No más viernes azules

 (brendangregg.com)
1 puntos por GN⁺ 2024-07-23 | 1 comentarios | Compartir por WhatsApp

  • En el futuro, las actualizaciones de software que incluyan código del kernel no harán que las computadoras fallen. En adelante, este tipo de actualizaciones publicarán código eBPF

  • El 19 de julio de 2024 ocurrió la mayor caída de la historia de la tecnología de la información

    • Computadoras con Windows de todo el mundo quedaron atrapadas en pantallas azules y bucles de arranque
    • Hubo interrupciones en hospitales, aerolíneas, bancos, supermercados y medios de comunicación
    • La causa fue una actualización que incluía el controlador del kernel de una empresa de seguridad
    • Este controlador intentó leer memoria incorrecta y provocó la caída del kernel

  • En los sistemas Linux ya se está adoptando eBPF, lo que puede evitar este tipo de fallas

    • eBPF ofrece un entorno seguro de ejecución dentro del kernel
    • La seguridad de los programas eBPF se verifica mediante un verificador de software, y el código inseguro no se ejecuta
    • eBPF ofrece alta seguridad y bajo uso de recursos

  • Startups de seguridad basadas en eBPF y grandes empresas tecnológicas también están adoptando eBPF

    • Cisco adquirió la startup de eBPF Isovalent y anunció un nuevo producto de seguridad basado en eBPF
    • Google y Meta ya usan eBPF para detectar y bloquear actividades maliciosas

  • Lo peor que puede hacer un programa eBPF es consumir recursos en exceso

    • eBPF evita que el sistema colapse, pero no puede impedir que se escriba código ineficiente
    • El código de gestión de eBPF también puede tener errores, pero al corregirlos mejora la seguridad de todos los proveedores de eBPF

  • También hay otras formas de reducir el riesgo al desplegar software

    • Entre ellas están las pruebas canary, los despliegues graduales y la ingeniería de resiliencia
    • El enfoque de eBPF es una solución de software disponible de forma nativa en los kernels de Linux y Windows

  • Las empresas que usan software comercial con controladores o módulos del kernel pueden exigir eBPF

    • En Linux ya es posible, y pronto también lo será en Windows
    • Algunos proveedores ya han adoptado eBPF, y hace falta aumentar la conciencia de los clientes

Resumen de GN⁺

  • Este artículo destaca la importancia de eBPF para resolver el problema de las caídas del sistema causadas por actualizaciones de código del kernel
  • eBPF ofrece un entorno seguro de ejecución dentro del kernel y puede evitar caídas del sistema
  • Las grandes empresas tecnológicas también están adoptando eBPF, y ofrece ventajas en seguridad y uso de recursos
  • eBPF puede reducir el riesgo al desplegar software, y hace falta aumentar la conciencia de los clientes

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-23
Opiniones de Hacker News

  • Si el soporte de eBPF de Microsoft llega a estar listo para producción en Windows, el software de seguridad de Windows también podría portarse a eBPF

    • No es realista
    • Los "hooks" de eBPF en Windows solo se usan para filtrado de paquetes
    • A diferencia de otros drivers que se conectan al kernel NT, eBPF es limitado
    • Hará falta mucho tiempo para que eBPF reemplace a los drivers antimalware en espacio de kernel

  • Se discrepa con la afirmación de que lo peor que puede hacer un programa eBPF es consumir más ciclos de CPU y memoria

    • Un programa eBPF puede ser perjudicial de forma ilimitada
    • Mover código del kernel a BPF puede mitigar ciertas vulnerabilidades
    • Eso no significa que los programas eBPF sean generalmente seguros

  • Sin querer discutir con Brendan Gregg, se desea que los vendors adopten un enfoque integral que investigue por completo la cadena de fallas

    • En ciertas clases de bugs, desperdiciar ciclos de CPU podría ser la única consecuencia negativa
    • Hay varios modos de falla en los que un mal conjunto de reglas puede romper el sistema
    • Los módulos de seguridad basados en eBPF pueden ser adecuados para muchos vendors, pero es importante entender los riesgos

  • Cuando el código se rompe, el sistema no debería seguir funcionando

    • Si el bloqueo de seguridad de un dispositivo médico no funciona, es mejor que todo el sistema deje de funcionar

  • Suponiendo que eBPF resuelva ciertos problemas en Windows, Microsoft no debería ofrecer compatibilidad hacia atrás

    • La compatibilidad hacia atrás es un tema importante en el mundo Windows
    • Sería más beneficioso limpiar el código y los enfoques antiguos de NT

  • Los programas eBPF se verifican de forma segura mediante un verificador de software y se ejecutan en un sandbox, por lo que no pueden hacer que falle todo el sistema

    • Uno de los propósitos del sistema operativo es supervisar el software
    • Es mejor reducir la complejidad

  • No se necesita una nueva tecnología

    • Se deberían usar métodos básicos de control de calidad

  • Se debería establecer el viernes como día libre para que más personas tengan tiempo para pensar

  • Si eBPF tiene un bug, puede provocar un crash del kernel de Windows

  • Si al arrancar se carga un filtro y se engancha a todo, puede bloquear el sistema

    • Si Microsoft incluye una whitelist hardcodeada con los elementos esenciales para la recuperación, podría ser más fácil corregir bugs