Κενά ασφαλείας Meltdown & Spectre

Το bug της χρονιάς

Ίσως διαβάσατε στα νέα τελευταία για δύο πολύ σοβαρά κενά ασφαλείας (το Meltdown και Spectre) στους επεξεργαστές όλων σχεδόν των πληροφοριακών συστημάτων. Η/Υ, laptops, κινητά, servers, όλα επηρεάζονται. Τα κενά ασφαλείας αφορούν επεξεργαστές των Intel, AMD, Apple & ARM. Δηλαδή του περίπου ~99,9% των επεξεργαστών που κυκλοφορούν στο εμπόριο. Ακόμα και οι επεξεργαστές ορισμένων καρτών γραφικών (GPU) επηρεάζονται από τα κενά αυτά. Δεν είναι τυχαίο ότι βαπτίστηκε bug της χρονιάς και ενώ καλά καλά δεν έχει μπει ο χρόνος (αν και ανακαλύφτηκε μέσα στο 2017). Το ότι λίγους μήνες πριν την ανακοίνωση ο διευθύνων σύμβουλος της Intel ξεφορτωνόταν μαζικά μετοχές της εταιρείας του, τροφοδότησε θεωρίες(;) για γνώση του σοβαρότατου προβλήματος εκ των προτέρων.

Meltdown & Spectre

Θα είναι λίγο δύσκολο να εξηγήσουμε τι ακριβώς είναι αυτά τα κενά ασφαλείας. Τεχνικές λεπτομέρειες μπορείτε να βρείτε εδώ. Ας πούμε ότι ο επεξεργαστής στους υπολογιστές μας εδώ και κάμποσα χρόνια, αφήνει τις εφαρμογές που τρέχουν οι υπολογιστές να διαβάζουν την «υποτιθέμενα προστατευμένη” μνήμη του η/υ χωρίς καμία προστασία. Έτσι δίνει σε οποιαδήποτε κακόβουλη εφαρμογή εκτελείται, πρόσβαση σε όλα τα δεδομένα μας (κωδικούς ασφαλείας, προσωπικά στοιχεία, επικοινωνίες, κ.α.). Δεν γνωρίζουμε αν τα κενά αυτά έχουν χρησιμοποιηθεί για επιθέσεις ως τώρα, καθώς κάτι τέτοιο δεν θα άφηνε κανένα ίχνος.

Τα κακά νέα – η λυπητερή του cloud

Το χειρότερο της υπόθεσης αφορά τις cloud υπηρεσίες και κυρίως τους «μεγάλους παίκτες” του κλάδου. Εκεί, το κενό ασφαλείας γιγαντώνεται! Και αυτό επειδή στους cloud servers η cpu του host που φιλοξενεί τα εικονικά μηχανήματα (virtual servers) και είναι κοινή για όλα, μπορεί να διαβαστεί από οποιοδήποτε εικονικό μηχάνημα. Άρα τα στοιχεία σας στο cloud, μπορούν να διαβαστούν από οποιοδήποτε άλλο πελάτη του ίδιου cloud!!!!

Τα μισό-καλά νέα

Πριν λίγες μέρες κυκλοφόρησαν αρκετές ενημερώσεις που διορθώνουν το 1ο κενό στα λειτουργικά συστήματα, το Meltdown. Ήδη από την ημερομηνία που κυκλοφόρησε η ενημέρωση, έχουμε και εμείς εδώ στην Πρίζα ενημερώσει όλα τα συστήματα μας. Επίσης το Ίδρυμα Mozilla ανακοίνωσε την έκδοση 57.0.4 του Mozilla Firefox που διορθώνει το 2o κενό (Spectre) σε επίπεδο browser. Παράλληλα η Intel και η AMD κυκλοφόρησαν κάποιες ενημερώσεις firmware, αλλά δεν πήγαν και τόσο καλά, και ούτε είναι σίγουρο ότι διόρθωσαν κάτι.

Spectre

Το Spectre είναι δυστυχώς πολύ πιο πολύπλοκο κενό ασφαλείας από το Meltdown και γι’ αυτό οι ερευνητές χρειάζονται περισσότερο χρόνο για να βρουν μια σωστή και μόνιμη λύση. Αυτό μπορεί να χρειαστεί μέρες ακόμα ή και βδομάδες να φτιαχτεί. Δυστυχώς σαν χρήστες δεν μπορούμε να κάνουμε και πολλά εκτός του να αναμένουμε τις επίσημες διορθώσεις.

Ενημερώσεις

Ελέγχετε τακτικά για ενημερώσεις στον υπολογιστή σας και να προχωράτε στις ενημερώσεις ασφαλείας άμεσα κάθε φορά που θα δείτε διαθέσιμες. Δείτε αναφορές για κάποια λειτουργικά συστήματα Linux, π.χ Linux Mint, Ubuntu, Debian GNU/Linux, Red Hat. Επίσης υπάρχουν εργαλεία για να ελέγξετε αν είστε ευάλωτοι σε αυτές τα 2 κενά ασφαλείας. Να γνωρίζετε ότι υπάρχουν αναφορές ότι οι διορθώσεις αυτών των κενών ασφαλείας μπορεί να προκαλέσουν καθυστερήσεις στα ευάλωτα συστήματα.

Προτιμάμε Mozilla Firefox που ήταν ταχύτατοι σε αντίδραση και κυκλοφόρησαν άμεσα browser που διορθώνει τα κενά. Η Google αναμένεται να κυκλοφορήσει αντίστοιχα «διορθωμένο” Chrome (version 63) μέχρι τα τέλη του μήνα.

Προβλήματα με τις ενημερώσεις στα δύο κενά ασφαλείας

Στα Windows υπάρχει πρόβλημα με τα προγράμματα antivirus, ενώ μετά τις ενημερώσεις σε μερικούς υπολογιστές με AMD επεξεργαστές, δεν μπορούν να boot-άρουν στο λειτουργικό σύστημα. Υπάρχουν αναφορές για προβλήματα και σε υπολογιστές με linux, και συγκεκριμένα με το Ubuntu 16.04, που σε ορισμένες περιπτώσεις μετά την ενημέρωση δεν μπορούσαν να boot-άρουν.

Περισσότερα

Περισσότερα για τα Meltdown & Spectre κενά, μπορείτε να βρείτε στους παρακάτω συνδέσμους :

https://meltdownattack.com/

https://lwn.net/Articles/742999/

https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)

https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)