Ekspert: Meltdown i Spectre pokazują bezsens prognoz cyberbezpieczeństwa

Ujawnione w środę wady projektowe procesorów, które pozwoliły na powstanie luk bezpieczeństwa znanych jako Meltdown i Spectre, zagrażają większości obecnie działających komputerów na świecie.

Czytaj więcej: Apple potwierdziło, że ich wszystkie urządzenia dotknięte są Meltdown i Spectre

Dr Łukasz Olejnik, konsultant cyberbezpieczeństwa i prywatności oraz badacz afiliowany przy Centrum Polityki Technologii Informacyjnych (ang. Center for Information Technology Policy) Uniwersytetu Princeton, w rozmowie z PAP zauważa, że problem dotyczy w pewnym stopniu wielu architektur procesorów - zarówno Intela, AMD i ARM. 

Jeśli chodzi o Meltdown, cały obecnie dostępny na rynku sprzęt komputerowy dotknięty jest tym problemem

Jego zdaniem, Meltdown i Spectre to zupełnie nowa klasa problemów cyberbezpieczeństwa, która pokazuje bezsens formułowania długoterminowych, a nawet niezbyt oddalonych w czasie prognoz w dziedzinie zagrożeń bezpieczeństwa IT. Jak mówi Olejnik, wcześniej tego rodzaju problemy były dla specjalistów z branży nieznane, a nawet trudne do wyobrażenia.

Meltdown i Spectre różnią się koncepcyjnie. W pierwszym problemie chodzi o dostęp do pamięci jądra systemu operacyjnego z poziomu aplikacji w warstwie użytkownika. Oba dotyczą jednak spekulatywnego wykonywania instrukcji w procesorze. Spekulatywne wykonanie kodu to technika, dzięki której procesor może próbować przewidywać, jakie instrukcje należy wykonać w przyszłości - w praktyce oznacza to, że czasem ładowana jest pamięć, której nie trzeba nigdy używać

Dzięki temu właśnie atakujący z wykorzystaniem podatności Meltdown i Spectre mogą uzyskiwać dostęp do informacji, do których w normalnych warunkach nie byłoby dostępu z powodu izolacji pomiędzy procesami.

Mówiąc prostymi słowami oznacza to, że atakujący mogą wykraść hasła, klucze kryptograficzne, prywatne dane i właściwie każde inne informacje znajdujące się w pamięci

Ekspert w rozmowie z PAP ostrzega również, że problem dotyczy nie tylko komputerów, ale i smartfonów. Jak mówi, usługi chmurowe stają się szczególnym ryzykiem.

"Często jest tak, że klienci usług tego rodzaju nie mają przypisanych komputerów na wyłączność" - mówi badacz. "Gdy serwer i procesor są współdzielone przez kilku klientów usług chmurowych, jeden może uzyskać dostęp do prywatnych danych innego klienta" - zauważa i wyjaśnia, że dzięki temu niepowołane do tego osoby mogą uzyskać dostęp do informacji innych użytkowników w bardzo prosty sposób, wyłącznie dzięki wynajęciu usługi chmurowej.

Czytaj więcej: Błąd w architekturze procesorów Intel, poprawka powoduje znaczny spadek wydajności

Olejnik w rozmowie z PAP wskazał również na zagrożenia, z którymi Meltdown i Spectre wiążą się z perspektywy zwykłych użytkowników internetu. "Istnieje ryzyko wykradnięcia danych w następstwie samego odwiedzenia złośliwej strony internetowej" - zauważa, tłumacząc, że do przeprowadzenia takiego ataku wystarczy wykonanie złośliwego kodu JavaScript, co sprawia, że praktycznie każdy użytkownik internetu może stać się celem ataku.

W celu zabezpieczenia przeglądarek, nowe wersje Firefox i Chrome już zmieniły zasady działania pewnych mechanizmów niskopoziomowych i zwiększają izolację programową między różnymi zakładkami

Jak podkreśla badacz cyberbezpieczeństwa, aby zneutralizować problemy związane z Meltdown i Spectre, konieczne jest przeprojektowanie tego, jak działają procesory. "Całkowite rozwiązanie problemu prawdopodobnie wymaga wymiany sprzętu. Obecnie na rynku nie ma procesorów odpornych na te podatności. Jest więc bardzo możliwe, że konsekwencje z nimi związane świat będzie odczuwał latami" - konkluduje Olejnik.

Czytaj więcej: Google i AMD o podatności w procesorach