Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-05 Per discussione Antonio Rendina 
Nel link Intel che hai indicato il processore é marcato come 
"discontinued" nel campo "status". Quindi penso sia fuori produzione.

Quello che mi stupisce é il rifiuto degli altri marchi di approfittare 
di questo momento di estrema debolezza di Intel.

Questo potrebbe essere un momento d'oro per IBM PowerPC o per AMD, e 
invece sono tutti silenziosi. Puó darsi che il problema sia molto piú 
grande di quello che si é capito fino ad ora.

Ho il dubbio che investa gli ultimi 10 anni di teoria e architettura dei 
processori.

Sono curioso di vedere da dove ripartiranno i nuovi processori che 
avranno risolto il problema.


On 05/04/18 19:24, Davide Prina wrote:
> On 05/04/2018 10:47, Antonio Rendina wrote:
>> Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8
>> anni...
>
> ma guardando il mio processore sul sito Intel[1] risulta ancora 
> presente il prezzo consigliato (quindi è ancora in produzione o hanno 
> ancora fondi di magazzino che stanno vendendo). Inoltre guardando su 
> Amazon[2] ci sono commenti del settembre 2017 (probabilmente anche 
> 2018) di persone che l'hanno comprato e che ne sono soddisfatte.
> E ho visto che è in vendita su vari e-commerce.[5]
>
> Guardando su www.cpubenchmark.net, anche se le sue prestazioni sono 
> scarse, risulta però il migliore processore intel per CPU Mark / 
> prezzo[3] (statistiche 5 aprile 2018).
>
> Quindi se è ancora consigliato il prezzo da intel, è in vendita su 
> siti e-commerce, è il miglior processore intel per CPU Mark / prezzo 
> ed è ancora monitorato... vuol dire che ha ancora mercato attualmente.
>
> Se intel mi dice che questo è troppo vecchio, poiché la produzione 
> l'ha iniziata nel 4 trimestre 2008, e quindi non offrirà upgrade al 
> microcode, dovrebbe spiegarmi come mai lo stia ancora vendendo. Forse 
> dovrebbe avvertire che chi compra dei suoi prodotti che vende 
> attualmente non avranno nessun supporto... e che sono bacati.
>
> Poi, altra chicca, che ho letto tempo fa: a fine anno dovrebbero 
> uscire i nuovi processori intel che dovrebbero aver integrato le patch 
> per due delle tre varianti di spectre/meltdown[6], ma inizialmente 
> solo per i processori per i server. E se non ho capito male ci saranno 
> soltanto le mitigazioni e non la soluzione del problema.
>
> Quindi intel dice, in pratica, comprate i nuovi processori, ma se 
> compri gli attuali non hanno nulla già pronto, dovrai installarti le 
> mitigazioni (sempre se sarai fortunato e non smetterà di produrle per 
> il processore che stai comprando), se aspetti fine anno, avrai due 
> mitigazioni di serie, ma soltanto per i server... e se aspetti, 
> probabilmente 4-5 anni avrai, forse, delle CPU che non avranno di 
> questi problemi...
>
> Ciao
> Davide
>
> [1]
> https://ark.intel.com/products/35428/Intel-Core2-Quad-Processor-Q9650-12M-Cache-3_00-GHz-1333-MHz-FSB
>  
>
>
> [2]
> https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG
>
> [3]
> https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core2+Quad+Q9650+%40+3.00GHz 
>
>
> [5]
> https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG
> https://www.bestbuy.com/site/searchpage.jsp?id=pcat17071=intel+core+2+quad+q9650
>  
>
>
> [6]
> http://rss.slashdot.org/~r/Slashdot/slashdot/~3/-29-VuPGyaU/intel-says-partitions-in-new-chips-will-correct-the-design-flaw-that-created-spectre-and-meltdown
>  
>
>

Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-05 Per discussione Davide Prina 

On 05/04/2018 10:47, Antonio Rendina wrote:

Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8
anni...


ma guardando il mio processore sul sito Intel[1] risulta ancora presente 
il prezzo consigliato (quindi è ancora in produzione o hanno ancora 
fondi di magazzino che stanno vendendo). Inoltre guardando su Amazon[2] 
ci sono commenti del settembre 2017 (probabilmente anche 2018) di 
persone che l'hanno comprato e che ne sono soddisfatte.

E ho visto che è in vendita su vari e-commerce.[5]

Guardando su www.cpubenchmark.net, anche se le sue prestazioni sono 
scarse, risulta però il migliore processore intel per CPU Mark / 
prezzo[3] (statistiche 5 aprile 2018).


Quindi se è ancora consigliato il prezzo da intel, è in vendita su siti 
e-commerce, è il miglior processore intel per CPU Mark / prezzo ed è 
ancora monitorato... vuol dire che ha ancora mercato attualmente.


Se intel mi dice che questo è troppo vecchio, poiché la produzione l'ha 
iniziata nel 4 trimestre 2008, e quindi non offrirà upgrade al 
microcode, dovrebbe spiegarmi come mai lo stia ancora vendendo. Forse 
dovrebbe avvertire che chi compra dei suoi prodotti che vende 
attualmente non avranno nessun supporto... e che sono bacati.


Poi, altra chicca, che ho letto tempo fa: a fine anno dovrebbero uscire 
i nuovi processori intel che dovrebbero aver integrato le patch per due 
delle tre varianti di spectre/meltdown[6], ma inizialmente solo per i 
processori per i server. E se non ho capito male ci saranno soltanto le 
mitigazioni e non la soluzione del problema.


Quindi intel dice, in pratica, comprate i nuovi processori, ma se compri 
gli attuali non hanno nulla già pronto, dovrai installarti le 
mitigazioni (sempre se sarai fortunato e non smetterà di produrle per il 
processore che stai comprando), se aspetti fine anno, avrai due 
mitigazioni di serie, ma soltanto per i server... e se aspetti, 
probabilmente 4-5 anni avrai, forse, delle CPU che non avranno di questi 
problemi...


Ciao
Davide

[1]
https://ark.intel.com/products/35428/Intel-Core2-Quad-Processor-Q9650-12M-Cache-3_00-GHz-1333-MHz-FSB

[2]
https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG

[3]
https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core2+Quad+Q9650+%40+3.00GHz

[5]
https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG
https://www.bestbuy.com/site/searchpage.jsp?id=pcat17071=intel+core+2+quad+q9650

[6]
http://rss.slashdot.org/~r/Slashdot/slashdot/~3/-29-VuPGyaU/intel-says-partitions-in-new-chips-will-correct-the-design-flaw-that-created-spectre-and-meltdown

--
Dizionari: http://linguistico.sourceforge.net/wiki
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-05 Per discussione Antonio Rendina 
Immagino che siano alla fine del loro ciclo di vita


On 05/04/18 13:14, Felipe Salvador wrote:
> On Thu, Apr 05, 2018 at 08:47:39AM +, Antonio Rendina wrote:
>> Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8
>> anni...
> Quindi?
>
>> Ciao
>> Antonio
>>
>> On 04/04/18 19:56, Davide Prina wrote:
>>> cosa veramente assurda, intel ha pubblicato la lista dei processori
>>> che riceveranno e quelli che non riceveranno gli update del microcode
>>> per la sicurezza contro meltdown/spectre[1]
>>>
>>> Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la
>>> micro architettura della CPU è impossibile o non ne vale lo sforzo" a
>>> "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2]
>>>
>>> Il mio processore, del PC principale, è nella lista dei soppressi... e
>>> io ne ho bisogno...
>>>
>>> Bisognerebbe organizzare un invio di mail di massa per far sapere che
>>> ci sono utenti con idee diverse da quelle da loro pubblicate
>>>
>>> Ciao
>>> Davide
>>>
>>> [1] https://newsroom.intel.com/microcode
>>> [2]
>>> https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates
>>>

Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-05 Per discussione Felipe Salvador 
On Thu, Apr 05, 2018 at 08:47:39AM +, Antonio Rendina wrote:
> Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 
> anni...

Quindi?

> Ciao
> Antonio
> 
> On 04/04/18 19:56, Davide Prina wrote:
> > cosa veramente assurda, intel ha pubblicato la lista dei processori 
> > che riceveranno e quelli che non riceveranno gli update del microcode 
> > per la sicurezza contro meltdown/spectre[1]
> >
> > Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la 
> > micro architettura della CPU è impossibile o non ne vale lo sforzo" a 
> > "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2]
> >
> > Il mio processore, del PC principale, è nella lista dei soppressi... e 
> > io ne ho bisogno...
> >
> > Bisognerebbe organizzare un invio di mail di massa per far sapere che 
> > ci sono utenti con idee diverse da quelle da loro pubblicate
> >
> > Ciao
> > Davide
> >
> > [1] https://newsroom.intel.com/microcode
> > [2] 
> > https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates
> >

-- 
Felipe Salvador

Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-05 Per discussione Antonio Rendina 
Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 
anni...

Ciao
Antonio

On 04/04/18 19:56, Davide Prina wrote:
> cosa veramente assurda, intel ha pubblicato la lista dei processori 
> che riceveranno e quelli che non riceveranno gli update del microcode 
> per la sicurezza contro meltdown/spectre[1]
>
> Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la 
> micro architettura della CPU è impossibile o non ne vale lo sforzo" a 
> "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2]
>
> Il mio processore, del PC principale, è nella lista dei soppressi... e 
> io ne ho bisogno...
>
> Bisognerebbe organizzare un invio di mail di massa per far sapere che 
> ci sono utenti con idee diverse da quelle da loro pubblicate
>
> Ciao
> Davide
>
> [1] https://newsroom.intel.com/microcode
> [2] 
> https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates
>

Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update

2018-04-04 Per discussione Davide Prina 
cosa veramente assurda, intel ha pubblicato la lista dei processori che 
riceveranno e quelli che non riceveranno gli update del microcode per la 
sicurezza contro meltdown/spectre[1]


Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la micro 
architettura della CPU è impossibile o non ne vale lo sforzo" a "è una 
CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2]


Il mio processore, del PC principale, è nella lista dei soppressi... e 
io ne ho bisogno...


Bisognerebbe organizzare un invio di mail di massa per far sapere che ci 
sono utenti con idee diverse da quelle da loro pubblicate


Ciao
Davide

[1] https://newsroom.intel.com/microcode
[2] 
https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates

Re: 4 classi di vulnerabilità sui processori AMD Ryzen e Epyc (ERA: Ancora su Spectre e Meltdown (variante SgxSpectre))

2018-03-13 Per discussione Davide Prina 
Sono state scoperte 13 vulnerabilità critiche suddivise in 4 classi di 
vulnerabilità su CPU AMD[1].


Interessante il video[2] e per saperne di più c'è un sito[3] che spiega 
in dettaglio i bug scoperti.


Da quel poco che ho capito fin'ora questi sono peggiori di Spectre e 
Meltdown (si parla di backdoor, di infiltrarsi nella parte centrale del 
processore senza essere intercettati, di installare malware, ...). Però 
per poterli sfruttare, se non ho capito male, bisogna avere accesso 
fisico alla macchina (quindi o ti consegnano la macchina già compromessa 
o l'attaccante deve poter accedere dopo che tu l'hai comprata, ad 
esempio un centro di riparazione, un tecnico, un intruso nella sala 
server o dove tieni il tuo PC/mobile personale, ...) in un caso e negli 
altri 3 deve essere eseguito un programma con privilegi di 
amministratore (si parla di m$).


La cosa strana è che ad AMD sono state date 24 ore da quando è stata 
informata a quando sono state rese pubbliche queste vulnerabilità. C'è 
chi dice che è una start-up che sta cercando clienti e chi dice che è un 
attacco sulla azioni AMD. Altri dicono che potrebbe essere che i bug 
sono attualmente sfruttati, o c'è sentore che lo siano, e per questo 
sono stati resi pubblici subito. Il sito[3] è stato registrato circa 6 
mesi fa, quindi questa società era a conoscenza di alcuni di questi 
problemi almeno da 6 mesi.


Non c'è ancora conferma di AMD sui bug.

Ciao
Davide

[1]
https://it.slashdot.org/story/18/03/13/1558221/researchers-find-critical-vulnerabilities-in-amds-ryzen-and-epyc-processors-but-they-gave-the-chipmaker-only-24-hours-before-making-the-findings-public

[2]
https://www.youtube.com/watch?v=pgYhOwikuGQ

[3]
https://amdflaws.com/

Re: Ancora su Spectre e Meltdown (variante SgxSpectre)

2018-03-11 Per discussione Davide Prina 
È stata scoperta una nuova variante denominata SgxSpectre[1] 
sull'architettura Intel® SGX[2]. Questo dimostra che metodi per 
aumentare la sicurezza possono essere minati alla fonte (CPU) e quindi 
essere insicuri.


Sembra che le patch rilasciate da Intel siano aggirabili con questo 
attacco, mentre l'unica mitigazione funzionante sembra che sia la 
ricompilazione con retpoline... mi sa che fra un po' avremo l'intero 
sistema compilato con retpoline: prima ti fanno CPU che, mediante metodi 
predittivi e sfruttamento delle fasi idle delle CPU/CORE aumentano le 
prestazioni, poi ti fanno software che, per coprire bug di sicurezza 
hardware, ti rallentano qualsiasi applicativo :-(


Ciao
Davide


[1]
https://it.slashdot.org/story/18/03/10/0446211/sgxspectre-attack-can-extract-data-from-intel-sgx-enclaves

[2]
https://software.intel.com/en-us/sgx

Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)

2018-02-25 Per discussione Davide Prina 

On 24/02/2018 11:16, Mattia Oss wrote:


Scusami, intendevo una lista di opzioni del kernel da abilitare per
mitigare le vulnerabilità spectre e meltdown.


dovrebbero essere queste
$ grep ISOL /boot/config-$(uname -r)
CONFIG_MEMORY_ISOLATION=y
CONFIG_PAGE_TABLE_ISOLATION=y

poi però non so se ve ne siano altre... e di nuove potrebbero esserne 
introdotte con il passare del tempo.


Nota: puoi abilitare/disabilitare da grub l'ISOLATION

però devi avere anche il compilatore in grado di compilare con 
determinate opzioni (es: per retpoline)


puoi installare e usare questo script per vedere verso quali varianti è 
protetto attualmente la versione di Linux che hai installato:

spectre-meltdown-checker

ad esempio dice: "Kernel is compiled with IBRS/IBPB"

tieni conto che hanno scoperto pochi giorni fa altre varianti.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro il formato ms-ooxml:
http://www.noooxml.org/petition
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)

2018-02-24 Per discussione Mattia Oss 
On Sat, Feb 24, 2018 at 10:19:08AM +0100, Davide Prina wrote:
> On 24/02/2018 00:38, Mattia Oss wrote:
> 
> > Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se
> > lo ricompila?
> 
> quando lo ricompili le puoi settare una ad una, ma per capire esattamente
> cosa fa ognuna devi studiare molto

Scusami, intendevo una lista di opzioni del kernel da abilitare per
mitigare le vulnerabilità spectre e meltdown.

Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)

2018-02-24 Per discussione Davide Prina 

On 24/02/2018 00:38, Mattia Oss wrote:


Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se
lo ricompila?


quando lo ricompili le puoi settare una ad una, ma per capire 
esattamente cosa fa ognuna devi studiare molto


Per vedere la tua configurazione attuale:
$ less /boot/config-$(uname -r)

Per vedere documentazione ufficiale installa il pacchetto linux-doc

Prima della compilazione puoi invocare un'interfaccia per modificare le 
singole opzioni di compilazione. Una volta c'erano queste due modalità, 
ora è un bel po' che non lo ricompilo più (l'ultimo è stato il 2.6.38) 
e non so se è cambiato qualcosa.

$ make xconfig
oppure
$ make menuconfig

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)

2018-02-23 Per discussione Mattia Oss 
On Fri, Feb 23, 2018 at 08:13:07PM +0100, Davide Prina wrote:
> On 18/01/2018 23:07, Luca Costantino wrote:
> 
> interessante risposta sulla domanda: saranno compilati tutti i pacchetti con
> retpoline abilitato:

Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se
lo ricompila?

Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)

2018-02-23 Per discussione Davide Prina 

On 18/01/2018 23:07, Luca Costantino wrote:

interessante risposta sulla domanda: saranno compilati tutti i pacchetti 
con retpoline abilitato:


The immediate specific need for the GCC update in oldstable and stable
is the Linux kernel, there are no plans to rebuild other packages in
released distributions at this point.

We might add this to the dpkg-buildflags default flags for buster
as a generic hardening measure, but that requires additional
work/consideration/discussion. Fortunately the buster freeze is
still quite some time away, so we're in the comfortable position
to evaluate without time pressure.

Traduco brevemente: su stable/oldstable non c'è nessun piano. Potrebbero 
pensare di abilitare il flag di default su testing, ma devono ancora 
pensarci e valutare bene


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown: scoperte nuove varianti

2018-02-22 Per discussione Davide Prina 

On 22/02/2018 11:12, Portobello wrote:


https://www.debian.org/releases/stable/errata.it.html

Consigliano di usare anche il repo proposed-updates
   # proposed additions for a 9 point release
   deb http://archive.debian.org/debian stretch-proposed-updates main
contrib non-free


questo ti permette di avere subito, appena sono disponibili, i pacchetti 
modificati per stable, ma non ancora rilasciati perché potrebbero non 
essere ancora testati completamente.


Hai il vantaggio di avere prima gli aggiornamenti, ma lo svantaggio che 
quello che stai installando potrebbe causarti problemi o non essere 
sicuro al 100% perché non ancora verificato completamente.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Client di posta: http://www.mozilla.org/products/thunderbird
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown: scoperte nuove varianti

2018-02-22 Per discussione Portobello 
Il 21/02/2018 19:31, Davide Prina ha scritto:
> scoperte nuove varianti per Spectre e Meltdown[1]. Schneier dice che a
> livello software la mitigazione attuale blocca anche questi (ma i
> ricercatori da lui indicati dicono in realtà che "is largely the same",
> cioè è per la maggior parte simile, quindi è possibile che ci devono
> essere delle modifiche lievi a quanto già distribuito), ma il problema
> principale è la mitigazione da applicare alle CPU tramite microcode che
> deve essere espansa (ricordando che le mitigazione per microcode sono
> state tolte[2] da un po' tutti i sistemi operativi per l'instabilità su
> diversi tipi di processore... non ho notato se sono uscite nuove
> versioni che superano questi problemi).
> 
> Interessanti anche i commenti, ad esempio nel primo e nel secondo "who"
> dice che ha provato su Ubuntu con le patch e con lo script
> spectre-meltdown-checker che dice che è tutto a posto, ma che dalle
> prove (PoC) risulta ancora vulnerabile. Inoltre dice, quello che già
> ipotizzavo io, che non crede ci vorranno meno di 5 anni per avere
> processori sicuri contro Spectre e Meltdown e che lui non si fiderà di
> quelli che usciranno fra qualche mese e saranno indicati come resi più
> sicuri contro di essi.
> 
> Ciao
> Davide

L'altro giorno ho cercato in modo generico sul web:"Debian sicurezza
stretch".
In una pagina di debian :
https://www.debian.org/releases/stable/errata.it.html

Consigliano di usare anche il repo proposed-updates
  # proposed additions for a 9 point release
  deb http://archive.debian.org/debian stretch-proposed-updates main
contrib non-free

Io ho provato a seguire questo consiglio.
Dopo l'aggiornamento mi aggiorna il kernel e all'avvio mette anche
alcuni messaggi riguardo a Spectre V2.
Con il comando dmesg vedo anche questi warning :
0.014618] Spectre V2 mitigation: LFENCE not serializing. Switching to
generic retpoline
[0.014699] Spectre V2 mitigation: Vulnerable: Minimal generic ASM
retpoline
[0.014700] Spectre V2 mitigation: Filling RSB on context switch

Ciao.

> 
> [1] https://www.schneier.com/blog/archives/2018/02/new_spectremelt.html
> 
> [2]
> $ apt show intel-microcode
> Package: intel-microcode
> Version: 3.20180108.1+really20171117.1
> 
> infatti visto che si era arrivati a distribuire la versione 3.20180108.1
> e non è possibile indicare una versione inferiore si è aggiunto quel
> +really20171117.1 per indicare che in realtà si è tornati indietro di
> due versioni
>

Re: Ancora su Spectre e Meltdown: scoperte nuove varianti

2018-02-21 Per discussione Davide Prina 
scoperte nuove varianti per Spectre e Meltdown[1]. Schneier dice che a 
livello software la mitigazione attuale blocca anche questi (ma i 
ricercatori da lui indicati dicono in realtà che "is largely the same", 
cioè è per la maggior parte simile, quindi è possibile che ci devono 
essere delle modifiche lievi a quanto già distribuito), ma il problema 
principale è la mitigazione da applicare alle CPU tramite microcode che 
deve essere espansa (ricordando che le mitigazione per microcode sono 
state tolte[2] da un po' tutti i sistemi operativi per l'instabilità su 
diversi tipi di processore... non ho notato se sono uscite nuove 
versioni che superano questi problemi).


Interessanti anche i commenti, ad esempio nel primo e nel secondo "who" 
dice che ha provato su Ubuntu con le patch e con lo script 
spectre-meltdown-checker che dice che è tutto a posto, ma che dalle 
prove (PoC) risulta ancora vulnerabile. Inoltre dice, quello che già 
ipotizzavo io, che non crede ci vorranno meno di 5 anni per avere 
processori sicuri contro Spectre e Meltdown e che lui non si fiderà di 
quelli che usciranno fra qualche mese e saranno indicati come resi più 
sicuri contro di essi.


Ciao
Davide


[1] https://www.schneier.com/blog/archives/2018/02/new_spectremelt.html

[2]
$ apt show intel-microcode
Package: intel-microcode
Version: 3.20180108.1+really20171117.1

infatti visto che si era arrivati a distribuire la versione 3.20180108.1 
e non è possibile indicare una versione inferiore si è aggiunto quel 
+really20171117.1 per indicare che in realtà si è tornati indietro di 
due versioni


--
Dizionari: http://linguistico.sourceforge.net/wiki
What happened in 2013 couldn't have happened without free software
(He credited free software for his ability to help disclose the U.S. 
government's far-reaching surveillance projects).

Edward Snowden

Re: Ancora su Spectre e Meltdown

2018-02-13 Per discussione Davide Prina 

On 13/02/2018 16:36, Portobello wrote:


per dare dei comandi alla CPU bisogna sempre passare dal
codice sorgente.


sì... e no


Quindi, ogni comando, per copiare delle zone di memoria
deve essere inserito nel codice sorgente ? (Correggetemi se sbaglio).


sì, se viene fatto un programma che permette di sfruttare questa falla. 
Puoi fare qualcosa del genere (estremizzo e banalizzo):

a = 10
if( 1 == 0 )
 memcpy(...)

l'istruzione memcpy non verrà mai eseguita o meglio non verrà mai 
richiesta di essere eseguita, ma poiché il processore, nei momenti in 
cui è idle (non sta facendo nulla o meglio è in attesa), cerca di 
predire l'istruzione o le istruzioni successive e quindi di eseguirle in 
anticipo. Se gli va bene ha già il risultato, se gli va male butta via 
il tutto.
Se la memcpy copia da un'area di memoria non leggibile dall'user space 
in cui è eseguito il programma si avrà che la lettura verrà effettuata, 
verrà effettuato il controllo e verrà negato l'accesso... peccato che 
nella cache della CPU ci si troverà quello che non doveva essere letto 
(anche se l'istruzione è stata bloccata, ma essendo un'istruzione non 
richiesta dal programma...). Ora con altre tecniche è possibile leggere 
dalla cache... e quindi poter leggere ad esempio un'area di memoria dove 
è stata caricata una password (certo non è così banale, però questo è 
per dare un'idea).


E quindi questo è un codice scritto da un attaccante per sfruttare la 
falla. Attenzione che questo codice non è detto che debba far parte di 
un software installato sul proprio PC, ma potrebbe essere ad esempio 
codice eseguito all'interno del browser mentre si naviga su un 
determinato sito.


Però ci sono altre tecniche che permettono di prendere un codice 
totalmente privo di un attacco del genere e fargli fare quello che si vuole.


Anche qui vado all'estremo opposto. Se hai accesso alla macchina puoi 
usare gdb per fare il debugger di un eseguibile mentre lo esegui. A 
questo punto puoi modificare le istruzioni che devono essere eseguite, 
puoi modificare i valori dei registri, ... In questo modo fai eseguire 
delle istruzioni che non erano presenti nel codice sorgente iniziale.


Tra i due estremi ci sono svariate casistiche.


Il problema è più grave per i software a sorgente chiuso. Perché nessuno
sa quello che c'è dentro.


questo è di sicuro vero. Infatti ci sono software non liberi che 
contengono al loro interno backdoor ed altro. Quindi è più che certo che 
un attaccante potrebbe distribuire un eseguibile che cela al suo interno 
l'attacco e potrebbe essere molto complesso capire cosa fa.


Se non ricordo male interbase (ora conosciuto come firebird) era 
proprietario e quando è stato rilasciato con licenza libera è stata 
trovata nei sorgenti una backdoor[1]...
Ci sono prove che l'NSA americana ed altre agenzie premono continuamente 
sui produttori di software/hardware per introdurre backdoor all'interno 
dei loro prodotti e di sicuro qualcuno lo fa. In altri stati la cosa può 
essere più drammatica perché si è obbligati con la forza a fare queste 
azioni e si potrebbe anche rischiare il carcere o la vita se ci si 
rifiuta (questo per dire che non sono gli USA il male, solo che dagli 
USA arrivano ogni tanto diffusione di notizie riservate che permettono 
di sapere queste cose).



Forse si vuole anche diffondere il panico tra gli utilizzatori di Linux,
perché cosi aumentano le vendite di Computer nuovi.


no, anche i PC nuovi attuali hanno questi bug hardware e questi bug non 
sono risolvibili via software (almeno così dicono gli esperti).


Ciao
Davide

[1] ho fatto una ricerca rapida e trovato questo articolo: 
http://www.zdnet.com/article/borland-interbase-backdoor-detected/


--
Dizionari: http://linguistico.sourceforge.net/wiki
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown

2018-02-13 Per discussione Portobello 
Il 21/01/2018 13:24, Davide Prina ha scritto:
> On 19/01/2018 13:15, Alessandro Pellizzari wrote:
>> On 18/01/2018 22:10, Luca Costantino wrote:
>>
> 
> Sul github c'è la 0.32 che ha un po' di modifiche aggiuntivi: valore di
> ritorno dello script, parametro --coreos, diverse modifiche sparse
> 
> Interessante perché permette anche di testare una versione di Linux non
> in esecuzione e quindi vedere il progresso rispetto alla versione
> precedente.
> 
>>> Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio
>>> 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte
>>> iniziale del secondo attacco...
> 
> da quello che ho letto io non è possibile correggere questi
> "comportamenti" delle CPU, ma solo mitigarli

Ma da quello che ho capito io sull'open source e sui computer in
generale, per dare dei comandi alla CPU bisogna sempre passare dal
codice sorgente. Quindi, ogni comando, per copiare delle zone di memoria
deve essere inserito nel codice sorgente ? (Correggetemi se sbaglio).
Quindi per quanto riguarda i software open source il problema dovrebbe
essere sempre risolvibile ? Perché ci dovrebbe essere sempre qualcuno
con le competenze tecniche per individuare i comandi che rendono
vulnerabile il sistema operativo, e se non riesce a rivolvere il
problema in prima persona lo può segnalare alla comunità.
(Io ad esempio non ho le competenze tecniche per analizzare il codice
sorgente ).
Il problema è più grave per i software a sorgente chiuso. Perché nessuno
sa quello che c'è dentro.

Forse si vuole anche diffondere il panico tra gli utilizzatori di Linux,
perché cosi aumentano le vendite di Computer nuovi.
La filosofia di Linux è quella di ri-utilizzare hardware e software,
anche datato. Che a volte contrasta con le logiche commerciali del mercato.
Il problema è che bisogna avere fiducia degli altri. Perché nessuno ha
la capacità  tecnica ed il tempo per analizzare (da solo) tutte le linee
di codice del proprio sistema operativo.
Ma, come si fa in queste newsletters se ognuno da il proprio contributo,
questi problemi si possono risolvere.
Ciao

Re: Ancora su Spectre e Meltdown

2018-02-08 Per discussione Davide Prina 
Intel ha rilasciato una nuova versione del microcode che corregge i 
problemi di stabilità dell'ultima rilasciata[1]


Però in Debian si è andati indietro di due versioni, perché pure la 
precedente a quella bacata generava problemi (si vede nei bug Debian del 
microcode intel). Non ho capito se questa risolve anche questi problemi.


Si può vedere dallo script spectre-meltdown-checker presente 
nell'omonimo pacchetto se la propria CPU è tra quelle che hanno indicato 
come problematiche con la versione precedente del microcode di Intel


C'è una riga tipo questa
* CPU microcode is known to cause stability problems:  NO

Io sono in testing e la versione che riporta questa scritta è la v0.34, 
altrimenti si può prendere da github lo script.


Inoltre ho letto che il CEO di Intel ha dichiarato che già nel 2018 
usciranno processori che implementeranno a livello hardware correttivi 
per spectre e meltdown (scusate, non ho il link sottomano). Però non ho 
capito se implementeranno le mitigazioni distribuite con microcode, con 
i vari kernel dei vari sistemi operativi, con i browser, ... o se stanno 
modificando la logica di funzionamento per impedire che questi tipi di 
attacchi possano essere attuati. O potrebbe essere solo una mossa per 
cercare di rassicurare il mercato.


Per saperne di più su cosa sono spectre e meltdown e come funzionano vi 
consiglio di guardare questo articolo di Schneier[2] (gli esperti di 
sicurezza lo chiamano il guru dei guru... ha scritto dei libri davvero 
interessanti che meriterebbero di essere letti), soprattutto il link per 
meltdown[3] e spectre[4] scritti da uno dei team che ha scoperto le 
vulnerabilità che spiegano in dettaglio cos'è il bug scoperto e come 
l'attaccante riesce a sfruttarlo. Anche i commenti sono interessanti, 
poiché partecipano nei commenti vari esperti di sicurezza.


Molto brevemente per meltdown (semplifico): i processori di nuova 
generazione permettono di evitare di stare in idle mentre sono in attesa 
di processare l'istruzione successiva, ma calcolano quella che potrebbe 
essere l'istruzione (o le istruzioni) successive ed eseguono. Se 
l'istruzione/i eseguita/e risulta/no quella/e corretta/e, allora hanno 
risparmiato tempo e usano il risultato ottenuto; se non è così buttano 
via tutto, senza in realtà cancellare nulla. L'attaccante può far si che 
il processore su un'istruzione resti in attesa e faccia eseguire al 
processore un'altra possibile successiva (ad esempio resta in attesa su 
un "if" ed il processore esegue l'istruzione nel caso l'"if" sia vero); 
quest'istruzione eseguita potrebbe accedere in un'area di memoria 
protetta e copiare quanto letto nella cache interna... dopo aver letto 
viene verificata se quell'istruzione era valida o meno e se non era 
valida lancia un'eccezione... ma nella cache rimane quanto letto, anche 
se eseguito out-of-order (da istruzioni che il programma magari non 
richiederà di eseguire, perché l'"if" si rivelerà falso). Ora con varie 
tecniche è possibile leggere la cache e quindi avere accesso a tutta 
l'area di memoria, anche quella protetta.


Molto molto brevemente per spectre (semplifico): sfrutta lo stesso 
problema dell'out-of-order di spectre solo che qui viene ricercata ed 
eseguita un'istruzione (es: di una libreria) individuando la sua 
posizione e facendola eseguire da un'istruzione out-of-order.


Schneier dice che meltdwon è un bug convenzionale che può essere 
"corretto" (penso intenda mitigato), mentre spectre è peggiore (anche se 
alcuni esperti non sono molto d'accordo con lui). Subito dopo aggiunge: 
non è possibile creare patch per queste vulnerabilità, i chip 
necessitano di essere riprogettati in un modo da eliminarla.


Ciao
Davide

[1] 
https://it.slashdot.org/story/18/02/08/1432255/intel-replaces-its-buggy-fix-for-skylake-pcs


[2] https://www.schneier.com/blog/archives/2018/01/the_effects_of_3.html

[3] https://meltdownattack.com/meltdown.pdf

[4] https://spectreattack.com/spectre.pdf

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown

2018-01-23 Per discussione Davide Prina 

On 22/01/2018 20:37, Fabrizio wrote:

  Torvald in soldoni dice che il microcode é spazzatura e la pezza é peggio
del buco. Un lavoro mal fatto.


aggiornamento di oggi

intel-microcode (3.20180108.1+really20171117.1) unstable; urgency=critical

  * Revert to release 20171117, as per Intel instructions issued to
the public in 2018-01-22 (closes: #886998)
  * This effectively removes IBRS/IBPB/STIPB microcode support for
Spectre variant 2 mitigation.

guardando il bug report

$ querybts 886998

indica che ci sono diversi problemi su diversi processori di server 
intel (i3, i5, i7, xeon)... e considerano questi rilasci di microcode 
come delle beta...


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows-vista:
http://badvista.fsf.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown

2018-01-22 Per discussione Fabrizio 
 Torvald in soldoni dice che il microcode é spazzatura e la pezza é peggio
del buco. Un lavoro mal fatto. Avrà le sue buoni ragioni. Spero sia la
volta buona per un proc "open"

Il 22 gen 2018 20:14, "Davide Prina"  ha scritto:

On 21/01/2018 13:24, Davide Prina wrote:

Da quello che ho letto mi è sembrato di capire che:
>
> * soluzione sicura/definitiva: cambio CPU [...]
>

Torvald va giù ancora duro con intel indicando che una funzionalità che
propongono nel microcode è spazzatura (troppo onerosa, farebbe affossare i
benchmark)... abbiamo bisogno qualcosa di meglio di questa spazzatura[1]

Ad essere sincero non ho capito né come possa funzionare questa cosa né
come possa rallentare...

In un commento c'è questo che è più capibile... se è corretto:
 As I understand it, Intel proposes to build in a switch in future CPU's
 which tells the CPU to stop being insecure. The switch is going to be
 off by default and must be switched on by the kernel during boot. Intel
 proposes to let all future CPU's be insecure by default.

Il che equivale a dire: hai la patch, ma non è in funzione per non
compromettere le prestazioni... però leggendo velocemente il pdf di
intel[2] non ho capito nulla rispetto a quanto discusso :-(
Inoltre questo avvalorerebbe la mia ipotesi che ci vorranno anni per avere
un processore intel sicuro da progettazione (qui dice per le CPU future).

Quindi se qualcuno ha capito può spiegare se avremo il microcode con
"funzionalità" che non verranno usate da Linux perché giudicate
spazzatura...

Il giorno prima veniva riproposto il quesito se è ora di avere un
processore libero[3]

Ciao
Davide

[1] https://linux.slashdot.org/story/18/01/22/0648227/linus-torv
alds-calls-intel-patches-complete-and-utter-garbage

[2] https://software.intel.com/sites/default/files/managed/c5/
63/336996-Speculative-Execution-Side-Channel-Mitigations.pdf

[3] https://hardware.slashdot.org/story/18/01/20/0452247/is-it-t
ime-for-open-processors

-- 
Dizionari: http://linguistico.sourceforge.net/wiki
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo

Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown

2018-01-22 Per discussione Davide Prina 

On 21/01/2018 13:24, Davide Prina wrote:


Da quello che ho letto mi è sembrato di capire che:

* soluzione sicura/definitiva: cambio CPU [...]


Torvald va giù ancora duro con intel indicando che una funzionalità che 
propongono nel microcode è spazzatura (troppo onerosa, farebbe affossare 
i benchmark)... abbiamo bisogno qualcosa di meglio di questa spazzatura[1]


Ad essere sincero non ho capito né come possa funzionare questa cosa né 
come possa rallentare...


In un commento c'è questo che è più capibile... se è corretto:
 As I understand it, Intel proposes to build in a switch in future CPU's
 which tells the CPU to stop being insecure. The switch is going to be
 off by default and must be switched on by the kernel during boot. Intel
 proposes to let all future CPU's be insecure by default.

Il che equivale a dire: hai la patch, ma non è in funzione per non 
compromettere le prestazioni... però leggendo velocemente il pdf di 
intel[2] non ho capito nulla rispetto a quanto discusso :-(
Inoltre questo avvalorerebbe la mia ipotesi che ci vorranno anni per 
avere un processore intel sicuro da progettazione (qui dice per le CPU 
future).


Quindi se qualcuno ha capito può spiegare se avremo il microcode con 
"funzionalità" che non verranno usate da Linux perché giudicate 
spazzatura...


Il giorno prima veniva riproposto il quesito se è ora di avere un 
processore libero[3]


Ciao
Davide

[1] 
https://linux.slashdot.org/story/18/01/22/0648227/linus-torvalds-calls-intel-patches-complete-and-utter-garbage


[2] 
https://software.intel.com/sites/default/files/managed/c5/63/336996-Speculative-Execution-Side-Channel-Mitigations.pdf


[3] 
https://hardware.slashdot.org/story/18/01/20/0452247/is-it-time-for-open-processors


--
Dizionari: http://linguistico.sourceforge.net/wiki
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Ancora su Spectre e Meltdown

2018-01-21 Per discussione Davide Prina 

On 19/01/2018 13:15, Alessandro Pellizzari wrote:

On 18/01/2018 22:10, Luca Costantino wrote:

Ho scaricato il tool messo a disposizione su GitHub 
https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per 
controllare se il proprio sistema è disponibile.


$ apt show spectre-meltdown-checker
Package: spectre-meltdown-checker
Version: 0.31-1
[...]
Homepage: https://github.com/speed47/spectre-meltdown-checker
[...]
Description: Spectre & Meltdown vulnerability/mitigation checker
 A simple shell script to tell if your Linux installation is vulnerable
 against the 3 "speculative execution" CVEs that were made public early 
2018.


Sul github c'è la 0.32 che ha un po' di modifiche aggiuntivi: valore di 
ritorno dello script, parametro --coreos, diverse modifiche sparse


Interessante perché permette anche di testare una versione di Linux non 
in esecuzione e quindi vedere il progresso rispetto alla versione 
precedente.


Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 
2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte 
iniziale del secondo attacco...


da quello che ho letto io non è possibile correggere questi 
"comportamenti" delle CPU, ma solo mitigarli


Immagino che per mitigare gli altri attacchi debba aspettare almeno 
4.5, giusto?


per chiarezza mitigare non vuol dire eliminare/risolvere il problema, ma 
vuol dire soltanto diminuire il suo impatto. Il problema rimane sempre. 
Da quello che ho letto l'unico modo di risolvere il problema è cambiare CPU.


Però Intel, secondo me, potrebbe metterci anche anni prima di buttar 
fuori un processore che non ha questi "problemi" (che non li mitiga, ma 
li elimina alla radice). È stata "sfortunata" che chi ha cercato "bug" 
hardware ha usato processori Intel. Questo potrebbe voler dire che in un 
prossimo futuro potrebbero uscire problemi che hanno altre marche di 
processori e non Intel...



È uscito da poco un post di Kroah sull'argomento:

http://kroah.com/log/blog/2018/01/19/meltdown-status-2/


$ grep . /sys/devices/system/cpu/vulnerabilities/*
grep: /sys/devices/system/cpu/vulnerabilities/*: File o directory non 
esistente

$

 If your kernel does not have that sysfs directory or files, then
 obviously there is a problem and you need to upgrade your kernel!

$ uname -v
#1 SMP Debian 4.14.13-1 (2018-01-14)

infatti in testing è arrivato solo ora il primo aggiornamento a Linux 
con mitigazioni Spectre/Meltdown


 Some “enterprise” distributions did not backport the changes for this
 reporting, so if you are running one of those types of kernels, go bug
 the vendor to fix that, you really want a unified way of knowing the
 state of your system.

ma chi usa stable aggiornato, e che dovrebbe avere mitigazioni maggiori, 
ha quella directory?


 these files are only valid for the x86-64 based kernels, all other
 processor types will show something like “Not affected”. As everyone
 knows, that is not true for the Spectre issues, except for very old
 CPUs

Infatti leggevo che per ARM non si sa ancora quando verranno inserite le 
patch.


 I need to go find a working microcode update to fix my laptop’s CPU so
 that it is not vulnerable against Spectre

leggevo che l'ultimo microcode rilasciato da intel causava crash casuali 
su diverse sue CPU...


Però qui dice che spectre può essere risolto, e quindi non mitigato, con 
un aggiornamento del microcode? A me risultava che tutti questi problemi 
potessero essere solo mitigati e non risolti.


Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore 
patchato per retpoline.


ma non dovrebbe essere per mitigare spectre ed avere impatti minimi 
sulle prestazioni (0-1,5%) bisogna... questo perché le altre metodologie 
hanno impatti non trascurabili sulle prestazioni


Inoltre sembra che reptoline sarà disponibile solo sui rami 4.9, 4.14 e 
da 4.15 in poi.


Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o 
patchati, con una combo di kernel, compilatore, firmware e forse anche 
qualche utility in user-space.



Penso che l'unica sia tenere aggiornato e incrociare le dita. :)


però, da quello che leggevo, non è conosciuto ancora nessun tipo di 
attacco che sia in grado di sfruttare queste "funzionalità" di 
super-lettura.


Da quello che ho letto mi è sembrato di capire che:

* soluzione sicura/definitiva: cambio CPU, ma non si sa quale sia 
l'acquisto da fare: intel e altri potrebbero metterci anni a progettare 
e implementare CPU sicure; la ricerca di problemi di sicurezza hardware 
è agli albori e a breve potrebbero uscire "funzionalità" più pericolose 
di quelle trovate fin'ora


* le mitigazioni di sicuro non riguarderanno tutti i processori che 
soffrono delle vulnerabilità trovate (solo processori abbastanza recenti 
avranno mitigazioni complete) e quindi ci saranno dispositivi che 
resteranno privi di protezione per anni (si pensa ad esempio a molti 
telefonini e vecchi PC) fino a quando non

Re: Ancora su Spectre e Meltdown

2018-01-19 Per discussione Felipe Salvador 
On Thu, Jan 18, 2018 at 10:07:17PM +, Luca Costantino wrote:
> Buonasera lista
> 
> Ho scaricato il tool messo a disposizione su GitHub
> https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh
> per
> controllare se il proprio sistema è disponibile.
> 
> Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio
> 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale
> del secondo attacco...
> Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5,
> giusto?
> 
> SID

> # ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh
> Spectre and Meltdown mitigation detection tool v0.31
> 
> Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1
> SMP Debian 4.14.2-1 (2017-11-30) x86_64
> CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz

Io non capisco, forse sbaglio qualcosa, non riesco neanche a
trovare linux-image-4.14.0-1-amd64 su packages.debian.org

https://packages.debian.org/search?keywords=linux-image-4.14.0=names=unstable=all
https://packages.debian.org/search?keywords=linux-image-4.14.0-1-amd64=names=all=all

Detto questo la situazione fra old stable, stable, testing, unstable
ed experimental è assolutamente eterogenea. Quello che si osserva in
una potrebbe non essere presente in un altra ecc ecc.

Penso che questo sia il momento di verificare se ci siano
aggiornamenti, di tenere pulito i vari sources.list(.d/*) e i vari
preferences(.d/*), riducendo magari il "missaggio" delle release.

Del resto spectre-meltdown-checker.sh sembra abbastanza affidabile,
esegue diversi controlli per verificare la presenza di soluzioni per la stessa
falla. Meltdown ad esempio (l'unico per cui in stretch ad oggi ci sia
una soluzione), viene verificato così:


if sys_interface_check 
"/sys/devices/system/cpu/vulnerabilities/meltdown"; then

 
# this kernel has the /sys interface, trust it over everything  


sys_interface_available=1   


else


_info_nol "* Kernel supports Page Table Isolation (PTI): "  


kpti_support=0  


kpti_can_tell=0 


if [ -n "$opt_config" ]; then   


kpti_can_tell=1 


if grep -Eq 
'^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config"; then


_debug "kpti_support: found option "$(grep -E 
'^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config")" in 
$opt_config"  
kpti_support=1  


fi  


fi  


if [ "$kpti_support" = 0 -a -n "$opt_map" ]; then

Re: Ancora su Spectre e Meltdown

2018-01-19 Per discussione Luca Costantino 
>
> È uscito da poco un post di Kroah sull'argomento:
>
> http://kroah.com/log/blog/2018/01/19/meltdown-status-2/
>
> Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore
> patchato per retpoline.
>

Grazie. Pensavo che per mitigare almeno parzialmente un tipo degli attacchi
bastasse un update del microcodice della cpu, ma evidentemente non e'
cosi'...

Grazie
Luca

Re: Ancora su Spectre e Meltdown

2018-01-19 Per discussione Alessandro Pellizzari 

On 18/01/2018 22:10, Luca Costantino wrote:

Ho scaricato il tool messo a disposizione su GitHub 
https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per 
controllare se il proprio sistema è disponibile.


Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 
2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte 
iniziale del secondo attacco...
Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, 
giusto?


È uscito da poco un post di Kroah sull'argomento:

http://kroah.com/log/blog/2018/01/19/meltdown-status-2/

Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore 
patchato per retpoline.


Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o 
patchati, con una combo di kernel, compilatore, firmware e forse anche 
qualche utility in user-space.


Penso che l'unica sia tenere aggiornato e incrociare le dita. :)

Bye.

Ancora su Spectre e Meltdown

2018-01-18 Per discussione Luca Costantino 
Buonasera lista

Ho scaricato il tool messo a disposizione su GitHub
https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh
per
controllare se il proprio sistema è disponibile.

Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio
2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale
del secondo attacco...
Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5,
giusto?

SID

# ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1
SMP Debian 4.14.2-1 (2017-11-30) x86_64
CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic
to be improved when official patches become av
ailable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available:  NO
* The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with
retpoline are needed to mitigate the vulnerability
)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'

* Kernel supports Page Table Isolation (PTI):  NO

* PTI enabled and active:  NO

* Checking if we're running under Xen PV (64 bits):  NO

> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

Luca