Chega de Sextas-Feiras Azuis

 (brendangregg.com)
1 pontos por GN⁺ 2024-07-23 | 1 comentários | Compartilhar no WhatsApp

  • No futuro, atualizações de software que incluem código de kernel não farão mais os computadores travarem. Daqui para frente, essas atualizações passarão a enviar código eBPF

  • Em 19 de julho de 2024, ocorreu a maior interrupção da história da tecnologia da informação

    • Computadores Windows no mundo todo entraram em tela azul e loop de inicialização
    • Houve interrupções em hospitais, companhias aéreas, bancos, supermercados e emissoras de mídia
    • A causa foi uma atualização que incluía um driver de kernel de uma empresa de segurança
    • Esse driver tentou ler memória incorreta, fazendo o kernel travar

  • Em sistemas Linux, o eBPF já está sendo adotado e pode evitar esse tipo de falha

    • O eBPF oferece um ambiente seguro de execução no kernel
    • Programas eBPF têm sua segurança verificada por um verificador de software, e código inseguro não é executado
    • O eBPF oferece alta segurança e baixo uso de recursos

  • Startups de segurança baseadas em eBPF e grandes empresas de tecnologia também estão adotando eBPF

    • A Cisco adquiriu a startup de eBPF Isovalent e anunciou um novo produto de segurança com eBPF
    • Google e Meta já usam eBPF para detectar e bloquear atividades maliciosas

  • A pior coisa que um programa eBPF pode fazer é consumir recursos em excesso

    • O eBPF evita falhas do sistema, mas não pode impedir que código ineficiente seja escrito
    • O código de gerenciamento do eBPF também pode ter bugs, mas corrigir esses bugs melhora a segurança de todos os fornecedores de eBPF

  • Existem outras formas de reduzir riscos na distribuição de software

    • Entre elas estão testes canário, rollout gradual e engenharia de resiliência
    • A abordagem com eBPF é uma solução de software disponível nativamente nos kernels Linux e Windows

  • Empresas que usam software comercial com drivers ou módulos de kernel podem exigir eBPF

    • No Linux isso já é possível, e no Windows em breve também será
    • Alguns fornecedores já adotaram eBPF, e é preciso aumentar a conscientização dos clientes

Resumo do GN⁺

  • Este texto destaca a importância do eBPF para resolver o problema de falhas do sistema causadas por atualizações de código de kernel
  • O eBPF oferece um ambiente seguro de execução no kernel e pode evitar falhas do sistema
  • Grandes empresas de tecnologia também estão adotando eBPF, que oferece vantagens em segurança e uso de recursos
  • Com eBPF, é possível reduzir riscos na distribuição de software, e é necessário aumentar a conscientização dos clientes

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-23
Opinião no Hacker News

  • Quando o suporte a eBPF da Microsoft estiver pronto para produção no Windows, softwares de segurança para Windows também poderão ser portados para eBPF

    • Isso não é realista
    • Os "hooks" do eBPF no Windows são usados apenas para filtragem de pacotes
    • Ao contrário de outros drivers conectados ao kernel NT, o eBPF é limitado
    • Vai levar muito tempo para que o eBPF substitua drivers antimalware em espaço de kernel

  • Discorda da afirmação de que a pior coisa que um programa eBPF pode fazer é consumir mais ciclos de CPU e memória

    • Um programa eBPF pode ser prejudicial de forma ilimitada
    • Mover código do kernel para BPF pode mitigar certas vulnerabilidades
    • Isso não significa que programas eBPF sejam geralmente seguros

  • Não quer discutir com Brendan Gregg, mas gostaria que os fornecedores adotassem uma abordagem abrangente para investigar completamente a cadeia de falhas

    • Em certas classes de bugs, desperdiçar ciclos de CPU pode ser a única consequência negativa
    • Há vários modos de falha em que um conjunto ruim de regras pode quebrar o sistema
    • Módulos de segurança baseados em eBPF podem servir para muitos fornecedores, mas é importante entender os riscos

  • Quando o código quebra, o sistema não deve funcionar

    • Se um mecanismo de bloqueio de segurança de um dispositivo médico não funcionar, é melhor que o sistema inteiro também não funcione

  • Se assumirmos que o eBPF resolve certos problemas no Windows, a Microsoft não deveria oferecer compatibilidade retroativa

    • Compatibilidade retroativa é uma questão importante no mundo Windows
    • Seria mais benéfico limpar código e abordagens antigas do NT

  • Programas eBPF são verificados com segurança por um verificador de software e executados em sandbox, então não podem derrubar o sistema inteiro

    • Um dos objetivos do sistema operacional é fiscalizar o software
    • É melhor reduzir a complexidade

  • Não é preciso tecnologia nova

    • Devem ser usados métodos básicos de controle de qualidade

  • A sexta-feira deveria ser definida como dia de folga para que mais pessoas tenham tempo para pensar

  • Se houver um bug no eBPF, isso pode causar um crash no kernel do Windows

  • Se um filtro for carregado na inicialização e conectado a tudo, ele pode travar o sistema

    • Se a Microsoft incluir uma whitelist codificada com os itens essenciais necessários para a recuperação, pode ficar mais fácil corrigir bugs