Keine Blue Fridays mehr

 (brendangregg.com)
1 Punkte von GN⁺ 2024-07-23 | 1 Kommentare | Auf WhatsApp teilen

  • In Zukunft werden Computer nicht mehr durch Software-Updates abstürzen, die Kernel-Code enthalten. Solche Updates werden künftig stattdessen eBPF-Code ausrollen

  • Am 19. Juli 2024 kam es zum größten Ausfall in der Geschichte der Informationstechnologie

    • Windows-Computer auf der ganzen Welt landeten in Blue Screens und Boot-Loops
    • Es kam zu Ausfällen in Krankenhäusern, bei Fluggesellschaften, Banken, Lebensmittelgeschäften und Medienanstalten
    • Ursache war ein Update mit einem Kernel-Treiber eines Sicherheitsunternehmens
    • Dieser Treiber versuchte, falschen Speicher zu lesen, wodurch der Kernel abstürzte

  • Auf Linux-Systemen lässt sich so etwas bereits verhindern, da dort eBPF eingesetzt wird

    • eBPF bietet eine sichere Ausführungsumgebung im Kernel
    • eBPF-Programme werden durch einen Software-Verifier auf Sicherheit geprüft, und unsicherer Code wird nicht ausgeführt
    • eBPF bietet hohe Sicherheit bei geringem Ressourcenverbrauch

  • Auch eBPF-basierte Security-Startups und große Technologieunternehmen setzen auf eBPF

    • Cisco hat das eBPF-Startup Isovalent übernommen und neue eBPF-Sicherheitsprodukte angekündigt
    • Google und Meta nutzen eBPF bereits, um bösartiges Verhalten zu erkennen und zu blockieren

  • Das Schlimmste, was ein eBPF-Programm tun kann, ist übermäßig viele Ressourcen zu verbrauchen

    • eBPF verhindert Systemabstürze, kann aber ineffizienten Code nicht verhindern
    • Auch Verwaltungs-Code für eBPF kann Bugs enthalten, aber wenn diese behoben werden, verbessert sich die Sicherheit aller eBPF-Anbieter

  • Es gibt auch andere Wege, das Risiko bei Software-Rollouts zu senken

    • Dazu gehören Canary-Tests, schrittweise Rollouts und Resilience Engineering
    • Der eBPF-Ansatz ist eine Software-Lösung, die in Linux- und Windows-Kernels nativ verfügbar sein wird

  • Unternehmen, die kommerzielle Software mit Kernel-Treibern oder -Modulen einsetzen, können eBPF verlangen

    • Unter Linux ist das bereits möglich, und unter Windows wird es bald möglich sein
    • Einige Anbieter haben eBPF bereits übernommen, nun braucht es mehr Bewusstsein auf Kundenseite

Zusammenfassung von GN⁺

  • Dieser Artikel betont die Bedeutung von eBPF, um das Problem von Systemabstürzen durch Kernel-Code-Updates zu lösen
  • eBPF bietet eine sichere Ausführungsumgebung im Kernel und kann Systemabstürze verhindern
  • Auch große Technologieunternehmen setzen eBPF ein, das Vorteile bei Sicherheit und Ressourcenverbrauch bietet
  • Mit eBPF lässt sich das Risiko bei Software-Rollouts senken, dafür braucht es mehr Bewusstsein auf Kundenseite

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-23
Hacker-News-Kommentare

  • Wenn Microsofts eBPF-Unterstützung unter Windows produktionsreif wird, könnte auch Windows-Sicherheitssoftware auf eBPF portiert werden

    • Unrealistisch
    • Die „Hooks“ von Windows eBPF werden nur für Paketfilterung verwendet
    • Im Gegensatz zu anderen Treibern, die an den NT-Kernel angebunden sind, ist eBPF eingeschränkt
    • Es wird lange dauern, bis eBPF Anti-Malware-Treiber im Kernel Space ersetzen kann

  • Widerspruch gegen die Behauptung, das Schlimmste, was ein eBPF-Programm tun könne, sei, mehr CPU-Zyklen und Speicher zu verbrauchen

    • Ein eBPF-Programm kann unbegrenzt schädlich sein
    • Durch das Verschieben von Code aus dem Kernel nach BPF lassen sich bestimmte Schwachstellen abschwächen
    • Das bedeutet nicht, dass eBPF-Programme im Allgemeinen sicher sind

  • Ich möchte mich nicht mit Brendan Gregg streiten, hoffe aber, dass Anbieter einen umfassenden Ansatz verfolgen, bei dem die gesamte Fehlerkette untersucht wird

    • Bei bestimmten Bug-Klassen könnte die Verschwendung von CPU-Zyklen die einzige negative Folge sein
    • Es gibt verschiedene Failure Modes, bei denen ein schlechtes Regelwerk ein System lahmlegen kann
    • eBPF-basierte Sicherheitsmodule mögen für viele Anbieter geeignet sein, aber es ist wichtig, die Risiken zu verstehen

  • Wenn der Code kaputt ist, sollte das System nicht funktionieren

    • Wenn die Sicherheitsverriegelung eines medizinischen Geräts nicht funktioniert, ist es besser, wenn das gesamte System nicht funktioniert

  • Wenn man davon ausgeht, dass eBPF unter Windows ein bestimmtes Problem löst, sollte Microsoft keine Abwärtskompatibilität bereitstellen

    • Abwärtskompatibilität ist in der Windows-Welt ein wichtiges Thema
    • Es wäre nützlicher, alten NT-Code und alte Ansätze aufzuräumen

  • eBPF-Programme werden von einem Software-Verifier sicher geprüft und in einer Sandbox ausgeführt, sodass sie nicht das gesamte System zum Absturz bringen können

    • Einer der Zwecke eines Betriebssystems ist es, Software zu überwachen
    • Es ist besser, die Komplexität zu reduzieren

  • Es braucht keine neue Technologie

    • Man sollte grundlegende Methoden der Qualitätssicherung verwenden

  • Freitag sollte als freier Tag festgelegt werden, damit mehr Menschen Zeit zum Nachdenken haben

  • Wenn eBPF Bugs hat, kann das einen Windows-Kernel-Crash auslösen

  • Wenn beim Booten ein Filter geladen und an alles angehängt wird, kann das das System sperren

    • Wenn Microsoft eine hart codierte Whitelist mit den für die Wiederherstellung notwendigen Kernelementen einbauen würde, könnte das Bugfixing einfacher werden