori Intel, Meltdown e Spectre, ed a come l’azienda produttrice ha reagito e sta gestendo la situazione. Per fare un riassunto generale partiamo dalla posizione di Greg Kroah-Hartman, sviluppatore del Kernel Linux, il quale ha esplicitamente attaccato Intel accusandola di aver isolato ciascun attore interessato nella tematica. Il termine utilizzato è siloed, che i fan di Nick Fury potrebbero tradurre con “compartimentazione”: Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn’t let us talk to each other. Intel ha compartimentato SUSE, Red Hat, Canonical. Non hanno mai parlato con Oracle e non ci lasceranno parlare fra noi. A sottolineare questo punto di vista la dimostrazione di come per questa(e) falla(e) vi siano state soluzioni differenti per ciascun vendor, quando tipicamente nelle fasi iniziali di problematiche così vaste e importanti si lavora sempre in comune. Basti dire che Debian, la distribuzione maggiormente utilizzata nel mondo (nelle sue varianti), non è stata minimamente coinvolta nella discussione. La chiusura è dedicata ad un […]

Continue reading

Intel, ecco Foreshadow: nuova falla che colpisce l’SGX

Nel campo della cibersecurity questo è stato sicuramente l’anno di Meltdown & Spectre, due falle gravissime scoperte a Gennaio riguardanti tantissime versioni di CPU Intel e AMD. Di Spectre e Meltdown sono emerse poi diverse varianti e gli sviluppatori non sono ancora riusciti a debellare definitivamente il problema. Nelle scorse ore è emersa una nuova […]

L’articolo Intel, ecco Foreshadow: nuova falla che colpisce l’SGX sembra essere il primo su Lffl.org.

Continue reading

Red Hat rende OpenSource lo scanner per eseguibili potenzialmente veicolo di Spectre

Red Hat ha reso disponibile uno strumento di analisi in grado di identificare potenziali attacchi volti a sfruttare la arcinota vulnerabilità Spectre (precisamente la variante 1 di Spectre) all’interno di file binari. La modalità con cui l’eseguibile può essere invocato è semplice: x86_64-scanner vmlinux –start-address=0xffffffff81700001 ed il risultato potrà essere un rassicurante: X86 Scanner: No sequences found. O un ben più preoccupante esito positivo: X86 Scanner: Possible sequence found, based on a starting address of 0:. X86 Scanner: 000000: nop. X86 Scanner: COND: 000001: jne &0xe . X86 Scanner: 00000e: jne &0x24 . X86 Scanner: LOAD: 000010: mov 0xb0(%rdi),%rcx. X86 Scanner: 000017: mov 0xb0(%rsp),%rax. X86 Scanner: 00001f: nop. X86 Scanner: LOAD: 000020: mov 0x30(%rcx),%rbx. Inutile dire come il livello di competenze necessario per concepire anche solo lo scan del file stesso (in questo esempio è stato analizzato proprio il kernel stesso, vmlinux, l’eseguibile che diventerà pid 0 all’interno del sistema) sia decisamente elevato, ma nulla vieta di poter replicare gli esempi forniti. Più importante di tutto il resto: il tool in questione è stato rilasciato in forma open-source, perciò chiunque può analizzarne il codice e, con molta pazienza e competenza, carpire un po’ di più in merito a questa fastidiosa […]

Continue reading

Spectre 1.1 e Spectre 1.2: alla scoperta dei nuovi bug

Qui su LFFL abbiamo parlato ripetutamente dell’Annus Horribilis per le aziende produttrici di CPU (da Intel a AMD passando per ARM). Sono Meltdown, Spectre e le rispettive varianti le ossessioni degli ingegneri delle case sopra citate. In questi giorni è emerso che due ricercatori (Vladimir Kiriansky e Carl Waldspurger) hanno identificato due nuove varianti di […]

L’articolo Spectre 1.1 e Spectre 1.2: alla scoperta dei nuovi bug sembra essere il primo su Lffl.org.

Continue reading