W ostatnich dniach głośno było o tzw. lukach bezpieczeństwa w architekturach procesorów x64, a dokładniej Meltdown oraz Spectre. Pierwszy z nich można przeprowadzić tylko na procesorach Intela, natomiast drugi dotyczy już wszystkich producentów wliczając w to AMD oraz ARM. Cała sprawa została nagłośniona przez media, a pracownicy wszystkich gigantów informatycznych zajęli się jak najszybszym wdrożeniem wymaganych zabezpieczeń.

Wszystkie duże firmy już zaimplementowały w swoich usługach łatki bezpieczeństwa chroniące przed atakiem Meltdown. Podatne są na nią tylko komputery z procesorami Intela i obawiano się, że instalacja poprawki przyczyni się do obniżenia wydajności. Faktycznie, w pewnych specyficznych sytuacjach, zabezpieczenie przed atakiem Meltdown może wydłużyć czas wykonywanych operacji. Jednak zostało już potwierdzone, że większość użytkowników domowych nie ma żadnych powodów do obaw. Znamy też pierwsze komentarze dotyczące wpływu instalacji łatek na wydajność systemów używanych do zastosowań profesjonalnych. Microsoft podczas przyspieszonych prac konserwacyjnych w chmurze Azure zaimplementował wszystkie obecnie znane łatki. Większość klientów nie zauważy wpływu aktualizacji na wydajność systemu. Microsoft zwrócił szczególną uwagę na optymalizację obciążenia CPU oraz ścieżek zapisu i odczytu z dysków twardych. Google zrobiło to samo, przy czym zostały tutaj użyte autorskie rozwiązanie służące do migracji maszyn wirtualnych, co pozwoliło na uniknięcie ich restartu. Warto jeszcze zaznaczyć, że aktualizacja jądra Linuxa chroniąca przed atakiem Meltdown nie ma wpływu na pracę procesorów AMD. Specjaliście dalej pracują nad zabezpieczeniami przed atakiem Spectre.

Zabezpieczenia przed ataki Meltdown oraz Spectre pojawiają się w przeglądarkach.

Luki Meltdown, oraz Spectre można wykorzystać do ataków za pomocą skryptów JavaScript umieszczanych na stronach WWW. Dlatego też twórcy przeglądarek internetowych pracują nad metodami obrony przed nowo poznanymi atakami. Mozilla wprowadziła odpowiednie zmiany w przeglądarce Firefox od wersji 57.0.4 (wydana 4 stycznia). Aktualizacja ta zmniejsza dokładność wewnętrznych zegarów przeglądarki z 5 mikrosekund do 20 mikrosekund, co ma utrudnić możliwość przeprowadzenia ataku. Analogiczne zmiany wprowadził Microsoft w przeglądarkach Edge oraz Internet Explorer 11. Użytkownicy Chrome mogą włączyć opcję wprowadzającą izolację pomiędzy otwartymi stronami. Instrukcja w języku polskim dostępna jest na tej stronie Google. Skorzystanie z tej opcji powoduje, że każda strona otwierana jest w osobnym procesie, co zwiększa zużycie pamięci przez przeglądarkę Chrome o około 10% – 20%. Dodatkowe zabezpieczenia (zapewne analogiczne do tych, które użyli Mozilla oraz Microsoft) zostaną wprowadzone w Chrome 64. Apple jeszcze pracuje nad odpowiednią aktualizacją dla przeglądarki Safari.

100% ochrona przed atakami Spectre może wymagać wymiany procesora.

Wielu specjalistów z dziedziny zabezpieczeń uważa, że dopiero nowe procesory z przeprojektowaną architekturą będą całkowicie odporne na ataki Spectre. Na szczęście przeprowadzenie owych ataków jest niezwykle trudne i wymaga sporych nakładów pracy. W najbliższym czasie na pewno zostaną wydane kolejne aktualizacje, które będą utrudniać przeprowadzenie ataku za pomocą odkrytej „luki”. Atak polega na wykorzystaniu mechanizmów zaszytych w 64-bitowych procesorach, które przewidują przyszłe odwołania procesora do pamięci. Dzięki temu możliwe jest skrócenie czasu wykonywanych operacji. Dlatego też w grę nie wchodzi wyłączenie używanych przez atak Spectre mechanizmów, ponieważ miałoby to znaczący wpływ na wydajność.

Wszyscy producenci procesorów uważają, że odkryte i nagłośnione ostatnio podatności (tj. CVE-2017-5753, CVE-2017-5715 oraz CVE-2017-5754) można naprawić bez wpływu na wydajność poprzez aktualizację oprogramowania. Dlatego też nie ma mowy o żadnym programie wymiany procesorów. Przedstawiciele Intela podkreślają, że nie należy porównywać aktualnej afery z błędem FDIV z 1994 roku. Jak na razie nikt nie zademonstrował metody ataku, przed którym nie dałoby się zabezpieczyć programowo. Jednak organizacje przechowujące niezwykle wrażliwe dane, które mogą być łakomym kąskiem dla zorganizowanych grup cyberprzestępców oraz wrogich wywiadów informatycznych, na pewno będą rozważać wymianę używanego sprzętu. My natomiast powinniśmy pamiętać o tym, żeby koniecznie zainstalować ostatnio dostarczone aktualizacje. Przy czym nie chodzi tutaj wyłącznie o łatki bezpieczeństwa dla systemu operacyjnego. Należy również na bieżąco aktualizować przeglądarkę internetową, sterowniki do chipsetu płyty głównej oraz oczywiście program antywirusowy.

Źródło: Google, Mozilla, Apple, Microsoft

PJ

Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.