Strona główna
Ekspert: Meltdown i Spectre pokazują bezsens prognoz cyberbezpieczeństwa
Meltdown i Spectre to prawdopodobnie jedne z największych problemów cyberbezpieczeństwa w historii ludzkości - ocenia ekspert ds. cyberbezpieczeństwa i prywatności dr Łukasz Olejnik. Jego zdaniem, problemy te pokazują bezsens formułowania prognoz cyberbezpieczeństwa.
Ujawnione w środę wady projektowe procesorów, które pozwoliły na powstanie luk bezpieczeństwa znanych jako Meltdown i Spectre, zagrażają większości obecnie działających komputerów na świecie.
Czytaj więcej: Apple potwierdziło, że ich wszystkie urządzenia dotknięte są Meltdown i Spectre
Dr Łukasz Olejnik, konsultant cyberbezpieczeństwa i prywatności oraz badacz afiliowany przy Centrum Polityki Technologii Informacyjnych (ang. Center for Information Technology Policy) Uniwersytetu Princeton, w rozmowie z PAP zauważa, że problem dotyczy w pewnym stopniu wielu architektur procesorów - zarówno Intela, AMD i ARM.
Jeśli chodzi o Meltdown, cały obecnie dostępny na rynku sprzęt komputerowy dotknięty jest tym problemem
Jego zdaniem, Meltdown i Spectre to zupełnie nowa klasa problemów cyberbezpieczeństwa, która pokazuje bezsens formułowania długoterminowych, a nawet niezbyt oddalonych w czasie prognoz w dziedzinie zagrożeń bezpieczeństwa IT. Jak mówi Olejnik, wcześniej tego rodzaju problemy były dla specjalistów z branży nieznane, a nawet trudne do wyobrażenia.
Meltdown i Spectre różnią się koncepcyjnie. W pierwszym problemie chodzi o dostęp do pamięci jądra systemu operacyjnego z poziomu aplikacji w warstwie użytkownika. Oba dotyczą jednak spekulatywnego wykonywania instrukcji w procesorze. Spekulatywne wykonanie kodu to technika, dzięki której procesor może próbować przewidywać, jakie instrukcje należy wykonać w przyszłości - w praktyce oznacza to, że czasem ładowana jest pamięć, której nie trzeba nigdy używać
Dzięki temu właśnie atakujący z wykorzystaniem podatności Meltdown i Spectre mogą uzyskiwać dostęp do informacji, do których w normalnych warunkach nie byłoby dostępu z powodu izolacji pomiędzy procesami.
Mówiąc prostymi słowami oznacza to, że atakujący mogą wykraść hasła, klucze kryptograficzne, prywatne dane i właściwie każde inne informacje znajdujące się w pamięci
Ekspert w rozmowie z PAP ostrzega również, że problem dotyczy nie tylko komputerów, ale i smartfonów. Jak mówi, usługi chmurowe stają się szczególnym ryzykiem.
"Często jest tak, że klienci usług tego rodzaju nie mają przypisanych komputerów na wyłączność" - mówi badacz. "Gdy serwer i procesor są współdzielone przez kilku klientów usług chmurowych, jeden może uzyskać dostęp do prywatnych danych innego klienta" - zauważa i wyjaśnia, że dzięki temu niepowołane do tego osoby mogą uzyskać dostęp do informacji innych użytkowników w bardzo prosty sposób, wyłącznie dzięki wynajęciu usługi chmurowej.
Czytaj więcej: Błąd w architekturze procesorów Intel, poprawka powoduje znaczny spadek wydajności
Olejnik w rozmowie z PAP wskazał również na zagrożenia, z którymi Meltdown i Spectre wiążą się z perspektywy zwykłych użytkowników internetu. "Istnieje ryzyko wykradnięcia danych w następstwie samego odwiedzenia złośliwej strony internetowej" - zauważa, tłumacząc, że do przeprowadzenia takiego ataku wystarczy wykonanie złośliwego kodu JavaScript, co sprawia, że praktycznie każdy użytkownik internetu może stać się celem ataku.
W celu zabezpieczenia przeglądarek, nowe wersje Firefox i Chrome już zmieniły zasady działania pewnych mechanizmów niskopoziomowych i zwiększają izolację programową między różnymi zakładkami
Jak podkreśla badacz cyberbezpieczeństwa, aby zneutralizować problemy związane z Meltdown i Spectre, konieczne jest przeprojektowanie tego, jak działają procesory. "Całkowite rozwiązanie problemu prawdopodobnie wymaga wymiany sprzętu. Obecnie na rynku nie ma procesorów odpornych na te podatności. Jest więc bardzo możliwe, że konsekwencje z nimi związane świat będzie odczuwał latami" - konkluduje Olejnik.
Czytaj więcej: Google i AMD o podatności w procesorach