Crollo e Spettro di risposta ostacolato da ‘esclusivo club’ segreto

0
112

Zero

La segretezza che circonda ancora molti dettagli del Crollo e di Spettro di vulnerabilità causato problemi, e continua a causare problemi, secondo i relatori del linux.conf.au software open-source conferenza a Sydney giovedì.

Informazioni sulla recente scoperta di software, vulnerabilità di sicurezza sono normalmente tenuti sotto embargo fino a una correzione è pronto per la distribuzione. Si tratta di un maturo e ben compreso il processo. Ma nel caso di questi hardware vulnerabilità, le cose non eseguire senza problemi.

“Normalmente, quando un embargo termina abbiamo scadenze, e abbiamo praticamente piena divulgazione di ciò che è accaduto”, ha detto Jonathan Corbet, che mantiene la documentazione per il kernel di Linux, ed è un membro della Linux Foundation, Technical Advisory Board.

“In questo caso c’è ancora un sacco di segretezza intorno a quello che è successo con il Tracollo e Spectre, e come sono stati gestiti, e esattamente quello che stava accadendo in tre mesi, tra l’iniziale divulgazione [e] quando il kernel Linux comunità ha iniziato a sentire su di esso,” ha detto.

“Noi in realtà hanno meccanismi per la comunicazione all’interno della comunità, che hanno risolto un certo numero di questi problemi, almeno per la maggior parte dei problemi che abbiamo avuto. Non è perfetto, ma funziona abbastanza bene. Tali meccanismi non sono stati utilizzati. Questo processo di comunicazione è stato gestito in modo molto diverso. Perché? Io in realtà non ho una risposta.”

Jess Frazelle, che lavora su software open-source, contenitori e Linux a Microsoft, è stato anche blunter-anche se come tutti i relatori hanno parlava a titolo personale.

“Penso che forse un modo per risolvere il problema in futuro, ovviamente, non avendo un assoluto sh*t show di un embargo,” Frazelle detto.

Alcuni di il segreto è stato surreale, anche Kafkiano.

“Ci sono persone che hanno detto pubblicamente, in questa conferenza, che non erano nemmeno permesso di dire i nomi di queste vulnerabilità”, ha detto Corbet, riferendosi a Intel proprio Casey Schaufler.

Schaufler è stata la presentazione di una sessione sul futuro della sicurezza nel kernel di Linux, ma è stato vietato anche di menzionare il problema più importante per la sua azienda, prodotti a partire dal Pentium FDIV bug di una generazione fa.

“Vorrei vedere la fine che,” Corbet, ha detto. “Mi piacerebbe che la del settore al fine almeno di quella parte di esso, in modo che siamo in grado di ottenere tutta la storia là fuori, e capire come fare meglio la prossima volta.”

Katie McLaughlin è il sito di affidabilità ingegnere per Divio, con sede a Zurigo, Django e Python-based cloud hosting il servizio. Anche se sono un secondo livello, fornitore di servizi cloud, ha solo sentito parlare della vulnerabilità quando l’informazione ha iniziato a comparire su Twitter.

“Sembrava che c’era una sorta di decisione che alcuni fornitori di cloud conoscere e alcuni non,” McLaughlin ha detto. Piccoli fornitori di servizi cloud non sapeva nulla, anche se effettivamente pagare per l’hardware.

“Non sono sicuro esattamente quello che è successo lì, ma sembra di essere come un club esclusivo, come se si sanno o non sanno, e non è davvero cancellare le linee di chi deve essere informato.”

Corbet concordato. “Mi dispiacerebbe vedere un mondo in cui solo i più grandi fornitori di cloud hanno accesso a informazioni su qualcosa di simile, perché, si sa, questo è un competitivo [problema].”

Benno di Riso, un membro del core team del sistema operativo FreeBSD la comunità di sviluppo, ha detto che i loro sviluppatori avevano poca attenzione.

“Da FreeBSD prospettiva, il principale cruccio è che, pur avendo rapporti con un sacco di venditori coinvolti, non abbiamo scoperto fino a molto tardi nel pezzo,” Rice ha detto.

“Abbiamo avuto, credo, 11 giorni tra il momento in cui ci è stato detto, da quando l’embargo arrestato, per sviluppare … kernel pagina tabella di isolamento o qualcosa di simile.”

Il riso ha detto di non mettere la tardiva comunicazione giù per malizia, e dice che risate che sperava era una volta in un evento di vita.

Ora leggere: sicurezza nel 2018: Una carrellata di pronostici

“È il più grande tra i clienti di prodotti Intel, che permette di ottenere le prime gocce da Intel, e come progetti comunitari che non hanno un fornitore specifico rapporto di collaborazione con Intel, che ci mette tipo di ‘so’ elenco.”

Anche Google gli sviluppatori del kernel avuto problemi a trovare informazioni, almeno inizialmente.

“All’interno di Google, anche se era piuttosto ben contenuto, non un sacco di persone che sapevano su di esso,” ha detto Kees Cook, un kernel Linux security engineer che lavora su Android e Chrome OS.

“Quando ho scoperto su di esso, è stato abbastanza vincolata … Cercando di fare in modo che tutti coloro che avevano bisogno di sapere su di esso ottenuto attraverso alcuni processo di approvazione, per imparare su di esso si è rivelato essere un po ‘difficile”, ha detto, anche se le cose sono migliorate dopo i problemi iniziali.

“Un sacco di gente parla di come l’embargo è stato un disastro completo. Dal mio punto di vista, mi sembrava di notifica all’interno durante l’embargo, dove la maggior parte del problema. L’embargo stesso è stato abbastanza positivo, interrotto solo sei giorni prima, da qualcosa che è iniziato nel mese di giugno dell’anno prima … ho pensato che era abbastanza successo, e le cose che potrebbero essere sviluppati in aperto sono stati sviluppati all’aperto, e che sembrava andare abbastanza bene.”

È open hardware la risposta?

Potrebbe vulnerabilità come Meltdown e Spectre essere individuato più rapidamente se i processori spostato più aperti architetture, disegni, che potrebbe essere più direttamente rivedendo e influenzato dalla comunità di software?

Singapore, basato su hardware hacker Andrew “bunnie” Huang non pensa.

“Purtroppo, penso che nel caso di questo particolare bug, tutti gli ingredienti che sono stati necessari per realizzarlo sono stati effettivamente pubblicamente divulgate informazioni. Sappiamo tutti che l’esecuzione speculativa si verifica. Sappiamo tutti che c’è di temporizzazione canali laterali [che può essere utilizzato in attacchi],” Huang ha detto alla conferenza.

“Una delle mie citazioni preferite da [mainframe, pioneer] Seymour Cray era che la memoria è come un orgasmo. È meglio se non ci sono falsi. E ogni singola volta che si tenta di falso un po ‘ di prestazioni, si sta andando ad avere un timing lato del canale,” ha detto.

Huang pensa che l’open hardware potrebbe aiutare con la ricerca di altri tipi di bug, tuttavia.

“C’è tutta una classe di cose che sfrutta l’hardware che non sono ancora stati comunicati ancora, che aspetta solo di venire fuori … Tutte queste cose non si sa nemmeno su che sono dentro i processori, si dovrebbe essere in grado di trovare circa, e rivedere, e di essere come, ‘vacca Sacra che è davvero spaventoso’.”

Secondo Cook, Crollo e di Spettro di evidenziare la necessità di prestare attenzione a più paranoico individui.

Vedi anche: Spettro mette i freni sulla CPU need for speed

“Abbiamo capito timing canali laterali per un lungo periodo di tempo, ma non c’era quello che si potrebbe considerare un pratico attacco il loro utilizzo”, ha detto Cook. “Sì, ma forse io non sono abbastanza intelligente per trovare il pratico attacco, ma potrebbe essere ancora lì. Qualcun altro ha trovato.”

Il problema, naturalmente, è che gli utenti finali, continueranno a richiedere prestazioni migliori.

Come Huang, “it’s an arms race arrivare molto rapidamente, e la cosa che è stata sfruttata, come sapete, è una cosa che è stata coinvolta nell’ottenere una buona performance su questi dispositivi.”

Esecuzione speculativa era un concetto costruito nel design, e che il concetto si è rivelato difettoso. Huang ha detto che sarà interessante vedere come questo gioca fuori per Intel, perché il Pentium FDIV bug costo di $475 milioni di euro nel 1994 soldi.

“Si può scalare fino a quello che potrebbe apparire come per Intel ora,” Huang ha detto.

Huang pensa che la paura di tali pagamenti di massa potrebbe dissuadere i fornitori di muoversi più aperto disegni.

“La risposta sia in termini di, beh, questo è assolutamente il motivo per cui dobbiamo tenere tutto chiuso, perché è molto costoso, se voi ragazzi di scoprire il nostro bug che ci capita di spedire nel nostro hardware che è stato lì per anni e anni e anni,” ha detto.

“Sarà interessante vedere come tutto gioca fuori, e come interagisce con il chip designer e le loro specie di paranoico mentalità di condivisione di documentazione.”

Huang si domanda anche se stretto embargo davvero aiutare.

“Tu chi sei in realtà cercando di proteggere dal blocco? Stai cercando di assicurarsi che casuale script kiddies non usare questo? O stai cercando di mantenere, a livello statale, attori lontano da cercando di sfruttare ogni computer del mondo? … Se si sta effettivamente cercando di proteggere, per esempio, di contro, a livello statale, attori, quei ragazzi che potrebbero già essere in attesa per la vostra comunicazione, e non avrebbero conosciuto l’exploit stesso tempo si ragazzi l’avrebbe detto,” Huang ha detto.

“In realtà solo l’apertura a tutta la comunità per risolvere il problema, e avendo tutti noi della band insieme contro stato a livello di attori, sarebbe stato molto più potente di risposta,” ha detto.

“Come hardware engineer, trovo folle che voi ragazzi pensate che è possibile eseguire segreti con i non-segreti sullo stesso pezzo di hardware”.

Relativi Copertura

Linux e Intel lentamente incidere il loro modo di uno Spettro patchIndustrial produttori di apparecchiature di segnalazione di difficoltà con il Crollo e Spectre patchesSpectre e Tracollo: Linux creatore Linus Torvalds critica di Intel “spazzatura” patchesWhy Intel x86 deve morire: il Nostro cloud-centric futuro dipende da open-source chipsSpectre e Tracollo: Cheat sheet (TechRepublic)Intel: non installare il nostro Spettro di correzione, il rischio di indesiderate riavvii è troppo grande (TechRepublic)

Argomenti Correlati:

Australia

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0