ชีวิตที่น่าเศร้าของผู้ให้บริการคลาวด์รายเล็ก ไม่รู้เรื่อง Meltdown/Spectre ล่วงหน้า เร่งแพตช์กันอุตลุด

By lew Founder on Tag: Meltdown, Cloud Computing, Security
Meltdown

ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน

ผู้ให้บริการรายเล็กที่เริ่มรู้ตัวก่อนรายแรก คือ Zachary Smith ซีอีโอ Packet ที่ให้บริการโฮสต์ Kernel.org อยู่ด้วย โดยทีมงาน Packet เห็นแพตช์ของ Tom Lendacky จากเอเอ็มดีที่พูดถึงช่องโหว่ทางเมลลิ่งลิสต์ทำให้รู้สึกว่ามีอะไรแปลกๆ และเริ่มคุยกัน Slack ของบริษัทว่าเกิดอะไรขึ้น

แพตช์ของ Lendacky ทำให้นักข่าวเริ่มปะติดปะต่อได้ว่ากำลังมีแพตช์สำคัญออกมา ทำให้ Project Zero ตัดสินใจเปิดเผยรายละเอียดทั้งหมดทันที ตั้งแต่วันที่ 3 มกราคม แม้จะนัดกับนักวิจัยอื่นๆ ว่าจะเปิดเผยวันที่ 9 มกราคมก็ตาม

Tory Kulick จาก Linode ระบุว่าการเปิดเผยเช่นนี้ทำให้เปิดปัญหาตามมาทันที แต่แม้กูเกิลจะเปิดเผยช่องโหว่ตามกำหนดเดิมก็ไม่ช่วยอะไรนัก เพราะผู้ให้บริการคลาวด์ต้องการเวลาแก้ไขปัญหาล่วงหน้า

ถึงตอนนี้ผู้ให้บริการคลาวด์ระดับรองก็เคว้งคว้างโดยถ้วนหน้า Linode, Packet, DigitalOcean, OVH, Scaleway, Vultr, หรือ Online.net ล้วนไม่ได้รับการติดต่อจากกูเกิลหรืออินเทลล่วงหน้า และต้องเริ่มเตรียมแพตช์เร่งด่วนทันที

OVH และ Online.net เริ่มสร้างทีมใหม่ใน Slack เพื่อประสานงานกันว่าจะแก้ไขปัญหาอย่างไร เพราะทั้งสองบริษัทมาจากฝรั่งเศสและแชร์ข้อมูลกันอยู่เรื่อยๆ อยู่แล้ว หลังจากนั้น Edouard Bonlieu รองประธาน Scaleway ก็เข้ามาร่วม และชวน Smith จาก Packet มาคุยกันใน Slack ถึงตอนนี้ Slack ก็กลายเป็นสมาคมคลาวด์ tier-2 เพราะ Smith ชวน Ben Uretsky ซีอีโอ DigitalOcean เข้ามาร่วมห้องแชต พร้อมกับตัวแทนจาก Linode, Vultr และบริษัทอื่นๆ รวมถึง Netflix ลูกค้ารายใหญ่ของ AWS ที่ไม่รู้เรื่องช่องโหว่นี้เช่นกัน รวมมีผู้ให้บริการ 25 ราย (มีคนของ AWS ในห้องแชตด้วย)

ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา [ทำงานมาแล้ว 7 วัน](https://twitter.com/scaleway/status/951068075545083904)และ "ยังมีชีวิตอยู่"

ปัญหาที่ผู้ให้บริการคลาวด์รายเล็กต้องเจอมีหลากหลาย เช่น บางรายใช้ซีพียูรุ่นที่อินเทลยังไม่ได้ออก microcode อัพเดตให้, บางรายอัพเดตแล้วมีปัญหา ห้องแชต Slack กลายเป็นที่รายงานปัญหาจากลูกค้าของแต่ละราย และรายงานทดสอบผลกระทบต่อประสิทธิภาพ

Kulick จาก Linode หวังว่าบทเรียนจาก Meltdown/Spectre จะทำให้มีช่องทางสื่อสารที่ดีกว่านี้ เช่นผ่าน Linux Foundation ที่ผู้ให้บริการคลาวด์ทุกรายเป็นสมาชิกอยู่แล้ว

Theo de Raadt ผู้ดูแลโครงการ OpenBSD ระบุว่าการรายงานครั้งนี้ทั้งอินเทลและกูเกิลทำได้ "แย่เป็นอย่างยิ่ง" และการเปิดเผยข้อมูลให้กับผู้ให้บริการ tier-1 โดยไม่ให้โอกาสรายอื่นๆ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ แต่เป็นการเลือกปฎิบัติ

ที่มา - ArsTechnica, iTWire

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

zyzzyva Thu, 18/01/2018 - 03:25

ไม่น่าจะใช่เรื่องของการกีดกันทางธุรกิจ ที่ไม่เปิดเผยให้ tier-2 เพราะวงในคุยกันอย่างลับๆว่ามีแฮกเกอร์ด้านมืดใน tier-2 เยอะเกินไป ผลเสียอาจมากกว่าผลดีรึเปล่า อันนี้ผมมโนเอาล้วนๆนะ

ash_to_ash Thu, 18/01/2018 - 07:58

อันนี้ผมเห็นต่างนะเพราะ
ในการเปิดเผยพวกนี้เน้นอยู่แล้วให้เปิดเผยเพื่อให้
เป็นการบีบให้บริษัทเร่งแก้ปัญหาไม่งั้นม่ีความเสียหายขึ้นมาต้องรับผิดชอบเอง

ส่วนตัว

พออ่านปุ๊ปน้ำตาปริ่มเลย

" ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่" "

นึกถึงสภาพตัวเองก่อนสิ้นปีที่ผ่านมาแบบเดียวกันเดะๆ
ขอเป็นกำลังใจให้นะครับ

Noblesse Thu, 18/01/2018 - 22:58

เรื่อง hacker ด้านมืดนี่จิบๆ เลยครับ เด็กๆ ด้วยซ้ำ ในเมื่อ tier-1 มันมีนักลงทุนรายใหญ่ๆ อยู่แล้ว คนในเสื้อสูทที่รู้ข่าวก่อนเหมือนมีไพ่ในมือแล้ว รู้เลยใครกระทบบ้าง เทรดหุ้นรอเลย มีเพื่อนสนิทหรือไปนั่งกินดินเนอร์หรือมีการเจรจาเป็นการส่วนตัวก็หาเรื่องคุยเกี่ยวกับผลประโยชน์ของเหตุการในอนาคตได้สบายๆ แฮคกงแฮคเกอร์นี่จิบๆ ไปเลย

ข่าว GCP แก้ไปได้หลายเดือนโดยไม่มีผลกระทบต่อประสิทธิภาพ นักลงทุนเห็นจะคิดยังไง แล้วพวก tier-2 ที่ไม่รู้แพทไม่ทัน ทำแบบนี้ยิ่งส่งผลดีต่อ hacker และแน่นอนต่อนักลงทุน tier-1

คนในเสื้อสูทน่ากลัวกว่าเยอะ

Hadakung Thu, 18/01/2018 - 06:58

ต้องถึงเวลาต้องตั้งสมาคมผู้ประกอบการ cloud แล้วหาแนวทางช่วยกันแล้วแหละ อย่างถ้าเปิดเผยให้ tier2 ไม่ได้แต่ควรทำคู่มือแนวทางเพื่อเตรียมช่วยเขาแพตช์ แล้วช่วยๆกันเหน่อยอย่าทิ้งกันแบบนี้อีก

specimen Thu, 18/01/2018 - 09:25

จะฟ้องกูเกิ้ลด้วยข้อหาอะไรครับ
ไปเจอความผิดพลาดที่ตัวเองไม่ได้ก่อแล้วไม่ได้ป่าวประกาศให้รู้กันทั้งโลกเหรอครับ

whitebigbird Thu, 18/01/2018 - 14:41

ทำไมต้องแสดงความเห็นแบบมองคู่กรณีเป็นแค่ไอ้งั่งคนนึงด้วยครับ

กรณีนี้ tier-1  ได้รับแจ้งปัญหาก่อนครับ ในขณะที่ tier-2 ต้องต่อจิ๊กซอว์จากข้อความจาก mailing list กันเอง ทำให้ธุรกิจได้รับผลกระทบจากการเลือกปฏิบัติของโครงการนี้ครับ

specimen Thu, 18/01/2018 - 16:56

แล้วถ้ามีบริษัทไหนซักเจ้าที่ไม่อยู่ในกลุ่มนี้ ออกมาโวยวายว่าเค้าได้รับความเสียหาย คุณจะบอกว่ากูเกิลเลือกปฏิบัติไม๊ครับ ไม่ว่าคุณจะแจ้งมากแค่ไหน ถ้าเป็นวงจำกัด มันย่อมจะมีคนไม่รู้

มันยังมีคนอื่นอีกเยอะ ที่ได้รับผลกระทบ ไม่ใช่แค่คนที่คุณยกตัวอย่าง เราจะทราบได้ไงบ้าง ว่าใครในโลก ได้รับความเดือดร้อน การที่คุณไม่เห็น ไม่ได้ยินข่าว ไม่ได้หมายความว่าไม่มี

มันเป็นหน้าที่ของกูเกิลที่ต้องแจ้งทุกคนพร้อมกันไม๊ครับ

ผมว่าคุณรู้ครับ ว่าทำไมเค้าต้องแจ้งเป็นวงจำกัด เพื่อป้องกันปัญหาอะไร ผมว่าคุณก็ทราบ เพราะดูการตอบกระทู้ดูมีความรู้มากกว่าผมครับ แต่ทำไม คุณดูเหมือนจงใจจะมองข้ามจุดนั้น

อีกอย่าง คุณมองว่าคนที่แสดงความเห็นต่างจากคุณเป็นคู่กรณีเหรอครับ ผมไม่นะ คนเราเห็นต่างได้ ถ้าไม่อยากให้คนอื่นเห็นต่าง เราต้องไม่แสดงความเห็นในที่สาธารณะครับ เพราะเราไม่สามารถบังคับ หรือคาดหวังได้ว่าทุกคนจะคิดเหมือนเราครับ

ถ้ามีการแสดงความเห็นใดทำให้ไม่ถูกใจหรือขุ่นเคือง ผมขอโทษละกันครับ

whitebigbird Thu, 18/01/2018 - 19:28

การแสดงความเห็น ทำไมต้องแซะแกมแดกดันด้วยล่ะครับ ผมก็ว่าไปตามข่าว แต่คุณกลับตอบเม้นผมด้วยวิธีการแซะแกมแดกดัน เหมือนโจมตีที่บุคคลมากกว่า

ในกรณีนี้ โดยรวมแล้วกูเกิลเค้ามี SOP (Standard operating procedure) จะแจ้งใคร อะไร อย่างไร เค้ามีเป็นลำดับขั้นตอนชัดเจน

แต่การที่กูเกิลเลือกแจ้ง tier-1 ก่อน แล้วมันมี side effect ตามมาคือคนเริ่มแสดงความเห็นกันใน mailing list จนคนที่ไม่ได้รับแจ้งเริ่มสงสัย จนต้องหาความจริงเอง

ถ้ามันเป็นไปตามลำดับการทำงานปกติ กูเกิลจะแจ้งออกมาเป็นสาธารณะมากกว่าที่จะแจ้งไปที่กลุ่มในวงจำกัดไงครับ

แบบนี้ผมถึงบอกว่าเลือกปฏิบัติ ส่วนคนที่ไม่ได้ aware ใดๆ เลยแล้วได้รับผลกระทบ คือ ไม่ได้ตามอ่านข่าว ไม่ได้รับจดหมายจากโครงการ Project Zero พูดง่ายๆ ว่าไม่สนใจใดๆ เลย แล้วกูเกิลจะไปเกี่ยวได้อย่างไรล่ะครับ

มันต่างกับผู้ให้บริการที่เค้าติดตามข่าวความปลอดภัยเป็นปกติ แต่ถูกเลือกปฏิบัติ รู้ข่าวจากการปะติดปะต่อแล้วต้องกระเสือกกระสนหาวิธีแก้เองตั้งเยอะนะครับ

osmiumwo1f Thu, 18/01/2018 - 20:32

ผมคิดว่าความรุนแรงชองช่องโหว่มันสูงมากๆ Google เลยเลือกปฏิบัติ เพราะ ณ ตอนนั้นยิ่งมีคนรู้เยอะยิ่งอันตราย Google ก็เลยเลือกที่จะบอกแค่ในกลุ่ม tier-1 ซึ่งสังเกตุว่าแทบทุกคนในกลุ่มนี้สามารถออกแพตช์เพื่อปิดช่องโหว่ได้ ส่วน tier-2 นั้นเป็นกลุ่มที่ไม่สามารถออกแพตช์เองได้ ทำได้แค่ติดตั้งแพตช์ครับ
ปล#1. จริงๆ ผมว่าถ้า AMD ไม่หลุดเรื่องนี้ออกมาก่อน คิดว่าทุกคนที่ไม่ใช่ tier-1 จะรู้เรื่องนี้พร้อมกัน ณ วันที่ 9/1/2018 ครับ
ปล#2. มาคิดดีๆ ถ้า Google รอให้ tier-1 พร้อมออกแพตช์ แล้วแจ้งให้ tier-2 ทดสอบแพตช์ซักพักก่อนประกาศให้ทุกคนรู้ก็น่าจะลดปัญหานี้ไปได้ครับ

whitebigbird Thu, 18/01/2018 - 20:59

ผมนึกว่ากลุ่ม tier-1 จะใช้แพตช์ที่ based on แพตช์จากอินเทลซะอีกครับ

ผมยังสงสัยครับ ถ้าถึงขั้นออกแพตช์เองได้ทำไมต้องบอก่อน ผมเดาๆ เอาว่าเพราะพวก tier-1 กระทบคนมากแบบนี้เหรอครับ

คือผมนึกไม่ออกเลยว่าทำไมถึงไม่แจ้งพร้อมๆ กันเหมือนกรณีร้ายแรงอื่นๆ

ผมอยากรู้เหตุผลเบื้องหลังอ่ะครับ พอจะทราบมั้ยครับ ผมตามหาอ่านมาก็ยังมีแต่เชิงวิเคราะห์อ่ะครับ

foizy Thu, 18/01/2018 - 21:53

ผมว่ามันอันตรายมากเลยนะ ในแง่ของการกั๊ก tier

แม้ google จะเก่งแค่ไหน (หรืออินเทลและเอเอ็มดีจะเก่งแค่ไหน)
มันก็คือการรวมคนเก่งไว้ด้วยกัน

และคนที่เก่งมากๆระดับนึงที่ไม่ได้อยากเป็นลูกน้อง นั่นล่ะที่ไปทำ tier-2 แล้วสำเร็จ

จะกลายเป็นว่าในเมื่อ tier-1 ก็ไม่ได้ co-operate (หรือออกจะเป็นคู่แข่งด้วยซ้ำ) ก็สู้เก็บ vulnerability ไว้เงียบๆเอง เพื่อประโยชน์ในการอื่นอาจจะดีกว่า ... หรือเก็บไว้คุยกันเองแบบเงียบๆไปใน tier-2 ลงมาอาจจะดีกว่า

ผมว่าวงการแก้แพทช์มันเป็นงานระดับโลก และเรื่องบางเรื่อง ไม่เปิดเผยไม่ได้แปลว่าไม่มีคนรู้ + ไม่ได้แปลว่าไม่มีคนกำลังทำ หรือกำลังใช้ประโยชน์อยู่

การมองว่า เพราะเรารู้แล้วคนอื่นยังไม่รู้ (เลยกั๊กไว้ก่อน) แทนที่จะรีบปล่อย รีบวิเคราะห์หาทางแก้ กลายเป็นยิ่งช้าต่อระบบโดยภาพรวมเข้าไปอีก ยิ่งแบบ meltdown/spectre นี่คืออยู่กันมาแทบจะเรียกว่าเป็นวันแรกด้วย .. นอกจากโมเดลกั๊กก็ไม่รุ้เหมือนกันว่าจะเรียกว่าอะไร

waroonh Thu, 18/01/2018 - 17:37

โถ ... ทำยังกะบอกก่อนนาน ๆ หรือ รู้แล้ว ลง patch เมื่อสามเดือนที่แล้ว Server มันจะไม่มีปัญหา ?

เรามาลองดูหนังม้วนเก่า ที่ผมเอามาเล่าใหม่กัน

บ้านเมืองอยู่ในสภาพ IBM ยุครุ่งเรือง สมัยเก่าที่ program เปลี่ยน sub version ข้างหลังแล้ว มันไม่ compatible กัน
เช่น DB2 บาง sub version เปลี่ยน between logic จาก < เป็น <=
แล้วเขียนบอกไว้บรรทัดนึงในเอกสารที่เป็นกระดาษ หนาประมาณสมุดโทรศัพท์
ส่งงานไป ชัวอยู่แล้ว test มาอย่างดี DB version ใหม่กว่า มันต้อง bug น้อยกว่าสิ
ลงตูมไป เจอตี bug กลับมาเป็นล้าน นั่งแก้กันตาหูแหกทั้งวันทั้งคืน
แก้เสร็จรวนด้วย data ที่ผิดไปแล้ว เอาไปคิดเงินผิดด้วย โดนด่ายับ

หรือ จะเอาเคส "ลองของ" ตอนทำ User Accept Test เอา server วางไว้ ทางซ้ายของห้อง
พอ Test ผ่านปิดเครื่อง ยกไปวางไว้ด้านขวา ตรงที่กะว่าจะตั้งเครื่องจริง สตาร์ทเครื่องมา ping ไม่เจอ
หากันอยู่สามชั่วโมงจนท้อ ก็ปิดเครื่อง ยกไปวางไว้ด้านซ้าย เปิดเครื่อง ping เจอ
แต่ทั้งหมดนี้ใช้สาย Lan เส้นเดิม ... ทุกวันนี้ยังไม่รู้เลยว่ามันเกิดอะไรขึ้น ?

ทำงานเยอะ เจอะเยอะความ "ซวย" ไม่เข้าใครออกใคร ทำได้แค่ส่งกำลังใจ 7 วัน นี่แค่เริ่มต้น

mk- Thu, 18/01/2018 - 17:49

เปิดเผยปุ๊บมันก็ต้องทำงานแข่งกับแฮกเกอร์ ต่อให้เปิดข้อมูลให้ทั้ง tier1 tier2 ก็ต้องปั่นกันทั้งคู่ tier1 จะงานช้างกว่าด้วยถ้าเครื่องมีเยอะกว่า