Tegnap számoltunk be a modern Intel processzorok nemrég felfedezett, súlyos tervezési hibájáról. Ennek következtében ártó szándékkal összerakott programok a CPU-t tartalmazó eszközön futó operációs rendszer kernelmemóriájának védett területeit is képesek lehetnek kiolvasni. Ezzel pedig az összes érzékeny, védettnek gondolt információ, például jelszavak is kiszivároghatnak. Vigyázat, mélyvíz: a hiba iránt komolyan érdeklődőknek részletes információk erre találhatók (PDF).
Leolvadás
Mint írtuk, az első, problémát orvosoló frissítések rohamtempóban készülnek a Meltdown névre keresztelt hibához - a linuxos javítás után a Microsoft is előrukkolt a farbával, és már elérhető az Android update is. Ez a kvázi patkolás azonban a felhasználói folyamatokat kerülőútra kényszeríti a kernelmemória elérésekor, ami jelentős teljesítményvesztéssel jár. Becslések szerint valahol 5-30 százalék közötti lassulással kell számolni, az adott feladattól és az érintett processzortól függően. Ez pedig az elmúlt pár évben nagyon belassuló fejlődést akár szó szerint is lenullázhatja.
Tegnap azzal zártuk cikkünket, hogy az igazi probléma nem is magának a hibának a felbukkanása, vagy az arra készített patch-ek rendszerlassító mivolta, hanem az, hogy ez még csupán az előszele lehet annak, ami ránk vár ezen a téren. Egy egész napot kellett várni arra, hogy jövendölésünk valóra váljon: itt egy újabb, immár minden főbb CPU-fejlesztő vállalatot – Intel, ARM, AMD – érintő hardveres biztonsági rés (igaz, utóbbi megpróbálta cáfolni érintettségét).
Ezúttal a Google – pontosabban annak Project Zero csapata – volt az, aki lerántotta a fátylat a sérülékenységről. És habár igen szerencsétlen időpontban tette ezt meg az amerikai keresőóriás, nem lehet ráfogni, hogy ne lett volna türelmes a felekkel. Beszámolója szerint ugyanis már 2017 júniusában tájékoztatta a három nagyot felfedezéséről, a nyilvánosság teljes kizárása mellett.
Kiszabadult a Szellem a palackból
Spectre névre keresztelték a legfrissebb hibát (szintén mélyvíz (PDF) az IT-ban jól úszóknak), mely a Meltdownhoz hasonlóan a digitális élet minden területén – asztali számítógépek, mobil eszközök, felhőszolgáltatások – kifejti hatását. A cloud üzemeltetőjének infrastruktúrájától függően akár ügyféltől való adatlopást is lehetővé tesz, emellett pedig futó programokból képes jogosulatlan információszerzésre.
Nem egyszerű a védekezés ellene. A Tom’s Hardware beszámolója szerint egy, a Spectre-re alapuló támadás észlelése jelenleg szinte lehetetlen. Az antivírus megoldások is csak azt a malware-t tudják érzékelni, ami már bejutott a rendszerbe, ez pedig már késő lehet az adatszivárgás megelőzésének szempontjából. Ráadásul a frissebb biztonsági rés megszüntetése nehezebb feladat lesz, mint a Meltdowné. Szerencsére eddig nem érkezett jelentés arról, hogy valaha is kihasználták volna ezt a lehetőséget (bár nehéz felderíthetőségének ismeretében annyira nem nyugodhatunk meg).
Tovább komplikálja a helyzetet, hogy a fent említett patch-ek önmagukban nem minden esetben segítenek. Például a Microsoft Surface, Surface Pro és Surface Book esetében külön firmware-frissítésre is szükség van. Emellett a Microsoft is elismerte, hogy az update telepítése érinteni fogja az adott eszköz teljesítményét. Mivel azonban ennek mértéke készülékfüggő, így Redmond nem állt elő számszerűsített adattal erre vonatkozóan.
Merre tovább?
Egyes IT-biztonsági szakértők már finoman utaltak rá, hogy valami nagy dolog van készülőben. Linux fejlesztői fórumokon zajló beszélgetésekben felmerült, hogy az operációs rendszer kernelmemória-kezelését alapvetően át kellene dolgozni, és habár erről részletek még nem láttak napvilágot, microsoftos, amazonos és Google-höz köthető emailcímek is felbukkantak a beszélgetésekben. Nem kizárt, hogy valamilyen közös, titkos erőfeszítés zajlik a háttérben, aminek előnyeiből nem csak egyes gyártók, hanem a teljes iparág profitálhat.
Egyelőre azonban még nem álltak egységesen nyilvánosság elé az érintettek, így csupán félinformációkból és találgatásokból lehet megpróbálni összerakni a nagyobb képet. És reménykedni, hogy az minél hamarabb összeáll, hiszen tegnap egy holland IT-biztonsági kutató már bejelentette, hogy elkészült az első, úgynevezett proof-of-concept kóddal, amivel ki tudja aknázni a Meltdown-hibát.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak