Meltdown obchádza ochranné mechanizmy, ktoré zabraňujú bežným aplikáciám pristupovať k operačnej pamäti, ktorú nemajú pridelenú a môže sa tak dostať prakticky ku všetkému, čo je v nej aktuálne uložené. Potenciálne môže ohrozovať všetky procesory využívajúce out-of-order inštrukcie, čo je vlastne drvivá väčšina procesorov v bežných stolových počítačoch, notebookoch a serveroch vyrobených za posledné dve dekády. Úspešný (našťastie pokusný) útok bol však zatiaľ vykonaný len na procesoroch od firmy Intel. Ďalší poprední výrobcovia ako AMD a ARM teda v tejto chvíli priamo postihnutí nie sú, aj keď podľa zverejnených detailov ešte vyhraté nemajú.
Dobrou správou tiež je, že výskumníci šli cestou zodpovedného spôsobu zverejňovania informácií o odhalených zraniteľnostiach, čo znamená, že výrobcovia čipov, aj operačných systémov boli o chybách informovaní so značným predstihom, a teda už existujú záplaty (patches), alebo sa na nich intenzívne pracuje. Žiaľ odhaduje sa, že budú mať negatívny vplyv na výkon.
Spectre obchádza ochranné bariéry „len“ medzi rôznymi aplikáciami. Útočník však aj tak môže zmanipulovať bežné programy, aby mu sprístupnili aj to, čo by nemali. Takýto útok je však v porovnaní s Meltdownom zložitejší.Ťažšie sa vykonáva, ale aj odstraňuje. Čo je ešte horšie, nepostihuje len desktopy, notebooky a servery, ale aj smartfóny, tablety a iné (IoT) zariadenia od všetkých veľkých hráčov na trhu, teda nielen Intelu, ale aj AMD a ARM.
Obe zraniteľnosti boli nezávisle od seba odhalené viacerými výskumníkmi či výskumnými tímami. V oboch prípadoch mal však prsty aj Google Project Zero, ktorý na svojom blogu prináša veľmi pekné zhrnutie pre tých, ktorí chcú vedieť viac a zároveň nechcú čítať oficiálnu dokumentáciu (Meltdown, Spectre). No a pre všetkých ostatných skúsim to najpodstatnejšie čo najjednoduchšie zhrnúť ešte raz aj ja v nasledujúcich bodoch:
- Zraniteľnosti sa nachádzajú v samotnej architektúre fungovania procesorov, ich úplné odstránenie tak nebude jednoduché.
- Postihnuté sú všetky zariadenia, ktoré používajú zraniteľné procesory od počítača na vašom stole cez smartfón vo vašom vrecku či tablet v batohu až po servery poháňajúce cloud v datacentrách.
- V stávke sú dáta, ktoré sa práve nachádzajú v operačnej pamäti počítača, teda „iba“ tie, s ktorými zariadenie práve pracuje.
- Ide o lokálne útoky. Čiže buď útočník už nejaký prístup na zariadenie má, alebo špinavú prácu môže vykonať nejaký malvér. Fantázii sa však medze nekladú a vektory útokov využívajúcich potenciál týchto zraniteľností budú naozaj rôznorodé.
- Zverejnené útoky sú zatiaľ len proof of concept a nie je známe, že by ich nejaký malvér už aktívne využíval.
- Výrobcovia čipov aj operačných systémov boli informovaní v značnom predstihu, čo im vytvorilo priestor, ak to bolo možné, vyrobiť záplatu.
- Aktualizovaný firmvér a softvér, respektíve aplikácia patchov je teda aj tým najlepším spôsobom, ako sa dá aktuálne brániť, berte však na vedomie, že:
- záplaty môžu mať vplyv na výkon systému,
- updaty od Microsoftu môžu znefunkčniť niektoré antivírusové programy.
- Práve spomínané antivírusové programy môžu čiastočne a nepriamo pomôcť pri ochrane. Ako som spomínal vyššie, hrozby sú „len“ lokálne. Do zariadenia sa tak musia najskôr nejako dostať, napríklad pomocou malvéaru. Proti lokálnemu útočníkovi však nebudú veľmi účinné.
Tento prípad len podčiarkuje staré parafrázované príslovie o tom, že zabezpečenie je ako reťaz, a tá je iba taká bezpečná ako jej najslabšie ohnivko. Znamená to, že na bezpečnosť sa vždy musíme pozerať komplexne od hardvéru (dnešný prípad) cez firmvér (napríklad nedávny problém s Intel ME), operačný systém, middleware a aplikácie až po koncového užívateľa (náchylného nielen na phishing).
Ľuboš Moščovič, CISSP
http://www.herrman.sk/
Externý spolupracovník redakcie CyberSec.sk
Autor článku je zamestnancom spoločnosti IBM, ale článok samotný je jeho osobnou iniciatívou a vyjadruje len jeho osobný názor, ktorý nemusí reprezentovať či stotožňovať sa s postojom, názorom či stratégiou IBM.