Intel Hyper-Threading, un pericolo per la sicurezza?

In seguito alla rivelazione delle falle di sicurezza Foreshadow (L1TF) e TLBleed nelle CPU Intel, il fondatore di OpenBSD Theo de Raadt ha consigliato pubblicamente a tutti di disabilitare completamente la tecnologia Hyper-Threading di Intel nei BIOS prima che qualcuno possa avvantaggiarsene per sottrarre dati sensibili.

Non è la prima volta che dal mondo OpenBSD si lancia l'allarme sull'insicurezza dell'Hyper-Threading, ma l'ultimo post firmato da de Raadt di due giorni fa è ancora più netto nei termini, infatti si dice che Foreshadow e TLBleed impongono la disattivazione della tecnologia Hyper-Threading su tutti i sistemi Intel.

foreshadow

"La risoluzione di questi bug richiede un nuovo microcode, workaround nel codice E la disattivazione di SMT / Hyperthreading", si legge. "SMT è fondamentalmente rotto perché condivide risorse tra due istanze CPU e queste risorse condivise mancano di differenziatori di sicurezza. Alcuni di questi attacchi side channel non sono banali, ma possiamo aspettarci che la maggior parte di essi alla fine funzioni e consenta il leak della memoria del kernel o tra virtual machine in circostanze d'uso comuni, anche come javascript direttamente in un browser".

"Si scopriranno più bug hardware. A causa del modo in cui SMT interagisce con l'esecuzione speculativa sulle CPU Intel, mi aspetto che SMT esasperi la maggior parte dei futuri problemi. Alcuni mesi fa ho esortato le persone a disabilitare l'Hyper-Threading su tutte le CPU Intel. Mi devo ripetere: DISATTIVATE L'HYPER-THREADING SU TUTTE LE MACCHINE INTEL NEL BIOS. Inoltre, aggiornate il firmware del vostro BIOS se potete".

Il fondatore di OpenBSD ha inoltre criticato Intel per una mancanza di trasparenza su come intende risolvere i problemi e per non aver pubblicato documentazione adeguata su come chi realizza sistemi operativi deve agire per mitigare questi bug. "Ho intenzione di spendere i miei soldi in un produttore più affidabile in futuro", conclude seccamente de Raadt, affermando che OpenBSD 6.4 e successivi disabiliteranno completamente l'SMT di casa Intel.

intel

Nei mesi passati abbiamo visto che le falle Meltdown e Spectre non sono un caso isolato, e da allora sono emerse diverse varianti e la possibilità che ne appaiano altre sono piuttosto alte, almeno fino a quanto l'intera classe degli attacchi all'esecuzione speculativa non sarà risolta a livello hardware, nell'architettura - cosa che Intel sta iniziando a fare, seppur timidamente, con le CPU server Cascade Lake e i futuri modelli Core.  

Intel dal canto suo ha affermato che disattivare la tecnologia Hyper-Threading non è necessario se tutte le altre strategie di mitigazione sono in campo, ma questa ulteriore mossa può essere consigliabile in un sottogruppo di scenari, in cui amministratori IT o cloud non possono garantire che tutti i sistemi operativi virtualizzati siano stati aggiornati.

Pubblicità

AREE TEMATICHE