Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Облака: воскресный наброс

Я вот тут задумался, не рассеются ли облака (а то и весь shared hosting) как модель по итогам открытий текущего года в области компьютерной безопасности.

Смотрите. Всяческие уязвимости в процессорах изоляцию нарушают. Сейчас ещё подоспела пачка атак по Блейхенбахеру и подобным схемам на RSA handshake, но его хотя бы отключить можно целиком.
Контрмеры против Spectre/Meltdown/прочих существенно затормаживают процессоры — когда на 10%, когда на 5, а на некоторых задачах, Торвальдс пишет, и на 50. То есть если их все применить, то в два раза точно упадёт. Ну ок, можно сказать, что процессы с разных виртуалок мы на одно ядро не пускаем, а дальше юзер пусть сам разбирается. Но это всё равно значит, что на сервере не больше юзеров, чем ядер.

Дальше есть такая вещь, как Rowhammer. Там работа идёт с тем, что память — физическая, а не абстрактная виртуальная, и переключения битиков позволяют влиять на соседние ячейки. Есть попытки заставить Rowhammer работать по сети, довольно успешные. Никакие контрольные биты в современных планках памяти не спасают — их тоже можно пофлипать. Можно ли на уровне гипервизора выделять планку памяти конкретной виртуалке? Можно, наверное, но там те же ограничения, что и с ядрами.

Можно, конечно, понадеяться на новые архитектуры процессоров. Но атаки на старые могут успеть добить этот тип хостинга раньше, оставив вариации на тему неуловимого Джо и сервисы, в которых пользователям shell не дают.

This entry was originally posted at https://beldmit.dreamwidth.org/865053.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, мысли
Subscribe

  • Ярославль

    Вернулся в ночи из Ярославля. И город люблю. и фестиваль получился отличный, и даже до медалек мы затянулись единственный раз за сезон. Ну то есть не…

  • Лытдыбр двухнедельный

    С момента прошлой записи всё как-то сумбурно шло. В Иваново сыграли очень средне, сам город забавный, но приезжать туда вторично я не хочу. Обратно…

  • 2018 — личные итоги

    Как обычно, что было, чего не было. Год начался содержательно с перепродажи моего работодателя Ростелекому, что меня огорчило. Поэтому в конце…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 31 comments

  • Ярославль

    Вернулся в ночи из Ярославля. И город люблю. и фестиваль получился отличный, и даже до медалек мы затянулись единственный раз за сезон. Ну то есть не…

  • Лытдыбр двухнедельный

    С момента прошлой записи всё как-то сумбурно шло. В Иваново сыграли очень средне, сам город забавный, но приезжать туда вторично я не хочу. Обратно…

  • 2018 — личные итоги

    Как обычно, что было, чего не было. Год начался содержательно с перепродажи моего работодателя Ростелекому, что меня огорчило. Поэтому в конце…