Ruang perang Slack dadakan tempat ‘Net perusahaan bersatu untuk melawan Specter-Meltdown

Pengungkapan awal Meltdown dan Specter oleh Google dan tanggapan meleset dari vendor perangkat keras membuat perusahaan cloud berebut untuk bereaksi. Jadi mereka bersatu untuk melawan api tempat komunikasi yang buruk dan patch yang buruk.Memperbesar / Pengungkapan awal Meltdown dan Specter oleh Google dan tanggapan meleset dari vendor perangkat keras meninggalkan perusahaan cloud berebut untuk bereaksi. Jadi mereka bersatu untuk melawan api tempat sampah komunikasi buruk dan tambalan buruk. Angkatan Udara AS

Meltdown dan Specter menciptakan sesuatu dari kehancuran di dunia komputasi awan. Dan dengan terjemahan, kekurangan ditemukan di prosesor di jantung banyak komputasi dunia infrastruktur memiliki efek langsung atau tidak langsung pada layanan yang saling berhubungan mendorong Internet saat ini. Itu adalah terutama berlaku untuk satu varian kerentanan Spectre tiba-tiba diungkapkan oleh Google pada 3 Januari, sejak saat ini kerentanan dapat memungkinkan malware berjalan di satu pengguna virtual mesin atau lingkungan “kotak pasir” lainnya untuk membaca data lain — atau, dari server host itu sendiri.

Bacaan lebih lanjut

“Meltdown” dan “Spectre:” Setiap prosesor modern tidak dapat diperbaiki kelemahan keamanan Pada Juni 2017, Intel mengetahui ancaman ini dari periset yang menyimpan informasi itu tetap jadi perangkat keras dan vendor sistem operasi dapat bekerja keras untuk perbaikan. Tapi sementara tempat-tempat seperti Amazon, Google, dan Microsoft diberi petunjuk lebih awal karena sifatnya “Tingkat 1”, sebagian besar infrastruktur lebih kecil perusahaan dan operator pusat data dibiarkan dalam kegelapan sampai berita pecah pada 3 Januari. Ini segera mengirim banyak organisasi berebut: tidak ada peringatan dari eksploitasi datang sebelum pembuktian konsep kode untuk mengeksploitasi mereka sudah umum.

Tory Kck, direktur operasi dan keamanan di hosting perusahaan Linode, menggambarkan ini sebagai kekacauan. “Bagaimana mungkin ini terjadi besar bisa diungkapkan seperti ini tanpa peringatan yang tepat? Kami pernah merasa di luar lingkaran, seperti ‘Apa yang kami lewatkan? Yang mana dari POC [bukti konsep kerentanan] sudah ada di luar sana sekarang? ‘ Semua itu melintas di pikiran saya. ”

“Ketika hal ini pecah, tidak ada yang pernah mendengar mengintip dari Intel atau dari orang lain secara langsung, “Zachary Smith, CEO hosting Paket layanan, kata Ars. “Yang bisa kita lihat adalah apa yang sedang terjadi Blog Google tentang cara mengeksploitasi hal ini. Jadi kami semua berebut. Orang-orang besar — ​​Google, Amazon, dan Microsoft — sudah berusia 60 tahun hari setidaknya waktu persiapan, dan kami punya waktu persiapan negatif. ”

Bahkan tim di belakang beberapa sistem operasi distribusi — termasuk pengembang distribusi BSD — tidak menyadari kekurangannya sampai Google menerbitkan blog Project Zero. “Hanya perusahaan Tier-1 yang menerima informasi sebelumnya, dan itu adalah bukan pengungkapan yang bertanggung jawab — itu pengungkapan selektif, ” kata Theo de Raadt, pemimpin proyek OpenBSD, kapan berbicara dengan ITWire. “Semua orang di bawah Tingkat-1 baru saja mendapatkan kacau. ”

Bacaan lebih lanjut

Meltdown dan Spectre: Inilah yang Intel, Apple, Microsoft, dan lainnya lakukan tentang hal itu

Sifat dan waktu pengungkapan Google, didorong setidaknya dalam bagian oleh penemuan independen dari kerentanan, telah membuat tanggapan bahkan lebih kacau dan menyakitkan bagi host dan pengguna cloud. Perbaikan mikrokode prosesor ke firmware telah didorong keluar tidak lengkap, dalam beberapa kasus dipanggil kembali sesudahnya. Beberapa aplikasi telah mengambil hit kinerja besar. Dan tidak ada yang benar-benar yakin bagaimana semua permutasi perangkat lunak dan tambalan firmware akan mempengaruhi layanan cloud saat diluncurkan.

Jadi untuk mengatasi kekacauan, perusahaan-perusahaan ini melakukan sesuatu novel: mereka memutuskan untuk bekerja berdampingan. Sekelompok lapis kedua penyedia layanan bersatu untuk secara resmi berbagi informasi tentang tambalan dari berbagai vendor, metrik tentang dampaknya, dan praktik terbaik untuk meluncurkannya. Selama seminggu terakhir, iklan ini dewan perang hoc — sekelompok sedikitnya 25 perusahaan yang beroperasi di a Slack bersama yang sederhana — telah menarik sejumlah profil yang lebih tinggi anggota, termasuk Netflix dan Layanan Web Amazon. Dan ini sentralisasi dadakan bahkan telah memungkinkan para peneliti awalnya di balik penemuan Specter / Meltdown untuk berinteraksi langsung dengan perusahaan yang terkena dampak.

“Mungkin salah satu hal terbaik yang keluar dari keseluruhan cobaan adalah kolaborasi hosting lintas-cloud ini, “kata Linode Kck. “Berbagi tautan dan hal seperti itu mutlak kritis.”

Dan Kck, seperti yang lainnya dalam grup, berharap episode ini akan terjadi mengarah ke semacam kolaborasi yang lebih permanen di seluruh dunia industri — memberikan organisasi yang lebih kecil dan pelanggan cloud besar a duduk di meja untuk masalah keamanan masa depan sebesar ini.

“Industri kami telah tumbuh,” kata Smith. “Kami bukan sampah tim orang menjalankan rak hosting kecil dan menempatkan beberapa situs web lagi online — kami menjalankan sebagian besar dari tinggal di infrastruktur kami untuk mereka, dan itu akan menjadi semacam masalah jika kita tidak menemukan cara untuk berkoordinasi. ”

“Syukurlah ini bukan aktor negara,” Smith menambahkan.

Api tempat sampah dimulai

Saat dunia mengibas mabuk malam tahun baru, jenis sakit kepala lainnya mulai terbentuk di antara obrolan di Slack saluran di Packet, hosting “bare metal” yang berbasis di New York perusahaan.

“Senin malam dan Selasa, beberapa AMD berkomitmen dan berkomentar ke Kernel.org yang sedang terjadi datang ke Slack internal kami saluran, “kata Smith (Kernel.org adalah tempat para kontributor mendorong pembaruan terbaru untuk versi kernel Linux). “Kami tuan rumah Kernel.org, jadi kami menontonnya dengan cukup hati-hati. Semua orang seperti, ‘Sesuatu sedang terjadi.’ ”

People have to be sick of looking at this ghost by now. (Apakah kamu  tahu apakah ini logo untuk Specter atau Meltdown?  Here's the menjawab.) Enlarge/ Orang sudah muak melihat hantu ini sekarang. (Do youknow whether this is the logo for Spectre or Meltdown? Inilah answer.)

Telah ada diskusi panjang di log perubahan Kernel.org yang tanggal kembali ke Mei 2017 tentang fitur baru yang disebut KAISER (“Isolasi Alamat Kernel untuk memiliki Saluran Sisi Secara Efisien Dihapus “). Fitur ini dipicu oleh kekhawatiran lama tentang potensi untuk jenis serangan Meltdown dan Bukti konsep momok didasarkan pada. Komitmen untuk KAISER dimulai sekitar sebulan sebelum Meltdown dan Specter diungkap ke Intel, jadi sudah ada pekerjaan yang sedang dilakukan untuk mencoba mengurangi potensi ancaman kelas serangan ini. Pada saat Paket dan lain-lain mulai memantau ini, pembaruan kernel terkait dengan KAISER sedang datang dengan meningkatnya frekuensi — dan dengan referensi yang lebih halus untuk eksploitasi potensial — seiring berlalunya tahun.

“Saya pikir orang melihat hal-hal melalui komitmen dan mulai menyatukannya, “kata Kck.

Sebuah komentar yang menyertai kernel Linux yang dilakukan oleh AMD Tom Lendacky pada 27 Desember benar-benar memicu spekulasi, membuat marah eksekutif di beberapa perusahaan di ketahui tentang kerentanan. Komentar komit pada dasarnya dijabarkan AMD posisi pada titik itu pada bug yang diembargo: perusahaan percaya prosesornya tidak tunduk pada jenis serangan yang fitur isolasi tabel halaman kernel melindungi. AMD juga percaya mikroarsitekturnya tidak memungkinkan referensi memori, termasuk referensi spekulatif, yang mengakses hak istimewa lebih tinggi data saat berjalan dalam mode yang kurang istimewa saat akses itu akan menghasilkan kesalahan halaman.

Tentu saja, arsitektur AMD nantinya akan berubah menjadi tidak sama kebal terhadap serangan saluran samping seperti yang dinyatakan Lendacky.

“AMD tidak membantu dengan jenis kernel snarky mereka,” kata Smith, yang menyarankan bahwa komentar tersebut mungkin berperan dalam Google merilis informasi awal tentang Specter dan Meltdown. Meskipun demikian, meskipun demikian, para peneliti lain mulai secara mandiri menemukan kekurangan pada inti Specter dan Meltdown — peneliti Anders Fogh telah secara terbuka menulis tentang apa nantinya akan didefinisikan sebagai Meltdown pada akhir Juli tahun lalu.

Apa pun yang memicu rilis pamungkas, Jann Horn dari Google Tim peneliti keamanan Proyek Nol menerbitkan rincian Meltdown dan Spectre pada 3 Januari — seminggu sebelum embargo awal ditetapkan rilis kerentanan. Pada titik itu, menurut Smith, “kamu tahu, semua jenis neraka pecah. ”

Kck mengatakan dia pikir pengungkapan Google menyebabkan masalah, tetapi “Bahkan jika itu diungkapkan pada kesembilan seperti yang direncanakan, kita akan melakukannya semua berada di dunia yang terluka. Itu akan menjadi hal yang berbeda jika ada waktu tunggu. ”

Mengingat betapa bergantungnya semua jenis aplikasi telah menjadi di cloud layanan, ia memberi tahu bahwa tidak ada orang di Intel, Red Hat, AMD, atau Google memberi petunjuk kepada siapa pun di luar perangkat keras dan pengoperasian tingkat atas vendor sistem.

“Penyedia Tier 2 yang terwakili dalam sedikit ini kelompok kerja yang kami bentuk mengendalikan ratusan ribu, jika tidak jutaan, server, “kata Smith.” Tetapi secara individual kita juga kecil … Google tidak pernah berpikir untuk memanggil Paket. Intel tidak berpikir begitu panggil Paket, dan mereka jelas tidak memanggil OVH atau Digital Ocean. Namun kami sama pentingnya dari sudut pandang pelanggan, karena pelanggan kami membutuhkan lebih banyak bantuan. ”

Setelah detail keluar, komunikasi dari Intel, AMD, dan vendor perangkat keras lain tentang Specter dan Meltdown adalah (dan sudah terus) jerawatan. Bahkan hari ini, tidak ada pusat saluran komunikasi untuk semua orang yang terkena dampak. “Kesan saya adalah yang [komunikasi Intel dengan pelanggan] sedang lalui tim yang berbeda berdasarkan daerah, “kata Kck.” Mereka dipukul cukup sulit, jadi ada keterlambatan dalam komunikasi. ”

“Intel tepat di belakang bola delapan,” kata Smith. Dia menyarankan Intel terlalu sibuk dengan masalah hubungan masyarakat dan tidak berfokus pada berbicara dengan pelanggan seperti dia. “Saya sudah mendorong [Intel] … Saya mengajukan petisi kepada grup pusat data mereka untuk melakukan hal semacam obrolan fireside online untuk menjawab pertanyaan. Kita perlu membuka beberapa percakapan, yang tidak semuanya akan menjadi positif, tetapi kita miliki untuk bekerja sama; orang harus didengar. Dan saya biasanya berpikir komunitas kami ingin membantu — kami hanya perlu memiliki lebih banyak dialog terbuka. ”

Tentu saja, masalah komunikasi belum terbantu oleh tidak adanya saluran komunikasi yang mapan. “Terus terang, ini memperlihatkan betapa belum matangnya suatu industri publik cloud adalah, “kata Smith.” Kami tidak benar-benar memiliki yang baik kelompok kerja. Jadi di mana, jika Anda Red Hat atau Anda Intel atau Anda Supermicro, apakah Anda menggunakan semacam kode umum melakukan untuk bekerja dengan semua orang di sekitar masalah keamanan? Tidak ada tempat.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: