Акела промахнулся! В смысле, Интел обосрался

[zVlad]

в пике было ~4000 requests/sec со стороны МФ. Requests это одиночные INSERTs, UPDATEs, DELETEs, которые посылал МФ в плане

Пусть один request это 1КБ, т.е. аж 4МБ в пике. Вы серьёзно верите что это нагрузка или троллите?

Я привожу данные такими какие они есть. Я ни разу не интерпретировал этих данных, ни с какой целью. Поймите, мне уже на все наплевать, и на мф и на любые другие железки. Я жду когда я смогу заняться чем нибудь другим чем ходить в офис и сидеть ничего практически не делая. Я пишу сюда чтобы как то развлечься.

[DMAlex]

Читаю-читаю, но не видел упоминаний про смену парадигмы безопасности. Пара данных уязвимостей, из которых Спектре будет с нами еще очень надолго, лет на 10 минимум, просто очевидный пример что ломается все и дальше лучше не будет. Я даже уверен что те же МФ (в которых я ни разу не спец) ломаются при желаии на раз, только желающих мало, ну а с усложнением их архитектуры эти шансы лишь возрастут.

Лучний совет по безопасности (я в этой сфере работаю btw) это «ведите себя так как если вашу систему уже взломали», ну там бекапы, одноразовые VM и так далее.

[mskmel]

Лучний совет по безопасности (я в этой сфере работаю btw) это «ведите себя так как если вашу систему уже взломали», ну там бекапы, одноразовые VM и так далее.

А что с данными делать? Понятно что шифровать всё что можно, но ведь на каком то этапе данные проходят расшифрованные.

[StrangerR]

Читаю-читаю, но не видел упоминаний про смену парадигмы безопасности. Пара данных уязвимостей, из которых Спектре будет с нами еще очень надолго, лет на 10 минимум, просто очевидный пример что ломается все и дальше лучше не будет. Я даже уверен что те же МФ (в которых я ни разу не спец) ломаются при желаии на раз, только желающих мало, ну а с усложнением их архитектуры эти шансы лишь возрастут.

Лучний совет по безопасности (я в этой сфере работаю btw) это «ведите себя так как если вашу систему уже взломали», ну там бекапы, одноразовые VM и так далее.

Так от Спектры хакерам толку почти нуль. А Мелтдаун легко лечится на уровне ОС. И остается всего ничего...

И я у себя веду полиси _любой юзер трактуется как рут_. То есть защита - файреволлы, VM-ки (не пара а реальные). А юзер / юзер только на паре систем и никогда не может быть на ОС разделения кастомер/кастомер.

В этом плане, как оказалось, нам начхать на обе проблемы.

[Dmitry67]

О, безопасники появились)
Не хочу обижать, но большинство действий Ваших коллег - это security theater.

[StrangerR]

О, безопасники появились)
Не хочу обижать, но большинство действий Ваших коллег - это security theater.

Вот если честно, у меня вреда от всех этих _открытий_ больше чем пользы. Вот посмотрел специально, чего так на SSLv3 напали что даже его забили ногами... Абсолютно нереальный сценарий придуман, которым ни один хакер мира еще не воспользовался, но убили целый протокол, а побочный эффект у нас например - кое где пришлось выключить вообще шифрование, потому что железка новое не поддерживает а старое убили на клиентах. И так во всем. От Спектры толку хакерам - нуль на палочке, но паника на весь мир. Мелтдаун - в тепличных условиях что-то можно вытащить, лечится за 10 минут на уровне ОС, тоже шуму на весь мир (но там то хоть какая то польза хакерам есть, хотя бы и в теплице, так что было чего лечить). И так все время.. Причем реальные то утечки идут совсем иначе... Так что да, театр, точнее _цирк уехал клоуны остались_.

[zVlad]

Читаю-читаю, но не видел упоминаний про смену парадигмы безопасности. Пара данных уязвимостей, из которых Спектре будет с нами еще очень надолго, лет на 10 минимум, просто очевидный пример что ломается все и дальше лучше не будет. Я даже уверен что те же МФ (в которых я ни разу не спец) ломаются при желаии на раз, только желающих мало, ну а с усложнением их архитектуры эти шансы лишь возрастут.

Лучний совет по безопасности (я в этой сфере работаю btw) это «ведите себя так как если вашу систему уже взломали», ну там бекапы, одноразовые VM и так далее.

По поводу МФ я, как специалист по МФ, Вам, как специалисту по безопасности, хотел бы предложить подумать вот над чем.
МФ появились на 20 лет раньше компьютеров на база интел процессоров.
Основные принципы работы и архитектура МФ развивалась, а не усложнялась. Развивалась, а не усложнялась архитектура потому что мф с момента его появления в 1964 году в какой нише ИТ позиционировался (централизованная, многопользовательская система для больших информационно-вычислительных работ) в той нише и остается сегодня. Развитие архитектуры МФ происходило во-первых под влиянием изменения требований использования (удаленный доступ к ресурсам, клиент-сервер, и т.п.) во-вторых с развитием микроэлектроники, например, рост размера оперативной памяти (в начале 90х мф имел 9GB реальной памяти), переход в начале 2000х с 32 битовой (мф изначально был 32 битовым), на 64 бит.
Этим мф радикально отличается от пути интел процессора, который действительно усложнялся чтобы отвечать новым требованиям. Причем интел процессор, начав с применения в простейших компьютерах для индивидуального использования и для эмуляции отдельных сервисов крупных, многомашиных структур, начал претендовать на то что бы быть основой универсальных серверов (т.е. пришел в ту нишу где был мф с 1964 года). Чего интел и достиг успешно, но как раз через такое усложнение своей архитектуры что можно не сомневаться в том что и в OS и в собственно архитектуре интел есть еще много дыр, и не исключено что будут появляться новые.
Это скажем так, введение. Теперь о главном что я хотел бы Вам сказать.
Как в эти дни 90% (пусть больше) ит-шников работает с системами на основе интел, так в 70е, 80е, 90е, и добрую половину 00х большая их часть работали на мф. Вы думаете они не любопытствовали защитой мф и возможностью ее преодоления? Еще как любопытствовали и пытались преодолевать, хорошо зная все что можно и нужно было знать. И я тоже по молодости этим занимался причем у нас был уже 70е отличный инструмент для этого - виртуальная машина и средства трассировки. Вот, например, что я сделал когда получил систему защищенную от использования на не предусмотренном для этого процессоре. Я запустил эту систему, а это была как раз система виртуальных машин, на виртуальной машине, включил трассировку с остановом на выполнении команды "запись в память серийного номера CPU", перевел трассировку в пошаговый режим и выяснил место где принимается решение о том "правильный" это процессор или нет и изменил это место так чтобы система работала на любом CPU. Я понимаю что это не про взлом извне, я лишь показать хотел что если поставить задачу взломать мф то преград для этого ни в сложности, ни в знаниях, ни в чем по сравнению с интел не было никогда и нет.
И в тоже время для взломщиков мф до сих пор представляет огромный интерес. И именно для серьезных взломщиков. В самом деле, большенство крупнейший банков (деньги это ж все), правительственных структур в том числе спецслужб, хранят и обрабатывают свои наиболее чувствительные данные на мф. Взламывать персоналки, странички в соцсетях, почтовые сервера демпартии - это вса ребячество, причем большенство реальных взломов то делается не через "слабости" систем, а через тех кто изнутри периметра "помогает взломщикам". Помогает не обязательно тем что создает админ аккаунты для них и передает пароли, а тем что работают на своих, опять же персоналках, не "аккуратно".
А вот тут уже возникает интересный аспект защиты той или иной системы, который влияет на возможности неаккуратной работы вылиться в открытие дверки внутрь периметра. Я имею в виду что теоритически система может быть 100% защищена, но в реальной жизни ее использование в сочетании со всеми человеческими слабостями может привести к открытию дверки доя злоумышленников. Разные системы имеют разный уровень устойчивости к такому развитию событий. Самой надежной и в этом аспекте, как и во многих других, была и остается система защиты в z/OS, т.е. на мэйнфрэйм, IBM mainframe. И к сожалению не потому почему Вы, специалист по защите, думаете. Надо сначала знать, а потом думать.

[zVlad]

... От Спектры толку хакерам - нуль на палочке, но паника на весь мир. Мелтдаун - в тепличных условиях что-то можно вытащить, лечится за 10 минут на уровне ОС, тоже шуму на весь мир (но там то хоть какая то польза хакерам есть, хотя бы и в теплице, так что было чего лечить). И так все время.. Причем реальные то утечки идут совсем иначе... Так что да, театр, точнее _цирк уехал клоуны остались_.

+1. Только что об этом же написал.

С начала этой истории просматриваю все zSystem security alerts (подписан на них в IBM). Самое серьезное опубликовал на странице 7 этой темы. Meltdown - 100% мимо zSystem. Для двух из четырех OS, а также процессоров до z196, Spectre, оба, тоже мимо. В z/VM добавили возможность отключать спекулятивное выполнение, причем на уровне виртуальных машин, оставив по умолчанию все как было.
По z/OS имеются по патчу на z/OSMF, SDSF, DFSMS - конкретные компаненты системы, не ее ядро. Первые две связаны с пользовательским доступом, DFSMS - управление памятью на внешних носителях, storage. DFSMS, кстати не имеет аналогов в других системах, есть имплементации отдельных фрагментов функциональности, а так чтобы в целом нет.
Информации в деталях что как и почему чинится в этих патчах на IBM Security Portal нет. Полагаю что деталей нет потому что это ж секьюрити.
Я полностью согласен с StrangeR что Spectre это чисто теоритические дыры, воспроизводимые только в лабораторных условиях. Есть более реалистичные угрозы безопасности системам от которых эти "сенсации" только отвлекают внимание и средства. Хотя познавательная компонента в этиз упражнениях безусловно есть и это уже хорошо.

[zVlad]

Вот с утра пpислали мне userid с паролем в e-mail и с просьбой разлокировать userid.
Зачем какие-то meltdown или spectre, люди сами открывают двери в свои системы. Конечно с этим userid ничего в системе, кроме как убиться, сделать невозможно, но все таки, так и докатиться можно.

[StrangerR]

Вот и я про то...

[M. Ridcully]

Вот с утра пpислали мне userid с паролем в e-mail и с просьбой разлокировать userid.
Зачем какие-то meltdown или spectre, люди сами открывают двери в свои системы. Конечно с этим userid ничего в системе, кроме как убиться, сделать невозможно, но все таки, так и докатиться можно.

Нафига ремни безопасности, подушки и ABS, если я сам могу свернуть на встречку!
Это ваша логика, да?

[zVlad]

Вот с утра пpислали мне userid с паролем в e-mail и с просьбой разлокировать userid.
Зачем какие-то meltdown или spectre, люди сами открывают двери в свои системы. Конечно с этим userid ничего в системе, кроме как убиться, сделать невозможно, но все таки, так и докатиться можно.

Нафига ремни безопасности, подушки и ABS, если я сам могу свернуть на встречку!
Это ваша логика, да?

Нет это не моя логика. А по существу?

[M. Ridcully]

Нет это не моя логика. А по существу?

Я не понял, к чему вы написали про ошибки пользователей. В контексте этой темы.

[zVlad]

Нет это не моя логика. А по существу?

Я не понял, к чему вы написали про ошибки пользователей. В контексте этой темы.

Во-первых, это не ошибка пользователя, а пробел, дыра в системе компьютерной безопасности, о которой мы тут как раз и говорим, во-вторых, а StrangeR понял.

[zVlad]

Получил с утра security alert (они почти каждый день приходят, но малоинтересны, если вообще). Этот тоже, конечно, вам не интересен, но он по поводу обсуждаемых дырок и показывает как работает IBM с такими вещами на z System:

Security Notice: Vulnerabilities in the IBM WebSphere Application Server and IBM SDK, Java Technology Edition, Version 8 affect IBM Tivoli NetView for z/OS workstation components (CVE-2017-10388, CVE-2017-10356).
Summary
There are vulnerabilities in the IBM embedded WebSphere Application Server that is used by the NetView Web Application workstation component. Also, there are vulnerabilities in IBM SDK, Java Technology Edition, Version 8 that affect the NetView Management Console workstation component.

These vulnerabilities affect only the workstation components of NetView: NetView Web Application (Web App) and NetView Management Console (NMC). No exposures exist in any host NetView for z/OS functions so no fixes are needed for any host module.

Vulnerability Details
CVEID: CVE-2017-10388
DESCRIPTION: An unspecified vulnerability in Oracle Java SE related to the Java SE, Java SE Embedded Libraries component could allow an unauthenticated attacker to take control of the system.
CVSS Base Score: 7.5
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

CVEID: CVE-2017-10356
DESCRIPTION: An unspecified vulnerability in Oracle Java SE related to the Java SE, Java SE Embedded, JRockit Security component could allow an unauthenticated attacker to obtain sensitive information resulting in a high confidentiality impact using unknown attack vectors.
CVSS Base Score: 6.2
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions
These vulnerabilities are known to affect IBM Tivoli Netview for z/OS 6.1, 6.2 & 6.2.1 in certain distributed (workstation) components. There are no exposures to any function in host NetView.

Remediation/Fixes
Product

VRMF

APAR

Remediation/First Fix
IBM Tivoli NetView for z/OS
Web App Component
NMC component

v6.1
v6.2
v6.2.1


Note: For prior unsupported releases of NetView workstation components that might possibly be affected (e.g. releases 1.4, 5.1, 5.2, 5.3, and 5.4), IBM recommends upgrading to the same workstation component in a fixed & supported release of NetView: 6.1, 6.2, or 6.2.1.

Workarounds and Mitigations
None

Change History
22 January 2018: Original version published

Disclaimer
According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

[zVlad]

Статья по теме относительно z System:

https://dancingdinosaur.wordpress.com/2 ... itigation/