‘Schakel hyper-threading uit bij Intel-laptops met gevoelig materiaal’

Intel-processors worden sinds begin 2018 aanhoudend geplaagd door problemen rond speculatieve executie. De enige oplossing voor laptops met belangrijke data is om hyper-threading uit te schakelen.

Op de Open Source summit in Lyons benadrukt Linux kernelontwikkelaar Greg Kroah-Hartman dat de problemen nog lang niet van de baan zijn bij Intel. Vorig jaar vertelde hij op dezelfde conferentie hoe kritiek Spectre en Meltdown waren. Eerder deze week lag zijn focus op de talrijke andere problemen die ondertussen zijn opgedoken.

“Deze problemen zullen nog lang aanwezig zijn; ze gaan nergens naartoe”, benadrukt Kroah-Hartman volgens The Register. “Mensen realiseren niet hoe wij veiligheidsupdates doen, de hele CVE-procedure. Linux is niet meer of minder veilig dan andere alternatieven. Het probleem is dat er bugs in de chips zitten. We elimineren ze tijdig, maar we moeten ook zeker zijn dat iedereen de updates installeert.”

AMD voorlopig veilig

Zijn meest aanbevolen oplossing rond alle problemen met Intel-chips is om hyper-threading uit te schakelen in het BIOS. Resultaat is dat je workloads hierdoor wel vertragen omdat het een essentieel snelheidsonderdeel is in Intel-chips vandaag. “Ik zie vertragingen van gemiddeld 20 procent. Dat is vandaag een feit. Als kernel-ontwikkelaars vechten we voor één of twee procent snelheidswinst. Nieuwe veiligheidsupdates in een BIOS-update kunnen je op vlak van prestaties een jaar of meer achteruit zetten”, zegt Kroah-Hartman gefrustreerd.

AMD heeft met SMT een vergelijkbare functie voor hyper-threading, maar daar zijn de problemen eerder beperkt. Alle lekken die het afgelopen jaar naar buiten kwamen, waren allemaal gebaseerd op Intel-chips en niet vatbaar voor AMD-hardware. Kroah-Hartman vindt daarom dat SMT wel mag worden ingeschakeld.

BIOS en kernel up-to-date

 “Het is niet moeilijk om de problemen rond speculatieve executie te misbruiken in Intel-chips. Dagelijks onderzoek leert ons dat. Het grote probleem is dat je niet kan zien of iemand de problemen misbruikt. Het is een belangrijk probleem dat zo snel mogelijk moet worden opgelost.”

Zijn advies is daarom ook duidelijk: schakel hyper-threading uit op Intel-systemen waar gevoelig materiaal op staat. Moet iedereen daarom schrik krijgen en de functie uitschakelen? Absoluut niet, omdat de aanvallen heel specifiek zijn en behoorlijk veel tijd (en bijgevolg geld) vereisen. Hou sowieso altijd je BIOS en kernel up-to-date om veilig te werken.