Archivi categoria: spectre

Linux e la coperta corta della sicurezza contro le performance, tra Spectre e malware c’è poco da stare sereni

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

La scorsa settimana abbiamo parlato delle patch STIBP (Single Thread Indirect Branch Predictors, una protezione dalle varianti di Spectre) e di come queste avessero influenzato negativamente le performance del Kernel Linux, al punto che Linus Torvalds era intervenuto, educatamente, sottolineando l’importanza di rendere opzionali questo genere di patch così impattanti. Bene, lo scorso venerdì sono state pubblicate le nuove release dei vari Kernel attualmente manutenuti, in particolare le versioni 4.19.4 e 4.14.83 hanno visto includere il revert (o annullamento) della patch relativa a STIBP. Le patch originali erano già un backport dal ramo 4.20, ma visti i problemi di performance evidenziati ed il continuo sviluppo che ancora è eseguito in ambito STIBP si è preferito optare per il revert. La questione risulta interessante per sollevare nuovamente il tema dei problemi alle CPU, di cui abbiamo tanto parlato, da cui è necessario proteggersi: performance e sicurezza non andranno mai d’accordo, almeno fino a quando non verranno prodotte CPU non affette da Meltdown e Spectre, ed il giorno della loro distribuzione di massa è ancora lontano. Se a tutto questo aggiungiamo le altre minacce che ogni giorno vengono scoperte, c’è poco da stare tranquilli. L’ultima minaccia di questo tipo in ordine di [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

L1TF e Spectre RSB: patch da Canonical tramite Livepatch

Sorgente: Mia mamma usa Linux! | Autore: Elena Metelli

Eccoci con l’oramai quasi quotidiano bollettino riguardante gli aggiornamenti Meldown/Spectre/Foreshadow che ci perseguiteranno a lungo fino a che non cestineremo tutto l’hardware buggato che ci siamo trascinati in giro per 20 anni. Quanta mestizia. Chi deciderà di acquistare un i9 di Intel con hardware protection probabilmente si risparmierà un po’ di patch ma per tutti gli altri piovono quasi giornalmente creando non pochi disagi… Ai sistemisti di sicuro, been there done that. Per cercare di rendere la cosa un po’ più indolore, Canonical sta rilasciando molte di queste fastidiose patch tramite il proprio Canonical Livepatch Service che consente di aggiornare il kernel senza bisogno di riavviare la macchina. Questo giro include le mitigation per sette CVE: CVE-2018-3620 e CVE-2018-3646 relative a Foreshadow, conosciuto anche come L1 Terminal Fault, che consentirebbe di accedere ad alcune informazioni nella cache L1; CVE-2018-15594 relativo a Spectre v2. La paravirtualizzazione sui kernel Linux antecedenti alla 4.18.1 non gestirebbe correttamente alcune chiamate indirette rendendo possibili degli attacchi agli utenti paravirtuali; CVE-2018-6555 riguardante l’implementazione IRDA presente nei kernel precedenti alla versione 4.17, esposta ad attacchi di tipo DoS e ad esecuzioni di codice arbitrario; CVE-2018-14633 sistema invece una falla nel codice che gestisce l’ISCSI tramite la quale [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Intel: hardware protection per Meltdown e Spectre sulle nuove CPU

Sorgente: Mia mamma usa Linux! | Autore: Elena Metelli

Ad inizio settimana, durante il Fall Desktop Launch Event, Intel ha presentato le CPU di nona generazione rivolte al mercato desktop. Tra le innumerevoli novità spicca sicuramente l’inclusione dell’hardware protection per due delle varianti di Spectre e Meltdown, come già annunciato dall’azienda lo scorso marzo. The new desktop processors include protections for the security vulnerabilities commonly referred to as “Spectre”, “Meltdown” and “L1TF”. These protections include a combination of the hardware design changes we announced earlier this year as well as software and microcode updates. I nuovi processori desktop includono le protezioni contro le vulnerabilità di sicurezza conosciute come “Spectre”, “Meltdown” e “L1TF”. Queste protezioni includono una combinazione di modifiche hardware annunciate precedentemente quest’anno e degli aggiornamenti al software ed al microcodice. Nel dettaglio: Speculative side channel variant Spectre V2 (Branch Target Injection) = Microcode + Software Speculative side channel variant Meltdown V3 (Rogue Data Cache Load) = Hardware Speculative side channel variant Meltdown V3a (Rogue System Register Read) = Microcode Speculative side channel variant V4 (Speculative Store Bypass) = Microcode + Software Speculative side channel variant L1 Terminal Fault = Hardware Intel conferma che la variante 1, per il momento, continuerà ad essere indirizzata tramite delle patch software al [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

OpenSource Summit: critiche ad Intel per l’atteggiamento verso Spectre e Meltdown e l’opinione di Torvalds

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

La scorsa settimana si è svolto l’Open Source Summit 2018, presso il Vancouver Convention Center, e tra i vari temi affrontati all’interno della conferenza non poteva mancare quello relativo alle falle dei processori Intel, Meltdown e Spectre, ed a come l’azienda produttrice ha reagito e sta gestendo la situazione. Per fare un riassunto generale partiamo dalla posizione di Greg Kroah-Hartman, sviluppatore del Kernel Linux, il quale ha esplicitamente attaccato Intel accusandola di aver isolato ciascun attore interessato nella tematica. Il termine utilizzato è siloed, che i fan di Nick Fury potrebbero tradurre con “compartimentazione”: Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn’t let us talk to each other. Intel ha compartimentato SUSE, Red Hat, Canonical. Non hanno mai parlato con Oracle e non ci lasceranno parlare fra noi. A sottolineare questo punto di vista la dimostrazione di come per questa(e) falla(e) vi siano state soluzioni differenti per ciascun vendor, quando tipicamente nelle fasi iniziali di problematiche così vaste e importanti si lavora sempre in comune. Basti dire che Debian, la distribuzione maggiormente utilizzata nel mondo (nelle sue varianti), non è stata minimamente coinvolta nella discussione. La chiusura è dedicata ad un [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Red Hat rende OpenSource lo scanner per eseguibili potenzialmente veicolo di Spectre

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

Red Hat ha reso disponibile uno strumento di analisi in grado di identificare potenziali attacchi volti a sfruttare la arcinota vulnerabilità Spectre (precisamente la variante 1 di Spectre) all’interno di file binari. La modalità con cui l’eseguibile può essere invocato è semplice: x86_64-scanner vmlinux --start-address=0xffffffff81700001 ed il risultato potrà essere un rassicurante: X86 Scanner: No sequences found. O un ben più preoccupante esito positivo: X86 Scanner: Possible sequence found, based on a starting address of 0:. X86 Scanner: 000000: nop. X86 Scanner: COND: 000001: jne &0xe . X86 Scanner: 00000e: jne &0x24 . X86 Scanner: LOAD: 000010: mov 0xb0(%rdi),%rcx. X86 Scanner: 000017: mov 0xb0(%rsp),%rax. X86 Scanner: 00001f: nop. X86 Scanner: LOAD: 000020: mov 0x30(%rcx),%rbx. Inutile dire come il livello di competenze necessario per concepire anche solo lo scan del file stesso (in questo esempio è stato analizzato proprio il kernel stesso, vmlinux, l’eseguibile che diventerà pid 0 all’interno del sistema) sia decisamente elevato, ma nulla vieta di poter replicare gli esempi forniti. Più importante di tutto il resto: il tool in questione è stato rilasciato in forma open-source, perciò chiunque può analizzarne il codice e, con molta pazienza e competenza, carpire un po’ di più in merito a questa fastidiosa [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Altre grane per i processori: ecco Spectre 1.1 e 1.2

Sorgente: Securityinfo.it | Autore: Marco Schiaffino

Le nuove vulnerabilità sfruttano lo stesso principio di Metldown e Spectre, ma permettono diversi tipi di attacchi alle CPU. La sensazione che molti hanno avuto al momento della scoperta di Meltdown e Spectre è confermata: l’emersione delle due vulnera...

Leggi il resto dell'articolo su: https://www.securityinfo.it

Spectre next generation: rivelate otto nuove vulnerabilità nei processori Intel

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

I toni sono piuttosto catastrofici, ma purtroppo lo si sapeva già, o quantomeno ce lo si aspettava: altre falle di tipo Spectre sono state esposte. Sembrerebbero addirittura otto le nuove falle scoperte ed evidenziate da Heise, una rivista tedesca di computer, in questo articolo. Intel ha assegnato la categoria “high” a quattro di queste e quella “medium” alle altre quattro. Il risultato per l’utente finale? C’è poco da stare allegri e soprattutto c’è da prepararsi ad un nuovo giro di update che presto o tardi colpirà tutti. I piani di Intel sono quelli di rilasciare le patch per questi problemi in due trance: la prima a maggio 2018 (quindi, uhm, oggi), la seconda ad agosto 2018. Quindi, in attesa di tutto questo, facciamo un piccolo punto della situazione: è possibile conoscere lo stato del proprio sistema in merito a Meltdown e Spectre mediante il filesystem virtuale /sys. È sufficiente lanciare questo comando: grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, IBRS_FW L’output del comando è stato copiato da un sistema Fedora 27, aggiornata alle ultime patch disponibili, ma lo stesso può essere utilizzato su qualsiasi sistema Linux aggiornato per capire il livello di (in)sicurezza [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Reptoline, la via di Google per sanare Spectre nei Kernel Linux già disponibile su RedHat

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

Le mitigation introdotte dalle varie distribuzioni per risolvere i problemi di sicurezza derivanti dalle falle Spectre e Meltdown non stanno funzionando a dovere. Nessuna novità in questo, ma tra problemi di performance o copertura limitata, ad esempio alcune esclusioni sui processori AMD64, l’impressione è che ci sia ancora molto da lavorare.

Con l’introduzione di Retpolines Google ha cercato di tagliare la testa al toro, facendo in modo che il Kernel abbia il totale controllo sulle esecuzioni speculative (vera causa del disastro) . L’approccio di Google oltre che essere più veloce è anche molto più generico rispetto alle specifiche patch del microcode di Intel, offre quindi una migliore copertura e vien da se che si possa definire una soluzione superiore. read more

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Intel: il prossimo chip sarà completamente protetto da Spectre e Meltdown

Sorgente: Mia mamma usa Linux! | Autore: Matteo Cappadonna

Qualche giorno fa la californiana Intel, nell’occhio del ciclone da inizio anno per Spectre/Meltdown, ha annunciato che i nuovi chip saranno completamente protetti da queste vulnerabilità.

E’ noto che, nonostante patch siano state sviluppate ed oramai disponibili per -quasi- tutti i sistemi operativi, queste vulnerabilità sono hardware e che, quindi, per quanto una patch software possa sopperire ad alcuni problemi, non c’è modo alcuno di risolverli completamente, se non sostituendo il chip stesso. read more

Leggi il resto dell'articolo su: https://www.miamammausalinux.org