Không còn những ngày thứ Sáu màn hình xanh

 (brendangregg.com)
1 điểm bởi GN⁺ 2024-07-23 | 1 bình luận | Chia sẻ qua WhatsApp

  • Trong tương lai, máy tính sẽ không còn bị sập vì các bản cập nhật phần mềm có chứa mã kernel. Thay vào đó, các bản cập nhật như vậy sẽ đẩy mã eBPF

  • Vào ngày 19 tháng 7 năm 2024, sự cố gián đoạn lớn nhất trong lịch sử công nghệ thông tin đã xảy ra

    • Máy tính Windows trên toàn thế giới rơi vào tình trạng màn hình xanh và lặp khởi động
    • Sự cố gián đoạn xảy ra tại bệnh viện, hãng hàng không, ngân hàng, cửa hàng tạp hóa, đài truyền hình và nhiều nơi khác
    • Nguyên nhân là một bản cập nhật có chứa driver kernel của một công ty bảo mật
    • Driver này đã cố đọc sai vùng nhớ, khiến kernel bị sập

  • Trên các hệ thống Linux, việc áp dụng eBPF đã có thể ngăn chặn những sự cố như vậy

    • eBPF cung cấp môi trường thực thi an toàn trong kernel
    • Các chương trình eBPF được kiểm tra độ an toàn bằng bộ xác minh phần mềm, và mã không an toàn sẽ không được thực thi
    • eBPF mang lại tính bảo mật cao và mức sử dụng tài nguyên thấp

  • Các startup bảo mật dựa trên eBPF và những công ty công nghệ lớn cũng đang áp dụng eBPF

    • Cisco đã mua lại startup eBPF Isovalent và công bố sản phẩm bảo mật eBPF mới
    • Google và Meta đã sử dụng eBPF để phát hiện và chặn hành vi độc hại

  • Điều tệ nhất mà chương trình eBPF có thể làm là tiêu thụ tài nguyên quá mức

    • eBPF ngăn hệ thống bị sập, nhưng không thể ngăn việc viết mã kém hiệu quả
    • Mã quản lý eBPF cũng có thể có lỗi, nhưng khi sửa các lỗi này thì bảo mật của mọi nhà cung cấp eBPF đều được cải thiện

  • Ngoài ra còn có những cách khác để giảm rủi ro khi triển khai phần mềm

    • Bao gồm kiểm thử canary, rollout theo từng giai đoạn và kỹ thuật khả năng phục hồi
    • Cách tiếp cận eBPF là một giải pháp phần mềm có thể dùng sẵn ở mức nền tảng trong kernel Linux và Windows

  • Các công ty sử dụng phần mềm thương mại có chứa driver hoặc module kernel có thể yêu cầu eBPF

    • Trên Linux thì điều này đã khả thi, và trên Windows cũng sẽ sớm khả thi
    • Một số nhà cung cấp đã áp dụng eBPF, và cần nâng cao nhận thức của khách hàng

Tóm tắt của GN⁺

  • Bài viết nhấn mạnh tầm quan trọng của eBPF trong việc giải quyết vấn đề hệ thống sập do cập nhật mã kernel
  • eBPF cung cấp môi trường thực thi kernel an toàn và có thể ngăn chặn sự cố sập hệ thống
  • Các công ty công nghệ lớn cũng đang áp dụng eBPF, và nó mang lại lợi ích về bảo mật cũng như mức sử dụng tài nguyên
  • eBPF có thể giúp giảm rủi ro khi triển khai phần mềm, và cần nâng cao nhận thức của khách hàng

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-23
Ý kiến Hacker News

  • Khi hỗ trợ eBPF của Microsoft trên Windows sẵn sàng cho môi trường production, phần mềm bảo mật Windows cũng có thể được port sang eBPF

    • Điều đó không thực tế
    • Các "hook" của eBPF trên Windows chỉ được dùng cho lọc gói tin
    • Khác với các driver khác gắn vào nhân NT, eBPF bị giới hạn hơn
    • Sẽ cần rất nhiều thời gian để eBPF thay thế driver chống mã độc trong không gian nhân

  • Phản đối nhận định rằng điều tệ nhất mà chương trình eBPF có thể làm chỉ là tiêu tốn thêm chu kỳ CPU và bộ nhớ

    • Chương trình eBPF có thể gây hại vô hạn
    • Việc chuyển mã từ kernel sang BPF có thể giảm nhẹ một số lỗ hổng nhất định
    • Điều đó không có nghĩa là chương trình eBPF nhìn chung an toàn

  • Không muốn tranh luận với Brendan Gregg, nhưng mong các vendor áp dụng cách tiếp cận toàn diện để điều tra đầy đủ chuỗi thất bại

    • Với một số lớp lỗi cụ thể, lãng phí chu kỳ CPU có thể là hậu quả tiêu cực duy nhất
    • Có nhiều chế độ lỗi khác nhau mà một bộ rule tệ có thể phá hỏng hệ thống
    • Mô-đun bảo mật dựa trên eBPF có thể phù hợp với nhiều vendor, nhưng điều quan trọng là phải hiểu rủi ro

  • Khi code bị hỏng, hệ thống không nên tiếp tục hoạt động

    • Nếu cơ chế khóa an toàn của thiết bị y tế không hoạt động, thì tốt hơn là toàn bộ hệ thống không hoạt động

  • Nếu giả sử eBPF giải quyết được một số vấn đề nhất định trên Windows, Microsoft không nên cung cấp backward compatibility

    • Backward compatibility là một vấn đề quan trọng trong thế giới Windows
    • Dọn dẹp mã và cách tiếp cận NT cũ sẽ có lợi hơn

  • Chương trình eBPF được trình xác minh phần mềm kiểm tra an toàn và chạy trong sandbox nên không thể làm crash toàn bộ hệ thống

    • Một trong những mục đích của hệ điều hành là giám sát phần mềm
    • Giảm độ phức tạp sẽ tốt hơn

  • Không cần công nghệ mới

    • Nên sử dụng các phương pháp kiểm soát chất lượng cơ bản

  • Nên dành thứ Sáu làm ngày nghỉ để nhiều người có thêm thời gian suy nghĩ

  • Nếu eBPF có lỗi, nó có thể gây crash kernel Windows

  • Nếu bộ lọc được nạp khi khởi động và gắn vào mọi thứ, nó có thể khóa cứng hệ thống

    • Nếu Microsoft đưa vào một whitelist hardcode chứa các thành phần thiết yếu cần cho việc khôi phục, việc sửa lỗi có thể dễ hơn