Vulnerabilità dei processori Meltdown e Spectre. Avviate già tre class action

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ion_73352.html

Il problema sulla vulnerabilità, Meltdown e Spectre per i processori Intel, ha già creato le prime class action. La volontà è quella di dimostrare di avere in qualche modo subito dei danni.

Click sul link per visualizzare la notizia.

[Sandro kensan]

Penso anch'io che il problema non siano gli utenti che non hanno ricevuto praticamente alcun danno ma sia Internet con i propri server fortemente rallentati dal bug dei µp Intel.

[berson]

Ossia quando arriveranno nei negozi processori coi bug corretti a livello hardware?

[songohan]

Quote:

Originariamente inviato da berson

Ossia quando arriveranno nei negozi processori coi bug corretti a livello hardware?

Sarebbe gia' possibile, penso.
In teoria, qualunque processore in-order dovrebbe essere immune da questo tipo di bug.

[yeppala]

Secondo le dichiarazioni di Intel, non si tratta di difetto di progettazione, ma è così che le CPU dovevano funzionare.
In pratica sono state scardinate tutte le fondamenta dell'informatica dei calcolatori!

[matrix83]

Quote:

Originariamente inviato da yeppala

Secondo le dichiarazioni di Intel, non si tratta di difetto di progettazione, ma è così che le CPU dovevano funzionare.
In pratica sono state scardinate tutte le fondamenta dell'informatica dei calcolatori!

Infatti è così. Semplicemente dovevano scegliere tra prestazioni e sicurezza, e hanno scelto ovviamente la prima. Detto questo, le vulnerabilità in questione sono quasi impossibili da sfruttare su un utente casalingo, e molto difficili comunque per tutto il resto. Il vero problema è il cloud, ma posso capire la scelta fatta.

[Sandro kensan]

Quote:

Originariamente inviato da Sandro kensan

Penso anch'io che il problema non siano gli utenti che non hanno ricevuto praticamente alcun danno ma sia Internet con i propri server fortemente rallentati dal bug dei µp Intel.

Mi rispondo da solo proseguendo una discussione del precedente articolo che tratta del bug Meltdown in cui un utente Intel mi faceva notare che alcuni test rilevavano su Windows un calo sensibile di prestazioni. Io da bravo fan AMD mi sono ripromesso di vedere se è vero o no però con esempi reali di programmi.

Su YT ci sono due video affiancati di Zelda con un [email protected], il video a destra è senza patch mentre quello a sinistra è con la patch, Zelda fa le stesse azioni e gli stessi movimenti nei due video, quindi si possono vedere le differenze nelle immagini e nei fps.

Però si è usato un emulatore per fare andare zelda su PC e quindi si è un po' fuori gli usi tipici di un pc ma comunque la differenza è visibile ad occhio nudo sia in termini di qualità delle immagini che in termini di fps durante tutto il video.

https://www.youtube.com/watch?v=bkS53b_BmIg

Questa una immagine del video:

https://drive.google.com/open?id=1c3...raSeDySLiYQliv

5 fps di differenza si vedono spesso nel video e le immagini sono più scure.

[Lampetto]

Quote:

Originariamente inviato da matrix83

Infatti è così. Semplicemente dovevano scegliere tra prestazioni e sicurezza, e hanno scelto ovviamente la prima. Detto questo, le vulnerabilità in questione sono quasi impossibili da sfruttare su un utente casalingo, e molto difficili comunque per tutto il resto. Il vero problema è il cloud, ma posso capire la scelta fatta.

Be inzomma, se per causa di queste falle vengono scardinati servizi Cloud di colossi come Amazon, Microsoft, Google e i centinaia di provider cloud sparsi per il mondo, mi sa che non bastano le dichiarazioni se dati sensibili finiscono in mani sbagliate, potrebbe costargli carissimo.

Oggi più che mai la sicurezza informatica è un valore aggiunto, più dei numerini di benchmark per bimbiminkia...
Si investono miliardi per la sicurezza, certe leggerezze non dovrebbero essere ammesse

[tallines]

Per Intel un problema non da poco mi sa......

Come l' esempio portato da Lampetto, alias se sono coinvolte grosse aziende........o anche altri tipi di aziende ehhhhh, non ci sono al mondo solo le aziende citate, ce ne sono di aziende di grossissime dimensioni in tutto il mondo........ potrebbero veramente essere dolori per Intel .

Soprattutto se poi a queste grosse aziende, vengono rubati i dati.....chiaro che ci deve essere la prova che i dati sono stati sottratti, però una bella gatta da pelare per Intel............

Che poi Intel ha già avuto problemi in passato o in un recente passato................>

https://www.hwupgrade.it/forum/showp...&postcount=740

[globi]

Potrebbero essere vulnerabilità pericolose ma fino ad ora non risulta che qualcuno abbia sfruttato queste vulnerabilità.

Fino a che il danno non c`é, esso non può venire risarcito.

[cdimauro]

Quote:

Originariamente inviato da yeppala

Secondo le dichiarazioni di Intel, non si tratta di difetto di progettazione, ma è così che le CPU dovevano funzionare.

Infatti le CPU si comportano correttamente.

Quale parte non sarebbe stata implementata correttamente, e dunque dove starebbero i bug?

I manuali delle architetture x86 e x64 si possono scaricare liberamente dal sito di Intel o di AMD. Mi faresti vedere di preciso dov'è che l'implementazione non rispecchierebbe le specifiche?

Quote:

In pratica sono state scardinate tutte le fondamenta dell'informatica dei calcolatori!

Che sarebbero? Anche qui, almeno un esempio e/o approfondimento non guasterebbe, grazie.

[cdimauro]

Quote:

Originariamente inviato da Sandro kensan

Mi rispondo da solo proseguendo una discussione del precedente articolo che tratta del bug Meltdown in cui un utente Intel mi faceva notare che alcuni test rilevavano su Windows un calo sensibile di prestazioni. Io da bravo fan AMD mi sono ripromesso di vedere se è vero o no però con esempi reali di programmi.

Su YT ci sono due video affiancati di Zelda con un [email protected], il video a destra è senza patch mentre quello a sinistra è con la patch, Zelda fa le stesse azioni e gli stessi movimenti nei due video, quindi si possono vedere le differenze nelle immagini e nei fps.

Però si è usato un emulatore per fare andare zelda su PC e quindi si è un po' fuori gli usi tipici di un pc ma comunque la differenza è visibile ad occhio nudo sia in termini di qualità delle immagini che in termini di fps durante tutto il video.

https://www.youtube.com/watch?v=bkS53b_BmIg

Questa una immagine del video:

https://drive.google.com/open?id=1c3...raSeDySLiYQliv

5 fps di differenza si vedono spesso nel video e le immagini sono più scure.

Non mi sembra che ci siano differenze in termini di qualità. Le parti più scure sono dovute ad altri elementi che l'engine del gioco inserisce, come ad esempio delle nuvole.

Per il resto, ci sono appunto quelle differenze di FPS. Circa 5FPS in meno su 100 rientra fa il 5%, che è molto di più di ciò che in genere si registra nei giochi. Probabilmente in questo caso la differenza la fa l'overhead dell'emulatore rispetto a un normale gioco (che non deve emulare niente, e gira "nativamente").

[cdimauro]

Quote:

Originariamente inviato da Lampetto

Be inzomma, se per causa di queste falle vengono scardinati servizi Cloud di colossi come Amazon, Microsoft, Google e i centinaia di provider cloud sparsi per il mondo, mi sa che non bastano le dichiarazioni se dati sensibili finiscono in mani sbagliate, potrebbe costargli carissimo.

Oggi più che mai la sicurezza informatica è un valore aggiunto, più dei numerini di benchmark per bimbiminkia...
Si investono miliardi per la sicurezza, certe leggerezze non dovrebbero essere ammesse

Se sai come sviluppare processori senza falle di sicurezza non hai che mostrare come: vedrai che ti pagheranno a peso d'oro.

Forse non hai visto in che modo funzionino queste vulnerabilità. Almeno per Meltdown (che ho analizzato a fondo), non è affatto roba banale: il meccanismo è cervelloticamente geniale, e non è che può elaborarlo il primo che passa. Tant'è che è da almeno 10 anni che è rimasto nel limbo e solo di recente, con studi sulle vulnerabilità delle microarchitetture moderne, è venuto fuori.

Quote:

Originariamente inviato da tallines

Per Intel un problema non da poco mi sa......

Come l' esempio portato da Lampetto, alias se sono coinvolte grosse aziende........o anche altri tipi di aziende ehhhhh, non ci sono al mondo solo le aziende citate, ce ne sono di aziende di grossissime dimensioni in tutto il mondo........ potrebbero veramente essere dolori per Intel .

Soprattutto se poi a queste grosse aziende, vengono rubati i dati.....chiaro che ci deve essere la prova che i dati sono stati sottratti, però una bella gatta da pelare per Intel............

Che poi Intel ha già avuto problemi in passato o in un recente passato................>

https://www.hwupgrade.it/forum/showp...&postcount=740

I problemi di sicurezza non li ha solo Intel, mi pare.

[Sandro kensan]

Quote:

Originariamente inviato da cdimauro

Non mi sembra che ci siano differenze in termini di qualità. Le parti più scure sono dovute ad altri elementi che l'engine del gioco inserisce, come ad esempio delle nuvole.

Per il resto, ci sono appunto quelle differenze di FPS. Circa 5FPS in meno su 100 rientra fa il 5%, che è molto di più di ciò che in genere si registra nei giochi. Probabilmente in questo caso la differenza la fa l'overhead dell'emulatore rispetto a un normale gioco (che non deve emulare niente, e gira "nativamente").

Per la differenza tra le immagini imputabili a questo o quest'altro non discuto per la mia ignoranza sui videogiochi. Per gli fps attribuibili all'overhead sono d'accordo con te. Un vg non è emulato ma gira nativamente e quindi l'esempio non è la norma dei videogiochi.

[fraussantin]

Quote:

Originariamente inviato da berson

Ossia quando arriveranno nei negozi processori coi bug corretti a livello hardware?

Quote:

Originariamente inviato da songohan

Sarebbe gia' possibile, penso.
In teoria, qualunque processore in-order dovrebbe essere immune da questo tipo di bug.

casomai in produzione , e al massimo già castrato a livello di microcode e funzionalità.

per avere processori ottimizzati come lo erano fino ad oggi dovremo aspettare qualche annetto , forse +di 5

[fraussantin]

Quote:

Originariamente inviato da yeppala

In pratica sono state scardinate tutte le fondamenta dell'informatica dei calcolatori!

no per ''fortuna'' solo alcune ottimizzazioni che davano boost a certi calcoli.

[adelage]

sino ad ora sembra che l'utente medio non verrà penalizzato dalle patch, il rallentamento dovrebbe incidere in maniera significativa (si dice sino al 30%) solo,su quel tipo di applicativi che ricorrono a massicci e frequenti scambi di dati fra memoria di massa e ram (vedi data center, virtualizzazione, etc), per cui chi fa gaming, editing video, photoshop, rendering, naviga sul web e scrive su word non dovrebbe avere problemi, bisogna aspettare qualche giorno affinchè dei benchmark completi confermino tutto ciò..
detto questo, secondo me il discorso delle class action è sostanzialmente infondato dal punto di vista della sicurezza, perchè per richiedere un risarcimento si dovrà dimostrare che c'è stato un danno, il discorso si fa più complesso su due altri versanti invece: 1- intel (ma anche microsoft, apple e tanti altri) sapeva di questo problema da almeno sei mesi, ma la notizia è stata fatta uscire solo adesso, qualcuno potrebbe dire che si è cercato di evitare di esporre una vulnerabilità cosí ghiotta per gli hackers prima che fossero disponibili le patch per correggere il problema, ma nel frattempo intel in questi sei mesi ha continuato a fatturare miliardi vendendo cpu che sapeva essere vulnerabili, e che sapeva avrebbero avuto un sostanziale calo di prestazioni una volta applicate le patch 2 - tutte quei servizi di cluod, data centers e virtualizzazione, che costituiscono una sostanziale fetta del fatturato di intel, dopo le patch si ritroveranno ad avere una potenza di calcolo dei propri sistemi ridotta in media del 15/20%, e qui il danno c'è ed è pure bello grosso, in pratica è come se compro un trattore da 100cv che uso per lavorare conto terzi, e all'improvviso mi ritrovo una macchina da 80cv, ovviamente non sarò in grado di effettuare gli stessi lavori di prima entro le stesse tempistiche, se ci mettiamo anche che la proporzione del problema è praticamente globale, beh, fatevi due conti e capite che se non trovano una soluzione efficace in tempi brevi anche sul versante delle prestazioni, Intel (ma anche moltissimi altri) avranno grossi problemi.

[s-y]

più che gli utenti 'privati' da capire l'impatto a livello di server, dove, per quanto ancora da quantificare (ma si sarà ben in grado di analizzarlo dato che è una delle 'voci' principali) l'impatto sulle prestazioni

penso poi che il vero danno a livello 'massa' sia di immagine, e non è aspetto marginale

[cdimauro]

Quote:

Originariamente inviato da adelage

detto questo, secondo me il discorso delle class action è sostanzialmente infondato dal punto di vista della sicurezza, perchè per richiedere un risarcimento si dovrà dimostrare che c'è stato un danno, il discorso si fa più complesso su due altri versanti invece: 1- intel (ma anche microsoft, apple e tanti altri) sapeva di questo problema da almeno sei mesi, ma la notizia è stata fatta uscire solo adesso, qualcuno potrebbe dire che si è cercato di evitare di esporre una vulnerabilità cosí ghiotta per gli hackers prima che fossero disponibili le patch per correggere il problema,

Sì, è esattamente questa la motivazione: trovare almeno un workaround per cercare di tamponare il problema.

Pratica comune in questi casi.

Quote:

ma nel frattempo intel in questi sei mesi ha continuato a fatturare miliardi vendendo cpu che sapeva essere vulnerabili, e che sapeva avrebbero avuto un sostanziale calo di prestazioni una volta applicate le patch

Questo è sostanzialmente corretto, ma bisognerebbe dimostrare da quando Intel (e gli altri vendor per quanto riguarda le altre vulnerabilità) abbiano avuto conferma degli impatti prestazionali.

Infatti il solo avere a disposizione i dettagli della vulnerabilità non è di per sé sufficiente a comprenderne la portata a livello pratico. Anche perché serve avere il workaround e testarlo con codice reale.

Quote:

2 - tutte quei servizi di cluod, data centers e virtualizzazione, che costituiscono una sostanziale fetta del fatturato di intel, dopo le patch si ritroveranno ad avere una potenza di calcolo dei propri sistemi ridotta in media del 15/20%, e qui il danno c'è ed è pure bello grosso, in pratica è come se compro un trattore da 100cv che uso per lavorare conto terzi, e all'improvviso mi ritrovo una macchina da 80cv, ovviamente non sarò in grado di effettuare gli stessi lavori di prima entro le stesse tempistiche, se ci mettiamo anche che la proporzione del problema è praticamente globale, beh, fatevi due conti e capite che se non trovano una soluzione efficace in tempi brevi anche sul versante delle prestazioni, Intel (ma anche moltissimi altri) avranno grossi problemi.

E' possibile, ma c'è anche un'altra cosa da considerare. I processori funzionano correttamente: come da specifiche. Se prendi il manuale che definisce nel dettaglio l'ISA, tutto viene rispettato.

Infatti, come dicevo in un altro thread, l'istruzione che tenta di leggere la memoria del kernel (mi riferisco a Meltdown, nello specifico, che è quello che ha portato a dover patchare i kernel, e quindi rallentare le syscall) viene bloccata, e quelle seguenti, che in qualche modo hanno utilizzato (speculativamente) il contenuto di quella cella, a loro volta sono state invalidate (rollback: come se non fossero state eseguite).
Non c'è nulla, in nessuna parte dell'architettura (ISA) che sia stata alterata: né i registri del processore né la memoria. Niente di niente.
Quindi il processore ha elaborato quelle istruzioni rispettando fedelmente le specifiche dell'ISA.

Questo è una carta che Intel potrebbe giocarsi nei processi.

Al netto dall'aver venduto processori conoscendo l'impatto della vulnerabilità a causa della patch.

[Lampetto]

Quote:

Originariamente inviato da cdimauro

Se sai come sviluppare processori senza falle di sicurezza non hai che mostrare come: vedrai che ti pagheranno a peso d'oro.

Forse non hai visto in che modo funzionino queste vulnerabilità. Almeno per Meltdown (che ho analizzato a fondo), non è affatto roba banale: il meccanismo è cervelloticamente geniale, e non è che può elaborarlo il primo che passa. Tant'è che è da almeno 10 anni che è rimasto nel limbo e solo di recente, con studi sulle vulnerabilità delle microarchitetture moderne, è venuto fuori.

Non sto certo dicendo che sono diventati idioti, ma riferendomi all'esempio di Matrix83, se è vero che prestazioni maggiori si ottengono anche portando all'estremo la linea di confine oltre il quale si mette a rischio la sicurezza, allora è una prassi pericolosa.
Io al massimo posso progettare una lampadina o una radio con batteria, antenna e condensatore
e non so neanche se l'esempio è corretto, ovvero che si è spinto troppo sulle prestazioni a discapito della sicurezza, ma posso anche pensare che le prestazioni siano un bel motore per la scelta di un processore e di una marca.
Naturalmente non ho la benchè minima prova, è solo per capire come mai qualcuno ha spinto per una class action...