By: lew 
on 18 January 2018 - 02:26
Tags:
Topics:
ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน
ผู้ให้บริการรายเล็กที่เริ่มรู้ตัวก่อนรายแรก คือ Zachary Smith ซีอีโอ Packet ที่ให้บริการโฮสต์ Kernel.org อยู่ด้วย โดยทีมงาน Packet เห็นแพตช์ของ Tom Lendacky จากเอเอ็มดีที่พูดถึงช่องโหว่ทางเมลลิ่งลิสต์ทำให้รู้สึกว่ามีอะไรแปลกๆ และเริ่มคุยกัน Slack ของบริษัทว่าเกิดอะไรขึ้น
แพตช์ของ Lendacky ทำให้นักข่าวเริ่มปะติดปะต่อได้ว่ากำลังมีแพตช์สำคัญออกมา ทำให้ Project Zero ตัดสินใจเปิดเผยรายละเอียดทั้งหมดทันที ตั้งแต่วันที่ 3 มกราคม แม้จะนัดกับนักวิจัยอื่นๆ ว่าจะเปิดเผยวันที่ 9 มกราคมก็ตาม
Tory Kulick จาก Linode ระบุว่าการเปิดเผยเช่นนี้ทำให้เปิดปัญหาตามมาทันที แต่แม้กูเกิลจะเปิดเผยช่องโหว่ตามกำหนดเดิมก็ไม่ช่วยอะไรนัก เพราะผู้ให้บริการคลาวด์ต้องการเวลาแก้ไขปัญหาล่วงหน้า
ถึงตอนนี้ผู้ให้บริการคลาวด์ระดับรองก็เคว้งคว้างโดยถ้วนหน้า Linode, Packet, DigitalOcean, OVH, Scaleway, Vultr, หรือ Online.net ล้วนไม่ได้รับการติดต่อจากกูเกิลหรืออินเทลล่วงหน้า และต้องเริ่มเตรียมแพตช์เร่งด่วนทันที
OVH และ Online.net เริ่มสร้างทีมใหม่ใน Slack เพื่อประสานงานกันว่าจะแก้ไขปัญหาอย่างไร เพราะทั้งสองบริษัทมาจากฝรั่งเศสและแชร์ข้อมูลกันอยู่เรื่อยๆ อยู่แล้ว หลังจากนั้น Edouard Bonlieu รองประธาน Scaleway ก็เข้ามาร่วม และชวน Smith จาก Packet มาคุยกันใน Slack ถึงตอนนี้ Slack ก็กลายเป็นสมาคมคลาวด์ tier-2 เพราะ Smith ชวน Ben Uretsky ซีอีโอ DigitalOcean เข้ามาร่วมห้องแชต พร้อมกับตัวแทนจาก Linode, Vultr และบริษัทอื่นๆ รวมถึง Netflix ลูกค้ารายใหญ่ของ AWS ที่ไม่รู้เรื่องช่องโหว่นี้เช่นกัน รวมมีผู้ให้บริการ 25 ราย (มีคนของ AWS ในห้องแชตด้วย)
ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่"
ปัญหาที่ผู้ให้บริการคลาวด์รายเล็กต้องเจอมีหลากหลาย เช่น บางรายใช้ซีพียูรุ่นที่อินเทลยังไม่ได้ออก microcode อัพเดตให้, บางรายอัพเดตแล้วมีปัญหา ห้องแชต Slack กลายเป็นที่รายงานปัญหาจากลูกค้าของแต่ละราย และรายงานทดสอบผลกระทบต่อประสิทธิภาพ
Kulick จาก Linode หวังว่าบทเรียนจาก Meltdown/Spectre จะทำให้มีช่องทางสื่อสารที่ดีกว่านี้ เช่นผ่าน Linux Foundation ที่ผู้ให้บริการคลาวด์ทุกรายเป็นสมาชิกอยู่แล้ว
Theo de Raadt ผู้ดูแลโครงการ OpenBSD ระบุว่าการรายงานครั้งนี้ทั้งอินเทลและกูเกิลทำได้ "แย่เป็นอย่างยิ่ง" และการเปิดเผยข้อมูลให้กับผู้ให้บริการ tier-1 โดยไม่ให้โอกาสรายอื่นๆ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ แต่เป็นการเลือกปฎิบัติ
ที่มา - ArsTechnica, iTWire
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
- สงคราม AI 2024: OpenAI ชิงปาดหน้า Google วันเดียว | Cloudnone EP.17
Comments
ไม่น่าจะใช่เรื่องของการกีดกันทางธุรกิจ ที่ไม่เปิดเผยให้ tier-2 เพราะวงในคุยกันอย่างลับๆว่ามีแฮกเกอร์ด้านมืดใน tier-2 เยอะเกินไป ผลเสียอาจมากกว่าผลดีรึเปล่า อันนี้ผมมโนเอาล้วนๆนะ
อันนี้ผมเห็นต่างนะเพราะ
ในการเปิดเผยพวกนี้เน้นอยู่แล้วให้เปิดเผยเพื่อให้
เป็นการบีบให้บริษัทเร่งแก้ปัญหาไม่งั้นม่ีความเสียหายขึ้นมาต้องรับผิดชอบเอง
ส่วนตัว
พออ่านปุ๊ปน้ำตาปริ่มเลย
" ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่" "
นึกถึงสภาพตัวเองก่อนสิ้นปีที่ผ่านมาแบบเดียวกันเดะๆ
ขอเป็นกำลังใจให้นะครับ
เรื่อง hacker ด้านมืดนี่จิบๆ เลยครับ เด็กๆ ด้วยซ้ำ ในเมื่อ tier-1 มันมีนักลงทุนรายใหญ่ๆ อยู่แล้ว คนในเสื้อสูทที่รู้ข่าวก่อนเหมือนมีไพ่ในมือแล้ว รู้เลยใครกระทบบ้าง เทรดหุ้นรอเลย มีเพื่อนสนิทหรือไปนั่งกินดินเนอร์หรือมีการเจรจาเป็นการส่วนตัวก็หาเรื่องคุยเกี่ยวกับผลประโยชน์ของเหตุการในอนาคตได้สบายๆ แฮคกงแฮคเกอร์นี่จิบๆ ไปเลย
ข่าว GCP แก้ไปได้หลายเดือนโดยไม่มีผลกระทบต่อประสิทธิภาพ นักลงทุนเห็นจะคิดยังไง แล้วพวก tier-2 ที่ไม่รู้แพทไม่ทัน ทำแบบนี้ยิ่งส่งผลดีต่อ hacker และแน่นอนต่อนักลงทุน tier-1
คนในเสื้อสูทน่ากลัวกว่าเยอะ
ถ้าจิง, ก้อจะโดนฟ้องเคส insider แบบที่ ceo ของ Intel กำลังโดนอยู่รึป่าว?
ต้องถึงเวลาต้องตั้งสมาคมผู้ประกอบการ cloud แล้วหาแนวทางช่วยกันแล้วแหละ อย่างถ้าเปิดเผยให้ tier2 ไม่ได้แต่ควรทำคู่มือแนวทางเพื่อเตรียมช่วยเขาแพตช์ แล้วช่วยๆกันเหน่อยอย่าทิ้งกันแบบนี้อีก
ปัญหาทำให้เรามารวมตัวกัน คุยกัน สร้างพลังแห่งมิตรภาพ
นี่ถ้าผนึกกำลังกันฟ้อง ทั้งอินเทลและกูเกิลคงมีขี้แตก
จะฟ้องกูเกิ้ลด้วยข้อหาอะไรครับ
ไปเจอความผิดพลาดที่ตัวเองไม่ได้ก่อแล้วไม่ได้ป่าวประกาศให้รู้กันทั้งโลกเหรอครับ
ทำไมต้องแสดงความเห็นแบบมองคู่กรณีเป็นแค่ไอ้งั่งคนนึงด้วยครับ
กรณีนี้ tier-1 ได้รับแจ้งปัญหาก่อนครับ ในขณะที่ tier-2 ต้องต่อจิ๊กซอว์จากข้อความจาก mailing list กันเอง ทำให้ธุรกิจได้รับผลกระทบจากการเลือกปฏิบัติของโครงการนี้ครับ
แล้วถ้ามีบริษัทไหนซักเจ้าที่ไม่อยู่ในกลุ่มนี้ ออกมาโวยวายว่าเค้าได้รับความเสียหาย คุณจะบอกว่ากูเกิลเลือกปฏิบัติไม๊ครับ ไม่ว่าคุณจะแจ้งมากแค่ไหน ถ้าเป็นวงจำกัด มันย่อมจะมีคนไม่รู้
มันยังมีคนอื่นอีกเยอะ ที่ได้รับผลกระทบ ไม่ใช่แค่คนที่คุณยกตัวอย่าง เราจะทราบได้ไงบ้าง ว่าใครในโลก ได้รับความเดือดร้อน การที่คุณไม่เห็น ไม่ได้ยินข่าว ไม่ได้หมายความว่าไม่มี
มันเป็นหน้าที่ของกูเกิลที่ต้องแจ้งทุกคนพร้อมกันไม๊ครับ
ผมว่าคุณรู้ครับ ว่าทำไมเค้าต้องแจ้งเป็นวงจำกัด เพื่อป้องกันปัญหาอะไร ผมว่าคุณก็ทราบ เพราะดูการตอบกระทู้ดูมีความรู้มากกว่าผมครับ แต่ทำไม คุณดูเหมือนจงใจจะมองข้ามจุดนั้น
อีกอย่าง คุณมองว่าคนที่แสดงความเห็นต่างจากคุณเป็นคู่กรณีเหรอครับ ผมไม่นะ คนเราเห็นต่างได้ ถ้าไม่อยากให้คนอื่นเห็นต่าง เราต้องไม่แสดงความเห็นในที่สาธารณะครับ เพราะเราไม่สามารถบังคับ หรือคาดหวังได้ว่าทุกคนจะคิดเหมือนเราครับ
ถ้ามีการแสดงความเห็นใดทำให้ไม่ถูกใจหรือขุ่นเคือง ผมขอโทษละกันครับ
การแสดงความเห็น ทำไมต้องแซะแกมแดกดันด้วยล่ะครับ ผมก็ว่าไปตามข่าว แต่คุณกลับตอบเม้นผมด้วยวิธีการแซะแกมแดกดัน เหมือนโจมตีที่บุคคลมากกว่า
ในกรณีนี้ โดยรวมแล้วกูเกิลเค้ามี SOP (Standard operating procedure) จะแจ้งใคร อะไร อย่างไร เค้ามีเป็นลำดับขั้นตอนชัดเจน
แต่การที่กูเกิลเลือกแจ้ง tier-1 ก่อน แล้วมันมี side effect ตามมาคือคนเริ่มแสดงความเห็นกันใน mailing list จนคนที่ไม่ได้รับแจ้งเริ่มสงสัย จนต้องหาความจริงเอง
ถ้ามันเป็นไปตามลำดับการทำงานปกติ กูเกิลจะแจ้งออกมาเป็นสาธารณะมากกว่าที่จะแจ้งไปที่กลุ่มในวงจำกัดไงครับ
แบบนี้ผมถึงบอกว่าเลือกปฏิบัติ ส่วนคนที่ไม่ได้ aware ใดๆ เลยแล้วได้รับผลกระทบ คือ ไม่ได้ตามอ่านข่าว ไม่ได้รับจดหมายจากโครงการ Project Zero พูดง่ายๆ ว่าไม่สนใจใดๆ เลย แล้วกูเกิลจะไปเกี่ยวได้อย่างไรล่ะครับ
มันต่างกับผู้ให้บริการที่เค้าติดตามข่าวความปลอดภัยเป็นปกติ แต่ถูกเลือกปฏิบัติ รู้ข่าวจากการปะติดปะต่อแล้วต้องกระเสือกกระสนหาวิธีแก้เองตั้งเยอะนะครับ
ผมคิดว่าความรุนแรงชองช่องโหว่มันสูงมากๆ Google เลยเลือกปฏิบัติ เพราะ ณ ตอนนั้นยิ่งมีคนรู้เยอะยิ่งอันตราย Google ก็เลยเลือกที่จะบอกแค่ในกลุ่ม tier-1 ซึ่งสังเกตุว่าแทบทุกคนในกลุ่มนี้สามารถออกแพตช์เพื่อปิดช่องโหว่ได้ ส่วน tier-2 นั้นเป็นกลุ่มที่ไม่สามารถออกแพตช์เองได้ ทำได้แค่ติดตั้งแพตช์ครับ
ปล#1. จริงๆ ผมว่าถ้า AMD ไม่หลุดเรื่องนี้ออกมาก่อน คิดว่าทุกคนที่ไม่ใช่ tier-1 จะรู้เรื่องนี้พร้อมกัน ณ วันที่ 9/1/2018 ครับ
ปล#2. มาคิดดีๆ ถ้า Google รอให้ tier-1 พร้อมออกแพตช์ แล้วแจ้งให้ tier-2 ทดสอบแพตช์ซักพักก่อนประกาศให้ทุกคนรู้ก็น่าจะลดปัญหานี้ไปได้ครับ
ผมนึกว่ากลุ่ม tier-1 จะใช้แพตช์ที่ based on แพตช์จากอินเทลซะอีกครับ
ผมยังสงสัยครับ ถ้าถึงขั้นออกแพตช์เองได้ทำไมต้องบอก่อน ผมเดาๆ เอาว่าเพราะพวก tier-1 กระทบคนมากแบบนี้เหรอครับ
คือผมนึกไม่ออกเลยว่าทำไมถึงไม่แจ้งพร้อมๆ กันเหมือนกรณีร้ายแรงอื่นๆ
ผมอยากรู้เหตุผลเบื้องหลังอ่ะครับ พอจะทราบมั้ยครับ ผมตามหาอ่านมาก็ยังมีแต่เชิงวิเคราะห์อ่ะครับ
ผมว่ามันอันตรายมากเลยนะ ในแง่ของการกั๊ก tier
แม้ google จะเก่งแค่ไหน (หรืออินเทลและเอเอ็มดีจะเก่งแค่ไหน)
มันก็คือการรวมคนเก่งไว้ด้วยกัน
และคนที่เก่งมากๆระดับนึงที่ไม่ได้อยากเป็นลูกน้อง นั่นล่ะที่ไปทำ tier-2 แล้วสำเร็จ
จะกลายเป็นว่าในเมื่อ tier-1 ก็ไม่ได้ co-operate (หรือออกจะเป็นคู่แข่งด้วยซ้ำ) ก็สู้เก็บ vulnerability ไว้เงียบๆเอง เพื่อประโยชน์ในการอื่นอาจจะดีกว่า ... หรือเก็บไว้คุยกันเองแบบเงียบๆไปใน tier-2 ลงมาอาจจะดีกว่า
ผมว่าวงการแก้แพทช์มันเป็นงานระดับโลก และเรื่องบางเรื่อง ไม่เปิดเผยไม่ได้แปลว่าไม่มีคนรู้ + ไม่ได้แปลว่าไม่มีคนกำลังทำ หรือกำลังใช้ประโยชน์อยู่
การมองว่า เพราะเรารู้แล้วคนอื่นยังไม่รู้ (เลยกั๊กไว้ก่อน) แทนที่จะรีบปล่อย รีบวิเคราะห์หาทางแก้ กลายเป็นยิ่งช้าต่อระบบโดยภาพรวมเข้าไปอีก ยิ่งแบบ meltdown/spectre นี่คืออยู่กันมาแทบจะเรียกว่าเป็นวันแรกด้วย .. นอกจากโมเดลกั๊กก็ไม่รุ้เหมือนกันว่าจะเรียกว่าอะไร
ขอบคุณครับ ผมก็คิดแบบคุณนี่แหละ ผมถึงมึนๆ
ทำไมอ่านข่าวนี้แล้วผมเศร้ายังไงไม่รู้ สงสารคนทำงานมาก
สงสารเลย ?
รู้สึกเหนื่อยแทนเลย หวังว่าอนาคตน่าจะมีแนวทางสื่อสารที่ดีกว่านี้เนอะ
..: เรื่อยไป
โถ ... ทำยังกะบอกก่อนนาน ๆ หรือ รู้แล้ว ลง patch เมื่อสามเดือนที่แล้ว Server มันจะไม่มีปัญหา ?
เรามาลองดูหนังม้วนเก่า ที่ผมเอามาเล่าใหม่กัน
บ้านเมืองอยู่ในสภาพ IBM ยุครุ่งเรือง สมัยเก่าที่ program เปลี่ยน sub version ข้างหลังแล้ว มันไม่ compatible กัน
เช่น DB2 บาง sub version เปลี่ยน between logic จาก < เป็น <=
แล้วเขียนบอกไว้บรรทัดนึงในเอกสารที่เป็นกระดาษ หนาประมาณสมุดโทรศัพท์
ส่งงานไป ชัวอยู่แล้ว test มาอย่างดี DB version ใหม่กว่า มันต้อง bug น้อยกว่าสิ
ลงตูมไป เจอตี bug กลับมาเป็นล้าน นั่งแก้กันตาหูแหกทั้งวันทั้งคืน
แก้เสร็จรวนด้วย data ที่ผิดไปแล้ว เอาไปคิดเงินผิดด้วย โดนด่ายับ
หรือ จะเอาเคส "ลองของ" ตอนทำ User Accept Test เอา server วางไว้ ทางซ้ายของห้อง
พอ Test ผ่านปิดเครื่อง ยกไปวางไว้ด้านขวา ตรงที่กะว่าจะตั้งเครื่องจริง สตาร์ทเครื่องมา ping ไม่เจอ
หากันอยู่สามชั่วโมงจนท้อ ก็ปิดเครื่อง ยกไปวางไว้ด้านซ้าย เปิดเครื่อง ping เจอ
แต่ทั้งหมดนี้ใช้สาย Lan เส้นเดิม ... ทุกวันนี้ยังไม่รู้เลยว่ามันเกิดอะไรขึ้น ?
ทำงานเยอะ เจอะเยอะความ "ซวย" ไม่เข้าใครออกใคร ทำได้แค่ส่งกำลังใจ 7 วัน นี่แค่เริ่มต้น
เปิดเผยปุ๊บมันก็ต้องทำงานแข่งกับแฮกเกอร์ ต่อให้เปิดข้อมูลให้ทั้ง tier1 tier2 ก็ต้องปั่นกันทั้งคู่ tier1 จะงานช้างกว่าด้วยถ้าเครื่องมีเยอะกว่า
สรุปว่า aws รุพร้อม google/microsoft รึป่าว, หรือพึ่งมารุชัวรๆ เอาพร้อมกับ tier-2 ?
อ่านแล้วเห็นใจคนทำงานเลย
Project zero ทำพิษแล้วน่ะ
The Last Wizard Of Century.