Ako vás Meltdown a Spectre ohrozujú a ako sa im dá brániť

Určite sa teraz pýtate, čo všetko a ako máte aktualizovať. Odpoviem však iba čiastočne, a to iba domácim (bežným) používateľom, ktorí si spravujú svoje zariadenia sami. Zamestnanci veľkých korporácií alebo menších firiem by sa mali riadiť internými firemnými pokynmi, poprípade sa obrátiť na svojich IT špecialistov.

Aktualizovať by ste mali všetko, čo sa aktualizovať dá. Viem, že takúto strohú odpoveď ste asi nechceli počuť, ale taká je pravda. Ak zabudnete aktualizovať váš wifi router, môžete ostať zraniteľní voči útokom KRACK, vynechajte z procesu smart televízor a niekto vás môže začať špehovať cez zabudovanú webkameru. Dalo by sa pokračovať so smartfónmi, chladničkami, IPkamerami, naozaj všetkým a skončili by sme, samozrejme, opäť pri vašich počítačoch.

Je však nutné zdôrazniť, že aktualizovať iba samotný základný operačný systém počítača nestačí. Nesmiete zanedbať starostlivosť ani o ostatný softvér – antivírus, kancelársky balík, správcu hesiel, internetový prehliadač a jeho doplnky…

Dobrú správu som si však doteraz schovával. Drvivá väčšina rozumného softvéru (a všetky najpoužívanejšie operačné systémy) už dnes podporujú automatické aktualizácie. Na vás teda ostáva iba uistiť sa, že ich máte pre operačný systém aj jednotlivý softvér povolené a donekonečna ich neodkladáte.

Veľmi podobná situácia panuje v segmente smartfónov a tabletov. Ani smart televízory v tomto smere nezaostávajú. Ostatné zariadenia túto možnosť môžu, no nemusia mať, ich občasnou kontrolou však určite nič nepokazíte.

V prípade aktuálnych zraniteľností Meltdown a Spectre sa však v súvislosti s aplikáciou záplat rozvírila mierne kontroverzná, a pre bežného človeka len ťažko zrozumiteľná debata. Spomínalo sa, že tieto problémy opatchovať vlastne nemožno, že je v hre potenciálne výrazná strata výkonu, že v prípade, ak používate antivírus, môže vám po inštalácii záplat systém dokonca havarovať. Skúsim to teda trošku objasniť:

Na začiatok treba priznať, že sa naozaj nebavíme o záplatách v zmysle, ako ho bežne používame. Tu totiž nehovoríme o nejakej softvérovej chybe, ktorú záplata priamo opravuje či adresuje. Chyby sú ukryté priamo v hardvéri procesora, a teda takáto záplata by musela fyzicky prestavať integrované obvody, čo sa zatiaľ dá maximálne v sci-fi filmoch. Takže v tomto prípade sú patche do značnej miery skôr akýmisi náhradnými riešeniami, ktoré sa na úrovni operačných systémov a aplikácií snažia zabrániť či značne sťažiť zneužitie týchto zraniteľností (ktoré v samotnom hardvéri zostanú, až do chvíle, kým ho vymeníte za bezchybný).

Takéto zásahy do systémov bývajú a v tomto prípade aj naozaj sú, dosť výrazné. Preto nie je až tak prekvapivé, že v prípade Microsoft Windows vznikol problém s kompatibilitou viacerých antivírusových produktov. Tie sú pre ich podstatu do operačných systémov zahryznuté veľmi hlboko, preto na takéto výrazné zmeny bývajú veľmi citlivé. Takže v tejto chvíli treba najskôr aktualizovať antivírus a až potom operačný systém.

Aby toho nebolo málo, tak po aplikácii patchu na Meltdown, naozaj niektoré konfigurácie so staršími procesormi AMD Athlon už viac nenaštartovali. Je to paradox, keďže stále platí, že na procesoroch od firmy AMD sa túto zraniteľnosť nepodarilo zatiaľ v praxi zneužiť.

Na oba tieto problémy už stihol Microsoft reagovať vo svojom nástroji pre automatické aktualizácie. Čo už však Microsoft a ani ostatní tvorcovia softvéru ovplyvniť nemohli, je negatívny vplyv na výkon počítača, ktorý sa pohybuje v dosť širokom rozpätí od takmer zanedbateľného až po veľmi veľký, vyčíslený v desiatkach percent. Všetko záleží od konkrétneho procesora a jeho nasadenia. Zatiaľ však všetko nasvedčuje tomu, že bežní používatelia by stratu výkonu veľmi pociťovať nemali. Naopak,  serverové systémy môžu byť výrazne postihnuté.

Ľuboš Moščovič, CISSP
http://www.herrman.sk/
Externý spolupracovník redakcie CyberSec.sk

Autor článku je zamestnancom spoločnosti IBM, ale článok samotný je jeho osobnou iniciatívou a vyjadruje len jeho osobný názor, ktorý nemusí reprezentovať či stotožňovať sa s postojom, názorom či stratégiou IBM.