Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Облака: воскресный наброс

Я вот тут задумался, не рассеются ли облака (а то и весь shared hosting) как модель по итогам открытий текущего года в области компьютерной безопасности.

Смотрите. Всяческие уязвимости в процессорах изоляцию нарушают. Сейчас ещё подоспела пачка атак по Блейхенбахеру и подобным схемам на RSA handshake, но его хотя бы отключить можно целиком.
Контрмеры против Spectre/Meltdown/прочих существенно затормаживают процессоры — когда на 10%, когда на 5, а на некоторых задачах, Торвальдс пишет, и на 50. То есть если их все применить, то в два раза точно упадёт. Ну ок, можно сказать, что процессы с разных виртуалок мы на одно ядро не пускаем, а дальше юзер пусть сам разбирается. Но это всё равно значит, что на сервере не больше юзеров, чем ядер.

Дальше есть такая вещь, как Rowhammer. Там работа идёт с тем, что память — физическая, а не абстрактная виртуальная, и переключения битиков позволяют влиять на соседние ячейки. Есть попытки заставить Rowhammer работать по сети, довольно успешные. Никакие контрольные биты в современных планках памяти не спасают — их тоже можно пофлипать. Можно ли на уровне гипервизора выделять планку памяти конкретной виртуалке? Можно, наверное, но там те же ограничения, что и с ядрами.

Можно, конечно, понадеяться на новые архитектуры процессоров. Но атаки на старые могут успеть добить этот тип хостинга раньше, оставив вариации на тему неуловимого Джо и сервисы, в которых пользователям shell не дают.

This entry was originally posted at https://beldmit.dreamwidth.org/865053.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, мысли
Subscribe

  • Предупреждения о необходимости смены паролей

    Примерно месяц назад на хакерских форумах появилась база из почти миллиарда пар логин-пароль. Это не одна утечка, а сводная коллекция за много лет.…

  • Chrome: картинка в картинке

    Обнаружил, что Chrome версии 70+ умеет показывать видео с YouTube в режиме «Картинка в картинке». Для активации надо щёлкнуть дважды правой кнопкой…

  • Техническое

    Чёртовы идиоты из ЖЖ сломали перевели в состояние кота Шрёдингера кросспост с Dreamwidth. Что я по этому поводу буду делать, пока не знаю.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 31 comments

  • Предупреждения о необходимости смены паролей

    Примерно месяц назад на хакерских форумах появилась база из почти миллиарда пар логин-пароль. Это не одна утечка, а сводная коллекция за много лет.…

  • Chrome: картинка в картинке

    Обнаружил, что Chrome версии 70+ умеет показывать видео с YouTube в режиме «Картинка в картинке». Для активации надо щёлкнуть дважды правой кнопкой…

  • Техническое

    Чёртовы идиоты из ЖЖ сломали перевели в состояние кота Шрёдингера кросспост с Dreamwidth. Что я по этому поводу буду делать, пока не знаю.…