Didelių tarnybinių stočių ūkių valdytojai (tokie, kaip „Google“ bei „Amazon“) jau dabar naujina savo kompiuterius, kad vienų žmonių šiose stotyse vykdomos operacijos nebūtų matomos visai kitiems žmonėms (tiksliau, jų sukurtoms programoms), tačiau ką tai reiškia namų kompiuterių ir išmaniųjų telefonų naudotojams?
„Google Project Zero“ saugumo tyrėjai tinklaraštyje skelbia, kad problemą pastebėjo dar praėjusiais metais. Jie nurodo, kad daugumoje įrenginių su „Android“ operacine sistema šių klaidų išnaudojimas yra „sudėtingas ir ribotas“. Sudarytas ir potencialiai pažeidžiamų paslaugų bei techninės įrangos sąrašas, o naujausiame „Android“ sistemos saugumo atnaujinime yra įtrauktos priemonės, kad asmeninė informacija nenutekėtų į netinkamas rankas.
„Microsoft“ savo pareiškime skelbė: „Šiuo metu platiname priemones, apsaugančias debesines paslaugas, taip pat išplatinome saugumo naujinius, kurie apsaugos „Windows“ vartotojus nuo saugumo spragų, esančių palaikomuose procesoriuose, pagamintuose „Intel“, ARM ir AMD“. Tinklaraštyje, skirtame „Azure“ tarnybinių stočių platformos naudotojams ši korporacija skelbia, kad jų infrastruktūra jau yra atnaujinta ir kad didžioji dauguma vartotojų neturėtų pajusti neigiamo poveikio produktyvumui.
„Apple“ oficialių pareiškimų, susijusių su šia saugumo spraga, neplatino, tačiau kibernetinio saugumo ekspertas Alexas Ionescu nurodė, kad „macOS 10.13.2“ versijoje jau yra priemonių, susijusių su šia spraga, o 10.13.3 sistemos naujinyje bus ir „staigmenų“.
AMD skelbė: „dėl kitokios AMD architektūros esame įsitikinę, kad grėsmė AMD procesoriams yra artima nulinei“, tačiau pažadėjo, kad gavus daugiau informacijos bus pateikta ir daugiau vartotojams skirtų žinių. Tuo tarpu ARM skelbia, kad daugumai jų gaminamų procesorių šios saugumo spragos nėra būdingos, tačiau turima specifinės informacijos apie pažeidžiamus produktus.
Ką gi tai reiškia paprastiems vartotojams? Kibernetinio saugumo ekspertai pateikia standartines rekomendacijas – įsidiekite į kompiuterius naujausias saugumo pataisas ir stenkitės vengti programų bei kitokio turinio siuntimosi iš įtartinų šaltinių, mat šios programos gali būti „praturtintos“ piktybiniais elementais.
Dvi klaidos
Naujienų agentūra „Reuters“ rašo, kad „Intel“ procesoriams būdinga tik viena iš dviejų aptiktųjų architektūros klaidų. Antrąją klaidą galima rasti praktiškai visuose šiuolaikiniuose gaminiuose, kuriuose esama procesorių – nešiojamuosiuose, staliniuose, planšetiniuose kompiuteriuose, išmaniuosiuose telefonuose ir interneto platformose.
Pirmoji klaida, pavadinta „Meltdown“, programišiams leidžia įveikti techninės įrangos barjerą, esantį tarp programų, kurias vykdo vartotojai, ir kompiuterio atminties – potencialiai ji programišiams suteikia galimybę iš kompiuterio atminties nuskaityti vartotojų slaptažodžius.
Antroji klaida, vadinama „Spectre“, yra ir „Intel“, ir AMD, ir ARM procesoriuose – išnaudoję šią klaidą programišiai gali priversti šiaip jau korektiškai veikiančias programas perduoti jiems slaptą informaciją apie kitus vartotojus. Abiejų spragų išsamesnius aprašymus galima rasti šioje svetainėje.
„Meltdown“ spragos užtaisymai „Windows“ ir „MacOS“ vartotojams jau yra parengti ir platinami.
Graco technologijų universiteto (Austrija) tyrėjas Danielis Grussas, dirbantis grupėje, atradusioje „Meltdown“, teigė, kad tai yra „turbūt rimčiausia kada nors surasta procesoriaus klaida“.
Anot jo, „Meltdown“ klaida vertinant trumpuoju laikotarpiu yra grėsmingesnė už „Spectre“, tačiau ją galima patikimai užkimšti programiniais pataisymais. Tuo tarpu „Spectre“ yra platesnės apimties spraga, esanti praktiškai visuose skaičiuojamosiomis galimybėmis pasižyminčiuose įrenginiuose. Programišiams ja pasinaudoti yra sunkiau, tačiau ir užkimšti ją gerokai sudėtingiau, todėl vertinant ilguoju periodu tai yra rimtesnė grėsmė.
„Intel“ vadovas pirmiausiai saugojo save?
Įmonės „Intel“ vadovas Brianas Krzanichius sakė, kad „Google“ apie spragas jiems pranešė „prieš kurį laiką“ ir kad baiginėjami bandymai pataisų, kurios techninės įrangos gamintojams, naudojantiems „Intel“ lustus, bus išplatintos ateinančią savaitę. Iki spragų išviešinimo „Google“ savo tinklaraštyje rašė, kad „Intel“ ir kitos įmonės viešai apie jas pradės kalbėti sausio 9 dieną. „Google“ nurodė, kad apie „Spectre“ susijusias įmones informavo 2017 m. birželio 1 dieną, apie „Meltdown“ – kiek vėliau, bet iki 2017 m. birželio 28 dienos.
„Intel“ neigė, kad bus padarytas koks nors poveikis našumui.
Pirmieji viešai apie šią problemą paskelbę „The Register“ žurnalistai nurodė, kad dėl papildomų operacijų pareikalausiančių pataisymų veikimo ypatumų visi atnaujinti kompiuteriai su „Intel“ procesoriais veiks 5-30 proc. lėčiau, tačiau „Intel“ neigė, kad bus padarytas koks nors poveikis našumui.
„Intel“ pradėjo teikti programinius atnaujinimus, neleidžiančius pasinaudoti šiomis spragomis. Skirtingai, nei rašoma kai kuriuose pranešimuose, bet koks poveikis našumui yra susijęs su darbo krūviu ir įprastiniams kompiuterių vartotojams jis nebus reikšmingas, o ilgainiui apskritai bus pašalintas“, – rašoma įmonės viešame pranešime.
Tuo tarpu „Business Insider“ rašė, kad lapkričio pabaigoje, kai „Intel“ jau tikrai buvo žinoma apie šias spragas ir galimą jų įtaką, B.Krzanichius pardavė įmonės akcijų už 24 mln. JAV dolerių. „Intel“ teisinasi, kad šie du faktai nėra susiję ir akcijų pardavimas buvo suplanuotas iš anksto – spalio mėnesį. Tiesa, jau ir spalį apie šias spragas buvo žinoma.
Po pirmųjų žinių apie procesorių klaidas „Intel“ akcijų vertė krito 3,4 procentais, tačiau netrukus atgavo 1,2 vertės ir pakilo iki 44,7 dolerių už akciją. AMD akcijų vertė išaugo 1 procentu iki 11,77 dolerių už akciją.
ARM atstovas spaudai Philas Hughesas sakė, kad įmonės partneriams, tarp kurių yra daugelis išmaniųjų telefonų ir planšetinių kompiuterių gamintojų, jau išplatintos programinės pataisos. „Šis metodas veiksmingas tik tuo atveju, jeigu tam tikro tipo piktybinis kodas jau veikia įrenginyje ir blogiausiu atveji juo pasinaudojus galima išgauti tik mažus duomenų fragmentus iš privilegijuotos atminties srities“, – sakė P.Hughesas.
Nors „Spectre“ klaida būdinga ir AMD procesoriams, įmonės atstovai tvirtina, kad ją galima taisyti programiniu būdu. Anot jų, „šiuo metu grėsmė AMD produktams yra artima nuliui“.
„Google“ skelbia, kad saugūs yra tie „Android“ telefonai, kuriuose įdiegti naujausi saugumo papildymai – pavyzdžiui, jų pačių gaminami „Nexus“ ir „Pixel“ serijų gaminiai. „Gmail“ paslaugos naudotojams jokių papildomų veiksmų imtis nereikia, tačiau „Google Chrome“ naršyklės, „Chromebook“ kompiuterių ir debesinių „Google“ paslaugų naudotojams reikės įsidiegti programinius naujinius.
Kibernetinio saugumo bendrovės „Trail of Bits“ vadovas Danas Guido tvirtina, kad verslo įmonės turėtų kuo skubiau užlopyti pažeidžiamas savo sistemas – anot jo, programišiai nedelsdami suprogramuos kodus, kurie leis vykdyti išpuolius išnaudojant šias klaidas. „Šių klaidų išnaudojimo priemonės bus įtrauktos į programišių standartinį įrankių rinkinį“, – sakė jis.