četvrtak, 4. siječnja 2018.

Sigurnosni problem s Intelovim procesorima

Ako slučajno posjedujete računalo ili laptop koje pogoni Intelov procesor, a gledajući prema tržišnom udjelu Intela šanse za to su vrlo dobre, vjerojatno ste zahvaćeni ranjivošću na hardverskoj razini. Za slučaj da kompjuter pogoni procesor konkurenta, također biste mogli osjetiti posljedice ove greške, jer većina servera koristi Intelove procesore.
Moguće zakrpe će, najvjerojatnije samo u početku, biti izdane na razini operativnog sustava, stoga će usporenja biti moguća također na računalima s procesorima drugih proizvođača.

Greškom je zahvaćen bilo koji Intelov procesor proizveden od 1995. godine do danas, s iznimkom Itanium i Atom procesora proizvedenih prije 2013. godine. Moguće zakrpe onemogućile bi grešku s razine operativnog sustava, a prema prvim navodima usporile bi računalo čak do 30 posto.

1. U ČEMU JE USTVARI PROBLEM?

Ranjivost, odnosno greška unutar samog kernela procesora, dozvoljava normalnim korisničkim aplikacijama pristup zaštićenoj memoriji kernela. Kernel je u središtu samog operativnog sustava, a putem njega se izvršavaju najosjetljiviji i neki od najbitnijih zadataka unutar računala. Primjerice, kernel upravlja interakcijom između neke aplikacije i sustava za pohranu datoteka.

Radi se ustvari o “vrataru” koji dozvoljava aplikacijama zapisivanje i čitanje podataka s memorije. Kernel također upravlja uređajima unutar računala, primjerice tipkovnicom ili kamerom. Najjednostavnije rečeno, kernel može upravljati bilo čime u računalu. Upravo zbog toga nitko ne bi htio imati kompromitirani kernel, jer je kernel vjerojatno ponajbolje mjesto za napad, odnosno hakiranje računala.

2. PROBLEM JE MNOGO GORI ZA POSLUŽITELJE

Zbog greške u dizajnu Intelovih procesora, korisničke aplikacije s nižim pristupom (odnosno s većim ovlastima nad računalom), mogu čitati zaštićeni dio memorije unutar kernela. Ako neki haker ili obavještajna agencija pronađu način za instalaciju aplikacije na računalo, u teoriji oni bi mogli pročitati lozinke, enkripcijske ključeve i privremeno pohranjene datoteke unutar memorije kernela.

Stvar postaje eksponencijalno gora na dijeljenim računalima, primjerice na cloud poslužiteljima poput Amazonovih Web Servisa, Dropboxa i sličnih. Ti servisi dijele računala na više klijenata istovremeno, odnosno, jedan korisnički račun nije dodijeljen samo jednom računalu ili serveru. U slučaju da se hakeri uspješno ubace preko jednog korisničkog računa na server, pa potom ostvare pristup kernelu, mogli bi u teoriji dobiti pristup svim korisničkim računima s tog servera.

3. KAKO JE GREŠKA OTKRIVENA?

Erik Bosman, član grupe za sistemsku i mrežnu sigurnost fakulteta u Amsterdamu, u srijedu je tvitao dokaz koncepta hakiranja kernela putem ranjivosti procesora, o kojem se u to vrijeme nagađalo, ali nije moglo potvrditi. Daniel Gruss s tehničkog sveučilišta u Grazu jedan je od prvih koji je otkrio grešku, uz zaposlenike njemačke kompanije za informacijsku sigurnost Cyberus Technology.

U svojoj izjavi za Forbes Gruss je rekao da oni imaju samo koncept vršenja napada za lokalne napade, odnosno napade koji se vrše sa samog računala. Zbog toga, objašnjava Gruss, potrebno je prvo dobiti pristup korisničkom računalu. Isti napad je Grussov tim pokušao izvesti na AMD i ARM sustavima, no bez ikakvih rezultata. Britanski ARM se ubrzo oglasio s tvrdnjom kako njihovi procesori nisu zahvaćeni greškom, no kasnije su rekli kako ipak ne isključuju mogućnost ranjivosti.

4. OGLASIO SE INTEL

Intel je u srijedu navečer izdao službenu objavu u kojoj su istaknuli kako izmjene unutar kernela nisu moguće, ali kako je moguće “samo” špijunirati podatke. Obrušili su se na konkurente s tvrdnjom kako su oni možda također zahvaćeni istim greškama. Istaknuli su ipak kako surađuju s AMD-om, ARM-om i proizvođačima operativnih sustava kako bi uklonili mogućnost napada.

Kažu kako su se odlučili oglasiti prije nego što razviju zakrpu za problem, navodno zbog netočnih pisanja medija o tome kako je ranjivo cijelo računalo. Službena zakrpa bi trebala biti dostupna sljedeći tjedan, kao i ponešto više detalja oko problema. Također, preporučuju instalaciju svih dostupnih zakrpa u sljedećih par tjedana

5. INTEL ODBACUJE TVRDNJE O MOGUĆIM USPORAVANJIMA

U objavi su također negirali moguća usporavanja računala zbog ovog problema. Prema prvim pisanjima The Registera, moguća usporavanja su procijenjena između pet i 30 posto, ovisno o tome o kojem procesoru i aktivnim aplikacijama se radi. The Register je kasnije izmijenio procjenu te naveo kako će usporavanja iznositi između 17 i 23 posto.

Intel tvrdi da zakrpe neće uzrokovati nikakva značajnija usporavanja za prosječne korisnike te da će problem biti posve uklonjen u “dogledno vrijeme”. Gruss je potvrdio Intelove tvrdnje,jer se slaže kako prosječni korisnici neće osjetiti nikakve značajnije razlike. Međutim, istaknuo je kako bi starija računala mogla biti sporija do čak 50 posto.

6. LINUX JE VEĆ UKLONIO PROBLEM

Softverske zakpre nekih proizvođača operativnih sustava su još u razvoju, ali Linuxov kernel je već zakrpan. Zakrpu je osobno objavio tvorac Linux kernela Linus Torvalds, a Microsoft će prve zakrpe izdati u utorak. Prvotna testiranja na operativnim sustavima s Linux kernelom upućuju na pad performansi od oko 18 posto. MacRumors piše kako je Apple već izdao zakrpu unutar macOS 10.13.2, koji je izdan 6. prosinca 2017. godine.

Problematično je što će zakrpe unutar operativnih sustava biti aktivne na svim platformama, uključujući i AMD. Očekuje se da će se stoga usporavanja sustava dogoditi na svim računalima. Zbog toga, AMD ne preporučuje skidanje nikakvih zakrpi sljedećih par tjedana, sve dok se ne objave eventualno zasebne zakrpe za pojedinu procesorsku platformu.

7. GOOGLE JE GREŠKU OTKRIO MJESECIMA RANIJE

U intervjuu za CNBC, Intelov CEO Brian Krzanich izjavio je kako je Google ovu potencijalno katastrofalnu grešku otkrio mjesecima ranije. Nakon interjvua, Google je objavio blog u kojem je pojasnio što su točno otkrili. Jann Horn, inženjer Googleovog Project Zero tima također je demonstrirao kako se greška može iskoristiti za čitanje sistemske memorije kojoj inače nije dozvoljen pristup.

Krzanich je u telefonskom konferencijskom razgovoru s novinarima izjavio kako do sada nisu zabilježeni nikakvi hakerski napadi zbog greške povezane s njihovim procesorima, te još jednom istaknuo kako rade na zakrpama. Međutim, Google je u svojem blogu napisao kako su svoj način hakiranja također uspjeli replicirati na ARM-ovim i AMD-ovim računalima.

8. INTELOV CEO JE ODLUČIO PRODATI SVOJE DIONICE

Nakon Googleove dojave Intelu, Krzanich je odlučio prodati veliki udio svojih dionica kompanije, što mu je donijelo sasvim pristojnu zaradu od 24 milijuna dolara. Google je navodno Intel obavijestio o problemu tijekom lipnja prošle godine, dok je Krzanich svoje dionice prodao 29. studenog. Krzanich je dakle znao za problem prije nego što je prodao svoje dionice, a još bitnije, prije nego što se vijest probila u javnost.

Krzanichu je ostalo samo 250.000 dionica, minimalna količina koju kompanija propisuje unutar njegovog ugovora. Ukupno, Krzanich je prodao 644.135 dionica koje je stekao za vrijeme obnašanja dužnosti CEO-a te 245.743 dionice u svojem prijašnjem vlasništvu. Intel tvrdi da Krzanicheva prodaja nema nikakve veze s ovim fijaskom, već da je ona bila sastavni dio plana prodaje dionica. Vrijednost Intelove dionice je u srijedu navečer pala za 1,59 dolara, odnosno za 3,4 posto, na vrijednost od 45,26 dolara.

1 komentar:

  1. Isti propust postoji i kod AMD-a.
    Alat za proveru https://www.ashampoo.com/en/usd/pin/1304/security-software/Ashampoo-Spectre-Meltdown-CPU-Checker

    OdgovoriIzbriši

Poruka će biti vidljiva nakon provjere.