Artık Mavi Cumalar Yok

 (brendangregg.com)
1 puan yazan GN⁺ 2024-07-23 | 1 yorum | WhatsApp'ta paylaş

  • Gelecekte, çekirdek kodu içeren yazılım güncellemeleri nedeniyle bilgisayarlar çökmeyecek. Bundan sonra bu tür güncellemeler eBPF kodu gönderecek

  • 19 Temmuz 2024'te, bilgi teknolojileri tarihindeki en büyük kesinti yaşandı

    • Dünya genelindeki Windows bilgisayarlar mavi ekran ve önyükleme döngüsüne girdi
    • Hastaneler, havayolları, bankalar, marketler ve medya yayıncılarında kesintiler yaşandı
    • Nedeni, bir güvenlik şirketinin çekirdek sürücüsünü içeren bir güncellemeydi
    • Bu sürücü yanlış belleği okumaya çalışınca çekirdek çöktü

  • Linux sistemleri bu tür çökmeleri önlemek için zaten eBPF'yi benimsiyor

    • eBPF güvenli bir çekirdek çalışma ortamı sağlar
    • eBPF programlarının güvenliği yazılım doğrulayıcısı tarafından denetlenir ve güvenli olmayan kod çalıştırılmaz
    • eBPF yüksek güvenlik ve düşük kaynak kullanımı sunar

  • eBPF tabanlı güvenlik girişimleri ve büyük teknoloji şirketleri de eBPF'yi benimsiyor

    • Cisco, eBPF girişimi Isovalent'i satın aldı ve yeni bir eBPF güvenlik ürünü duyurdu
    • Google ve Meta, kötü amaçlı davranışları tespit edip engellemek için zaten eBPF kullanıyor

  • Bir eBPF programının yapabileceği en kötü şey kaynakları aşırı tüketmektir

    • eBPF sistem çökmelerini önler, ancak verimsiz kod yazılmasını engelleyemez
    • eBPF yönetim kodunda da hatalar olabilir, ancak bu hatalar düzeltildiğinde tüm eBPF tedarikçilerinin güvenliği iyileşir

  • Yazılım dağıtımında riski azaltmanın başka yolları da var

    • Canary testi, kademeli rollout ve dayanıklılık mühendisliği gibi yöntemler bulunuyor
    • eBPF yaklaşımı, Linux ve Windows çekirdeğinde yerleşik olarak kullanılabilen bir yazılım çözümüdür

  • Çekirdek sürücüsü veya modülü içeren ticari yazılım kullanan şirketler eBPF talep edebilir

    • Linux'ta bu zaten mümkün, Windows'ta da yakında mümkün olacak
    • Bazı tedarikçiler zaten eBPF'yi benimsedi; şimdi müşteriler arasında farkındalık artırılmalı

GN⁺ Özeti

  • Bu yazı, çekirdek kodu güncellemelerinin yol açtığı sistem çökmesi sorununu çözmek için eBPF'nin önemini vurguluyor
  • eBPF güvenli bir çekirdek çalışma ortamı sunar ve sistem çökmelerini önleyebilir
  • Büyük teknoloji şirketleri de eBPF'yi benimsiyor; bu yaklaşım güvenlik ve kaynak kullanımı açısından avantaj sağlıyor
  • eBPF sayesinde yazılım dağıtımındaki risk azaltılabilir ve müşteriler arasında farkındalık artırılması gerekir

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-23
Hacker News görüşleri

  • Microsoft’un eBPF desteği Windows’ta üretime hazır hale gelirse, Windows güvenlik yazılımları da eBPF’ye taşınabilir

    • Gerçekçi değil
    • Windows eBPF’deki "hook"lar yalnızca paket filtreleme için kullanılıyor
    • NT çekirdeğine bağlanan diğer sürücülerden farklı olarak eBPF sınırlı
    • eBPF’nin çekirdek alanındaki anti-malware sürücülerinin yerini alması uzun zaman alacaktır

  • eBPF programlarının yapabileceği en kötü şeyin daha fazla CPU döngüsü ve bellek tüketmek olduğu iddiasına karşı çıkılıyor

    • eBPF programları sınırsız derecede zararlı olabilir
    • Koddaki bazı bölümlerin çekirdekten BPF’ye taşınması belirli güvenlik açıklarını hafifletebilir
    • Bu, eBPF programlarının genel olarak güvenli olduğu anlamına gelmez

  • Brendan Gregg ile tartışmak istemem ama satıcıların başarısızlık zincirini tamamen inceleyen kapsamlı bir yaklaşım benimsemesini isterim

    • Belirli hata sınıflarında CPU döngülerinin boşa harcanması tek olumsuz sonuç olabilir
    • Kötü bir kural kümesinin sistemi bozabileceği çeşitli başarısızlık modları vardır
    • eBPF tabanlı güvenlik modülleri birçok satıcı için uygun olabilir, ancak riskleri anlamak önemlidir

  • Kod bozulduğunda sistem çalışmamalı

    • Tıbbi cihazlardaki güvenlik kilidi çalışmıyorsa, tüm sistemin çalışmaması daha iyidir

  • eBPF’nin Windows’ta belirli bir sorunu çözdüğü varsayılırsa, Microsoft geriye dönük uyumluluk sağlamamalı

    • Geriye dönük uyumluluk Windows dünyasında önemli bir konudur
    • Eski NT kodunu ve yaklaşımlarını temizlemek daha faydalı olur

  • eBPF programları yazılım doğrulayıcı tarafından güvenli şekilde kontrol edilip sandbox içinde çalıştırıldığı için tüm sistemi çökertemez

    • Bir işletim sisteminin amaçlarından biri yazılımı denetlemektir
    • Karmaşıklığı azaltmak daha iyidir

  • Yeni teknolojiye gerek yok

    • Temel kalite kontrol yöntemleri kullanılmalı

  • Cuma gününü izin günü yapıp daha fazla insanın düşünmeye zaman bulması sağlanmalı

  • eBPF’de hata varsa Windows çekirdeğinin çökmesine yol açabilir

  • Filtre önyükleme sırasında yüklenip her şeye bağlanırsa sistemi kilitleyebilir

    • Microsoft, kurtarma için gerekli temel öğeleri içeren sabit kodlanmış bir beyaz liste eklerse hata düzeltmek daha kolay olabilir