Iba krátko po tom, čo sa niektorí ľudia konečne spamätali zo silvestrovskej opice a skôr ešte než sa zjavili traja králi, boli zverejnené detaily dvojice veľmi nepríjemných útokov. Meltdown a Spectre využívajú zraniteľnosti na úrovni samotného hardwaru, konkrétne chyby v architektúre moderných procesorov na to, aby sa dostali k dátam s ktorými počítač práve pracuje. Útočník zneužívajúci tieto zraniteľnosti by sa tak mohol za určitých okolností dostať nielen k vašim heslám, či iným citlivým údajom, ale aj k fotografiám, e-mailom a iným dokumentom.
Meltdown obchádza ochranné mechanizmy, ktoré zabraňujú bežným aplikáciám pristupovať k operačnej pamäti, ktorú nemajú pridelenú a môže sa tak dostať prakticky ku všetkému, čo je v nej aktuálne uložené. Potenciálne môže ohrozovať všetky procesory využívajúce out-of-order inštrukcie, čo je vlastne drvivá väčšina procesorov nachádzajúcich sa v bežných stolových počítačoch, notebookoch a serveroch vyrobených za posledné dve dekády. Úspešný (našťastie pokusný) útok bol však zatiaľ vykonaný len na procesoroch od firmy Intel. Ďalší poprední výrobcovia ako AMD a ARM teda v tento moment priamo postihnutí nie sú, aj keď podľa zverejnených detailov ešte vyhraté nemajú. Dobrou správou tiež je, že výskumníci šli cestou responsible disclosure, čo znamená, že výrobcovia čipov, aj operačných systémov boli o chybách informovaní so značným predstihom, a teda už existujú aj patche. Žiaľ odhaduje sa, že budú mať negatívny vplyv na výkon.
Spectre obchádza ochranné bariéry „len“ medzi rôznymi aplikáciami. Útočník tak však môže zmanipulovať bežné programy, aby mu sprístupnili aj to, čo by nemali. Samotný útok je, v porovnaní s Meltdownom, zložitejší ako na vykonanie, tak na odstránenie. Čo je však horšie, nepostihuje len desktopy, notebooky a servery, ale aj smartphony, tablety a iné (IoT) zariadenia od všetkých veľkých hráčov na trhu, teda nielen Intelu, ale aj AMD a ARM.
Obe zraniteľnosti boli nezávisle na sebe odhalené viacerými výskumníkmi, či výskumnými teamami. V oboch prípadoch mal však prsty aj Google Project Zero, ktorý na svojom blogu prináša veľmi pekné zhrnutie, pre tých ktorí chcú vedieť viac a zároveň však nechcú čítať oficiálnu dokumentáciu (Meltdown, Spectre). No a pre všetkých ostatných skúsim to najpodstatnejšie, čo najjednoduchšie, zhrnúť ešte raz aj ja v nasledujúcich bodoch:
Tento prípad len podčiarkuje staré parafrázované príslovie o tom, že zabezpečenie je ako reťaz, a tá je iba tak bezpečná ako jej najslabšie ohnivko. To tiež znamená, že na bezpečnosť sa vždy musíme pozerať komplexne od hardwaru (dnešný prípad), cez firmware (viz. tiež nedávny problém s Intel ME), operačný systém, middleware a aplikácie až po koncového používateľa (náchylného nielen na phishing).
Pôvodne som chcel v tomto období uverejniť nejaké moje predpovede pre rok 2018. Jedna z nich, konkrétne tá bonusová, sa dnes začala už aj napĺňať:
„Pribudnú aj ďalšie nemilé a neočakávané prekvapenia z kategórie Heartbleed, KRACK attacks, či ROCA.“
Článok bol napísaný pre portál cybersec.sk, kde aj po redakčných úpravách vyšiel.
Pridať nový komentár