Lidando com Meltdown e Spectre no Linux


Aqueles que acham que o Linux se deu bem mais uma vez contra as falhas de segurança, especificamente as últimas divulgadas pela mídia denominadas Meltdown e Spectre se enganam… O Linux não escapou dessa vez e está sendo usado como um meio para explorar estas ameaças, o que conforme explicado por alguns pesos pesados ​​de desenvolvimento, como Greg Kroah-Hartman e Linus Torvalds, acaba por ser vital para entender o alcance dos problemas e como eles são sendo tratados pela frente de desenvolvimento do Kernel.

Em resumo, estas vulnerabilidades podem permitir que invasores tenham acesso a informações sigilosas em processamento no computador (aí falamos de chips Intel, AMD e ARM e sistemas Microsoft, Android, Chrome, o iOS e o MacOS e inclusive o Linux). Elas exploram um recurso dos processadores conhecido como speculative execution, que é um recurso de otimização de performance. E entre divergências sobre os impactos da aplicação dos patches em sistemas de produção, até agora houveram algumas menções sobre queda de desempenho após as atualizações.

Atualmente o Kernel 4.14.15 já possui correções efetivas para o Meltdown, enquanto o Spectre ainda está sendo avaliado e deve ter sua correção nos próximos releases. E quanto a plataforma Microsoft, é possível ver uma orientação do fabricante neste link.

Para manter a comunidade open-source atualizada, o desenvolvedor Greg Kroah-Hartman (responsável pela árvore estável do Kernel entre outros projetos, e membro da Linux Fundation) publicou uma atualização em 19 de Janeiro para explicar um pouco sobre o status atual dos patches do Kernel, dizendo que os desenvolvedores agora estão tentando resolver problemas relacionados ao Spectre, que na ocasião anterior reconheceu que eles se concentraram em Meltdown, contra o qual havia ao menos aparentemente, uma solução mais clara. Ele também recomenda seguir a lwm.net para estar ciente de todos os detalhes.

O engenheiro alemão explica ainda como descobrir se uma instalação do Linux é vulnerável às vulnerabilidades Meltdown e / ou Spectre . Para isso, precisamos executar o seguinte comando conforme ilustrado abaixo:

# grep . /sys/devices/system/cpu/vulnerabilities/*

"Resultado_do_comando.IMG"
Kroah-Hartman adverte que alguns provedores podem não fornecer o patch para analisar as vulnerabilidades no Linux, por isso recomenda reportá-lo como uma falha no mecanismo.

Quanto ao Linus Torvalds, vê-lo enredado nas discussões não é uma coisa estranha, nem suas mensagens cheias de exclamações na lista de discussão do Linux. Em uma conversa com outro dos desenvolvedores, que também foi empregado pela Intel e um dos responsáveis ​​pelos remendos contra os vetores de ataque aqui mencionados, ele respondeu que os remendos implementados pelo gigante de chips são “completamente uns lixos” . Como argumento, ele acusou seu funcionamento, dizendo que “eles fazem coisas loucas” que podem ser consideradas “sem sentido” .

Em suma, pode-se dizer que os patches da Intel parecem ter solucionado um problema introduzindo outro…

Como vemos, parece que a questão do Meltdown está a meio caminho da solução efetiva, mas o Spectre ainda vai render muitos esforços e, possivelmente, tempo para sua total implementação.