Linus Torvalds nam de tijd om terug te komen op het grote veiligheidsprobleem van Intel-chips. Hij is misnoegd over de initiële aanpak na de ontdekking en vind het niet kunnen dat softwaremakers nu de problemen van Intel moeten oplossen.
Tijdens de Linux Foundation Open Source Summit in Vancouver heeft Linus Torvalds het woord genomen. Hij zou heel graag willen dat zijn werk opnieuw saai wordt, want afgelopen maanden hebben Spectre en Meltdown zijn leven veel te spannend gemaakt. De basis van de fout is speculatieve executie, iets waar Torvalds overigens wel in gelooft volgens ZDNet.
Speculatieve executie
“Ik ben absolute fan van speculatieve executie, CPU’s moeten dit doen,” zegt hij. “Ik vind het alleen vervelend dat mensen niet hebben nagedacht aan de bijhorende problemen. We wisten allemaal dat speculatief werk dat niet gebruikt werkt, moest worden weggegooid. Dat gebeurde niet, waardoor het probleem in de meeste moderne processors zit ingebakken.”
“Wanneer wij zelf een fout maken, herstellen we die zelf.”
Torvalds windt zich daarin duidelijk op. “Andere ontwikkelaars van besturingssystemen en programmeurs moesten alles laten liggen om de hardwareproblemen op te lossen. Dat is niet eerlijk. Wanneer wij zelf een fout maken, herstellen we die zelf. Maar het voelt minder eerlijk aan wanneer je fouten van een ander moet oplossen.”
Rampzalige communicatie
Tijdens de conferentie kwam ook aan het licht hoe de bekendmaking van de veiligheidsfouten verliepen. De problemen waren bekend in juli 2017, een half jaar voordat Intel het nieuws wereldkundig maakte begin 2018. Pas op 25 oktober 2017 kreeg de kernel community geruchten te horen dat er problemen zijn. En dan nog dankzij een ‘voorzet’ van een van de grote computerfabrikanten.
Lees dit: De vloek van Spectre: waarom blijft het jou en Intel achtervolgen?
De aanpak van Intel bleef problematisch. In theorie wanneer er een kernel security bug is, gaat het naar het Linux kernel secyrityteam en worden alle distributies gelijk behandeld. Dat was nu niet het geval door de geheimhouding van Intel. “Het creëerde silo’s voor SUSE, Red Hat en Canonical. We mochten met niemand anders praten, zelfs niet met Oracle. Het ondermijnde onze normale open methodes die we altijd hanteren,” zegt Greg Kroah-Hartman, een Linux kernelspecialist.
Linux en Windows
“Pas in de laatste week van december mochten we met elkaar babbelen,” zegt Kroah-Hartman. “Al onze kerstvakanties vielen in het water. Intel heeft het verkloot. Ook belangrijke distro’s zoals Debian kregen pas eind december het nieuws te horen van ons. Toen de wereld de fout ontdekte begin januari, stonden ze daar met hun broek op hun knieën.”
“Toen de wereld de fout ontdekte begin januari, stonden ze daar met hun broek op hun knieën.”
Gelukkig is Intel ondertussen veel beter geworden in het delen van veiligheidsproblemen. Met het Foreshadow-lek, dat door onderzoekers van de KU Leuven werd ontdekt, werden kernelontwikkelaars goed op tijd geïnformeerd.
Torvalds: “Dit jaar alleen al hebben we acht serieuze bugs gehad. In heel 2017 waren er dat maar drie. In al de jaren daarvoor zijn het er maar maximaal twee geweest.” De Intel-bug heeft er echter wel voor gezorgd dat Linux- en Windows-programmeurs nauwer dan ooit samenwerken. “We hebben een fantastisch achterklapkanaal,” gniffelt Kroah-Hartman. “We praten de hele tijd met elkaar en lossen elkaars bugs op. Wie had dat ooit gedacht vijf jaar geleden?”