Tags:
Node Thumbnail

ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน

ผู้ให้บริการรายเล็กที่เริ่มรู้ตัวก่อนรายแรก คือ Zachary Smith ซีอีโอ Packet ที่ให้บริการโฮสต์ Kernel.org อยู่ด้วย โดยทีมงาน Packet เห็นแพตช์ของ Tom Lendacky จากเอเอ็มดีที่พูดถึงช่องโหว่ทางเมลลิ่งลิสต์ทำให้รู้สึกว่ามีอะไรแปลกๆ และเริ่มคุยกัน Slack ของบริษัทว่าเกิดอะไรขึ้น

แพตช์ของ Lendacky ทำให้นักข่าวเริ่มปะติดปะต่อได้ว่ากำลังมีแพตช์สำคัญออกมา ทำให้ Project Zero ตัดสินใจเปิดเผยรายละเอียดทั้งหมดทันที ตั้งแต่วันที่ 3 มกราคม แม้จะนัดกับนักวิจัยอื่นๆ ว่าจะเปิดเผยวันที่ 9 มกราคมก็ตาม

Tory Kulick จาก Linode ระบุว่าการเปิดเผยเช่นนี้ทำให้เปิดปัญหาตามมาทันที แต่แม้กูเกิลจะเปิดเผยช่องโหว่ตามกำหนดเดิมก็ไม่ช่วยอะไรนัก เพราะผู้ให้บริการคลาวด์ต้องการเวลาแก้ไขปัญหาล่วงหน้า

ถึงตอนนี้ผู้ให้บริการคลาวด์ระดับรองก็เคว้งคว้างโดยถ้วนหน้า Linode, Packet, DigitalOcean, OVH, Scaleway, Vultr, หรือ Online.net ล้วนไม่ได้รับการติดต่อจากกูเกิลหรืออินเทลล่วงหน้า และต้องเริ่มเตรียมแพตช์เร่งด่วนทันที

OVH และ Online.net เริ่มสร้างทีมใหม่ใน Slack เพื่อประสานงานกันว่าจะแก้ไขปัญหาอย่างไร เพราะทั้งสองบริษัทมาจากฝรั่งเศสและแชร์ข้อมูลกันอยู่เรื่อยๆ อยู่แล้ว หลังจากนั้น Edouard Bonlieu รองประธาน Scaleway ก็เข้ามาร่วม และชวน Smith จาก Packet มาคุยกันใน Slack ถึงตอนนี้ Slack ก็กลายเป็นสมาคมคลาวด์ tier-2 เพราะ Smith ชวน Ben Uretsky ซีอีโอ DigitalOcean เข้ามาร่วมห้องแชต พร้อมกับตัวแทนจาก Linode, Vultr และบริษัทอื่นๆ รวมถึง Netflix ลูกค้ารายใหญ่ของ AWS ที่ไม่รู้เรื่องช่องโหว่นี้เช่นกัน รวมมีผู้ให้บริการ 25 ราย (มีคนของ AWS ในห้องแชตด้วย)

No Description

ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่"

ปัญหาที่ผู้ให้บริการคลาวด์รายเล็กต้องเจอมีหลากหลาย เช่น บางรายใช้ซีพียูรุ่นที่อินเทลยังไม่ได้ออก microcode อัพเดตให้, บางรายอัพเดตแล้วมีปัญหา ห้องแชต Slack กลายเป็นที่รายงานปัญหาจากลูกค้าของแต่ละราย และรายงานทดสอบผลกระทบต่อประสิทธิภาพ

Kulick จาก Linode หวังว่าบทเรียนจาก Meltdown/Spectre จะทำให้มีช่องทางสื่อสารที่ดีกว่านี้ เช่นผ่าน Linux Foundation ที่ผู้ให้บริการคลาวด์ทุกรายเป็นสมาชิกอยู่แล้ว

Theo de Raadt ผู้ดูแลโครงการ OpenBSD ระบุว่าการรายงานครั้งนี้ทั้งอินเทลและกูเกิลทำได้ "แย่เป็นอย่างยิ่ง" และการเปิดเผยข้อมูลให้กับผู้ให้บริการ tier-1 โดยไม่ให้โอกาสรายอื่นๆ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ แต่เป็นการเลือกปฎิบัติ

ที่มา - ArsTechnica, iTWire

Get latest news from Blognone

Comments

By: zyzzyva
Blackberry
on 18 January 2018 - 03:25 #1029058

ไม่น่าจะใช่เรื่องของการกีดกันทางธุรกิจ ที่ไม่เปิดเผยให้ tier-2 เพราะวงในคุยกันอย่างลับๆว่ามีแฮกเกอร์ด้านมืดใน tier-2 เยอะเกินไป ผลเสียอาจมากกว่าผลดีรึเปล่า อันนี้ผมมโนเอาล้วนๆนะ

By: ash_to_ash
AndroidWindows
on 18 January 2018 - 07:58 #1029066 Reply to:1029058

อันนี้ผมเห็นต่างนะเพราะ
ในการเปิดเผยพวกนี้เน้นอยู่แล้วให้เปิดเผยเพื่อให้
เป็นการบีบให้บริษัทเร่งแก้ปัญหาไม่งั้นม่ีความเสียหายขึ้นมาต้องรับผิดชอบเอง

ส่วนตัว

พออ่านปุ๊ปน้ำตาปริ่มเลย

" ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่" "

นึกถึงสภาพตัวเองก่อนสิ้นปีที่ผ่านมาแบบเดียวกันเดะๆ
ขอเป็นกำลังใจให้นะครับ

By: Noblesse
AndroidRed HatUbuntuWindows
on 18 January 2018 - 22:58 #1029227 Reply to:1029058

เรื่อง hacker ด้านมืดนี่จิบๆ เลยครับ เด็กๆ ด้วยซ้ำ ในเมื่อ tier-1 มันมีนักลงทุนรายใหญ่ๆ อยู่แล้ว คนในเสื้อสูทที่รู้ข่าวก่อนเหมือนมีไพ่ในมือแล้ว รู้เลยใครกระทบบ้าง เทรดหุ้นรอเลย มีเพื่อนสนิทหรือไปนั่งกินดินเนอร์หรือมีการเจรจาเป็นการส่วนตัวก็หาเรื่องคุยเกี่ยวกับผลประโยชน์ของเหตุการในอนาคตได้สบายๆ แฮคกงแฮคเกอร์นี่จิบๆ ไปเลย

ข่าว GCP แก้ไปได้หลายเดือนโดยไม่มีผลกระทบต่อประสิทธิภาพ นักลงทุนเห็นจะคิดยังไง แล้วพวก tier-2 ที่ไม่รู้แพทไม่ทัน ทำแบบนี้ยิ่งส่งผลดีต่อ hacker และแน่นอนต่อนักลงทุน tier-1

คนในเสื้อสูทน่ากลัวกว่าเยอะ

By: tontpong
Contributor
on 19 January 2018 - 08:58 #1029259 Reply to:1029227

ถ้าจิง, ก้อจะโดนฟ้องเคส insider แบบที่ ceo ของ Intel กำลังโดนอยู่รึป่าว?

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 18 January 2018 - 06:58 #1029062

ต้องถึงเวลาต้องตั้งสมาคมผู้ประกอบการ cloud แล้วหาแนวทางช่วยกันแล้วแหละ อย่างถ้าเปิดเผยให้ tier2 ไม่ได้แต่ควรทำคู่มือแนวทางเพื่อเตรียมช่วยเขาแพตช์ แล้วช่วยๆกันเหน่อยอย่าทิ้งกันแบบนี้อีก

By: whitebigbird
Contributor
on 18 January 2018 - 08:55 #1029071
whitebigbird's picture

ปัญหาทำให้เรามารวมตัวกัน คุยกัน สร้างพลังแห่งมิตรภาพ

นี่ถ้าผนึกกำลังกันฟ้อง ทั้งอินเทลและกูเกิลคงมีขี้แตก

By: specimen
Windows PhoneAndroid
on 18 January 2018 - 09:25 #1029084 Reply to:1029071
specimen's picture

จะฟ้องกูเกิ้ลด้วยข้อหาอะไรครับ
ไปเจอความผิดพลาดที่ตัวเองไม่ได้ก่อแล้วไม่ได้ป่าวประกาศให้รู้กันทั้งโลกเหรอครับ

By: whitebigbird
Contributor
on 18 January 2018 - 14:41 #1029158 Reply to:1029084
whitebigbird's picture

ทำไมต้องแสดงความเห็นแบบมองคู่กรณีเป็นแค่ไอ้งั่งคนนึงด้วยครับ

กรณีนี้ tier-1  ได้รับแจ้งปัญหาก่อนครับ ในขณะที่ tier-2 ต้องต่อจิ๊กซอว์จากข้อความจาก mailing list กันเอง ทำให้ธุรกิจได้รับผลกระทบจากการเลือกปฏิบัติของโครงการนี้ครับ

By: specimen
Windows PhoneAndroid
on 18 January 2018 - 16:56 #1029183 Reply to:1029158
specimen's picture

แล้วถ้ามีบริษัทไหนซักเจ้าที่ไม่อยู่ในกลุ่มนี้ ออกมาโวยวายว่าเค้าได้รับความเสียหาย คุณจะบอกว่ากูเกิลเลือกปฏิบัติไม๊ครับ ไม่ว่าคุณจะแจ้งมากแค่ไหน ถ้าเป็นวงจำกัด มันย่อมจะมีคนไม่รู้

มันยังมีคนอื่นอีกเยอะ ที่ได้รับผลกระทบ ไม่ใช่แค่คนที่คุณยกตัวอย่าง เราจะทราบได้ไงบ้าง ว่าใครในโลก ได้รับความเดือดร้อน การที่คุณไม่เห็น ไม่ได้ยินข่าว ไม่ได้หมายความว่าไม่มี

มันเป็นหน้าที่ของกูเกิลที่ต้องแจ้งทุกคนพร้อมกันไม๊ครับ

ผมว่าคุณรู้ครับ ว่าทำไมเค้าต้องแจ้งเป็นวงจำกัด เพื่อป้องกันปัญหาอะไร ผมว่าคุณก็ทราบ เพราะดูการตอบกระทู้ดูมีความรู้มากกว่าผมครับ แต่ทำไม คุณดูเหมือนจงใจจะมองข้ามจุดนั้น

อีกอย่าง คุณมองว่าคนที่แสดงความเห็นต่างจากคุณเป็นคู่กรณีเหรอครับ ผมไม่นะ คนเราเห็นต่างได้ ถ้าไม่อยากให้คนอื่นเห็นต่าง เราต้องไม่แสดงความเห็นในที่สาธารณะครับ เพราะเราไม่สามารถบังคับ หรือคาดหวังได้ว่าทุกคนจะคิดเหมือนเราครับ

ถ้ามีการแสดงความเห็นใดทำให้ไม่ถูกใจหรือขุ่นเคือง ผมขอโทษละกันครับ

By: whitebigbird
Contributor
on 18 January 2018 - 19:28 #1029202 Reply to:1029183
whitebigbird's picture

การแสดงความเห็น ทำไมต้องแซะแกมแดกดันด้วยล่ะครับ ผมก็ว่าไปตามข่าว แต่คุณกลับตอบเม้นผมด้วยวิธีการแซะแกมแดกดัน เหมือนโจมตีที่บุคคลมากกว่า

ในกรณีนี้ โดยรวมแล้วกูเกิลเค้ามี SOP (Standard operating procedure) จะแจ้งใคร อะไร อย่างไร เค้ามีเป็นลำดับขั้นตอนชัดเจน

แต่การที่กูเกิลเลือกแจ้ง tier-1 ก่อน แล้วมันมี side effect ตามมาคือคนเริ่มแสดงความเห็นกันใน mailing list จนคนที่ไม่ได้รับแจ้งเริ่มสงสัย จนต้องหาความจริงเอง

ถ้ามันเป็นไปตามลำดับการทำงานปกติ กูเกิลจะแจ้งออกมาเป็นสาธารณะมากกว่าที่จะแจ้งไปที่กลุ่มในวงจำกัดไงครับ

แบบนี้ผมถึงบอกว่าเลือกปฏิบัติ ส่วนคนที่ไม่ได้ aware ใดๆ เลยแล้วได้รับผลกระทบ คือ ไม่ได้ตามอ่านข่าว ไม่ได้รับจดหมายจากโครงการ Project Zero พูดง่ายๆ ว่าไม่สนใจใดๆ เลย แล้วกูเกิลจะไปเกี่ยวได้อย่างไรล่ะครับ

มันต่างกับผู้ให้บริการที่เค้าติดตามข่าวความปลอดภัยเป็นปกติ แต่ถูกเลือกปฏิบัติ รู้ข่าวจากการปะติดปะต่อแล้วต้องกระเสือกกระสนหาวิธีแก้เองตั้งเยอะนะครับ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 18 January 2018 - 20:32 #1029210 Reply to:1029158
osmiumwo1f's picture

ผมคิดว่าความรุนแรงชองช่องโหว่มันสูงมากๆ Google เลยเลือกปฏิบัติ เพราะ ณ ตอนนั้นยิ่งมีคนรู้เยอะยิ่งอันตราย Google ก็เลยเลือกที่จะบอกแค่ในกลุ่ม tier-1 ซึ่งสังเกตุว่าแทบทุกคนในกลุ่มนี้สามารถออกแพตช์เพื่อปิดช่องโหว่ได้ ส่วน tier-2 นั้นเป็นกลุ่มที่ไม่สามารถออกแพตช์เองได้ ทำได้แค่ติดตั้งแพตช์ครับ
ปล#1. จริงๆ ผมว่าถ้า AMD ไม่หลุดเรื่องนี้ออกมาก่อน คิดว่าทุกคนที่ไม่ใช่ tier-1 จะรู้เรื่องนี้พร้อมกัน ณ วันที่ 9/1/2018 ครับ
ปล#2. มาคิดดีๆ ถ้า Google รอให้ tier-1 พร้อมออกแพตช์ แล้วแจ้งให้ tier-2 ทดสอบแพตช์ซักพักก่อนประกาศให้ทุกคนรู้ก็น่าจะลดปัญหานี้ไปได้ครับ

By: whitebigbird
Contributor
on 18 January 2018 - 20:59 #1029212 Reply to:1029210
whitebigbird's picture

ผมนึกว่ากลุ่ม tier-1 จะใช้แพตช์ที่ based on แพตช์จากอินเทลซะอีกครับ

ผมยังสงสัยครับ ถ้าถึงขั้นออกแพตช์เองได้ทำไมต้องบอก่อน ผมเดาๆ เอาว่าเพราะพวก tier-1 กระทบคนมากแบบนี้เหรอครับ

คือผมนึกไม่ออกเลยว่าทำไมถึงไม่แจ้งพร้อมๆ กันเหมือนกรณีร้ายแรงอื่นๆ

ผมอยากรู้เหตุผลเบื้องหลังอ่ะครับ พอจะทราบมั้ยครับ ผมตามหาอ่านมาก็ยังมีแต่เชิงวิเคราะห์อ่ะครับ

By: foizy
AndroidUbuntuWindows
on 18 January 2018 - 21:53 #1029218 Reply to:1029210

ผมว่ามันอันตรายมากเลยนะ ในแง่ของการกั๊ก tier

แม้ google จะเก่งแค่ไหน (หรืออินเทลและเอเอ็มดีจะเก่งแค่ไหน)
มันก็คือการรวมคนเก่งไว้ด้วยกัน

และคนที่เก่งมากๆระดับนึงที่ไม่ได้อยากเป็นลูกน้อง นั่นล่ะที่ไปทำ tier-2 แล้วสำเร็จ

จะกลายเป็นว่าในเมื่อ tier-1 ก็ไม่ได้ co-operate (หรือออกจะเป็นคู่แข่งด้วยซ้ำ) ก็สู้เก็บ vulnerability ไว้เงียบๆเอง เพื่อประโยชน์ในการอื่นอาจจะดีกว่า ... หรือเก็บไว้คุยกันเองแบบเงียบๆไปใน tier-2 ลงมาอาจจะดีกว่า

ผมว่าวงการแก้แพทช์มันเป็นงานระดับโลก และเรื่องบางเรื่อง ไม่เปิดเผยไม่ได้แปลว่าไม่มีคนรู้ + ไม่ได้แปลว่าไม่มีคนกำลังทำ หรือกำลังใช้ประโยชน์อยู่

การมองว่า เพราะเรารู้แล้วคนอื่นยังไม่รู้ (เลยกั๊กไว้ก่อน) แทนที่จะรีบปล่อย รีบวิเคราะห์หาทางแก้ กลายเป็นยิ่งช้าต่อระบบโดยภาพรวมเข้าไปอีก ยิ่งแบบ meltdown/spectre นี่คืออยู่กันมาแทบจะเรียกว่าเป็นวันแรกด้วย .. นอกจากโมเดลกั๊กก็ไม่รุ้เหมือนกันว่าจะเรียกว่าอะไร

By: whitebigbird
Contributor
on 19 January 2018 - 09:09 #1029262 Reply to:1029218
whitebigbird's picture

ขอบคุณครับ ผมก็คิดแบบคุณนี่แหละ ผมถึงมึนๆ

By: 7elven
ContributoriPhoneWindows PhoneAndroid
on 18 January 2018 - 08:57 #1029072

ทำไมอ่านข่าวนี้แล้วผมเศร้ายังไงไม่รู้ สงสารคนทำงานมาก

By: illuminator
ContributorAndroidUbuntuWindows
on 18 January 2018 - 10:07 #1029097
illuminator's picture

สงสารเลย 😢


The softest water wears down the hardest rock.

By: btoy
ContributorAndroidWindows
on 18 January 2018 - 11:00 #1029106
btoy's picture

รู้สึกเหนื่อยแทนเลย หวังว่าอนาคตน่าจะมีแนวทางสื่อสารที่ดีกว่านี้เนอะ


..: เรื่อยไป

By: waroonh
Windows
on 18 January 2018 - 17:37 #1029192

โถ ... ทำยังกะบอกก่อนนาน ๆ หรือ รู้แล้ว ลง patch เมื่อสามเดือนที่แล้ว Server มันจะไม่มีปัญหา ?

เรามาลองดูหนังม้วนเก่า ที่ผมเอามาเล่าใหม่กัน

บ้านเมืองอยู่ในสภาพ IBM ยุครุ่งเรือง สมัยเก่าที่ program เปลี่ยน sub version ข้างหลังแล้ว มันไม่ compatible กัน
เช่น DB2 บาง sub version เปลี่ยน between logic จาก < เป็น <=
แล้วเขียนบอกไว้บรรทัดนึงในเอกสารที่เป็นกระดาษ หนาประมาณสมุดโทรศัพท์
ส่งงานไป ชัวอยู่แล้ว test มาอย่างดี DB version ใหม่กว่า มันต้อง bug น้อยกว่าสิ
ลงตูมไป เจอตี bug กลับมาเป็นล้าน นั่งแก้กันตาหูแหกทั้งวันทั้งคืน
แก้เสร็จรวนด้วย data ที่ผิดไปแล้ว เอาไปคิดเงินผิดด้วย โดนด่ายับ

หรือ จะเอาเคส "ลองของ" ตอนทำ User Accept Test เอา server วางไว้ ทางซ้ายของห้อง
พอ Test ผ่านปิดเครื่อง ยกไปวางไว้ด้านขวา ตรงที่กะว่าจะตั้งเครื่องจริง สตาร์ทเครื่องมา ping ไม่เจอ
หากันอยู่สามชั่วโมงจนท้อ ก็ปิดเครื่อง ยกไปวางไว้ด้านซ้าย เปิดเครื่อง ping เจอ
แต่ทั้งหมดนี้ใช้สาย Lan เส้นเดิม ... ทุกวันนี้ยังไม่รู้เลยว่ามันเกิดอะไรขึ้น ?

ทำงานเยอะ เจอะเยอะความ "ซวย" ไม่เข้าใครออกใคร ทำได้แค่ส่งกำลังใจ 7 วัน นี่แค่เริ่มต้น

By: mk-
Symbian
on 18 January 2018 - 17:49 #1029195
mk-'s picture

เปิดเผยปุ๊บมันก็ต้องทำงานแข่งกับแฮกเกอร์ ต่อให้เปิดข้อมูลให้ทั้ง tier1 tier2 ก็ต้องปั่นกันทั้งคู่ tier1 จะงานช้างกว่าด้วยถ้าเครื่องมีเยอะกว่า

By: tontpong
Contributor
on 18 January 2018 - 22:20 #1029222

สรุปว่า aws รุพร้อม google/microsoft รึป่าว, หรือพึ่งมารุชัวรๆ เอาพร้อมกับ tier-2 ?

By: iamjav
iPhone
on 19 January 2018 - 02:48 #1029243

อ่านแล้วเห็นใจคนทำงานเลย

By: aeksael
ContributoriPhoneWindows PhoneAndroid
on 20 January 2018 - 02:19 #1029391
aeksael's picture

Project zero ทำพิษแล้วน่ะ


The Last Wizard Of Century.