Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Nebo záplatu vypnout, pak je nárust výkonu ještě o pár procent vyšší a servery jsou více GREEN...
What could possibly go wrong?
To se dělá a dělalo u Intelu, taková delší úprava, kdy se vypnou všechny záplaty s poznámkou "i am speed"
To si majitel serveru nedovolí, zvláště pokud kapacitu pronajímá.
Možná u vyhrazených serverů, kde se dá předpokládat běh kódu pouze jediného zakazníka by to asi mohlo projít.
Pokud by někdo využíval výpočetní výkon pro sebe a servery by nebyly na síti, ale jen propojeny s PC a to taky nebylo na síti. To je jediný případ, kdy to je opravdu bezpečné. Nebo by ten server rovnou plnil roli pracovní stanice, samozřejmě bez připojení na NET.
Jak se donutí server, který je na síti a poskytuje veřejně určité služby, vykonat cizí kód jež umožní zneužít těchto potenciálních CPU zranitelností?
Jako jiný počítač, dírou v OS a šikovností programátora (hackera). Co vím, tak se bezpečnostní chyby zkoumají samostatně, ale jejich kombinace můžou dávat další možnosti.
(neeticky)hacker je na urovni zlodeja ci vraha ktory robi trestnu cinnost, ktory si mysli ze moze nieco druhemu kradnut. ale tak ludstvo je retardovane co uz.
Lidé si vždy pomáhali na úkor jiných, to není nic nové. A někdy kvůli tomu někdo zemřel, když jedna skupina ukradla v pravěku jiné oheň...
Oheň lze snadno kopírovat. Dokonce to často dokáže i bez cizí pomoci. :)
O původní oheň nikdo nemusel přijít, pokud by ho neuhasili úmyslně. Což by v rámci konkurenčního boje mohli...
Snad ano. Ale dokud ho neuměli sami rozdělat, by pro ně životně důležitý.
Tu nejde o cudzi kod. Staci si prenajat VPS u providera, na ktore si mozte dat lubovolny kod. Virtualizacia by mala zabezpecit, ze vidite len svoj virtualny server, ale pri nezaplatovanych vulnerabilitach procakov sa viete naburat aj do cudzej VPSky na tom istom stroji.
Ale já jsem nepsal o pronajatém výkonu. Celou dobu se bavím o situaci, kdy server fyzicky vlastníte a máte pro výpočetní výkon použití, které je typické spíš pro pracovní stanici, proto jsem psal o tom, že není připojen na internet a to žádným způsobem. A druhá věc, kolik výkonu při virtualizaci opravdu využije aplikace a kolik ta virtualizace? Nikdy nedostanete k dispozici 100 % (kolik si bere OS nepočítám).
Přidávání SW vrstev samo o sobě bezpečnost nezlepší. Protože to dělá celý programový kód jen složitější a tedy náchylnější na chyby. Každý SW může mít bezpečnostní problém, jen třeba zatím není známý.
Otázka zněla na dedikovaný server, tam žádné cizí VM nemáte.
Ako aj Lazar strucne uviedol, tak server pripojeny k internetu (mysleno vseobecnej sieti), ako aj server na lokalnej sieti, na ktorej je co i len jedine zariadenie komunikujuce s vonkajsou sietou je vzdy napadnutelny.
Problem predpokladu "jak se donuti server" je ten, ze ak by to islo napriamo, tak by sa majitelovi rovno vsetci vysmievali. Casto si prave firmy, na ktorych mene majitelom a investorom zalezi, daju povedat a server zabezpecia maximalnymi moznymi zaplatami, opravami. Cize v tomto pripade mas pravdu - napriamo to je velmi tazke, no nie nemozne, pretoze nevies o vsetkych neverejnych chybach a nevies o chybach, na ktore este ludia neprisli. Riziko mas vzdy.
Predpoklad druhej casti "který je na síti a poskytuje veřejně určité služby" je uz ovela lahsi. Cielom akejkolvek chyby nie je rovno napadnut danu zranitelnost, ale najskor ziskat pristup k inym sluzbam, zariadeniam. A az potom pouzit taku zranitelnost, ktora nepriatelovi prinesie akukolvek sancu na ziskanie udajov. Problemy serveru poskytujuceho sluzby na sieti su:
1) Sluzby pisal/programoval clovek (aspon teda zatial neuvazujeme dokonale nauceneho AI programatora) a dosiahnut programovy kod k dokonalosti a nezranitelnosti je tazsie a drahsie.
2) Akekolvek ine zariadenie na sieti nielenze moze, ale bude obsahovat ine typy chyb a bude potrebovat ine mnozstvo zaplat.
3) Ludska chyba je najvyssim rizikom. Moze to byt kliknutie na takmer dokonalu repliku emailu znamej firmy. Moze to byt pripojenie do sieti ineho zariadenia.
To, na co sa ale pytas, ti nikto nepovie, resp. povie ti to bud inteligentny hlupak, alebo az ked sa znamym sposobom neoplati nic naburavat/podnikat.
Prave to "tajomstvo" je predpokladom toho, ze unika z vela znamych firiem / bank / leteckych spolocnosti ... tolko dat o ich zakaznikoch. Je to preto, ze velke firmy maju, tak vysoku hodnotu a dobre podchytenu cast trhu, ze je ekonomicky lacnejsie platit par skupin programatorov hnidopichov a ich pomocou sposobit velkej firme problemy. A to, ci zneuzili zranitelnosti CPU? To sa firmy s velkou pravdepodobnostou dozvedia az velmi neskoro a mozu si uz len buchat hlavu o stol, preco to vobec dovolili adminovi vypnut/nezaplatat.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.