Nul
De geheimhouding die nog steeds omgeeft veel details van de Crisis en de Spectre kwetsbaarheden veroorzaakt problemen, en het blijft problemen veroorzaken, volgens de sprekers op het linux.conf.au open-source software-conferentie in Sydney op donderdag.
Informatie over nieuw-ontdekte software kwetsbaarheden in de beveiliging is normaal onder embargo tot een fix klaar is voor distributie. Het is een volwassen en goed begrepen proces. Maar in het geval van deze hardware kwetsbaarheden dingen niet zo soepel werkt.
“Normaal gesproken als een embargo uiteinden we krijgen tijdlijnen, en we krijgen vrij veel een volledige openbaarmaking van wat er is gebeurd,” zei Jonathan Corbet, wie onderhoudt de documentatie voor de Linux kernel, en is een lid van de Linux Foundation Technische adviesraad.
“In dit geval is er nog steeds een heleboel van de geheimhouding over wat hij ging met Kernsmelting en Spectre, en hoe ze werden behandeld, en is precies wat er gebeurde in de drie maanden tussen de eerste openbaarmaking [en] als de Linux kernel gemeenschap begon te horen,” zei hij.
“We doen eigenlijk mechanismen voor openbaarmaking in de gemeenschap dat hebben opgelost een aantal van deze problemen op, althans voor de meeste van de problemen die we hebben gehad. Het is niet perfect, maar het werkt redelijk goed. Deze mechanismen werden niet gebruikt, dit keer rond. Deze bekendmaking proces was zeer verschillend behandeld. Waarom? Ik heb niet echt een antwoord op geven.”
Jess Frazelle, die werkt op open-source software, containers, en Linux Microsoft, was zelfs botter, hoewel net als alle van de panelleden was ze spreken op persoonlijke titel.
“Ik denk dat misschien een manier om het op te lossen in de toekomst zou uiteraard niet met een absolute sh*t zien van een embargo,” Frazelle zei.
Sommige van de geheimhouding is surrealistisch, zelfs Kafkaëske.
“Er zijn mensen die hebben gezegd in het openbaar op deze conferentie ze waren zelfs niet toegestaan om te zeggen dat de namen van deze kwetsbaarheden,” zei Corbet, verwijzend naar Intel ‘ s eigen Casey Schaufler.
Schaufler was de presentatie van een sessie over de toekomst van de veiligheid in de Linux kernel, maar werd verbannen uit, zelfs met vermelding van de meest belangrijke probleem in zijn de producten van het bedrijf sinds de Pentium FDIV bug een generatie geleden.
“Ik zou graag zien dat een einde te maken,” Corbet zei. “Ik zou willen dat de industrie ten minste op het einde van dat stuk van te maken, zodat we het hele verhaal er uit, en erachter te komen hoe het beter te doen de volgende keer.”
Katie McLaughlin is de site reliability engineer voor Divio, een van Zürich, op basis van Django en Python-gebaseerde cloud hosting service. Hoewel ze een tweede-tier cloud provider ze alleen gehoord over de kwetsbaarheden als informatie begon te verschijnen op Twitter.
“Het leek alsof er was een soort van een besluit dat sommige cloud providers weten en anderen niet,” McLaughlin zei. Kleinere cloud providers niets wist, hoewel zij eigenlijk betalen voor hardware.
“Ik ben niet zeker weet precies wat er is gebeurd, maar het lijkt op een exclusieve club of u het weet of niet weet, en het is niet echt duidelijk de lijnen van wie geïnformeerd moet worden.”
Corbet overeengekomen. “Ik haat het om te zien een wereld waar alleen de grootste cloud-aanbieders toegang hebben tot informatie over zoiets als dit, want, weet je, dat is een competitieve [probleem].”
Benno Rijst, een core team lid van het FreeBSD besturingssysteem ontwikkeling van de gemeenschap, zei dat hun ontwikkelaars hadden kleine waarschuwing.
“Van de FreeBSD perspectief, onze primaire probleem is dat, ondanks het hebben van relaties met veel van de leveranciers betrokken, hadden we niet vinden totdat zeer, zeer laat in het stuk,” Rice zei.
“Hadden We, denk ik, 11 dagen tussen toen we te horen kregen, vanaf het moment dat het embargo gestopt, te ontwikkelen … kernel pagina tabel isolatie of iets dergelijks.”
Rice zei dat hij niet zet de late aankondiging naar beneden tot alle kwaad, en zei om te lachen dat hij hoopte dat het was een once in a lifetime gebeurtenis.
Nu lees: Cybersecurity in 2018: Een roundup van de voorspellingen
“Het is de grootste klanten van de producten van Intel die de eerste druppels van Intel, en als community projecten die niet aan een specifieke leverancier relatie met Intel, dat brengt ons op een soort van een ‘weet niet’ – lijst.”
Zelfs Google ‘ s kernel ontwikkelaars hadden moeite met het verkrijgen van informatie, althans in eerste instantie.
“Binnen Google, het was al een vrij goed opgenomen, niet veel mensen wisten het,” zei Kees Kok, een Linux kernel security engineer die werkt op Android en Chrome OS.
“Toen heb ik het te weten komen, het was vrij beperkt … Proberen om ervoor te zorgen dat iedereen die dat nodig is om te weten over het kreeg door middel van een aantal goedkeuring proces om te leren over deze bleek een beetje moeilijk,” zei hij, hoewel dingen verbeterd na de aanvankelijke problemen.
“Veel mensen praten over hoe het embargo was een complete ramp. Vanuit mijn perspectief, het leek melding intern tijdens het embargo was waar het meeste van het probleem was. Het embargo zelf was relatief succesvol, en alleen brak zes dagen te vroeg van iets dat begon in juni van het jaar voorafgaand … ik dacht dat dat was relatief succesvol, en de dingen die kunnen worden ontwikkeld in het open is ontwikkeld in het open, en dat leek wel goed.”
Open hardware het antwoord?
Kan kwetsbaarheden als Kernsmelting en Spectre worden gespot sneller als processors verplaatst naar een meer open architectuur, ontwerpen dat zou meer direct beoordeeld en beïnvloed door software gemeenschappen?
Singapore-gebaseerde hardware hacker Andrew “bunnie” Huang denkt van niet.
“Helaas, ik denk dat in het geval van deze specifieke bug, alle ingrediënten die nodig waren om dit mogelijk te maken waren eigenlijk de openbaar gemaakte informatie. We weten allemaal dat speculatieve uitvoering optreedt. We weten allemaal dat er timing kanalen [dat kan worden gebruikt bij aanslagen],” Huang vertelde de conferentie.
“Een van mijn favoriete citaten van [mainframe computing pioneer] Seymour Cray was dat het geheugen is als een orgasme. Het is beter als we niet te faken. En elke keer dat u probeert om de nep van een deel van de prestaties, je gaat naar een timing nevengeul,” zei hij.
Huang denkt dat open hardware zou kunnen helpen met het vinden van andere soorten insecten, echter.
“Er is een hele klasse van dingen die misbruik maakt van de hardware die nog niet openbaar zijn gemaakt nog, dat ze gewoon te wachten om uit te komen … Al deze dingen die je niet eens weten dat binnen de processors, zou u kunnen vinden, en te beoordelen, en als de Heilige koe, die is echt eng’.”
Volgens Cook, Kernsmelting en Spectre wijzen op de noodzaak om aandacht te besteden aan de meer paranoïde personen.
Zie ook: Spectre zet de remmen van de CPU snelheid
“We hebben begrepen timing kanalen voor een lange tijd, maar er was niet wat je zou kunnen overwegen om een praktische aanval door het gebruik van hen,” Cook. “Ja, maar misschien ben ik niet slim genoeg om het vinden van de praktische aanval, maar het kan er nog steeds. Iemand anders zou hebben gevonden.”
Het probleem is natuurlijk dat de eindgebruikers zullen blijven vragen betere prestaties.
Als Huang stelde, “Het is een wapenwedloop om er zeer snel, en de zaak, die werd benut, weet je wel, een ding dat betrokken was bij het krijgen van je goede prestaties op deze apparaten.”
Speculatieve uitvoering was een concept gebouwd naar het ontwerp, en dat concept bleek te zijn gebrekkig. Huang zei dat het interessant is om te zien hoe dit gaat aflopen voor Intel, omdat de Pentium FDIV bug kosten ze $475 miljoen in 1994 geld.
“Je kunt de schaal aan wat het zou kunnen uitzien voor Intel nu,” Huang zei.
Huang denkt dat de angst van dergelijke enorme uitbetalingen kunnen weerhouden leveranciers bewegen tot een meer open ontwerpen.
“De reactie zal worden in termen van, nou, dit is helemaal waarom moeten we altijd alles gesloten, want het is echt duur als je jongens vinden over onze fouten die we toevallig schip in onze hardware die er al jaren en jaren en jaren,” zei hij.
“Het wordt interessant om te zien hoe dat allemaal gaat aflopen, en hoe die interactie met de chip ontwerpers en hun soort van paranoïde mentaliteit over het delen van de documentatie.”
Huang vraagt ook of de strakke embargo ‘ s echt helpen.
“Wie bent u eigenlijk probeert te beschermen tegen de door embargoing? Probeert u ervoor te zorgen dat de random script kiddies niet gebruiken? Of bent u op zoek naar keep state-niveau acteurs van het proberen van het uitbuiten van elke computer in de wereld? … Als je eigenlijk op zoek te beschermen, bijvoorbeeld tegen het niveau van de staat acteurs, die jongens kunnen al luisteren naar uw comms, en zij zou hebben geweten van het exploiteren van de jongens zou hebben geweten,” Huang zei.
“Eigenlijk is alleen het openen van het aan de hele gemeenschap het probleem op te lossen, en met ons alle band samen tegen het niveau van de staat acteurs, zou zijn geweest een veel krachtiger respons,” zei hij.
“Als hardware engineer, ik vind het krankzinnig dat jullie denken dat je kunt uitvoeren geheimen met niet-geheimen op dezelfde hardware.”
Verwante Dekking
Linux en Intel langzaam hack hun manier om op een Spook patchIndustrial fabrikanten van apparatuur, melden problemen met de Crisis en de Spectre patchesSpectre en Meltdown: Linux-schepper Linus Torvalds kritiek op Intel ‘ s ‘garbage’ patchesWhy Intel x86 moet sterven: Onze cloud-centric toekomst hangt af van open-source chipsSpectre en Meltdown: Cheat sheet (TechRepublic)Intel: niet installeren ons Spectre fix, risico van ongewenste herstart is te groot (TechRepublic)
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters
0