Spectre in Meltdown: Varnostni ranljivosti, ki ogrožata skoraj vsak računalnik

Nedavno so številni varnostni strokovnjaki razkrili dve kritični pomanjkljivosti v sodobnih procesorjih, ki bosta, takoj ko bodo napadalci razvili ustrezne metode, bržkone vodili do serije novih varnostnih incidentov. Gre za varnostni ranljivosti, imenovani Meltdown in Spectre, ki sta prisotni v skoraj vseh sodobnih procesorjih, razvitih v zadnjem desetletju. Omenjeni ranljivosti bi zlonamernim programom in hekerjem potencialno omogočali vpogled v vsebino zaščitenega pomnilnika, ki ga uporablja jedro. Normalni programi do tega pomnilnika ne bi smeli nikoli dostopati, nepridipravi pa se zaradi tega lahko dokoplje jo do občutljivih podatkov, kot so uporabniška imena, gesla, digitalni certifikati in podobno.

Velike zasluge za razkritje obeh ranljivosti gredo računalniškemu inženirju Jannu Hornu, ki dela za Googlove varnostne strokovnjake na področju odkrivanja varnostnih lukenj Project Zero. Pri tem pa so mu pomagali tudi varnostni strokovnjaki iz podjetij za informacijsko varnost Cerberus in Rambus ter z univerze v avstrijskem Gradcu, ameriških univerz Pennsylvania in Maryland ter avstralske univerze Adelaide.

Meltdown

Ranljivost, imenovana Meltdown, prelomi ključno in temeljno izolacijo med uporabniškimi aplikacijami in operacijskim sistemom. Ta napad omogoča programom dostop do pomnilnika in s tem vseh skrivnosti, ki jih hranijo drugi programi in operacijski sistem. Če vaš računalnik razpolaga z ranljivim procesorjem in poganja neposodobljen operacijski sistem, ta ni primeren za delo z občutljivimi podatki, saj vedno obstaja nevarnost, da bodo pristali v napačnih rokah. To drži tako za osebne računalnike kot tudi računalništvo v oblaku. Na srečo so že na voljo varnostni popravki, ki nas bodo zaščitili pred ranljivostjo Meltdown.

Spectre

Ranljivost Spectre pa prelomi ključno in temeljno izolacijo med različnimi aplikacijami. Ta dejansko napadalcu omogoči prelisičenje sicer dobro zaščitenega programa v deljenje zaupnih podatkov. Bolj kot programska oprema sledi dobrim praksam na področju programiranja, bolj je ranljiva na napad Spectre. Ta ranljivost je sicer težja za zlorabiti kot Meltdown, po drugi strani pa jo je precej težje odpraviti. K sreči pa lahko tudi to ranljivost odpravimo z namestitvijo ustreznih varnostnih popravkov.

Kdo je izpostavljen ranljivostim Meltdown in Spectre?

Varnostnim ranljivostim Meltdown in Spectre so izpostavljeni praktično vsi namizni in prenosni računalniki in strežniški sistemi, ki uporabljajo večino procesorjev znamke Intel, narejenih po letu 1995 (nekaj je izjem). Ogrožene pa so tudi nekatere naprave s procesorji tipa ARM, ki se zvečine uporabljajo v mobilnih napravah, kot na primer pametnih mobilnih telefonih. V določenih primerih pa so ranljivi tudi računalniški sistemi, ki temeljijo na osnovi procesorjev AMD. Pri Intelu so nedavno sprejeli odločitev, da razkrijejo seznam procesorjev, ki so ranljivi tako na Meltdown kot Spectre …

Seznam procesorjev Intel, ki so ranljivi na Meltdown in Spectre

• Procesorji družine Core

• Intel® Core™ i3 (45nm and 32nm)
• Intel® Core™ i5 (45nm and 32nm)
• Intel® Core™ i7 (45nm and 32nm)
• Intel® Core™ M (45nm and 32nm)
• 2. generacija Intel® Core™ procesorjev
• 3. generacija Intel® Core™ procesorjev
• 4. generacija Intel® Core™ procesorjev
• 5. generacija Intel® Core™ procesorjev
• 6. generacija Intel® Core™ procesorjev
• 7. generacija Intel® Core™ procesorjev
• 8. generacija Intel® Core™ procesorjev

• Procesorji družine Core X

• Intel® Core™ serije X za Intelovo platformo X99
• Intel® Core™ serije X za Intelovo platformo X299

• Procesorji družine Xeon

• Intel® Xeon® serije 3400
• Intel® Xeon® serije 3600
• Intel® Xeon® serije 5500
• Intel® Xeon® serije 5600
• Intel® Xeon® serije 6500
• Intel® Xeon® serije 7500
• Intel® Xeon® E3
• Intel® Xeon® E3 v2
• Intel® Xeon® E3 v3
• Intel® Xeon® E3 v4
• Intel® Xeon® E3 v5
• Intel® Xeon® E3 v6
• Intel® Xeon® E5
• Intel® Xeon® E5 v2
• Intel® Xeon® E5 v3
• Intel® Xeon® E5 v4
• Intel® Xeon® E7
• Intel® Xeon® E7 v2
• Intel® Xeon® E7 v3
• Intel® Xeon® E7 v4
• Intel® Xeon Phi™ serij 3200, 5200, 7200

• Procesorji družine Atom

• Intel® Atom™ serije C
• Intel® Atom™ serije E
• Intel® Atom™ serije A
• Intel® Atom™ serije x3
• Intel® Atom™ serije Z

• Procesorji družine Celeron

• Intel® Celeron® serije J
• Intel® Celeron® serije N

• Procesorji družine Pentium

• Intel® Pentium® serije J
• Intel® Pentium® serije N

Kako se lahko zavarujem pred ranljivostma Meltdown in Spectre?

Pred varnostnima luknjama Meltdown in Spectre se lahko zaščitimo s posodobitvijo operacijskega sistema Windows, Linux ali macOS. Poleg tega moramo posodobiti vso programsko opremo, kjer so varnostni popravki na voljo, posebej pa to velja za spletne brskalnike, saj lahko napadalci z uporabo okuženih spletnih strani izkoristijo luknjo za krajo podatkov zaupne narave. Pri tem seveda ne smemo pozabiti niti na posodobitev pametnih telefonov in tabličnih računalnikov. Posodobitev je na voljo tako za novejše Applove mobilne naprave kot nekatere naprave z Androidom.

Bo računalnik po posodobitvi deloval počasneje kot prej?

Namestitev varnostnih popravkov za ranljivosti Meltdown in Spectre bo na žalost upočasnila delovanje vašega računalniškega sistema. Glede na rezultate preizkušanj, ki so jih opravili pri podjetju Intel, se lahko zmogljivost vašega računalnika ob namestitvi popravka zmanjša za do deset odstotkov. Pri starejših računalnikih pa je ta odstotek lahko še znatno večji. Intel je preizkus opravil v povezavi s procesorji Core šeste (Skylake), sedme (KabyLake) in osme (Kaby Lake in Coffee Lake) generacije, na računalniku pa je bil nameščen operacijski sistem Windows 10. Rezultati preizkušanj so pokazali, da je namestitev popravka povzročila največji upad zmogljivosti pri računalnikih s procesorji Intel šeste generacije (okoli osem odstotkov), pri procesorjih Intel sedme in osme generacije pa je upočasnitev znašala sedem oziroma šest odstotkov.

Uporabniki osebnih računalnikov naj bi najbolj občutili upočasnitev pri brskanju po spletu in pri izvajanju zahtevnejših operacij z namensko programsko opremo. Tu se lahko zmogljivost osebnega računalnika po namestitvi popravka zmanjša celo do 10 odstotkov.

Bo Intel odgovarjal za ranljivosti v svojih procesorjih?

Po vsej verjetnosti bo. Intel je namreč že prejel kar precejšnje število tožb zaradi, po mnenju tožnikov, okvarjenih procesorjev oziroma procesorjev z napako. Strokovnjaki sicer menijo, da je to šele začetek in da bodo proizvajalci procesorjev, če se bodo težave stopnjevale, v prihodnjih letih deležni številnih tovrstnih tožb.

Pri tem velja še omeniti, da je Microsoft nedavno močno zameril strokovnjakom podjetja Intel, saj so morali večino dela za odpravljanje najdene napake opraviti kar sami. Poleg tega je na dan pricurljala informacija, da je Intel Microsoftu posredoval podatke o ranljivosti že pred pol leta. Nekdanja tesna poslovna partnerja imata tudi različni mnenji glede tega, koliko bo ranljivost vplivala na zmogljivost obstoječih računalniških sistemov. Medtem ko so pri Intelu prepričani, da varnostni popravki ne bodo bistveno vplivali na hitrost delovanja računalniških sistemov, so pri računalniškem gigantu prepričani, da bodo uporabniki po namestitvi popravka občutili znatno upočasnitev sistema, predvsem pri strežnikih. To je seveda v slabo voljo spravilo vse, ki imajo v lasti računalniške sisteme s procesorji Intel.