Koho skutečně ohrožuje Meltdown a Spectre

16. 1. 2018. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Světem IT hýbe v posledních týdnech „skandální odhalení“ – ve všech moderních procesorech, bez ohledu na výrobce, jsou zranitelnosti, které představují vážné bezpečnostní riziko. V kauze, ve které není nouze o katastrofické scénáře a hororové vyhlídky, se nejčastěji zmiňuje výrazné zpomalení počítačů, serverů a dalších zařízení, které mají způsobit bezpečnostní updaty.

Zatímco zranitelnost CVE-2017-5754, tedy Meltdown, se týká pouze procesorů Intel, CVE-2017-5753 a CVE-2017-5715, které nesou společné označení Spectre, postihují také procesory ostatních výrobců (tedy i AMD a ARM). Největší problém z pohledu zabezpečení je ten, že se zranitelnosti netýkají konkrétních aplikací či systémů, ale jsou na úrovni procesoru. Tradiční metody obrany se v jejich případě stávají neefektivní. Na druhé straně jde o tak specifické slabiny, že je asi žádný průměrný kyberzločinec nedokáže zneužít. I přesto, že využití Meltdown a Spectre je náročný proces, který byl zatím prováděn pouze jako řízený „proof of concept“, a je sotva představitelné, že by jej skutečně někdo zneužil, museli výrobci reagovat.

Prostřednictvím Meltdown a Spectre se může potenciální útočník dostat k obsahu citlivé paměti procesoru, jejíž obsah může číst (jde opravdu „pouze“ o čtení, zranitelnosti nelze zneužít pro vložení instrukcí do kernelu). Bezpečnostní slabiny tak dovolují programům přístup k informacím, které jsou aktuálně počítačem zpracovávány. Za normálních okolností nemají aplikace povoleno číst data z jiných programů. Problém spočívá v tom, že se může objevit kód schopný zneužít Meltdown a Spectre k získání dat uložených v paměti ostatních spuštěných programů. Může jít například o přihlašovací informace apod. Obě zranitelnosti mohou být zneužity díky tzv. „speculative execution“ neboli spekulativnímu provádění instrukcí, což je operace, kterou provádí snad všechny moderní procesory kvůli optimalizování výkonu. Prakticky jde o testování podmínek, jehož výsledkem je provádění kódu, tzv. podmíněné větvení. Procesor předpokládá, že jsou určité instrukce pravdivé a dochází k ověřování těchto předpokladů. Pokud se pravdivost potvrdí, probíhá proces dál. Pokud se ukáže, že jde o nesprávný předpoklad, tak je stávající proces zastaven a zahozen a je určena nová větev, která se odvíjí na základě aktuálních podmínek. Při této spekulaci se objevuje nežádoucí „vedlejší účinek“ – citlivá paměť je v tu chvíli otevřená, a právě v tom okamžiku může dojít ke čtení informací.

Meltdown

Meltdown dovoluje případným útočníkům nejen čtení paměti kernelu, ale celé fyzické paměti zařízení. Dochází k prolomení izolace mezi uživatelskou aplikací a operačním systémem, což umožňuje jakékoliv aplikaci přístup k systémové paměti, včetně paměti kernelu.

Zranitelnost Meltdown se týká téměř všech notebooků, počítačů a serverů s procesory Intel.

Bezpečnostní aktualizace pro Meltdown jsou již k dispozici. Předpovědi, že dojde k významnému zpomalení chodu zařízení, se však nepotvrdily. Microsoft vydal opravný patch pro Windows 10 na začátku ledna. Počítače s procesory Skylake a Kaby Lake zaznamenaly po updatu zpomalení o jednotky procent, což je pro uživatele sotva patrné. Horší je situace u starších modelů procesorů a u sestav, které používají některou ze starších verzí Windows.

Spectre

Druhý problém, Spectre, který se skládá ze dvou částí (CVE-2017-5753 a CVE-2017-5715), nelze tak snadno eliminovat na softwarové úrovni jako Meltdown. Podle všeho je pro jeho úplné odstranění zapotřebí změnit architekturu procesoru.

Spectre narušuje izolaci mezi různými aplikacemi. Fakticky porušuje kontrolu omezení během procesu spekulace, kdy může procesor zpracovávat data, která jsou pak použita k lokalizaci dalších. Kvůli optimalizaci výkonu může procesor rovnou načíst druhou část dat bez nutnosti ověřovat, že je první část legitimní. V takovém případě lze nasadit útočný kód, aby načetl přenášené informace do cache paměti procesoru. Pomocí analýzy cache postranním kanálem, jak se tato technika nazývá, je pak možné dočasně uložená data číst. Spectre se teoreticky dá zneužít ke krádeži informací, které putují z kernelu pro uživatelský program, stejně tak směrem z hypervizoru k hostovanému systému. 

Zranitelnost Spectre se týká procesorů všech hlavních výrobců, tedy vedle Intelu také AMD a ARM. Přestože není momentálně možné Spectre ošetřit patchem, jsou k dispozici nástroje, které umí bránit zneužití zranitelností Spectre.

Vlna nevole

Zkraje roku 2018 se kolem Meltdown a Spectre rozpoutala intenzivní debata. Nejděsivější scénáře hovořily o obrovském dopadu na všechna zařízení, čehož se zalekla řada uživatelů, kteří se paradoxně citelných výkonnostních ztrát nedočkali. O poznání horší pozici mají provozovatelé cloudu a datových center, kde by měly být klientské aplikace od dalších systémů bezpečně odděleny, a kde probíhá neporovnatelně vyšší počet softwarových volání.

Vlnu kritiky schytal také Intel, který „tajil“ přítomnost Meltdown; což je mimochodem zcela běžná praxe. Dokud nejsou k dispozici první verze bezpečnostních oprav, není příliš moudré vypouštět do světa návod a upozornění, kde jsou neošetřené slabiny. Hněv davu se snesl i na hlavu Briana Krzanicha, CEO Intelu; ten totiž v listopadu loňského roku rozprodal velkou část akcií Intelu, které vlastnil. Transakce za bezmála 40 milionů dolarů (jeho zisk činil 25 milionů) nezůstala bez povšimnutí, přičemž ji mnozí spojují právě s Meltdown. Intel i Krzanich spekulace vyvrací s tím, že šlo o dlouho naplánovanou akci. Podobné pochybnosti doprovázely i nedávný případ masivního úniku dat společnosti Equifax, kde několik vysoce postavených představitelů společnosti rozprodalo své akcie krátce před tím, než byl jeden z nejzávažnějších úniků posledních let uveřejněn. Cena akcií Intelu po zveřejnění Meltdown a Spectre pochopitelně významně klesla.

Pro všechny aktuálně používané systémy jsou k dispozici alespoň první verze patchů, do konce ledna by pak měly být pokryté všechny platformy a systémy.

Štítky: 
Bezpečnost, AMD, Intel, Microsoft

Podobné články

„Stalkerware“ na vzestupu

9. 10. 2019. (redaktor: František Doupal, zdroj: Kaspersky)
Množství uživatelů, na jejichž zařízení se útočníci pokusili nainstalovat nejméně jeden stalkerware, dosáhlo během prvních osmi měsíců tohoto roku 37 000. Jde o 35% nárůst oproti stejnému období roku 2018. Stalkerware označuje komerční spyware nejčastěji využívaný jako nástroj pro špionáž blízkých. Čtěte více

Nejvážnější hrozbou pro české uživatele zůstávají trojské koně kradoucí hesla

8. 10. 2019. (redaktor: František Doupal, zdroj: Eset)
České uživatele nadále nejvíce ohrožují útoky, které se snaží získat hesla z prohlížečů. Na předních příčkách se drží třetí měsíc. Další běžnou hrozbou je malware, který útočníkům těží kryptoměny. Útočníci se snaží skrývat malware Fareit, který je již třetí měsíc v řadě nejvážnější hrozbou pro české uživatele. Čtěte více

Novinka společnosti Sophos pomůže s detekcí a odstraňováním hrozeb

7. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Pod názvem Sophos Managed Threat Response (MTR) se ukrývá pokročilá služba na detekci a odstraňování hrozeb. Řešení s možností přeprodeje dává organizacím k dispozici dedikovaný bezpečnostní tým s nepřetržitou dostupností schopný zbavit je i těch nejsofistikovanějších a nejkomplexnějších hrozeb. Čtěte více

WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant. Čtěte více