Создатель Linux Линус Торвальдс назвал патчи Intel от атаки Spectre «полным и абсолютным мусором»

Развитие событий: Google c Facebook выпустили защиту от «шпионских» UEFI-прошивок Intel — LinuxBoot (26 января)

Opennet.ru перевёл реакцию автора Linux на патчи Intel от уязвимости Spectre, предназначенные для Linux. Линус Торвальдс фраппирован тем, что даже сам Intel не воспринимает свой патч «всерьёз». Режим защиты, якобы, найден. Но «Intel создаёт видимость работы во избежание судебных исков», в действительности защита просто отключёна по умолчанию, возмутился Торвальдс.

Создатель Linux Линус Торвальдс назвал патчи Intel от атаки Spectre полным и абсолютным мусором

Примечание: Из отчёта «Who Writes Linux» за 2015 года следовало, что ~ 87,6% правок ядра Linux делают несколько крупнейших глобальных корпораций (и лишь 11,8% кодеров — это неоплачиваемые добровольцы). Больше всех правок традиционно делал вышеупомянутый Intel. По затратам человеко-лет на работу с кодом операционной системой — Intel это или самый опытный или один из самых опытных участников разработки Linux.

Линус Торвальдс о патче Intel:

В ответ на предложение включить данный патч в ядро Линус Торвальдс вышел из себя и назвал патч Intel «полным и абсолютным мусором» (complete and utter garbage), а предпринятый метод значительно хуже, чем грязный хак. Появление IBRS указывает на то, что Intel не планирует грамотного решения проблемы со спекулятивным выполнением косвенных переходов. По впечатлению Торвальдса возникает ощущение, что Intel создаёт видимость работы во избежание судебных исков и прежде всего пытается решить свои юридические проблемы, что совсем не способствует созданию технически грамотных и качественных технологий и исправлений. Судя по всему, даже сама компания Intel не воспринимает предложенный режим защиты IBRS_ALL всерьёз, так как негативное влияние на производительность столь высоко, что он отключен по умолчанию, чтобы не портить результаты тестов.

Google рассказал про критические уязвимости в процессорах Intel: самому Intel в 2017 году (после этого, но не вследствие этого, осенью глава микропроцессорной корпорации продал свои бумаги Intel на $24 млн); и широкой аудитории 3 января 2018 года.

В начале января разработчики конкурирующей операционной системы из Microsoft подтвердили, что устранение уязвимости процессоров Intel действительно замедлит компьютеры и серверы. Исполнительный вице-президент Microsoft Терри Майерсон показал себя дипломатом и сам посоветовал компаниям «поддерживать разумный баланс между соображениями безопасности и продуктивностью». Продуктивность падала вплоть до нуля, так как один из патчей от Meltdown и Spectre — «вешал» компьютеры на процессорах AMD. Ещё ранее в январе разработчики других конкурирующих операционок из Apple констатировали, что все их устройства подвержены риску, связанному с уязвимостями процессоров.

Добавить 11 комментариев

  • Ответить

    И чего Торвальдс негодует, он что читать не умеет, все же четко и понятно:

    Исполнительный вице-президент Microsoft Терри Майерсон показал себя дипломатом и сам посоветовал компаниям «поддерживать разумный баланс между соображениями безопасности и продуктивностью».

    >87,6% правок ядра Linux делают несколько крупнейших глобальных корпораций (и лишь 11,8% кодеров — это неоплачиваемые добровольцы)

    Панков, ты тут в соседней ветки писал:
    Мир лучше делает ядро Линукса и ноктюрны Шопена.

    Объясни мне убогому, чего корпорации то так усердно пыхтят на благо человечества?
    Почему бесплатно?
    Маркса что ли начитались?
    Куда только смотрят их акционеры….

  • Ответить

    > И чего Торвальдс негодует

    Потому что Интел пытается скомпенсировать репутационные издержки за счет ядра Linux. И поскольку разработчики ядра Linux не дураки, то для них всё это выглядит как провокация, а на провокацию можно смело ответить, что их патчи — дерьмо.

  • Ответить

    «87,6% правок ядра Linux делают несколько крупнейших глобальных корпораций (и лишь 11,8% кодеров — это неоплачиваемые добровольцы)»
    Интересно что в другой статье написано: «12% патчей присылают независимые добровольцы и это больше чем любая корпорация».
    Как одну и ту же цифру можно по разному показать :)

  • Ответить
    Игорь Ашманов Сам себе компания

    Объясни мне убогому, чего корпорации то так усердно пыхтят на благо человечества?
    Почему бесплатно?

    Потому что ОС — это комплементарная технология для производителей железа. Или enabling tech.
    То есть прямой повышатель продаж.

  • Ответить

    Ашманов, я вот без троллинга и подъёбок, поинтересоваться, на простом примере.

    Была компания Validity Sensors, и выпустила она неплохой считыватель отпечатков пальцев. Допустим VFS495, работающий через USB и встроенный в кучу ноутбуков.

    Ес-но драйвера — только под винду, под Линукс — непонятный блоб, который как-то даже запускать не хочется. Фирмваре — ясно дело проприетарная, а перепрошить на свою, даже если написать, не выйдет — в девайс забит ключ для проверки, только стоковая фирмвара примется.

    Компанию купила другая компания, у первой даже перестал работать сайт. Короче, вот сводка фактов:

    0. устройство третьего эшелона по значимости (нету считывателя отмечатков? да и хрен с ним, ольше чем sudo на него вешать стрёмно)

    1. спеков на коммуникацию с устройством нет никаких, можно реверсить блоб, но это стоит денег и времени

    2. фирмвару свою написать и залить — не получится, хотя было бы прикольно

    Девайс есть у тысяч людей, мог бы работать, приносить пользу обществу, да и хотя бы просто радовать людей. Из-за идиотизма корпоратов — никто не в выигрыше, все только в проигрыше: есть устройство, но инженерные изыскания слишком дороги, проще выкинуть.

    Почему корпораты себя ведут как конченые идиоты? И почему корпораты не используют прямой повышатель продаж — открытые спеки, а также открытые фирмвары.

    Это не вопрос про Путина, Сирию и АНБ.

  • Ответить
    Игорь Ашманов Сам себе компания

    Опенсорс поддерживать — тяжёлый бизнес. Чистые расходы, куча усилий с неясным результатом и пиар-последствиями.
    Вот у Мыла с Тарантулом опыт не очень хороший.

    Те, кто систематически поддерживает опенсорс — огромные компании типа Интела. Это стоит миллиарды долларов ежегодно.

    Если ты готов заниматься именно опенсорсом — как Сысоев с Нгинксом или Тутубалин с RAW — тогда да.
    А гибриды корпоративного ПО/железа с опенсорсом — редкость, и по-моему, долго не живут.

  • Ответить

    Crio, по логике вещей, конкуренты ничего не получат ни от открытых спеков, ни от возможности заливать свою фирмвару на устройство. Я бы даже не побоялся саму фирмвару открыть, прикол в том, что она на базе того же линукса и библиотек и принципиальных ноу-хау не собержит.

    У меня какое-то стойкое впечатление, что корпорации сознательно делают «чтобы было хуже». Я понимаю, что это теория заговора, но никак иначе я не могу объяснить все эти штуки типа Intel ME, закрытых драйверов без спеков и не прозрачных фирмвар.

  • Ответить

    >То есть прямой повышатель продаж.

    Как вы думаете Игорь Станиславович, мешает ли концепция открытого кода, заботиться о своих пользователях так как это делает например apple, снижая производительность для продления ресурса батареи, или все-таки с открытым ПО трудно предоставлять такой ‘сервис’ ?

  • Ответить

    >> Опенсорс поддерживать — тяжёлый бизнес. Чистые расходы, куча усилий с неясным результатом и пиар-последствиями.

    эти все варианты способов разработки — думаю, просто закономерные процессы в стадии становления всей этой темы «впринципе».
    Когда стало ясно, что компы расползутся по планете и софтин потребуется масса гигансткая и что сам процесс разработки — перманентен, начался огромный рекрутинг по всей планете в эти самые «программисты». Кого, какаой народ более способен, к чему более способен? Сколько их вопще надо? И т.д. Какой будет оптимальный способ организации рабочих групп? Тут ясно, что умничать нельзя, а хорошобы дать всем цветам зацвести и потом понять статистику.
    Корпорации, в т. ч. и глубоко закрытые, небольшие команды, индивидуальные разработчики, аутсорс, стартапы, ну и вот вариант еще — опенсорс и т. п.
    По сути, опробованы все варианты (на что и вбуханы огромные средства) и получены данные. Не умозрительное моделирование, а реал, с длительной экспозицией.

  • Ответить

    важный еще побочный фактор — опенсорс дает возм. широким массам поблатыкаться, принять участие, приобретси опыт, реализовать свои идеи и рацухи на большом абстрактном проекте. Не имеющем по сути, бюджетных какихто ограничений, жостких временных рамок и т. д.
    Это весьма полезно.