Vlákno názorů k článku Nový vývoj kolem Spectre a Meltdown a naštvaný Linus Torvalds od lupa.cz jsou už jako čučkaři - Co se stalo, stalo se, ale clovek by...
-
Co se stalo, stalo se, ale clovek by se mel z chyb predevsim poucit. Soucasny vyvoj jednoznacne ukazuje jaka je spravna strategie pro budoucnost. Hardware (nejenom CPU) by mel byt otevreny a snadno licencovatelny, minimalne zpusobem RISC-V. Jestli se to nestane, tak se podobny problem bude opakovat nekde jinde, nekde jinak, ale potencialne s podobne katastrofickymi dusledky.
-
Hmm a jak to pomůže?
Problém nevznikl tím, že by ho někdo tajil. Problém vznikl tím, že to doposud nikoho nenapadlo. Co my víme o problémech RISCových platforem? Nic, to neznamená, že tam nejsou. Celý problém je mnohem obecnější, nejde o klasickou chybu, spíš o rys a asi nejvýraznější na celé věci je to, kolik lidí zůstalo stát s hubou otevřenou dokořán v důsledku poznání o jak velký průšvih jde. Nikoho z nich to nenapadlo.
-
Problém vznikl tím, že to doposud nikoho nenapadlo.
Tak s tím si tedy dovolím zásadně nesouhlasit. Ne, že by snad někdo dopředu znal tuhle konkrétní chybu, ale třídy problémů podobného typu jsou známy docela docela dlouho a obecný způsob ochrany taky.
To mi v podstatě dovoluje použít argument, který jsem psal už mnokrát. Za desítky let se v OS podařilo vybudovat poměrně slušnou a bezpečnou platformu pro běh programů, jejich vzájemné oddělení (na mnoha úrovních), vyřešit práva k datům apod. Všechno máme, v podstatě dnes můžeme mít každý program ve svém vlastním izolovaném prostředí. Řeší se, jak mají být podepsané balíčky a dokonce i věci jako reproducible builds.
Do toho vlezly "prohlížeče" internetu (dneska by se spíše slušelo psát: univerzální spouštěče), které ochotně spustí libovolný kód, který jim z libovolného zdroje přijde po protokolu. Tím se desítky let práce na bezpečnosti OS v podstatě zahodí a místo toho se řeší, jak web v jednom tabu oddělit od webu ve druhém tabu (tj v jednom procesu, max. mezi dvěma vlákny). A ještě jim dát přímý přístup k HW... S takovou se na nějaké podpisy balíčků můžeme fakt... víte co.
Jako já si klidně dovedu představit, že po každé takové chybě se projedou všechny balíčky v repositáři a případně se zrekompilují tak, aby tato chyba nebyla zneužitelná. Tím se dá výrobci HW čas, aby tu chybu vyřešil. Ostatně takto se to dělalo i v minulosti, hw bugy některých cpu se obcházely v kompilátoru a dané vadné instrukce se prostě nepoužívaly.
Ne, dneska máme stav, když máme sice super bezpečný os, ale stejně si ochotně spouštíme náhodné programy z náhodných zdrojů v "prohlížeči".
-
PetrM (neregistrovaný)
Blbost.
Představ si, že máš komplet otevřený zdrojáky ve Verilogu od jádra. Jak ti to pomůže předejít chybě, pokud
- je chyba v syntezátoru a něco ti z toho v rámci optimalizace vypadne blbě?
- je tam BSD licence, výrobce čipů si to forkne a nějaký expert něco ručně "optimalizuje"?
- chyba se projeví až ve spojení s konkrétní chybou SW, třeba nesmyslnou sekvencí instrukcí / nepoužívaným opcode...Tohle obecně pomůže na backdoor (nějaká cesta ven) a podobně, ne na podobný věci.
-
Důležité je hlavně nebýt závislí na jedné HW platformě. U Linuxu človĕku může být jedno, jestli používá x86/amd64, ARM nebo POWER, protože OS i aplikace (alespoň u většiny svobodného SW) jsou identické. To je dosud nedoceněná výhoda, jakou Windows ani Mac nenabízejí. Takže by to chtělo víc takových Talosů a silnější stroje s ARM. Když se pak stane něco podobného a uživatel z toho má obavy, může si koupit CPU s jinou architekturou, sice bude muset reinstalovat distro ale jinak mu všechno bude dál normálně fungovat.
-
Právě proto by se moc hodilo silnější ARM. Nejde samozřejmě o ARM jako takové, ale o to, že to je jedna z architektur, kde se Linux používá komerčně, spolu s Intel/AMD, POWER a snad ještě MIPS, a je na ní tedy podrobně testovaný a laděný. Architektury jako SPARC apod. už přece jenom nemají tak aktivní podporu (nemluvě o výkonu...), kdežto RISCV a OpenRISC ji ještě nemají.
-
Mozna jste jeste nikdy neslysel o "security through obscurity", coz by slo u HW vyrobcu parafrazovat jako "performance through obscurity". U vyrobcu CPU se tyto dve fraze dokonale prolinaji. V inzenyrske praxi se uz vice jak stoleti vi, jak je takovy model vyvoje chybny. Udivuje mne, ze zrovna vy nechapete podstatu spojenou s konstrukci HW.
ad fork) to je na volbe uzivatele, zda si koupi genuine nebo tuned
ad projev chyby) uz jste nekdy slysel o metodach formalni verifikace? Zrovna u Intelu byste v tehle oblasti nasel ceskou stopu. Jenze dodnes neni moznost sjet spravnost SW+HW vrstvy (na x86), protoze nemate otevreny HW.
-
. . (neregistrovaný)
také bych rád otevřený HW a průhlednější CPU, nedomnívám se, že v tomhle případě by se něco změnilo. Jedná se o chybu designu a postiženi do určité míry jsou všichni napříč spektrem spectrem. Sice všichni slavnostně tvrdí, že nemají takový průser jak intel, ale stejně tak všichni ví, že to je začátek a všichni mohou mít svůj meltdown, je to jen otázka času pokud to rychle nezaříznou záplatou.
Složitost x86 je podle mě naše zkáza, risc-v dělá krásné věci, arm vypadá opět velice dobře, dole zmíněný talos jsou moc pěkné architektury, ale majorita je uzavřena ve svých historických instrukcích.
-
Zmenilo by se hodne. Inzenyri by sve vykonnostni obezlicky neschovavali za oponou a bylo by mozne verifikovat prave ten design. Kvalitni verifikace je samozrejme spojena s otazkou dostupneho vykonu, ale podobne designove zavady by stezi vydrzely desetileti jako u techto aktualnich chyb. Na tyhle chyby se ostatne prislo jen diky tomu, ze jedna z mnoha korporaci prestala verit HW a "podivala" se mu na zoubek.
-
. . (neregistrovaný)
u ARM je design otevřenější a přístup k němu má velká spousta lidí a organizací, pomohlo to? Chybou je částečně postižený také.
Souhlasím, když se někdo dívá, má to pozitivní vliv na výsledek, Intel by si pozornost zasloužil. Není to první velký zářez Googlu do Intelu. Museli do toho vrazit obrovské množství prostředků a jde jasně vidět, že uzavřený kód se sice dá nezávisle kontrolovat, ale ty bariéry jsou obrovské.
