Spectre i Meltdown – dwie luki w procesorach, które zagrażają Twoim danym

MAŁE KOŚCI, WIELKIE LUKI

Procesor (CPU) jest zasadniczo „mózgiem” każdego komputera. Za każdym razem, kiedy uruchamiasz program, wpisujesz komendę, klikasz na link, wysyłając instrukcje do procesora. Project Zero, zespół analityków bezpieczeństwa utworzony przez Google w 2014 roku, ujawnił dwie poważne luki bezpieczeństwa w architekturze procesorów i mikroprocesorów, które można znaleźć w większości komputerów, smartfonów i tabletów wyprodukowanych w ciągu ostatnich 20 lat.

Pierwszy, sprzętowy błąd został nazwany Spectre. Pozwala on atakującym na przełamanie barier pomiędzy różnymi aplikacjami i dostęp do danych innych uruchomionych procesów.

Zespół twierdzi, iż Spectre dotyka prawie każdego systemu komputerowego (komputery stacjonarne, laptopy, serwery, smartfony) i jego obecność została potwierdzona w procesorach wyprodukowanych przez Intel, AMD i ARM.

Drugi błąd, nazwany Meltdown, łamie barierę pomiędzy aplikacjami użytkownika, a systemem operacyjnym (OS). Wykorzystując Meltdown, haker może użyć jednego programu, aby uzyskać dostęp do pamięci innego programu lub systemu operacyjnego urządzenia. Meltdown dotyka komputerów stacjonarnych, przenośnych, serwerów. Jak dotąd zespól Project Zero odnalazł lukę tylko w procesorach Intela.

Zespół Project Zero po raz pierwszy odkrył te luki w czerwcu 2017 r. Zgodnie z założenami, data upublicznienia informacji o lukach została ustalona na 9 stycznia 2018 r.

Celem opóźnienia publikacji, było danie firmom czasu na rozwiązanie omawianych problemów, jednak pogłoski i wczesne raporty doprowadziły do ujawnienia informacji 3 stycznia 2018 roku.

Security flaws in CPUs leave them vulnerable to hackers.
Źródło zdjęcia: futurism.com

CO TERAZ?
Według raportu zespołu Project Zero, Spectre i Meltdown dają hakerom możliwość kradzieży całej zawartości pamięci urządzenia. Oznacza to, że mają dostęp do biblioteki zdjęć użytkownika, wiadomości e-mail, haseł oraz wielu innych elementów. Aby uniknąć chaosu, jaki mogą spowodować tego typu włamania, firmy technologiczne, dążą do jak najszybszego załatania znalezionych luk.

Najbardziej znaną poprawką błędu Meltdown jest Kaiser, łatka programowa opracowana przez naukowców z Graz University of Technology w Austrii, stworzona w celu rozwiązania innego problemu. Należy mieć jednak na uwadze fakt, iż łatka może powodować aż 30% spadek wydajności zaktualizowanego systemu.

Spectre jest jeszcze groźniejszy, a jedynym rozwiązaniem tej luki może być przeprojektowanie architektury procesorów. „Ponieważ nie jest to łatwe do naprawienia, będzie nas prześladować przez jakiś czas” – napisali badacze w swoim raporcie.

W miarę, jak Internet Rzeczy (IoT) wciąż rośnie, hakerzy mają coraz więcej możliwości na uzyskanie dostępu do naszych danych osobowych. Oznacza to tym samym, iż odpowiednie zabezpieczenie tych danych będzie coraz ważniejsze.

Jak dotąd zespół Project Zero nie znalazł jednoznacznego dowodu, że ktokolwiek użył Spectre lub Meltdown do uzyskania dostępu do podatnych na błędy systemów. Teraz jednak, gdy informacje na temat tych wad są powszechnie znane, może się to szybko zmienić.

Linux, Android, Apple MacOS i Windows 10 już otrzymały odpowiednie łatki programowe. Należy pamiętać, iż podstawową metodą obrony przed znalezionymi lukami jest bieżąca aktualizacja systemu operacyjnego do jego najnowszej wersji.

Źródło: futurism.com
Tłumaczenie: digitec