Plus de vendredis bleus

 (brendangregg.com)
1 points par GN⁺ 2024-07-23 | 1 commentaires | Partager sur WhatsApp

  • À l’avenir, les mises à jour logicielles incluant du code noyau ne provoqueront plus de plantage des ordinateurs. À la place, ces mises à jour pousseront du code eBPF

  • Le 19 juillet 2024, la plus grande panne de l’histoire des technologies de l’information s’est produite

    • Des ordinateurs Windows du monde entier ont affiché des écrans bleus et sont entrés dans des boucles de démarrage
    • Des hôpitaux, compagnies aériennes, banques, épiceries et chaînes audiovisuelles ont subi des interruptions
    • La cause était une mise à jour incluant le pilote noyau d’une entreprise de sécurité
    • Ce pilote a tenté de lire une zone mémoire erronée, provoquant le crash du noyau

  • Sur les systèmes Linux, l’adoption d’eBPF permet déjà d’éviter ce type de plantage

    • eBPF fournit un environnement d’exécution noyau sûr
    • La sûreté des programmes eBPF est vérifiée par un validateur logiciel, et le code non sûr n’est pas exécuté
    • eBPF offre un haut niveau de sécurité et une faible consommation de ressources

  • Des startups de sécurité fondées sur eBPF et de grandes entreprises technologiques adoptent également eBPF

    • Cisco a racheté la startup eBPF Isovalent et annoncé de nouveaux produits de sécurité eBPF
    • Google et Meta utilisent déjà eBPF pour détecter et bloquer les comportements malveillants

  • Le pire qu’un programme eBPF puisse faire est de consommer excessivement des ressources

    • eBPF empêche les plantages système, mais ne peut pas empêcher l’écriture de code inefficace
    • Le code de gestion d’eBPF peut aussi contenir des bugs, mais les corriger améliore la sécurité de tous les fournisseurs eBPF

  • Il existe aussi d’autres moyens de réduire les risques lors du déploiement logiciel

    • On peut citer les tests canari, les déploiements progressifs et l’ingénierie de résilience
    • L’approche eBPF est une solution logicielle disponible nativement dans les noyaux Linux et Windows

  • Les entreprises qui utilisent des logiciels commerciaux incluant des pilotes ou modules noyau peuvent exiger eBPF

    • C’est déjà possible sur Linux, et cela le sera bientôt aussi sur Windows
    • Certains fournisseurs ont déjà adopté eBPF, et il faut renforcer la sensibilisation des clients

Le résumé de GN⁺

  • Cet article souligne l’importance d’eBPF pour résoudre les problèmes de plantage système causés par les mises à jour de code noyau
  • eBPF fournit un environnement d’exécution noyau sûr et peut empêcher les plantages système
  • De grandes entreprises technologiques adoptent elles aussi eBPF, qui offre des avantages en matière de sécurité et de consommation de ressources
  • eBPF permet de réduire les risques lors du déploiement logiciel, mais une meilleure sensibilisation des clients reste nécessaire

À lire aussi

1 commentaires

 
GN⁺ 2024-07-23
Avis Hacker News

  • Si la prise en charge d’eBPF par Microsoft devient prête pour la production sur Windows, les logiciels de sécurité Windows pourraient aussi être portés vers eBPF

    • Ce n’est pas réaliste
    • Les « hooks » d’eBPF sur Windows ne servent qu’au filtrage des paquets
    • Contrairement aux autres pilotes connectés au noyau NT, eBPF reste limité
    • Il faudra beaucoup de temps avant qu’eBPF puisse remplacer les pilotes antimalware en espace noyau

  • Désaccord avec l’affirmation selon laquelle le pire qu’un programme eBPF puisse faire est de consommer davantage de cycles CPU et de mémoire

    • Un programme eBPF peut être nuisible sans limite
    • Déplacer du code du noyau vers BPF peut atténuer certaines vulnérabilités
    • Cela ne signifie pas que les programmes eBPF sont généralement sûrs

  • Sans vouloir contredire Brendan Gregg, souhait que les éditeurs adoptent une approche globale examinant entièrement la chaîne d’échec

    • Pour certaines classes de bugs, gaspiller des cycles CPU peut être la seule conséquence négative
    • Il existe divers modes de défaillance dans lesquels un mauvais ensemble de règles peut casser le système
    • Les modules de sécurité basés sur eBPF peuvent convenir à de nombreux éditeurs, mais il est important de comprendre les risques

  • Quand le code est cassé, le système ne devrait pas fonctionner

    • Si le verrou de sécurité d’un appareil médical ne fonctionne pas, il vaut mieux que l’ensemble du système ne fonctionne pas

  • En supposant qu’eBPF résolve certains problèmes sur Windows, Microsoft ne devrait pas assurer la rétrocompatibilité

    • La rétrocompatibilité est un sujet important dans l’univers Windows
    • Il serait plus utile de faire le ménage dans l’ancien code et les anciennes approches de NT

  • Les programmes eBPF sont vérifiés de manière sûre par un vérificateur logiciel et s’exécutent dans un sandbox, ils ne peuvent donc pas faire planter l’ensemble du système

    • L’un des objectifs d’un système d’exploitation est de surveiller les logiciels
    • Il vaut mieux réduire la complexité

  • Il n’y a pas besoin d’une nouvelle technologie

    • Il faut utiliser des méthodes de contrôle qualité de base

  • Il faudrait faire du vendredi un jour de repos afin que davantage de personnes aient le temps de réfléchir

  • S’il y a un bug dans eBPF, cela peut provoquer un crash du noyau Windows

  • Si un filtre est chargé au démarrage et attaché à tout, il peut verrouiller le système

    • Microsoft pourrait faciliter la correction des bugs en incluant une liste blanche codée en dur contenant les éléments essentiels à la récupération