【7/12-7/18 腦洞一週商業大事】#腦洞商業時事 #7月⠀
⠀
❶ iPhone 軟體的困境⠀
⠀
▍蘋果為何不修復?⠀
⠀
根據華盛頓郵報 7/19 的報導指出,一直以來主打擁有高度隱私和安全性的 iPhone,甚至連FBI 都拿它沒輒的 iPhone,被國際調查組織發現全球已有 23 台 ...
【7/12-7/18 腦洞一週商業大事】#腦洞商業時事 #7月⠀
⠀
❶ iPhone 軟體的困境⠀
⠀
▍蘋果為何不修復?⠀
⠀
根據華盛頓郵報 7/19 的報導指出,一直以來主打擁有高度隱私和安全性的 iPhone,甚至連FBI 都拿它沒輒的 iPhone,被國際調查組織發現全球已有 23 台 iPhone 被成功駭入。此種駭入方法稱為「zero-click attacks」,是一種遠端的網路攻擊,駭客並不需要接觸到用戶手機,用戶也不用點擊任何惡意網站和應用程式,駭客可以在用戶完全不知情的情況下取走資料。⠀
⠀
軟體的問題來自 iMessage ,用戶從 iMessage 上收到訊息時,iMessage 會馬上進一步⠀
處理訊息,像是讓超連結、圖片或是 GIF 顯示。惡意攻擊軟體會故意創建一個格式錯誤的圖片, 讓 IOS 在解析該圖像時產生錯誤,並利用這個錯誤的漏洞取得存取權限,成功駭入手機。⠀
⠀
解決的方法也很簡單(?)就是修復 bugs(漏洞) !然而根本的問題在於:很少有軟體是完全從頭開始寫出來的。從 iPhone 誕生以來就有這些程式,這些程式是經過好幾十年的累積,才建構成如此強大功能的軟體,也就是說現在程式底層(地基的部分)發現了許多一開始沒有被偵測出來的問題 ,但由於已經有更多複雜的衍生程式接著繼續寫(房子一層一層蓋上去)導致要回去修復,甚至打掉(地基)重來有一定的難度。⠀
⠀
前任頻果工程師也承認,整套系統中存在許多的 bugs ,內部會用不同顏色區分 bugs 的嚴重性,如果軟體受到攻擊,會在相關的程式上標記紅色,是最嚴重的,第二級是橘色,表示 bugs 也滿嚴重,但還沒有被攻擊。而蘋果目前對於這些漏洞給出的回覆也滿有趣的(?)它表示大多數人的資料都沒有重要到會被駭,所以對絕大多數的用戶來說,這些程式運作還是很良好的。⠀
⠀
❷ Clubhouse正式移除邀請制度⠀
⠀
▍你還記得這個app嗎?⠀
⠀
終於!忍了好久好久,政府總算宣布從周二開始就可以正式降為二級警戒啦!雖然嚴格來說條件並不如想像中寬鬆,還是必須遵守各項防疫守則,但經過這麼久的奮鬥後能看到回歸正常生活的一絲曙光,即便必須回公司實體上班也無法澆熄以利編滿滿的正能量。有趣的是,解封這件事可不只在現實世界中發生,連知名社群平台Clubhouse也在上週正式解封囉!⠀
⠀
上週三(21日)曾經紅極一時的社群軟體Clubhouse正式對外宣布,已經取消邀請制的使用規則,未來所有下載應用程式的使用者都能自由加入社群中,不再會出現明明有app卻不得其門而入的窘境了。雖然大部分腦粉應該都知道Clubhouse的功能與特色,不過還是簡單複習一下,這款軟體強調的是即時聊天室的功能,類似廣播電台一般,所有節目與互動都是即時進行,一旦結束便船過水無痕,不會留存任何檔案可以重複聆聽。⠀
⠀
即便強調即時性的功能,當初引爆話題的重點卻是該軟體的使用資格。一開始只屬於iOS系統用戶專屬的Clubhouse,使用者除了要下載app之外,還得收到已經加入朋友的邀請碼才能啟用軟體,這種類似VIP的制度蔚為風潮,還記得當時以利編身旁所有人都在積極地分享或找尋邀請碼(即使真正拿到入場券也不一定會去聽其中的內容就是了)。⠀
⠀
隨著該app開發逐漸成熟,當初為了控管人數避免系統當機所設立的邀請功能也不再被需要,於是大眾很快便將注意力移到其他更新潮更有話題性的產品上頭。但根據外部公司所估計的數據,Clubhouse 6月全球下載數量約780萬次,遠高於前一個月的370萬次,代表需求還是在持續增長。加上最近團隊也開發出除了語音聊天以外的功能「Backchannel」,讓用戶能在上頭以文字進行討論,以利編認為該應用程式後續仍有蠻大的成長空間值得期待。⠀
⠀
❸ 延期東京奧運對日本經濟的影響⠀
⠀
▍緊張刺激體育會背後的經濟壓力⠀
⠀
2020東京奧運在 7/23日正式展開,各項體育競賽也如火如荼地進行著!直到截稿的今日,台灣選手也傳出了不少捷報,讓全台灣人都為之振奮。這延期了一年的奧運最後還是在疫情趨緩的一年後舉辦,然而,在光鮮亮麗競技場的背後,延期一年的奧運會對日本又造成了什麼經濟影響呢?⠀
⠀
截至去年三月,舉辦東京奧運的花費大約已經來到了118億美金(已超出一倍的預算),加上停辦的一年,日本承受了更大的損失。損失包含基礎建設(建築、房地產)、工作人員延期的人工費用、旅遊業、贊助商及轉播等。⠀
⠀
而日本今年也幾乎在最後一刻才確定不開放觀眾入場觀賽,大約30%來自大東京地區以外的民眾也會引起一波旅館退訂潮(預估約有70萬間訂房被取消,帶來4.56億美金的損失)。日本智庫野村總合研究所(NRI)也預估這個不開放觀眾入場的決定,將帶來1,340億日圓的損失。⠀
⠀
本次的延期也是124年現代奧運會後第一次因為「非戰爭因素」而停辦的一屆。今年,日本面臨著到底要不要舉辦,一舉辦怕疫情又再度爆發,停辦又面臨著鉅額的損失(粗估1.8億日圓),可謂是進退維谷的決策過程。⠀
⠀
▶文案 #腦編 #千層編 #以利編 🖋⠀
製圖 #YI編 🎨⠀
使用者沒有存取權限 在 矽谷牛的耕田筆記 Facebook 的最讚貼文
ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
使用者沒有存取權限 在 矽谷牛的耕田筆記 Facebook 的最佳解答
本文延續前篇效能校正的經驗談,上篇文章探討了關於應用程式本身可以最佳化的部分,包含了應用程式以及框架兩個部分。本篇文章將繼續剩下最佳化步驟的探討。
Speculative Execution Mitigations
接下來探討這個最佳化步驟對於效能有顯著的提升,但是本身卻是一個非常具有爭議性的步驟,因為其涉及到整個系統的安全性問題。
如果大家對前幾年非常著名的安全性漏洞 Spectre/Meltdown 還有印象的話,本次這個最佳化要做的就是關閉這類型安全性漏洞的處理方法。
標題的名稱 Speculative Execution Migitations 主要跟這漏洞的執行概念與 Pipeline 有關,有興趣理解這兩種漏洞的可以自行研究。
作者提到,大部分情況下這類型的防護能力都應該打開,不應該關閉。不過作者認為開關與否應該是一個可以討論的空間,特別是如果已經確認某些特別情境下,關閉防護能力帶來的效能如果更好,其實也是一個可以考慮的方向。
舉例來說,假設今天你運行了基於 Linux 使用者權限控管與 namespaces 等機制來建立安全防護的多使用者系統,那這類型的防護能力就不能關閉,必須要打開來防護確保整體的 Security Boundary 是完整的。 但是如果今天透過 AWS EC2 運行一個單純的 API Server,假設整個機器不會運行任何不被信任的程式碼,同時使用 AWS Nitro Enclaves 來保護任何的機密資訊,那這種情況下是否有機會可以關閉這類型的檢查?
作者根據 AWS 對於安全性的一系列說明認為 AWS 本身針對記憶體的部分有很強烈的保護,包含使用者之間沒有辦法存取 Hyperviosr 或是彼此 instance 的 Memory。
總之針對這個議題,有很多的空間去討論是否要關閉,以下就單純針對關閉防護能力帶來的效能提升。
作者總共關閉針對四種攻擊相關的處理能力,分別是
Spectre V1 + SWAPGS
Spectre V2
Spectre V3/Meltdown
MDS/Zombieload, TSX Anynchronous Abort
與此同時也保留剩下四個,如 iTLB multihit, SRBDS 等
這種設定下,整體的運作效能再次提升了 28% 左右,從 347k req/s 提升到 446k req/s。
註: 任何安全性的問題都不要盲從亂遵循,都一定要評估判斷過
Syscall Auditing/Blocking
大部分的情況下,Linux/Docker 處理關於系統呼叫 Auditing/Blocking 兩方面所帶來的效能影響幾乎微乎其微,不過當系統每秒執行數百萬個系統呼叫時,這些額外的效能負擔則不能忽視,如果仔細觀看前述的火焰圖的話就會發線 audit/seccomp 等數量也不少。
Linux Kernel Audit 子系統提供了一個機制來收集與紀錄任何跟安全性有關的事件,譬如存取敏感的機密檔案或是呼叫系統呼叫。透過這些內容可以幫助使用者去除錯任何不被預期的行為。
Audit 子系統於 Amazon Linux2 的環境下預設是開啟,但是本身並沒有被設定會去紀錄系統呼叫的資訊。
即使 Audit 子系統沒有真的去紀錄系統呼叫的資訊,該子系統還是會對每次的系統呼叫產生一點點的額外處理,所以作者透過 auditctl -a never,task 這個方式來將整體關閉。
註: 根據 Redhat bugzilla issue #1117953, Fedora 預設是關閉這個行為的
Docker/Container 透過一連串 Linux Kernel 的機制來隔離與控管 Container 的執行權限,譬如 namespace, Linux capabilities., cgroups 以及 seccomp。
Seccomp 則是用來限制這些 Container 能夠執行的系統呼叫類型
大部分的容器化應用程式即使沒有開啟 Seccomp 都能夠順利的執行,執行 docker 的時候可以透過 --security-opt seccomp=unconfined 這些參數告訴系統運行 Container 的時候不要套用任何 seccomp 的 profile.
將這兩個機制關閉後,系統帶來的效能提升了 11%,從 446k req/s 提升到 495k req/s。
從火焰圖來看,關閉這兩個設定後,syscall_trace_enter 以及 syscall_slow_exit_work 這兩個系統呼叫也從火焰圖中消失,此外作者發現 Amazon Linux2 預設似乎沒有啟動 Apparmor 的防護,因為不論有沒有關閉效能都沒有特別影響。
Disabling iptables/netfilter
再來的最佳化則是跟網路有關,大名鼎鼎的 netfilter 子系統,其中非常著名的應用 iptables 可以提供如防火牆與 NAT 相關功能。根據前述的火焰圖可以觀察到,netfilter 的進入 function nf_hook_slow 佔據了大概 18% 的時間。
將 iptables 關閉相較於安全性來說比較沒有爭議,反而是功能面會不會有應用程式因為 iptables 關閉而不能使用。預設情況下 docker 會透過 iptables 來執行 SNAT與 DNAT(有-p的話)。
作者認為現在環境大部分都將 Firewall 的功能移到外部 Cloud 來處理,譬如 AWS Security Group 了,所以 Firewall 的需求已經減少,至於 SNAT/DNAT 這類型的處理可以讓容器與節點共享網路來處理,也就是運行的時候給予 “–network=host” 的模式來避免需要 SNAT/DNAT 的情境。
作者透過修改腳本讓開機不會去預設載入相關的 Kernel Module 來達到移除的效果,測試起來整體的效能提升了 22%,從 495k req/s 提升到 603k req/s
註: 這個議題需要想清楚是否真的不需要,否則可能很多應用都會壞掉
作者還特別測試了一下如果使用 iptables 的下一代框架 nftables 的效能,發現 nftables 的效能好非常多。載入 nftables 的kernel module 並且沒有規則的情況下,效能幾乎不被影響(iptables 則相反,沒有規則也是會影響速度)。作者認為採用 nftables 似乎是個更好的選擇,能夠有效能的提升同時也保有能力的處理。
不過 nftables 的支援相較於 iptables 來說還是比較差,不論是從 OS 本身的支援到相關第三方工具的支援都還沒有這麼完善。就作者目前的認知, Debian 10, Fedora 32 以及 RHEL 8 都已經轉換到使用 nftables 做為預設的處理機制,同時使用 iptables-nft 這一個中介層的轉換者,讓所有 user-space 的規則都會偷偷的轉換為底層的 nftables。
Ubuntu 似乎要到 20.04/20.10 的正式版本才有嘗試轉移到的動作,而 Amazon Linux 2 依然使用 iptables 來處理封包。
下篇文章會繼續從剩下的五個最佳化策略繼續介紹
https://talawah.io/blog/extreme-http-performance-tuning-one-point-two-million/
使用者沒有存取權限 在 T客邦的臉書基地 Facebook 的精選貼文
Google雖然也正緊跟蘋果腳步加強用戶隱私保護措施,但效果並沒有蘋果顯著,畢竟 Google 營收大多是由廣告收入支撐。而現在蘋果再加快腳步,恐怕也讓Google更追不上了。