Recentemente, i dispositivi Thunderbolt sono stati utilizzati come punto debole per effettuare attacchi di tipo DMA (Direct Memory Access) ai sistemi, spingendo Linux, ma anche altri sistemi, a implementare delle misure di sicurezza per proteggere al meglio i sistemi che sono dotati dell’interfaccia ad alta velocità di Intel che mette a rischio la connettività PCIe. Su Linux 6.13, la sicurezza con Thunderbolt migliorerà ulteriormente, allo scopo di incrementare l’affidabilità con i controller integrati.
Linux 6.13: più sicurezza con i controller Intel Thunderbolt
La patch Thunderbolt per Linux 6.13 è stata realizzata da un ingegnere Google, nonché aggiunta al ramo omonimo del sottosistema PCI per la finestra di unione. L’ingegnere spiega che:
“Alcuni computer con CPU prive di funzionalità Thunderbolt utilizzano chip Thunderbolt discreti per aggiungere funzionalità Thunderbolt. Questi chip Thunderbolt si trovano all’interno dello chassis, tra la Root Port etichettata ExternalFacingPort e la porta USB-C.
Questi dispositivi Thunderbolt PCIe devono essere etichettati come fissi e attendibili, poiché sono integrati nel computer. In caso contrario, le policy di sicurezza che si basano su tali flag potrebbero avere risultati indesiderati, come impedire l’enumerazione delle porte USB-C.
Rileva lo scenario soprastante tramite il processo di eliminazione.
1) I controller host Thunderbolt integrati hanno già Thunderbolt implementato, quindi qualsiasi cosa al di fuori della loro porta root rivolta verso l’esterno è rimovibile e non attendibile.
Rilevali utilizzando le seguenti proprietà:
– La maggior parte dei controller host integrati ha la proprietà ACPI “usb4-host-interface”.
– Le porte root PCIe Thunderbolt integrate prima di Alder Lake non hanno la proprietà ACPI usb4-host-interface. Identificale invece con i loro ID PCI.
2) Se una porta root non ha funzionalità Thunderbolt integrate, ma ha la proprietà ACPI “ExternalFacingPort”, significa che il produttore ha scelto di utilizzare un controller host Thunderbolt discreto integrato nel computer.
Questo controller host può essere identificato in quanto si trova direttamente sotto una porta root rivolta verso l’esterno che non ha Thunderbolt integrato. Etichettalo come attendibile e fisso.
Tutto ciò che si trova a valle è non attendibile e rimovibile.”
La patch per Linux 6.13 dovrebbe risolvere definitivamente anche un problema che causa attualmente la non corretta enumerazione delle porte USB-C Thunderbolt. La finestra di unione si aprirà nel corso di questo mese, dove verranno aggiunte diverse altre novità, come il supporto display per le future CPU Intel Panther Lake.