Názory k článku
RETBLEED: nový útok obchází retpoline, záplata snižuje výkon o desítky procent

Jestli není tedy lepší mít díry v systému a mit lepší výkon :-) Když čtu dokola, že po aktualizaci se sníží výkon tak zachvilku půjde jen terminál.

Vraciame sa do 90tych.

Planovane zastaravani. Musej te nejak donutit koupit novy stroj s opravou na hw urovni.

Tak konecne treba na zidlich nebudou sedet lidi s ucpavkou krku misto hlavy a bude se logicky zduvodnovat jestli tu opravu potrebujeme nebo ne. Respektive jestli jeji oprava neprinese vice problemu nez uzitku pro danou kategorii systemu.

Uz mne nebavi aplikovat zaplaty vsude bez rozmyslu na zaklade momentalni hysterie a asocialu z matfyzu co nevidi svet v sirsim kontextu.

Afaik tyto prusery prinesou do popredi zas jine platformy :-)

Jiz moje vnouce v roce 2050 rikalo: Prace Intel, malo platna!

Bohužel budou, začíná to už na vládě, kde vymysleli, jak já říkám, zákon na kyberšikanu IT pracovníků, kdy jsou autoři často úplně mimo realitu. Podle nich jedou bezpečáci a to jsou taky často jen lidi bez mozku, skrz který to hnědý padá dolů.
Já říkám, že bezpečnost je prima věc, ale dostupnost je mnohem lepší. Jen jeden bezpečák za celou historii, co se s nima bavím, mi řekl, že dostupnost je podmnožinou bezpečnosti a nelze ji odsunout na vedlejší kolej. U těch předchozích není problém nastavit security policy, že při odpojení od vzdáleného serveru (bez ohledu na důvod) mám jednu minutu na to se připojit zpět, jinak je session killnuta a její obsah nenávratně ztracen. Protože to doporučoval nějakej dokument. Myslel jsem, že je dojdu osobně pověsit za korále do průvanu.

Protoze to neni to co headhunteri chteji slyset a vedouci pracovnici nemaji dostupnost/za­lohy/RTO atd. pod stejnou skatulkou jako bezpecnost. Bezpecnost totiz skutecne souvisi i s dostupnosti a opravitelnosti systemu.
A neni to neco ani za co bych v realu ziskaval plat. Nikdo po mne nechce rozebirat scenare jestli po katastrofalnim vypadku el. proudu se vubec technik dostane k energeticke soustave datacentra a jestli elektronicky otevirane dvere maji mechanicky override(treba pod pancirem).

Pokud mate systemy zabezpeceny tak ze se na ne servis nedostane tak nepritel vyhral. Nefunguje-li vam obnova ze zalohy nepritel opet vyhral.

Je nutne si uvedomit ze ne vsichni experti maji zkusenosti s realnym provozem. Cesta od technika k securitakovi neni pravidlem v tomto oboru. Obcas konci tak lidi kterym chybi i teoreticke zaklady IT.

14. 7. 2022, 11:36 editováno autorem komentáře

Když jsem se (před více lety) bezpečností zabýval, tak nedostupnost byla mezi riziky, která se řešila naprosto samozřejmě. Akorát u většiny oborů je únik dat řádově větší průser, než jejich dočasná nedostupnost. Takže se optimalizuje na ne-únik a ne na tu dostupnost.

Zrejme jeste byl svet v poradku. Nedostupnost nemusi byt docasna. Staci spatne nastaveny proces rotace a drzeni klicu k zaloham - jedna osoba, opomenuti aktualizace klicu v trezorech, vymena lidi kteri je drzi i v board of directors atd. Bez magickeho klice treba ani nerozjedete servery po vypadku a musi se cele nasypat znova. Coz u par peta dat nebo tisicovky fyzickych serveru muze byt celkem jobovka.

Pokud je to primo infrastruktura, tak tam je nedostupnost docela palcivy problem - zde muzete spadat i pod bezpecnostni buzerativu daneho statu a ten si vas da k obedu i k veceri.

Ja se divim jak je mozne ze na pozici security architect sedi 21 let mlade telatko ktere ma zkusenosti prevazne s aplikacni bezpecnosti co potrebuje na kazdou akci prezentaci v ppt a komanduje infrastrukturni techniky co udelali spatne.

Ale asi ma nizsi mzdove naklady a ja celou vec nevidim dostatecne "manazersky".

14. 7. 2022, 14:35 editováno autorem komentáře

Asi tak, BFU si zapne automatické aktualizace a po pár letech počítač nahradí novým, protože se stal nepoužitelným.

Pokud člověk chce/musí mít počítač pod kontrolou, instaluje jen to co potřebuje. Jestliže počítač není například připojen do sítě a fyzicky je dobře zabezpečen, není potřeba prakticky žádných bezpečnostních záplat.

V provozu nám jednou nějaké stroje na DOSu, ani nevím co je to za muzeální HW, díly se na to shání fakt blbě. Nahradit to nejde, aktualizovat to není potřeba.

Nejde ten patch nejak vypnout parametrem jadra? Obcas se vykon hodi i za cenu mozne zranitelnosti (zalezi na tom co clovek dela).
Neni nekde vyhodnoceni vykonoveho dopadu na vykon primo linuxu? A opet predpokladam, ze ten vykonovy dopad bude ruzny pro ruzne ulohy a vyuziti pocitace. Z tohoto pohledu konstatovani o propadu vykonu "az 39%" muze znamenat cokoli od nutnosti koupit novy HW, prottoze je to moc az po to mavnout nad tim rukou, protoze v me uloze to nemusim resit.

13. 7. 2022, 13:26 editováno autorem komentáře

Ano, část těch oprav se dá vypnout parametrem kernelu při bootu. Některé možná (moje spekulace, jsem líný se podívat) potřebují rekompilaci jádra, aby mělo jejich vypnutí smysl - když bude na konci každé funkce kernelu pár instrukcí, které se nějakým IFem kus kódu přeskočí, tak to za předpokladu, že by tento IF vypadával z prediktoru skoků, bude akorát zpomalovat.

Ano je to tak. Nieco sa da vypnut rekompilaciou. Rekompresiu MPEG aj s HW akceleraciou (na NV Quadro) bez toho velmi neurobis. Resp. urobis, ale aj dost vykonne zelezo bude davat ubohe vysledky.

Tie opravy to nakoniec tak spomalia, že bude platiť staré známe:
"Bezpečný je iba ten počítač, ktorý je vypnutý a zaliaty v betóne:" :-)

A to je chyba. Chybi doklad o znehodnoceni disku vcetne svedka s jeho podpisem. Z takoveho betonu se to da jeste vytahnout.

Mate fotografie jak se zaleva do betonu prave ten pocitac? Kde je podepsan protokol o vytvrdnuti betonu? Kdo hlidal beton kdyz tvrdnul? Byl beton anonymizovan?

Nemusíte ho hned na tvrdo vypínat.
Stačí ho odpojit od všech síti.
… včetně elektrické.

I vyply server jde ukradnout nebo "odlehcit". Lepe pokud vam v tom nikdo nemuze zabranit - mate bumazku od statu.