Импровизираната стая за войни Slack, където „Net компаниите се обединяват, за да се преборят с Spectre-Meltdown

Ранното разкриване на Meltdown и Spectre от Google и разпалените отговори от страна на доставчиците на хардуер оставиха облачните компании да реагират. Така те се обединиха, за да се борят с боклукърския огън от лоша комуникация и лоши петна.Увеличи / ранното разкриване на Meltdown и Spectre от Google а разпалените отговори на производители на хардуер напуснаха облачните компании бъркане да реагира. И така те се обединиха, за да се борят със сметачния огън на лоша комуникация и лоши лепенки.US Air Force

Meltdown и Spectre създадоха нещо като срив в облачен компютърни свят. И от превод, недостатъците, открити в процесори в основата на голяма част от световните изчислителни системи инфраструктурата е имала пряк или косвен ефект върху взаимосвързани услуги, движещи днешния Интернет. Това е особено важи за един вариант на уязвимостта на Spectre разкрит рязко от Google на 3 януари, тъй като този конкретен уязвимостта може да позволи злонамерен софтуер, работещ във виртуална версия на един потребител машина или друга “пясъчна” среда за четене на данни от друго – или от самия хост сървър.

Допълнителна информация

“Meltdown” и “Spectre:” Всеки модерен процесор има непоправим пропуски в сигурносттаВ юни 2017 г. Intel научи за тези заплахи от изследователи, които съхраняваха информацията под обвивки, така хардуерно и Доставчиците на операционни системи могат яростно да работят по поправки. Но докато места като Amazon, Google и Microsoft бяха включени в началото поради тяхната “Tier 1” природа, най-малката инфраструктура компаниите и операторите на центрове за данни бяха оставени на тъмно до момента новината се счупи на 3 януари. Това изпрати много организации незабавно скремблиране: никакво предупреждение за подвизите не е имало преди доказателство за концепция кодът за експлоатацията им вече беше публичен.

Тори Кк, директор на операциите и сигурността на хостинга компания Linode, описа това като хаос. „Как може нещо това голям да бъде разкрит така, без подходящо предупреждение? Ние бяхме чувство, че е извън контура, като „Какво пропуснахме? Кой от POCs [доказателства за концепция за уязвимостите] вече са там? ” всичко това ми мина през ума. ”

„Когато тези неща се счупиха, никой не беше чул да надникне от Intel или от никой друг директно “, Захари Смит, изпълнителен директор на хостинга сервизен пакет, казаха за Ars. „Всичко, което можехме да видим, е какво става Блогът на Google за това как да се използват тези неща. Така че всички бяхме кодиране. Големите момчета – Google, Amazon и Microsoft – са имали 60 дни поне от подготвителното време и имахме отрицателно време за подготовка. ”

Дори екипите зад някаква операционна система дистрибуции – включително разработчиците на BSD дистрибуции – не бяха наясно с недостатъците, докато Google публикува блога Project Zero. „Само компании от първи ред получиха предварителна информация и това е не носи отговорност за разкриване – това е избирателно разкриване, ” казаТео де Раад, водещият по проекта OpenBSD, кога говорете с ITWire. „Всички под Tier-1 току-що са стигнали прецакани. ”

Допълнителна информация

Meltdown и Spectre: Ето какво представляват Intel, Apple, Microsoft и други правят за това

Същността и времето на разкриването на Google, задвижвани най-малко през част от независимо откриване на уязвимостите, направи реакцията е още по-хаотична и болезнена за облачните хостове и потребители. Поправки на микрокодове на процесора към фърмуера бяха изтласкани непълен, в някои случаи се извиква след това. някои приложения са взели големи хитове за производителност. И всъщност никой не е сигурно как всички престановки на кръпка на софтуер и фърмуер ще повлияе на облачните услуги, докато те са внедрени.

За да преодолеят хаоса, тези компании направиха нещо подобно роман: решиха да работят рамо до рамо. Група от второ ниво доставчиците на услуги, групирани заедно, за да споделят официално информация за кръпки от различни доставчици, показатели за тяхното въздействие и най-добри практики за тяхното разгръщане. През изминалата седмица тази реклама съвет за военни действия – група от поне 25 компании, опериращи над прост споделен Slack – привлече редица по-високи профили членове, включително Netflix и Amazon Web Services. И този импровизирана централизация дори позволи на изследователите първоначално зад откриването на Spectre / Meltdown, за да си взаимодействат директно със засегнатите компании.

„Вероятно едно от най-хубавите неща, които излязоха от цялото изпитание беше тази кръстосана съвместна хостинг колаборация “, заявиха от Linode СКО. „Споделянето на връзки и подобни неща беше абсолютно от решаващо значение. ”

И Kck, както и другите в групата, се надява, че този епизод ще бъде водят до по-постоянен вид сътрудничество в рамките на индустрия – предоставяйки на по-малки организации и големи клиенти в облака a седнете на масата за бъдещи проблеми със сигурността от такъв мащаб.

“Нашата индустрия се разрасна”, каза Смит. „Ние не сме дрипав екип от хора, работещи с малки хостинг стелажи и поставящи някои уебсайтове онлайн вече – използваме основни части от хора “ живее на нашата инфраструктура за тях и би било нещо като проблем, ако не намерихме начин за координация. ”

“Слава богу, че това не беше държавен актьор”, добави Смит.

Започва огънят на сметището

Докато светът се тресеше от махмурлуците в новогодишната нощ, друг вид главоболие се оформяше сред бъбривото Отпуснати канали в Packet, хостинг на „гол метал“ в Ню Йорк компания.

„Понеделник вечер и вторник, някои от AMD ангажименти и коментари до Kernel.org, които се случваха, влязоха в нашия вътрешен Slack канали “, каза Смит (Kernel.org е мястото, където сътрудниците натискат последните актуализации на версиите на ядрото на Linux). „Ние сме домакин Kernel.org, така че го наблюдаваме доста внимателно. Всички бяха като “Нещо става.”

People have to be sick of looking at this ghost by now. (Правиш ли  знаете дали това е логото за Spectre или Meltdown?  Here's the отговор.) Увеличи / Хората трябва да са болни от гледането на този призрак досега. (Do youknow whether this is the logo for Spectre or Meltdown? Ето това answer.)

Имаше дълга дискусия в дневниците за промяна на Kernel.org тази от май 2017 г. за нова функция, наречена KAISER („Изолация на ядрото, за да има странични канали ефективно Премахната “). Тази функция се задейства от дългогодишни опасения за потенциала за видовете атаки на Meltdown и Призрачните доказателства за концепцията се основават на. Започнаха комисии за KAISER около месец преди Meltdown и Spectre да бъдат разкрити пред Intel, така че вече вървеше работа за опит за смекчаване на потенциала заплаха от тези класове на атака. По времето, когато Packet и други започна мониторинг на това, бяха актуализации на ядрото, свързани с KAISER идва с все по-голяма честота и с по-фини препратки към потенциален подвиг – с течение на годината.

„Мислех, че хората виждат нещата чрез комити и са започвайки да я събираме заедно – каза Кк.

Коментар, придружаващ ангажимента на ядрото на Linux от Tom на Tom Лендаки на 27 декември наистина предизвика спекулации, вбесяващи ръководители в няколко от компаниите, които знаят за уязвимости. Коментарът на ангажимента по същество посочи AMD позиция в този момент върху ембарговите бъгове: компанията вярваше неговите процесори не са били обект на типовете атаки, които Функцията за изолиране на таблицата на страницата на ядрото предпазва от. AMD също смята, че неговата микроархитектура не позволява препратки към паметта, включително спекулативни справки, които имат достъп до по-високо привилегировани данни, когато се работи в по-малко привилегирован режим, когато този достъп ще доведе до грешка в страницата.

Разбира се, архитектурата на AMD по-късно ще се окаже не такава имунизиран срещу атаки на странични канали, както твърди Лендаки.

“AMD не помогна с техния тип snarky ядро,” каза Смит, който предположи, че коментарът може да е изиграл роля Ранното публикуване на Google на информацията за Spectre и Meltdown. Дори и да го направи обаче, други изследователи започват независимо открийте недостатъците в основата на Spectre и Meltdown – изследователят Андерс Фог публично е писал за какво по-късно ще бъде дефиниран като Meltdown в края на юли миналата година.

Каквото и да задейства крайното издание, Jann Horn от Google Изследователският екип на проекта Project Zero публикува подробности за Meltdown и Spectre на 3 януари – седмица преди първоначалното установено ембарго уязвимостта освобождава. В този момент, според Смит, „ти знайте, всякакъв вид ад се разпадна. ”

Kck заяви, че според него разкриването на Google създава проблеми, но “дори и да бъде оповестена на деветия по план, щяхме да имаме всички са били в свят на нараняване. Щеше да е различно нещо ако е имало някакво време за изпълнение. ”

Имайки предвид колко надеждни са станали всички видове приложения в облака услуги, казва, че никой в ​​Intel, Red Hat, AMD или Google се включи във всеки, който е извън хардуера на най-високо ниво и работи системни доставчици.

„Доставчиците от втори ред, които са представени в това малко работна група сформирахме контрол стотици хиляди, ако не милиони сървъри – каза Смит. – Но индивидуално сме и ние малък … Google никога не е мислил да се обади на Packet. Intel не мислеше обадете се Packet и със сигурност не са се обадили на OVH или Digital Ocean. И все пак ние сме също толкова важни от гледна точка на клиента, защото нашите клиенти се нуждаят от много повече помощ. ”

След като подробностите излязоха, комуникации от Intel, AMD и други доставчици на хардуер за Spectre и Meltdown бяха (и имаха) продължава да е) петнист. Дори днес няма централна канал за комуникация за всички засегнати. „Впечатлението ми е че [комуникацията на Intel с клиентите] преминаваше различни екипи, базирани на региони – каза Kck доста трудно, така че е имало забавяния в комуникацията. ”

„Intel беше точно зад осемте топчета“, каза Смит. Той предложи Intel беше твърде консумиран от проблема с връзките с обществеността и не фокусиран върху разговори с клиенти като него. „Насърчавах [Intel] … Искам групата им от центрове за данни да правят вид пожарен чат онлайн, за да отговаряте на въпроси. Трябва да имаме някои отворени разговори, които не всички ще бъдат положителни, но имаме да работим заедно; хората трябва да бъдат чути. И като цяло мисля нашата общност иска да помогне – просто трябва да имаме повече от повече отворен диалог. ”

Разбира се, проблемът с комуникацията не е помогнат от липса на някакъв установен канал за комуникация. „Честно казано, това е излагането на това колко е незряло за дадена индустрия облак е – каза Смит. – Всъщност нямаме никакво добро работни групи. И така, къде сте, ако сте Red Hat или сте Intel или ти си Supermicro, влизаш ли под някакъв общ код на поведение за работа с всички около проблем със сигурността? Няма място. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: