El supremo de Linux, Linus Torvalds, ha expresado su apoyo a un parche de kernel que limita una defensa previamente desplegada contra Spectre Variant 2, una vulnerabilidad de fuga de datos en los procesadores modernos.
Específicamente, el parche propuesto desactiva un mecanismo de defensa particular de Spectre V2 por defecto, en lugar de activarlo automáticamente. Y aquí está la razón de ese cambio sugerido: el código se ejecuta hasta un 50 por ciento más lento en las CPUs Intel que utilizan Hyper-Threading con la defensa de seguridad habilitada.
Para aquellos que no lo saben, Hyper-Threading es la implementación de Chipzilla de multi-threading simultáneo (SMT), que divide los núcleos individuales de la CPU en dos hilos de hardware. Por lo tanto, cada núcleo puede ejecutar dos hilos de software al mismo tiempo. Esto significa que un procesador de 12 núcleos tendría 24 hilos de hardware, presentándose efectivamente como un chip de 24 núcleos para el sistema operativo y el software.
Algunas aplicaciones se benefician de SMT, y otras sufren, dependiendo de lo que intentan lograr y cómo. Se sabe, y ha sido mitigado por un tiempo, que el código que se ejecuta en un hilo de hardware puede potencialmente husmear en otra aplicación que se ejecuta en su hilo hermano dentro de su núcleo de CPU compartido. La familia de vulnerabilidades de Spectre ha reabierto esta caja de Pandora de dolores de cabeza de seguridad, sin embargo, en que SMT y algunas mitigaciones del kernel de Spectre no se mezclan bien, resultando en un golpe de rendimiento.
STIBP THBIS NONBSEPNSE
La mitigación específica de Spectre V2 en este caso fue añadida a Linux 4.20 y soportada de nuevo en Linux 4.19.2. Se llama STIBP (Single Thread Indirect Branch Predictors), y evita que el motor de predicción de ramas del procesador sea explotado por malware en un ordenador para robar contraseñas, claves de cifrado y otros secretos de la memoria a los que no debería tener acceso.
El mecanismo de defensa resulta ser un obstáculo para el rendimiento que Torvalds cree que no debería estar activado por defecto en todos los casos.
“Cuando el rendimiento baja un 50% en algunas cargas, la gente necesita empezar a preguntarse si valió la pena”, escribió Torvalds en un mensaje a la lista de correo del núcleo de Linux el domingo. “Aparentemente es mejor desactivar el SMT por completo, que es lo que hace la gente consciente de la seguridad.”
En respuesta a una sugerencia de Jiri Kosina, director del equipo Core Kernel de Laboratorios SUSE, de que un ataque práctico de Spectre Variant 2 podría implicar JavaScript en una pestaña del navegador dirigida a datos privados en una pestaña separada, Torvalds expresó escepticismo, argumentando que es mucho más teórico que la vulnerabilidad de Meltdown.
Por un lado, los navegadores han incorporado sus propias defensas contra las pestañas que utilizan Spectre para robar información y, hasta la fecha, no se sabe nada sobre el malware o spyware que aprovecha los defectos del procesador.
“¿Ha visto algún ataque realista para usuarios humanos normales?”, preguntó. “¿Cosas en las que el *núcleo* debería importarle? Lo de JavaScript es para que el navegador lo arregle, no para que el núcleo diga “ahora todo debería funcionar hasta un 50 por ciento más lento.””
No todo el mundo caracteriza el impacto del STIBP como algo serio. Tim Chen, ingeniero del Centro de Tecnología de Código Abierto de Intel, dijo que correr perlbench con STIBP usando la suite de pruebas SpecInt Rate 2006 muestra una reducción del 21 por ciento en el rendimiento. Su kilometraje puede variar – las métricas de ralentización del mundo real dependen de la carga de trabajo y del hardware involucrado.
Torvalds no ve la necesidad de deshacer el parche que habilitó STIBP, pero está de acuerdo con otros en que el comportamiento por defecto no debería ser habilitarlo incondicionalmente en todos los casos porque STIBP “era claramente mucho más caro de lo que se le dijo a la gente”.
Así que un parche en progreso permitirá a los administradores activar STIBP si es necesario, pero no por defecto. Los estudiantes de las maneras del líder de Linux tal vez recuerden que en enero, Torvalds -antes de repudiar las rabietas- se mostró apopléjico sobre la calidad de los parches iniciales de Intel de Spectre y Meltdown.
“En la documentación, AMD recomienda oficialmente que no se haga esto por defecto, y puedo hablar en nombre de Intel de que nuestra posición es la misma: esto realmente no debe ser así por defecto”, dijo. “…Usar estas herramientas quirúrgicamente está bien, si una tarea paranoica lo quiere, por ejemplo, o cuando sabes que estás haciendo una transición de seguridad. ¿Pero siempre encendida por defecto?
