Da un tweetstorm del giornalista della sicurezza Nicole Perlroth :
The most visceral attack scenario is an attacker who rents 5 minutes of time from an Amazon/Google/Microsoft cloud server and steals data from other customers renting space on that same Amazon/Google/Microsoft cloud server, then marches onto another cloud server to repeat the attack, stealing untold volumes of data (SSL keys, passwords, logins, files etc) in the process.
Mentre Meltdown può essere riparato, la mia comprensione è che non esiste una soluzione a breve termine a Spectre. Questo sembra rendere questo problema molto, molto brutto. Non significherebbe la morte dell'intera bussiness? D'altra parte, il mio istinto naturale in queste situazioni è di solito cercare di liquidarlo come una montatura.
- Se dispongo di un servizio sensibile in esecuzione in un cloud pubblico come AWS, dovrei entrare nel panico e portarlo offline immediatamente per impedire il furto delle mie chiavi SSL?
- C'è qualcosa che i cloud provider possono fare a breve-medio termine per rendere i loro servizi ragionevolmente sicuri?
- Esiste (o può esserci) un software di virtualizzazione che non sia vulnerabile a Spectre anche se il sistema host è?