Názory k článku Nová třída zranitelností se týká většiny procesorů Intel od roku 2011

Kdo se HW trochu zabyva, vi, ze tyto chyby byly a budou, jen ted najednou se na tom delaji doktoraty.... je to svym zpusobe dobre, ale reseni je snad jedine FPGA a moznost opravovat architekturu - i kdyz mircocode nejake opravy taky umoznuje a FPGA nakonec taky neni bez chyb...

Áno ale z tohto na nás kuká iný problém

Univerzita: Intel se nás snažil uplatit, abychom zatajili RIDL
před 40 minutami

Bezpečnostní výzkumníci z Vrije Universiteit Amsterdam, se totiž nechali slyšet, že se je Intel pokusil uplatit. Žádal po nich zatajení bezpečnostní slabiny RIDL objevené v loňském roce a veřejně odhalené nyní v polovině května. Nizozemský Nieuwe Rotterdamsche Courant publikoval zprávu, ve které je popsána nabídka $40 000 dolarů ze strany Intelu, pokud přistoupí na požadavky Intelu a situaci bagatelizují či zamlčí. Dokumentuje i následné navýšení nabídky částkou $80 000 poté, co výzkumníci první nabídku odmítli. Ti ovšem odmítli i druhou nabídku a jednání Intelu po skončení NDA zveřejnili.
https://diit.cz/clanek/univerzita-intel-se-nas-snazil-uplatit-abychom-zatajili-ridl

S tými ponukami sa splietli o 2-3 rády najmenej...

@Peter Fodrek

Přesně to mě naapdlo když jsem to četl :-) Teď by jim těch 80 měli za trest zaplatit jako odměnu že se nedali zkorumpovat ;-)

80 čoho? Kíl melónov?

To uplácení se nebylo jednou, viz spectre a meltdown. Taky bylo utajování a když to najednou vybouchlo tak všichni z rady, kteří o tom věděli prodali veškeré akcie....

Jenom mě zaráží, proč zatajovali, když je velice snadné a bezproblémové opravy (pokud benchmarky nejsou falešné).

Problém Krzanicha byl hlavně, že prodal akcie ještě předtím než se meltdown dostal na veřejnost.

Jinak logicky v Intelu se současné zranitelnosti snaží co nejvíce zbagatelizovat, nebylo by tedy divné, když by vydali benchy, které by byly zámerně postaveny tak, aby se v nich po aplikovaných opravách projevovaly co nejmenší dopady na výkon.

FPGA je pri soucasne fazi vyvoje cpu s pozadovsnem vykonu nejen zcela mimo misu, ale zcela mimo prostor toalet...
Takove reseni by dnes bylo nechutne pomale a neefektivno. Bylo by treba i prekopat architekturu a rozlozit to na x FPGA neni vyvinout nejake hyper FPGA. Dalsi nevyhoda z toho plynouci je hodne vysoka spotreba.
ASIC bude jeste dlouho hrat primarni ulohu. Minimalne 20 let urcite. Osobne verim v kombinaci open risc architektur a FPGA na specializovane ulohy.

Bohuzel software zkompilovatelny a nadefinovany primo do programovatelneho FPGA - resp. Automatizovane navrzeni hw dle zadani v high level jazyku nikdo ted moc neresi a je jednodussi nechat voffce delat pro startupy business klikaci a smatlaci blbitka smatlafouny.

Vicemene by se s vami dalo souhlasit (mate od me palec nahoru) a to asi s tim, ze obecne cpu v FPGA je a dlouho zustane blbost, krome microcontoleru, nicmene prave tam bude asi nejvetsi problem Vami zminena cca 70% vyssi spotreba energie na FPGA. Nicmene na specializovane ulohy je FPGA nenahraditelna v tuto chvili, ASIC je pro vetsinu firem financne nedostupny.

A ted se dostaneme k navrhu ve vyssim jazyku, tam nemate zdaleka pravdu, proto mame HLS (High Level Synthesis):
1) c/c++/ system c - viz SpectraQ od Altera a Vivado HLx od Xilinx, nicmene nepsanym prukopnikem asi byl Handel-C
2) MATLAB ma podporu FPGA uz ani nevim jak dlouho (4 roky?)
3) CHISEL (Scala)

pak se jeste muzeme dostat k vecem typu Transport Triggered Architecture (TTA) - je to hodne podobne VLIW.
Zde je k dispozici napriklad opensource TTA-based Co-Design Environment (TCE), to vam umozni bezet vysoce paralelizovane tasky na FPGA, kdy pro TTA architekturu je k podpora v LLVM. Zde je take podpora v POCL Portable Computing Language (MIT licence, opensource implementace OpenCL 1.2 s nekterymi 2.0 features)
vice informaci najdete na http://openasip.org/

ja bych si FPGA predstavoval v mem notebooku jako configurable HW, takovy obecny prvek na PCI sbernici s nevydanymi moznostmi, ale to uz je z jineho soudku.

Jen dodavam ze nejsem FPGA professional a jen si s tim obcasne doma hraju.

Ja strašne držím palce CPU open source architektúre OPEN RISC a RISC-V. Viem, že v minulosti tiež tu boli pokusy o open source CPU a žiaľ zlyhali. Ja Intel nemusím najmä kvôli deravému Intel Managment Engine, ktorý považujem za sofistikovaný backdoor a nehovoriac o týchto chybách, o ktorých je tento článok.
Dnešné PC, tablety, workstations sú sofistikované špehovacie zariadenia - user už dávno nemá pod 100% kontrolou svoj vlastný hardware.

User nikdy nemel 100% kontrolu.

Take fandim open source resenim, ale obavam se, ze situaci asi moc nezlepsi.

Na zarizenich, ktere jste jmenoval je velka cast systemu, aplikaci a jejich soucasti pred uzivatelem skryta, nedokumentovana, ci nepristupna. Uzivatel do systemu vicemene nevidi a nemuze jej ani ovlivnit. Pokud jste nekdy experimentoval se shellem na Androidu napr. na tabletu asi vite - v podstate je nepouzitelny (alespon smysluplne). Tim chci napsat, ze z tohoto duvodu nemohu duverovat ani samotnemu systemu, natoz pak hardware nad kterym bezi. A to vse pod plastikem bezpecnosti - security by obskurdity.

A vite co je nejhorsi? Drtive casti uzivatelu je to jedno, hlavne ze jede fb. Dal bych nevim co za otevreny, transparentni system. Pak by melo smysl resit mobilni hw. Ale mam obavu, ze je to jen najivni sen...

Tak to vyzera, ze najbezpecnejsi Intelacky procak siroko daleko je nejake to vsivave Core2Duo. Pustil som si ten linkovany tool a tvrdi, ze na ziaden zistovany utok procak zranitelny nie je. Len ma trocha zarazilo, ze hlasi, ze KPTI nie je aktivne, aj ked som svojho casu upgradoval na kernel 4.4.111, ktory tuto opravu mal zahrnat. Je mozne, ze sa to na dost starych procesoroch nezapne?

KPTI na tak slabém CPU se zapíná ručně. Jinak nemá ani cenu... Dřív než by došlo ke ztrátě dat atd. tak ten hacker chcípne na stáří. "přejmenovaný atomy"

Intel ale upozorňuje na to, že samotné vypnutí HT problém neřeší a doporučuje ho tedy nevypínat.

Canonical/Ubuntu doporučuje vypnout:
"MDS is not fully mitigated if your processor supports Hyper-Threads and Hyper-Threads are enabled.
Ubuntu recommends disabling Hyper-Threads on affected systems if the system is used to execute untrusted or potentially malicious code." tj. prakticky všude.

Komu z těch dvou v tomto naslouchat je zřejmé...

Kouzlo je ve slovním spojení "samotné vypnutí HT". Vypnutí HT společně se softwarovou záplatou v Ubuntu problém může vyřešit, samotné vypnutí nebo samotná záplata ne.

A doufám že windowsí záplata pro Intel nebrickne počítače s AMD jako loni :-D

Intel i3-8100 bez HT má podle testu všechny zranitelnosti, jednoduchý Athlon 5350 nemá podle testu zranitelnost žádnou.

No jo, malé kočky...

Autor kontrolního skriptu spectre-meltdown-checker doplnil nové zranitelnosti, takže si můžete systém po záplatování zkontrolovat...

diky za info, z nastroje uvedenem v clanku sem byl trochu zmatenej, tento skript je s vysledkama/in­formacema prehlednejsi/jed­noznacnejsi :-)

pro zajimavost, vsechny uvedene CVE byli opraveny i pro jadra v Ubuntu 12.04 a 14.04, tedy jiz nepodporovanych vydani ;-)