OpenBSD on iTWire

OpenBSDのTheo de Raadt氏に行ったインタビューが「Handling of CPU bugs disclosure 'incredibly bad': OpenBSD's de Raadt｜iTWire」として、iTWireに公開されました。Theo de Raadt氏が今回のセキュリティインシデントをどのように捉えているかがうかがえます。

プロセッサのセキュリティ脆弱性である「Meltdown」と「Spectre」は2018年1月9日での公開が予定されていました。これはMicrosoftの月次セキュリティアップデートの日程に合わせたものです。しかし、2018年1月3日にセキュリティ脆弱性「Meltdown」に関する記事がThe Registerによって報道され、多くのメディアやセキュリティ研究者らの関心を引いたことで、当初の予定よりも早い段階でIntelやGoogleなどからMeltdownとSpectreに関する詳細情報が公開されました。

Theo de Raadt氏はこうした状況を、Tier-1の企業だけが事前に情報を受け取っており責任のある情報公開とは言えず、選択的な情報公開だと指摘。また、投機的読み込みの副作用として危険性があることはすでにいくつかの論文で指摘されており、Intel以外のベンダはその機能を実装していないと説明（なのでMeltdownの脆弱性が存在するのは主にIntelプロセッサ⁠）⁠。Intelのエンジニアも同じカンファレンスに参加していたことから、エンジニアがこのリスクを無視して開発を行ったとは信じがたく、リスクを無視するように指示を受けたのではないかと疑念を呈しています。

Theo de Raadt氏は、Intelのアーキテクチャは一貫性がなく複雑で、問題解決に取り組むことは難しいだろうとも指摘しています。また、MeltdownとSpectreの脆弱性をミックスして発表するIntelのやり口はとてもクレバーで、人の目をくらまそうとしているとも指摘しています。

原理的にSpectreに関しては完全に対処することが難しいとされています。Spectreに対する対処をオペレーティングシステム（カーネル）側に取り込んだとしても、それは問題発生の低減にはつながるものの完全な対策にはなりません。このため、Spectreに対する対応はオペレーティングシステムごとに異なるだろうと思われます。複数の低減策を取り込むオペレーティングシステムもあるでしょうし、あまり意味がないとして取り込まないオペレーティングシステムもあると見られます。

Meltdownに関してはオペレーティングシステム（カーネル）側で対処が可能であるため、ほとんどの主要オペレーティングシステムで対処するものとみられます。実装にはいくつかの段階がありますが、最終的には最近のプロセッサの機能を活用した実装に置き換わるものとみられます。

FreeBSD勉強会

2018年2月8日（木）19：00～ 第68回カーネルソースコードを読んでみよう！（ヴァル研 セミナールーム）

なにげなく使っているオペレーティングシステムですが、その中身を読むことというのはあんまりないのではないでしょうか。そもそもどこから読めばよいかわからない、そんな方が多いんじゃないかと思います。今回のFreeBSD勉強会では、読みやすそうなところをみつくろって、とりあえずカーネルのソースコードを読んでみよう、というのをやってみようと思います。

本勉強会への参加者には抽選か勝ち抜きかでデーモンTシャツなどのグッズをお渡しします :)

参加登録はこちらから。

FreeBSD勉強会 発表者募集

FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合、@daichigotoまでメッセージをお願いします。30分～1時間ほどの発表資料を作成していただき発表をお願いできればと思います。