تكبير / الكشف المبكر عن الانهيار والشبح بواسطة Google والردود الخاطئة من قبل بائعي الأجهزة تركت الشركات السحابية يتبارى للرد. لذلك توحدوا لمحاربة حريق القمامة من ضعف التواصل و رقع سيئة. سلاح الجو الأمريكي
خلق الانهيار وشبح شيء من الانهيار في عالم الحوسبة السحابية. وبالترجمة ، وجدت العيوب في المعالجات في قلب الكثير من الحوسبة في العالم البنية التحتية لها تأثير مباشر أو غير مباشر على خدمات مترابطة تقود الإنترنت اليوم. هذا هو ينطبق ذلك بشكل خاص على متغير واحد من الثغرات الطيفية كشفت فجأة عن طريق جوجل في 3 يناير ، لأن هذا على وجه الخصوص تسمح الثغرة الأمنية بتشغيل البرامج الضارة بشكل افتراضي لأحد المستخدمين آلة أو بيئة “رمل” أخرى لقراءة البيانات من آخر — أو ، من الخادم المضيف نفسه.
قراءة متعمقة
“الانهيار” و “Specter:” كل معالج حديث له غير قابل للإصلاح العيوب الأمنية في يونيو 2017 ، علمت إنتل من هذه التهديدات من الباحثون الذين احتفظوا بالمعلومات تحت اللف حتى الأجهزة و بائعي نظام التشغيل يمكن أن تعمل بشراسة على الإصلاحات. ولكن في حين أماكن مثل Amazon و Google و Microsoft تم ربطها في وقت مبكر بسبب طبيعتها “المستوى 1” ، والبنية التحتية الأكثر أصغر تم ترك الشركات ومشغلي مركز البيانات في الظلام حتى اندلعت الأخبار في 3 يناير التدافع: لم يأت أي تحذير بالمآثر قبل إثبات المفهوم رمز لاستغلالها كان بالفعل بالفعل.
توري Kck ، مدير العمليات والأمن في الاستضافة شركة Linode ، وصفت هذه بأنها الفوضى. “كيف يمكن لهذا الشيء كبيرة يتم الكشف عنها مثل هذا دون أي تحذير مناسب؟ كنا الشعور بالخروج من الحلقة ، مثل “ما الذي فقدناه؟ أي من POCs [براهين مفهوم الضعف] هل هناك الآن؟ الكل كان ذلك يمر في ذهني “.
“عندما اندلعت هذه الأشياء ، لم يسمع أحد زقزقة من إنتل أو من أي شخص آخر مباشرة ، “زاكاري سميث ، الرئيس التنفيذي للاستضافة حزمة الخدمات ، وقال آرس. “كل ما يمكن أن نراه هو ما كان يحدث مدونة Google حول كيفية استغلال هذه الأشياء. لذلك كنا جميعا تخليط. كان لدى كبار اللاعبين – Google و Amazon و Microsoft – 60 أيام على الأقل من وقت الإعدادية ، وكان لدينا وقت إعداد سلبي. ”
حتى الفرق وراء بعض نظام التشغيل التوزيعات – بما في ذلك مطورو توزيعات BSD – لم تكن كذلك على بينة من العيوب حتى تنشر Google مدونة Project Zero. “تلقت شركات المستوى 1 فقط معلومات مسبقة ، وهذا هو الكشف غير المسؤول – إنه الكشف الانتقائي ” قال The De Raadt ، الرائد في مشروع OpenBSD ، متى التحدث إلى ITWire. “لقد حصل كل شخص أقل من المستوى الأول ثمل.”
قراءة متعمقة
الانهيار والشبح: إليك ما تقوم به Intel و Apple و Microsoft وغيرها يفعلون حيال ذلك
طبيعة وتوقيت الكشف عن جوجل ، مدفوعة على الأقل في جزء من اكتشاف مستقل من نقاط الضعف ، جعلت استجابة أكثر فوضوية ومؤلمة للمضيفين سحابة والمستخدمين. تم إصلاح إصلاحات الرمز الصغير للمعالج إلى البرامج الثابتة غير مكتملة ، في بعض الحالات يتم التذكير بعد ذلك. بعض اتخذت التطبيقات نجاحات كبيرة في الأداء. وليس هناك من هو حقا تأكد من أن كل التباديل من البرامج وترقيع البرامج الثابتة سيؤثر على الخدمات السحابية عند طرحها.
للتغلب على الفوضى ، قامت هذه الشركات بشيء ما الرواية: قرروا العمل جنبا إلى جنب. مجموعة من الدرجة الثانية تجمع موفري الخدمة معًا لمشاركة المعلومات رسميًا حول بقع من مختلف البائعين ، ومقاييس عن تأثيرها ، و أفضل الممارسات لطرحها. خلال الأسبوع الماضي ، هذا الإعلان مجلس حرب مخصص – مجموعة من 25 شركة على الأقل تعمل على أ سلاك مشترك بسيط – اجتذب عددًا من الشخصيات البارزة الأعضاء ، بما في ذلك Netflix و Amazon Web Services. و هذا مركزية مرتجلة قد سمحت للباحثين في الأصل وراء اكتشاف شبح / الانهيار للتفاعل مباشرة مع الشركات المتضررة.
“ربما واحدة من أفضل الأشياء التي خرجت من الكل كانت محنة هذا التعاون استضافة سحابة “، وقال لينودي KCK. “مشاركة الروابط وأشياء من هذا القبيل كانت مطلقة حرج.”
وتأمل شركة Kck ، شأنها شأن الآخرين في المجموعة ، أن تحقق هذه الحلقة يؤدي إلى نوع من التعاون الدائم في جميع أنحاء الصناعة – إعطاء المؤسسات الصغيرة والعملاء السحابيين الكبار مقعد على طاولة لقضايا الأمن في المستقبل من هذا الحجم.
“لقد نمت صناعتنا” ، قال سميث. “نحن لسنا ragtag فريق من الناس يركضون القليل من رفوف الاستضافة ويضعون بعضها مواقع الويب على الإنترنت بعد الآن – نحن ندير أجزاء كبيرة من الناس يعيش على بنيتنا التحتية بالنسبة لهم ، وسيكون نوعا من أ مشكلة إذا لم نعرف طريقة للتنسيق “.
“الحمد لله لم يكن هذا ممثلاً للدولة” ، أضاف سميث.
حريق القمامة يبدأ
كما كان العالم يتخلص من بقايا عشية رأس السنة الجديدة ، نوع آخر من الصداع كان يتشكل بين الثرثرة في قنوات سلاك في Packet ، وهو استضافة “للمعادن العارية” في نيويورك شركة.
“ليلة الاثنين والثلاثاء ، بعض من AMD يرتكب وتعليقات ل Kernel.org التي كانت تحدث جاء في سلاك الداخلية لدينا وقال سميث (Kernel.org هو المكان الذي يدفع فيه المساهمون آخر التحديثات لإصدارات Linux kernel). “نحن نستضيف Kernel.org ، لذلك نشاهده بعناية فائقة. كان الجميع مثل ، ‘شيء ما يحدث.'”
تكبير / يجب على الناس أن يمرضوا من النظر إلى هذا الشبح الآن. (Do youknow whether this is the logo for Spectre or Meltdown? هنا ال answer.)كان هناك نقاش طويل في سجلات التغيير Kernel.org التي يرجع تاريخها إلى مايو 2017 حول ميزة جديدة تسمى KAISER (“عزل عنوان Kernel لجعل القنوات الجانبية بكفاءة تمت إزالته “). تم تشغيل هذه الميزة بسبب المخاوف المستمرة منذ فترة طويلة حول احتمال لأنواع من الهجمات على الانهيار و وتستند البراهين شبح مفهوم. بدأت التزامات KAISER قبل حوالي شهر تم الكشف عن Meltdown و Specter لشركة Intel ، لذلك كان هناك بالفعل عمل مستمر لمحاولة التخفيف من الإمكانات تهديد هذه الفئات من الهجوم. بحلول الوقت حزمة وغيرها بدأت مراقبة هذا ، كانت تحديثات kernel المتعلقة KAISER يأتي مع زيادة وتيرة – مع إشارات أكثر دقة ل استغلال محتمل – مع مرور العام.
“اعتقدت أن الناس كانوا يرون الأشياء من خلال ارتكابها وكانوا كذلك قال كك ”
تعليق مصاحب لنواة لينكس ارتكبه توم AMD Lendacky يوم 27 ديسمبر أثار حقا تكهنات ، غضب المديرين التنفيذيين في العديد من الشركات في معرفة حول نقاط الضعف. التعليق الالتزام المنصوص عليها أساسا في أيه إم دي موقف عند هذه النقطة على الخلل المحظورة: تعتقد الشركة معالجاتها لا تخضع لأنواع الهجمات التي ميزة عزل جدول صفحة kernel تحمي من. AMD أيضا يعتقد أن البنية الدقيقة لا تسمح بمراجع الذاكرة ، بما في ذلك مراجع المضاربة ، التي تصل إلى أعلى امتياز البيانات عند التشغيل في وضع أقل امتيازًا عند الوصول سيؤدي إلى خطأ صفحة.
بطبيعة الحال ، فإن بنية AMD ستصبح فيما بعد ليست كذلك محصن ضد هجمات القنوات الجانبية كما أكد Lendacky.
“لم يساعد أيه إم دي في ارتكاب نوع النواة الشائك” ، قال سميث ، الذي اقترح أن يكون للتعليق دور في ذلك إصدار Google المبكر للمعلومات حول Specter and Meltdown. حتى لو كان الأمر كذلك ، فقد بدأ باحثون آخرون في ذلك اكتشاف العيوب بشكل مستقل في صميم شبح و الانهيار – كتب الباحث أندرس فوغ علنا ما سيتم تعريفه لاحقًا باسم “الانهيار” في أواخر يوليو من العام الماضي.
كل ما أثار الإصدار النهائي ، جان هورن من جوجل نشر فريق أبحاث مشروع الأمن صفر تفاصيل عن الانهيار و Specter في 3 كانون الثاني (يناير) ، أي قبل أسبوع من فرض الحظر الأولي إصدارات الضعف. عند هذه النقطة ، حسب سميث ، “أنت تعرف ، كل نوع من الجحيم كسر “.
Kck قال إنه يعتقد أن الكشف عن جوجل تسبب في مشاكل ، ولكن “حتى لو تم الكشف عنها في التاسع كما هو مخطط ، لكان لدينا كانوا جميعا في عالم من الأذى. كان يمكن أن يكون شيء مختلف إذا كان هناك بعض الوقت الرصاص “.
بالنظر إلى مدى اعتماد جميع أنواع التطبيقات على السحابة الخدمات ، إنه يخبرنا أنه لا يوجد أحد في Intel أو Red Hat أو AMD أو تتشابه Google مع أي شخص خارج الأجهزة عالية الجودة والتشغيل باعة النظام.
“مقدمي المستوى 2 الممثلة في هذا القليل مجموعة العمل التي شكلناها السيطرة على مئات الآلاف ، إن لم يكن قال سميث ، ملايين من الخوادم ، ولكننا نحن أيضًا على حدة صغير … لم يفكر Google مطلقًا في استدعاء الحزم. لم تفكر إنتل ل استدعاء Packet ، وبالتأكيد لم يتصلوا بـ OVH أو Digital Ocean. ومع ذلك فنحن بنفس الأهمية من وجهة نظر العملاء ، لأن يحتاج عملاؤنا إلى المزيد من المساعدة “.
بمجرد انتهاء التفاصيل ، كانت الاتصالات من Intel و AMD و بائعي الأجهزة الأخرى حول Specter و Meltdown كانوا (ولديهم لا يزال) متقطع. حتى اليوم ، ليس هناك مركزية قناة اتصالات لجميع المتضررين. “انطباعي هو أن [اتصالات إنتل مع العملاء] كانت تمر فرق مختلفة تعتمد على المناطق ، “قال Kck.” لقد تم ضربهم من الصعب جدا ، لذلك كان هناك تأخير في التواصل “.
وقال سميث “إنتل كانت وراء الكرة الثمانية.” هو اقترح كانت إنتل تستهلك كثيرا مع مشكلة العلاقات العامة وليس كذلك ركز على التحدث مع العملاء مثله. “لقد شجعت [Intel] … أنا أتقدم بطلب إلى مجموعة مركز البيانات للقيام بنوع من البيانات fireside الدردشة على الانترنت للرد على الأسئلة. نحن بحاجة إلى بعض مفتوحة المحادثات ، التي لن تكون كلها إيجابية ، ولكن لدينا للعمل سويا؛ يجب أن يسمع الناس. وأعتقد عموما يريد مجتمعنا المساعدة — نحتاج فقط إلى الحصول على المزيد حوار مفتوح “.
بالطبع ، لم يتم مساعدة قضية الاتصالات من قبل عدم وجود أي نوع من القنوات القائمة للاتصال. “بصراحة ، هذا يكشف مدى نضوج صناعة ما للجمهور وقال سميث “السحابة هي. ليس لدينا أي شيء جيد حقاً مجموعات العمل. لذا ، إذا كنت ريد هات أو أنت إنتل أو أنت Supermicro ، هل تذهب تحت نوع من التعليمات البرمجية الشائعة لل السلوك للعمل مع الجميع حول قضية أمنية؟ لا يوجد مكان.”
