Výzkumní pracovníci internetové společnosti Google odhalili závažné bezpečnostní nedostatky u čipů vyráběných firmami Intel, Advanced Micro Devices a ARM Holdings. Hackeři by těchto nedostatků mohli využít ke krádežím důvěrných informací z téměř všech moderních počítačových zařízení, které čipy těchto firem využívají, tedy například z osobních počítačů či chytrých telefonů.
Zjištěné bezpečnostní nedostatky, na jejichž odstranění nyní technologické firmy pracují, se podle agentury DPA týkají čipů v miliardách zařízení a hackeři je mohou využít například k získání hesel či dalších citlivých údajů. Oprava zase může počítače výrazně zpomalovat.
Čipy společnosti Intel podle serveru BBC využívá v celém světě zhruba 80 procent stolních počítačů a 90 procent přenosných počítačů. Firma Intel uvedla, že na odstranění zjištěných bezpečnostních nedostatků pracuje. Některé úpravy v podobě aktualizace softwaru již podle firmy byly provedeny, nebo budou dostupné v příštích dnech, píše BBC. Také Microsoft už přišel s opravou pro Windows 10. Má to však háček – softwarová oprava čipy výrazně zpomaluje.
Analytici o tomto problému vědí již několik měsíců a pečlivě ho studují. Podle BBC se takové informace zveřejňují většinou až v okamžiku, kdy jsou tyto problémy vyřešené nějakými záplatami – tentokrát ale zatím všechny problémy odstraněné nejsou.
Tato informace unikla předčasně, když se mezi odbornou veřejnost dostaly záznamy o práci na nové záplatě pro systém Linux.
V čem spočívá problém
Byly odhaleny dvě bezpečnostní chyby, dostaly jméno Meltdown a Spectre. Meltdown postihuje laptopy, stolní počítače a internetové servery s čipy od Intelu. Spectre má potenciálně ještě větší dopad – postihuje chytré telefony, tablety a počítače poháněné čipy Intel, ARM a AMD. Riziko se týká také datových center a přístrojů připojených přes cloud.
Jako první na tento problém upozornil web TheRegister, podle něhož spočívá chyba v samotné architektuře procesorů – a týká se většiny procesorů od Intelu od roku 1995.
Kvůli tomu, jak je procesor postavený, se může škodlivý kód dostat až do adresního prostoru, který je normálně vyhrazen pouze pro jádro systému. Z něj se pak případný narušitel může dostat ke „klíčům od systému“ – tedy k heslům, kódům a dalším informacím, jež mohou vést k ovládnutí počítače.
Britská organizace National Cyber Security Center tvrdí, že bezpečnostní chyba je sice vážná, ale doposud ji nikdo nezneužil – respektive není známo, že by ji někdo využil.
Řešení problému
Společnost ARM oznámila, že již poskytla nástroje k odstranění bezpečnostních nedostatků svým zákazníkům, mezi které patří řada výrobců chytrých telefonů. Firma Advanced Micro Devices vyjádřila přesvědčení, že riziko u jejích produktů je v současnosti „téměř nulové“.
- Ředitel společnosti intel Brian Krzanich prodal 29. listopadu většinu svých akcií společnosti Intel - dostal za ně 24 milionů dolarů. Podle webu Businessinider už v té době věděl o problému s procesory. Společnost Intel to odmítla.
Server Gizmodo upozorňuje, že Meltdown ani Spectre není možné opravit hardwarově. A ani je nelze vyřešit jednoduchou záplatou pomocí kódu. Opravit chybu tedy není úplně možné, ale dá se složitě záplatovat.
Ukazuje se ovšem, že toto řešení počítače citelně zpomaluje – v některých testech se ukázalo zpomalení až o 20 procent, jiné ukázaly zpomalení asi o 17 procent, jiné jen kolem pěti procent – záleží jak na typu procesoru, tak na konkrétním úkolu.
Jak se to dotkne obyčejných uživatelů ještě není úplně jasné, dopad bude ale spíše menší. Mnoho náročnějších výpočetních operací totiž má dnes v počítači na starost grafická karta. Větší dopad se dá očekávat u serverů, nejvíce se podle webu ZDNet může dotknout služeb jako je Amazon nebo Google.
„Meltdown se dá záplatovat snadněji než Spectre, která nás bude strašit ještě několik let,“ uvedl bezpečnostní expert Daniel Gruss pro ZDNet.
Otázky a odpovědi
Vědecké týmy, které stojí za objevem tohoto bezpečnostního rizika, zveřejnily odpovědi na nejčastější otázky, které jim přicházejí.
Týká se tento problém i mne?
S největší pravděpodobností ano.
Můžu nějak zjistit, jestli někdo využil Meltdown nebo Spectre proti mně?
Pravděpodobně ne. Zneužití by nezanechalo žádné stopy v tradičním souborovém záznamu.
Může takový útok zablokovat můj antivirový systém?
Je to sice teoreticky možné, ale v praxi je to nepravděpodobné. Na rozdíl od klasického malwaru je těžké odlišit Meltdown a Spectre od normálních aplikací. Ale je možné, že by antivirus odhalil útočné programy, které by doprovázely útoky.
Co může být zasaženo?
Pokud by byl váš systém zasažen, naše koncepce naznačuje, že by se tak dalo dostat k paměti vašeho počítače. To znamená hesla i citlivé údaje uložené v systému.
Byl už Meltdown nebo Spectre zneužitý v praxi?
Nevíme.
Existuje už řešení/oprava?
Už existují záplaty proti Meltdownu pro Linux (KPTI, dříve KAISER), Windows i OS X. Pracuje se i na zesílení softwaru proti zneužití Spectre.
Jaké systémy postihuje Meltdown?
Meltdownem jsou zasažené systémy stolních, přenosných i cloudových počítačů. Technicky: každý procesor od Intelu, který vznikl po roce 1995 s výjimkou Intel Itanium a Intel Atom do roku 2013, je potenciálně zranitelný. Úspěšně jsme otestovali Meltdown na procesorech od Intelu od roku 2011. V současné době není jasné, jestli jsou postižené i procesory od ARM a AMD.
Které systémy postihuje Spectre?
Jedná se o téměř všechny operační systémy – stolní počítače, laptopy, cloudové servery i chytré telefony. Všechny moderní procesory schopné udržovat mnoho instrukcí jsou potenciálně zranitelné. Ověřili jsme Spectre na procesorech AMD, ARM i Intel.
Jaký je rozdíl mezi Meltdownem a Spectre?
Meltdown ničí mechanismus, který udržuje aplikace, aby se nedostaly do systémové paměti. V důsledku se aplikace mohou dostat do systémové paměti.
Spectre zase umožňuje jiným aplikacím, aby se dostaly do libovolných míst v jejich paměti.
Kde najít další informace?
Zde je akademická studie na téma Meltdown a také práce o Spectre. Navíc existuje zpráva projektu Google Project Zero o obou útocích.
K problému se již vyjádřila také společnost Microsoft. Ta považuje problém za závažný. „Jsme si vědomi závažnosti problému, na jehož řešení intenzivně pracujeme společně s výrobci procesorů. Nyní jsme v procesu nasazování a testování záplat v cloudových službách a ve středu (3. ledna) jsme uvolnili bezpečnostní aktualizaci pro majitele zařízení s Windows, abychom zabránili bezpečnostním rizikům u zařízení s procesory Intel, ARM a AMD. V tuto chvíli nemáme informace o tom, že by byla napadena data našich zákazníků v důsledku zmíněné chyby v procesorech. Detailnější informace a doporučení pro zákazníky najdete zde.“
