La salle de guerre impromptue Slack où ‘Net entreprises s’unissent pour lutter contre Spectre-Meltdown

La révélation précoce de Meltdown et de Spectre par Google et les réponses erronées de vendeurs de matériel ont laissé les sociétés de cloud computing se démener pour réagir. Elles se sont donc unies pour lutter contre l'incendie de la malbouffe des mauvaises communications et des correctifs.Agrandir / La révélation précoce de Meltdown and Specter par Google et les réponses erronées des vendeurs de matériel ont laissé des sociétés de cloud computing brouillant pour réagir. Alors ils se sont unis pour combattre le feu de benne à ordures de mauvaise communication et mauvais correctifs.US Air Force

Meltdown et Specter ont créé quelque chose d’une fusion dans le monde de l’informatique en nuage. Et par traduction, les défauts trouvés dans le processeurs au cœur d’une grande partie de l’informatique dans le monde infrastructures ont eu un effet direct ou indirect sur le services interconnectés conduisant l’Internet d’aujourd’hui. C’est Cela est particulièrement vrai pour une variante de la vulnérabilité Specter. révélée de manière abrupte par Google le 3 janvier, puisque cette Cette vulnérabilité pourrait permettre à des logiciels malveillants de s’exécuter sur un ordinateur virtuel. machine ou autre environnement “bac à sable” pour la lecture de données un autre, ou du serveur hôte lui-même.

Lectures complémentaires

“Meltdown” et “Specter:” Chaque processeur moderne a infixable failles de sécurité En juin 2017, Intel a appris l’existence de ces menaces des chercheurs qui ont gardé les informations secrètes afin que le matériel et les fournisseurs de systèmes d’exploitation pourraient travailler furieusement sur des correctifs. Mais en même temps des endroits comme Amazon, Google et Microsoft ont été informés au début en raison de leur nature de «niveau 1», la plupart des infrastructures plus petites les entreprises et les opérateurs de centres de données ont été laissés dans le noir jusqu’à ce que le La nouvelle a éclaté le 3 janvier. Cela a immédiatement envoyé de nombreuses organisations brouillage: aucun avertissement sur les exploits n’est venu avant la preuve de concept le code pour les exploiter était déjà public.

Tory Kck, directeur des opérations et de la sécurité de l’hébergement société Linode, décrit cela comme du chaos. “Comment quelque chose pourrait-il grand être divulgué comme ça sans aucun avertissement approprié? Nous étions se sentir hors de la boucle, comme «Qu’est-ce que nous avons manqué? Lequel des POC [preuves de concept des vulnérabilités] sont là maintenant? ‘ Tout ça me passait par la tête. ”

“Quand cette affaire a éclaté, personne n’avait entendu un cri de Intel ou de quelqu’un d’autre directement “, Zachary Smith, PDG de l’hébergement Service Packet, a déclaré Ars. “Tout ce que nous avons pu voir, c’est ce qui se passait Le blog de Google sur la façon d’exploiter ce genre de choses. Donc nous étions tous brouillage. Les gros joueurs – Google, Amazon et Microsoft – en ont eu 60 jours au moins de temps de préparation, et nous avons eu un temps de préparation négatif “.

Même les équipes derrière un système d’exploitation les distributions – y compris les développeurs de distributions BSD – n’étaient pas conscients des failles jusqu’à ce que Google publie le blog Project Zero. “Seules les sociétés de niveau 1 ont reçu des informations préalables, c’est-à-dire non divulgation responsable – il s’agit d’une divulgation sélective “, dit Théo de Raadt, responsable du projet OpenBSD, lorsqu’il a parler à ITWire. “Tout le monde en dessous du niveau 1 vient de recevoir vissé. ”

Lectures complémentaires

Meltdown and Specter: voici ce que Intel, Apple, Microsoft et d’autres font à ce sujet

La nature et le moment de la divulgation de Google, motivée au moins dans partie par la découverte indépendante des vulnérabilités, a fait la réponse encore plus chaotique et douloureuse pour les hôtes et les utilisateurs du cloud. Les correctifs du microcode du processeur dans le microprogramme ont été repoussés incomplète, dans certains cas rappelée par la suite. Certains les applications ont pris de gros succès. Et personne n’est vraiment comment toutes les permutations des correctifs logiciels et micrologiciels aura une incidence sur les services de cloud computing au fur et à mesure de leur déploiement.

Donc, pour surmonter le chaos, ces entreprises ont fait quelque chose roman: ils ont décidé de travailler côte à côte. Un groupe de second rang les fournisseurs de services se sont regroupés pour partager officiellement des informations sur les correctifs de différents fournisseurs, les mesures de leur impact et meilleures pratiques pour les déployer. Au cours de la semaine dernière, cette annonce conseil de guerre ad hoc – un groupe d’au moins 25 entreprises opérant sur une Slack partagé simple-a attiré un certain nombre de plus haut profil membres, y compris Netflix et Amazon Web Services. Et ça La centralisation impromptue a même permis aux chercheurs à l’origine derrière la découverte Spectre / Meltdown d’interagir directement avec les entreprises touchées.

“Probablement l’une des meilleures choses qui soit sortie de l’ensemble épreuve était cette collaboration d’hébergement multi-cloud “, a déclaré Linode Kck. “Partager des liens et des choses comme ça était absolument critique.”

Et Kck, comme d’autres membres du groupe, espère que cet épisode conduire à une sorte de collaboration plus permanente à travers le l’industrie – donnant aux petites entreprises et aux grands clients du cloud une place à la table pour les futurs problèmes de sécurité de cette ampleur.

“Notre industrie a grandi”, a déclaré Smith. “Nous ne sommes pas un fanfaron équipe de gens qui exécutent de petits racks d’hébergement et en mettent sites Web en ligne plus – nous courons des portions importantes de «personnes vit sur notre infrastructure pour eux, et ce serait en quelque sorte un problème si nous ne trouvions pas un moyen de coordination “.

“Dieu merci, ce n’était pas un acteur d’Etat”, a ajouté Smith.

Le feu de benne commence

Alors que le monde se débarrassait de la gueule de bois du Nouvel An, une autre sorte de mal de tête prenait forme parmi les bavardages de Slack channels à Packet, un hébergement “bare metal” basé à New York compagnie.

“Lundi soir et mardi, certains engagements et commentaires d’AMD à Kernel.org qui se passait est venu dans notre Slack interne canaux “, a déclaré Smith (Kernel.org est l’endroit où les contributeurs poussent le dernières mises à jour des versions du noyau Linux). “Nous hébergeons Kernel.org, donc nous le regardons très attentivement. Tout le monde était comme “Quelque chose se passe.”

People have to be sick of looking at this ghost by now. (Le faites vous  savez-vous sEnlarge/ Les gens doivent en avoir assez de regarder ce fantôme maintenant. (Do youknow whether this is the logo for Spectre or Meltdown? Voici le answer.)

Il y avait eu une longue discussion dans les journaux de changement de Kernel.org celle qui remonte à mai 2017 à propos d’une nouvelle fonctionnalité appelée KAISER (“Isolation d’adresse de noyau pour avoir des canaux latéraux efficacement Supprimé “). Cette fonctionnalité a été déclenchée par des préoccupations de longue date sur le potentiel pour les types d’attaques de la fusion et Spectre preuves de concept sont basées sur. Commits pour KAISER a commencé environ un mois avant que Meltdown et Specter soient révélés à Intel, donc il y avait déjà du travail en cours pour essayer d’atténuer le potentiel menace de ces classes d’attaque. Au moment Packet et autres commencé à surveiller cela, les mises à jour du noyau liées à KAISER étaient venir avec une fréquence croissante, et avec des références plus subtiles � un exploit potentiel – au fil des années.

“Je pensais que les gens voyaient les choses à travers les commits et étaient commencer à le reconstituer “, a déclaré Kck.

Un commentaire accompagnant une validation du noyau Linux par Tom d’AMD Lendacky le 27 décembre a vraiment déclenché la spéculation, exaspérant les cadres de plusieurs des entreprises au courant de la vulnérabilités. Le commentaire de commit énonçait essentiellement AMD position à ce stade sur les bugs sous embargo: la société croyait ses processeurs n’étaient pas soumis aux types d’attaques que le La fonction d’isolation de la table des pages du noyau protège contre. AMD aussi croyait que sa microarchitecture ne permet pas les références de mémoire, y compris les références spéculatives, qui accèdent à des privilèges supérieurs données lors de l’exécution dans un mode moins privilégié lorsque cet accès entraînerait une faute de page.

Bien entendu, l’architecture d’AMD ne se révélerait pas aussi tardive immunisé contre les attaques par les canaux latéraux, comme l’affirmait Lendacky.

“AMD n’a pas aidé avec son genre d’engagements sournois du noyau”, a déclaré Smith, qui a suggéré que le commentaire a pu jouer un rôle dans La publication anticipée par Google des informations sur Spectre et Meltdown. Même s’il l’a fait, d’autres chercheurs ont commencé � découvrir indépendamment les failles au cœur de Spectre et Meltdown – le chercheur Anders Fogh avait publiquement écrit ce qu’il sera plus tard définie comme étant la fusion à la fin du mois de juillet de l’année dernière.

Quel que soit ce qui a déclenché la sortie finale, Jann Horn de Google L’équipe de recherche de Project Zero Security a publié les détails de Meltdown Spectre le 3 janvier – une semaine avant l’embargo initial sur le les vulnérabilités libérées. À ce stade, selon Smith, “vous sais, toute sorte d’enfer s’est déchaîné. ”

Kck a déclaré qu’il pensait que la divulgation par Google posait problème, mais “même si elle avait été divulguée le neuvième comme prévu, nous aurions tous été dans un monde de souffrance. Cela aurait été différent s’il y avait eu un certain délai. ”

Compte tenu de la dépendance de toutes sortes d’applications sur le cloud services, il est dit que personne chez Intel, Red Hat, AMD, ou Google informé auprès de quiconque en dehors du matériel informatique de premier niveau et opérant les vendeurs de systèmes.

“Les fournisseurs de niveau 2 représentés dans ce petit groupe de travail, nous avons formé le contrôle des centaines de milliers, sinon des millions, de serveurs “, a déclaré Smith.” Mais individuellement, nous sommes trop petit … Google n’a jamais pensé à appeler Packet. Intel n’a pas pensé � appeler Packet, et ils n’ont certainement pas appelé OVH ni Digital Ocean. Et pourtant, nous sommes tout aussi importants du point de vue du client, car nos clients ont besoin de beaucoup plus d’aide. ”

Une fois les détails communiqués, les communications d’Intel, d’AMD et de Spectre et Meltdown étaient (et ont continué à être) inégale. Même aujourd’hui, il n’y a pas de central canal de communication pour toutes les personnes concernées. “Mon impression est que [les communications d’Intel avec les clients] traversaient différentes équipes en fonction des régions “, a déclaré Kck.” Ils sont touchés assez dur, donc il y a eu des retards dans la communication “.

“Intel était juste derrière le ballon huit”, a déclaré Smith. Il a suggéré Intel était trop absorbé par le problème des relations publiques et non concentré sur parler avec des clients comme lui. “J’ai encouragé [Intel] … Je demande à leur groupe de centre de données de faire une sorte de Au coin du feu discuter en ligne pour répondre aux questions. Nous devons avoir des ouvertures conversations, qui ne vont pas toutes être positives, mais nous avons pour travailler ensemble; les gens doivent être entendus. Et je pense généralement notre communauté veut aider – nous avons juste besoin d’avoir plus d’un dialogue ouvert. ”

Bien sûr, le problème de communication n’a pas été résolu par le absence de toute sorte de canal établi pour la communication. “Franchement, cela montre à quel point le secteur public est immature nuage est “, a déclaré Smith.” Nous n’avons pas vraiment de très bon groupes de travail. Alors, où, si vous êtes Red Hat ou si vous êtes Intel ou vous êtes Supermicro, allez-vous sous une sorte de code commun de mener à travailler avec tout le monde autour d’un problème de sécurité? Il n’y a pas endroit.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: