Co byste měli vědět o bezpečnostních chybách procesorů Intel, AMD a ARM

  15:37aktualizováno  15:37
Zrychlování práce procesorů má jeden vedlejší efekt, objevilo se několik chyb, které mohou dovolit útočníkovi dostat se nepozorovaně k citlivým datům uživatele. Problém se týká v různé míře všech velkých výrobců čipů od Intelu přes AMD až po úsporné mobilní čipy ARM.

V procesorech Intel, AMD a ARM byly objeveny zranitelnosti označované jako Meltdown a Spectre . | foto: Meltdownattack.com/

Začátek nového roku není pro výrobce procesorů v čele s Intelem vůbec příjemný. Na začátku týdne byla zveřejněna informace o problémech čipů Intel, později byly potvrzeny i bezpečnostní nedostatky u produktů dalších výrobců procesorů, tedy AMD a platformy ARM. Problémy se týkají toho, jak čipy nakládají s chráněnou oblastí paměti a tou, která je určená pro uživatelské programy a požadavky. 

Kdy se na chyby přišlo

Společnost Google, která na chyby spolu s dalšími odborníky upozornila zhruba před půl rokem, začala spolupracovat s příslušnými firmami na tom, aby se s problémem vypořádaly. Celá akce probíhala pod přísným utajením a všichni, kdo s chybou měli přijít do styku, museli podepsat dohodu o mlčenlivosti. Důvod byl nasnadě, pokud by se k těmto informacím dostali útočníci, mohli pracovat na jejich zneužití ještě dříve, než by byly připraveny opravy.

Oficiální termín, kdy chtěly zainteresované firmy přijít s informacemi o chybě ven, byl stanoven na 9. ledna, což je i datum pravidelné úterní aktualizace Windows, která měla obsahovat příslušnou opravu. Jak jsme psali již ve středu, lze tuto chybu vyřešit softwarovou úpravou na úrovni operačního systému, ale za cenu určitého zpomalení systému, které se týká spíše serverů než běžných uživatelských počítačů.

S informacemi se však nakonec muselo ven dříve, protože si někteří odborníci všimli připravované úpravy v operačním systému Linux, a tak se chyba začala probírat a firmy na to musely reagovat.  

Čeho se problém týká

Nyní se řeší dva balíky problémů, ale oba se týkají podobných procesů. Jeden dostal označení Meltdown a druhý Spectre.

První zmíněná chyba zasahuje s největší pravděpodobností pouze procesory Intel a zahrnuje tak počítače, notebooky (pokud nejsou vybaveny čipem Intel Atom z roku 2013 a starším), ale i servery, pokud nepoužívají procesory Itanium. Poslední informace hovoří i zasažení čipu Cortex-A75 od ARM.

Druhá chyba, označovaná jako Spectre, vedle čipů od Intelu postihuje i konkurenční AMD a dokonce i úsporné procesory ARM, které v různých variantách najdete mobilních zařízeních a tabletech včetně iPhonů a iPadů. Problémy se tak netýkají pouze platformy x86, jak se původně myslelo, ale drtivé většiny počítačů a mobilních zařízení. 

Postiženy jsou tak miliardy zařízení na celém světě, přičemž na více problematickou chybu Meltdown jsou již připraveny opravy.

Je možné, že se v budoucnu objeví tyto chyby i na dalších čipech, jak je budou postupně odborníci na tyto chyby testovat, ale vzhledem k jejich rozšíření bude dopad výrazně menší.

Jak mohou chybu zneužít útočníci

Obě chyby mají jiný způsob zneužití. Meltdown, který podle odborníků mohou potenciální útočníci využít jednodušeji, dokáže laicky řečeno za určitých okolností získat postranním kanálem přístup do chráněné systémové paměti, kam se běžné uživatelské programy dostanou pouze na povolení. Tato část paměti je určená pro komunikaci mezi operačním systémem a hardwarem, jako je třeba pevný disk. Mohou se tak v ní vyskytovat citlivé údaje, jako jsou hesla, osobní fotografie a další.

Chyba umožní přečíst útočníkovi tuto chráněnou část paměti bez povolení tím, že přeruší mechanismus chránící přístup k této paměti. Chyba má název Rogue Data Cache Load a podrobnosti o ní najdete zde.

Při útoku není možné informace měnit, mazat nebo přidávat kód či data a tedy by útočník neměl zneužitím této chyby získat přístup k celému počítači. Alespoň to tvrdí Intel, ve své zprávě o problému.

Odborníci předvedli první ukázky toho, jak získat z počítače citlivá data, ale není zatím známo, že by tuto chybu začali zneužívat útočníci. To se ale může rychle změnit, jakmile budou zveřejněny konkrétní technické podrobnosti o chybě.

Naproti tomu problém označovaný jako Spectre umožní útočníkovi přečíst paměť jiného konkrétního programu či aplikace, která je jinak napsaná bezchybně. Aplikace pak umožní získat přístup do libovolné části jí vyhrazené paměti. Aby to nebylo tak jednoduché, Spectre popisuje dva problémy (Bounds Check Bypass a Branch Target Injection, technický popis obou je zde) jak k tomu může dojít. I v tomto případě útočník může využít postranní kanál k obejití ochrany přístupu k paměti.

Odborníci tvrdí, že problém Spectre je hůře zneužitelný, ale také bude mnohem složitější jej opravit. Stejně to vidí i firma AMD, která tvrdí, že riziko úspěšného útoku prostřednictvím nedostatku Branch Target Injection v rámci problému Spectre je v jejím případě téměř rovno nule. Byť jej zcela nevylučuje.

Co je třeba dělat

Jako závažnější se z dosavadních informací jeví chyby označovaná jako Meltdown, ale protože byla jednodušeji opravitelná, je po půl roce práce připravena oprava. Ta spočívá v úpravě operačních systémů tak, aby se striktně oddělila paměť určená pro uživatelský přístup od chráněné paměti pro komunikaci mezi OS a hardwarem. Uživatelé tak musí své operační systémy Windows, OS X a Linux aktualizovat na nejnovější verzi.

Problém aktualizace je ale v tom, že se kvůli ní zpomalí výkon procesoru. Podle dosavadních testů (zde, zde nebo zde) se to projeví nejvíce v oblasti serverových systémů a cloudových služeb. Menší dopad má oprava na běžného uživatele, kde zpomalení pocítí například při práci s archivy (zip, rar, arj a dalšími) nebo a s dalšími procesy náročnými na paměť a výkon čipu.

Ale třeba zpomalení u vyspělých her se dostalo na hranici statistické chyby, když bylo v řádu procent. Moudřejší ale budeme až budou opravy nasazeny a hromadně otestovány. Inteĺ navíc tvrdí, že postupně se bude toto zpomalení chodu zmenšovat, jak bude přicházet s lepšími opravami. Souhlasí i Google.

Dá se očekávat, že v nových procesorech již bude tato chyba odstraněna zcela přímo v návrhu čipů.

05.ledna 2018 v 04:38, příspěvek archivován: 05.ledna 2018 v 14:24

Industry Testing Shows Recently Released Security Updates Not Impacting Performance in Real-World Deployments: https://t.co/sHlIDooJQ4

V případě problémů Spectre bude postup poněkud složitější, protože firmy budou vydávat nejen úpravu operačního sytému, ale také například prohlížečů a dalších aplikací a dá se očekávat i úprava firmware, který ovládá hardware. I zde však již velké společnosti nabídly opravy.

Odkazy na stránky podpory firem, které problém řeší

Znovu tedy platí, aktualizujte si veškerý software i firmware na nejnovější verzi.

Opravu také provádějí provozovatelé serverů a cloudových služeb a lze tak očekávat předem ohlášené odstávky kvůli aktualizacím.

Jak velký je to problém?

Tyto chyby na úrovni fungování procesorů jsou problematické proto, že umožní obejít běžné zabezpečení, a to včetně nástrojů, které používají antiviry. Ty však mohou odhalit škodlivý kód, který se chybu pokouší zneužít. Další nebezpeční plyne z toho, že pomocí takového útoku po sobě útočník nezanechá žádný záznam v počítači a nelze tak ani později odhalit, že byl počítač napaden.

Aktuální série oprav na chybu Meltdown však počítač zabezpečí. Obavy tak může vyvolávat spíše některý z útoků Spectre. Ne však nyní. Zatím se totiž ještě neobjevil scénář, jak chybu zneužít. Ten se dá očekávat v budoucnu, až se různé hackerské skupiny zaměří na to, jak problém zneužít pro svůj prospěch. Může se dokonce ukázat, že je útok tak složitý, že jej bude možné využít jen ve specifických případech a větší zásah nehrozí.

Na druhou stranu jsou již nyní podniknuty částečné kroky k nápravě chyby v rámci Spectre, takže firmy jako Microsoft, Google, Apple a další již tvrdí, že své produkty aktualizovaly tak, že by měly být vůči potenciálním útokům odolné.

Autor:


Nejčtenější

Nelíbí se mi, kam se internet vydal, říká vynálezce WWW. Chce to změnit

Tim Berners-Lee představuje vizi nového, decentralizovaného internetu...

V roce 1990 spustil první webový server a odstartoval tak revoluci. Díky němu se internet rozšířil do celého světa, do...

Mučení a vraždu novináře prý nahrály hodinky Apple. Nejspíš to bylo jinak

Apple Watch 2

Údajná vražda opozičního saúdskoarabského novináře Džamála Chášakdžího na konzulátu v Turecku vyvolává mezinárodní...



Rusové ztrácejí u partnerů kredit, říká český odborník k nehodě Sojuzu

Start lodě Sojuz MS-10 se nezdařil, posádka musela přistát nouzově přistát....

Porucha nosiče Sojuz bude mít největší dopad na provoz ISS, říká Michal Václavík z České kosmické kanceláře. Mimo jiné...

Ve věku 65 let zemřel na rakovinu Paul Allen, s Gatesem založil Microsoft

Paul Allen na snímku z prosince 2017.

Ve věku 65 letech zemřel v pondělí spoluzakladatel firmy Microsoft Paul Allen. Miliardář, filantrop a hledač lodních...

Návrat „imperialistického brouka“? Výzkumný program USA vzbudil obavy

Program „Hmyzí spojenci“ má změnit škůdce v pomocníky v zemědělství.

Skupina vědců v časopise Science varuje před možným zneužitím amerického výzkumného programu, který vyvíjí zcela nový...

Další z rubriky

Wi-fi přichází s velkou změnou, bude jednoduše číslovat verze

Nové značení wi-fi.

Aliance, která má na starosti bezdrátový formát wi-fi, se rozhodla výrazně změnit jeho značení.

Po grafických kartách přichází nedostatek nejvýkonnějších čipů Intel

Core i7 logo

Je to jen pár měsíců, co skončil dlouhodobý nedostatek nejvýkonnějších grafických karet od AMD a Nvidia a přichází...

Facebook uvádí svůj první kus hardwaru. Přes Portal si můžete volat

Facebook Portal v bílé

Společnost Facebook přestavila dvě komunikační zařízení, Facebook Portal a Facebook Portal+.



Najdete na iDNES.cz