Tak Ada Lagi Jumat Biru

 (brendangregg.com)
1 poin oleh GN⁺ 2024-07-23 | 1 komentar | Bagikan ke WhatsApp

  • Di masa depan, pembaruan perangkat lunak yang menyertakan kode kernel tidak akan lagi menyebabkan komputer crash. Ke depannya, pembaruan semacam ini akan mendorong kode eBPF

  • Pada 19 Juli 2024, terjadi gangguan terbesar dalam sejarah teknologi informasi

    • Komputer Windows di seluruh dunia mengalami blue screen dan boot loop
    • Gangguan terjadi di rumah sakit, maskapai penerbangan, bank, toko bahan makanan, stasiun media penyiaran, dan lainnya
    • Penyebabnya adalah pembaruan yang menyertakan driver kernel dari sebuah perusahaan keamanan
    • Driver ini mencoba membaca memori yang salah sehingga kernel crash

  • Pada sistem Linux, eBPF sudah diadopsi sehingga crash semacam ini dapat dicegah

    • eBPF menyediakan lingkungan eksekusi kernel yang aman
    • Program eBPF diverifikasi keamanannya melalui software verifier, dan kode yang tidak aman tidak akan dijalankan
    • eBPF menawarkan keamanan tinggi dan penggunaan sumber daya yang rendah

  • Startup keamanan berbasis eBPF dan perusahaan teknologi besar juga mengadopsi eBPF

    • Cisco mengakuisisi startup eBPF Isovalent dan mengumumkan produk keamanan eBPF baru
    • Google dan Meta sudah menggunakan eBPF untuk mendeteksi dan memblokir aktivitas berbahaya

  • Hal terburuk yang bisa dilakukan program eBPF adalah mengonsumsi sumber daya secara berlebihan

    • eBPF mencegah crash sistem, tetapi tidak bisa mencegah penulisan kode yang tidak efisien
    • Kode manajemen eBPF juga bisa memiliki bug, tetapi jika bug tersebut diperbaiki, keamanan semua vendor eBPF akan meningkat

  • Ada juga cara lain untuk mengurangi risiko saat mendistribusikan perangkat lunak

    • Di antaranya canary testing, rollout bertahap, dan resilience engineering
    • Pendekatan eBPF adalah solusi perangkat lunak yang tersedia secara native di kernel Linux dan Windows

  • Perusahaan yang menggunakan perangkat lunak komersial yang menyertakan driver atau modul kernel dapat menuntut penggunaan eBPF

    • Di Linux hal ini sudah memungkinkan, dan di Windows juga akan segera memungkinkan
    • Beberapa vendor sudah mengadopsi eBPF, dan perlu ada peningkatan kesadaran dari pelanggan

Ringkasan GN⁺

  • Artikel ini menekankan pentingnya eBPF untuk mengatasi masalah crash sistem akibat pembaruan kode kernel
  • eBPF menyediakan lingkungan eksekusi kernel yang aman dan dapat mencegah crash sistem
  • Perusahaan teknologi besar juga mengadopsi eBPF, serta menawarkan keunggulan dari sisi keamanan dan penggunaan sumber daya
  • Dengan eBPF, risiko saat distribusi perangkat lunak dapat dikurangi, dan perlu ada peningkatan kesadaran pelanggan

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-23
Komentar Hacker News

  • Jika dukungan eBPF Microsoft sudah siap produksi di Windows, perangkat lunak keamanan Windows juga bisa di-port ke eBPF

    • Tidak realistis
    • "hooks" di Windows eBPF hanya digunakan untuk pemfilteran paket
    • Tidak seperti driver lain yang terhubung ke kernel NT, eBPF bersifat terbatas
    • Akan butuh waktu lama sebelum eBPF bisa menggantikan driver antimalware ruang kernel

  • Tidak setuju dengan klaim bahwa hal terburuk yang bisa dilakukan program eBPF hanyalah menghabiskan lebih banyak siklus CPU dan memori

    • Program eBPF bisa sangat merusak tanpa batas
    • Dengan memindahkan kode ke BPF di dalam kernel, kerentanan tertentu bisa dimitigasi
    • Ini tidak berarti program eBPF pada umumnya aman

  • Tidak ingin berdebat dengan Brendan Gregg, tetapi berharap para vendor mengambil pendekatan menyeluruh yang benar-benar menyelidiki rantai kegagalan

    • Pada kelas bug tertentu, pemborosan siklus CPU mungkin menjadi satu-satunya konsekuensi negatif
    • Ada berbagai mode kegagalan di mana kumpulan aturan yang buruk bisa merusak sistem
    • Modul keamanan berbasis eBPF mungkin cocok bagi banyak vendor, tetapi penting untuk memahami risikonya

  • Saat kode rusak, sistem seharusnya tidak boleh beroperasi

    • Jika pengunci pengaman perangkat medis tidak berfungsi, lebih baik seluruh sistem tidak beroperasi

  • Dengan asumsi eBPF menyelesaikan masalah tertentu di Windows, Microsoft seharusnya tidak menyediakan kompatibilitas mundur

    • Kompatibilitas mundur adalah isu penting di dunia Windows
    • Akan lebih bermanfaat untuk merapikan kode dan pendekatan NT lama

  • Program eBPF diperiksa keamanannya oleh verifier perangkat lunak dan dijalankan di sandbox, sehingga tidak bisa membuat seluruh sistem crash

    • Salah satu tujuan sistem operasi adalah mengawasi perangkat lunak
    • Mengurangi kompleksitas itu lebih baik

  • Tidak membutuhkan teknologi baru

    • Harus menggunakan metode kontrol kualitas yang dasar

  • Hari Jumat harus dijadikan hari libur agar lebih banyak orang punya waktu untuk berpikir

  • Jika ada bug di eBPF, hal itu bisa menyebabkan kernel Windows crash

  • Jika filter dimuat saat boot dan terhubung ke semuanya, sistem bisa terkunci

    • Jika Microsoft menyertakan whitelist hardcoded yang mencakup hal-hal esensial yang dibutuhkan untuk pemulihan, perbaikan bug bisa menjadi lebih mudah