Googlova ekipa varnostnih analitikov Project Zero in več drugih varnostnih strokovnjakov je 3. decembra objavila podatke o dveh ranljivostih sodobnih računalniških procesorjev. Prva ranljivost, ki so jo poimenovali Meltdown, se nanaša na Intelove procesorje, proizvedene po letu 2011, in AMD-jeve procesorje, medtem ko se ranljivost Spectre nanaša na vse moderne procesorje, ne glede na proizvajalca.

Ker se ranljivost nahaja na nivoju mikroarhitekture procesorjev, pred njo niso varni niti uporabniki operacijskih sistemov, ki slovijo kot varnejši. Prizadeti so bili namreč vsi. Microsoftovi windowsi, Applovi macos-i pa tudi vsi linuxi.

Večina operacijskih sistemov že s posodobitvami

SI-Cert opozarja, da ranljivost napadalcem omogoča dostop do občutljivih podatkov, kot so gesla ali digitalna potrdila. Edini pogoj je, da imajo - poleg potrebnega znanja za izrabo ranljivosti - tudi možnost zagnati zlonamerno programsko kodo na računalniku, ki ga napadajo. To bi jim lahko uspelo s fizičnim dostopom do računalnika ali s pomočjo računalniškega virusa. Za nameček pa napad z izkoriščanjem ranljivosti na operacijskih sistemih ne pusti nikakršnih sledi in lahko zato dolgo ostane neopažen.

Googlu zaradi objave očitajo slabo prakso

Čeprav je Google ranljivost javnosti predstavil šele v prvih dneh tega meseca, so ranljivost odkrili že v prvi polovici lanskega leta. Proizvajalcem procesorjev in operacijskih sistemov so težavo sporočili lanskega junija, ti pa od tedaj iščejo rešitve. Te so možne zgolj s pomočjo posodobitev operacijskih sistemov. Google je sporočil, da so njihove oblačne storitve, vključno z gmailom, driveom in drugimi Googlovimi spletnimi aplikacijami že dobile potrebne popravke. Podobno je uspelo tudi Applu, Microsoftu in Amazonu.

Objava podatkov o ranljivosti 3. januarja pa je razjezila podjetje Canonical, ki bdi nad različico operacijskega sistema linux ubuntu. V sporočilu za javnost so zapisali, da je bil dogovorjen datum za javno objavo ranljivosti 9. januar. Pravijo, da bi z objavo ob dogovorjenem datumu omogočili vsem izdelovalcem programske opreme, da izdajo potrebne posodobitve. Tako bi hkrati zagotovili, da bodo vsi uporabniki prizadetih računalnikov varni pred vdori že na dan, ko podatki o ranljivostih pridejo v javnost oziroma na ušesa spletnih nepridipravov. Pri Canonicalu ob tem opozarjajo, da so tovrstne predčasne objave v nasprotju z načeli dobre prakse.

Težave predvsem za strežnike in oblak

Čeprav je preplah glede nevarnost ranljivosti v procesorjih za večino računalniških uporabnikov torej odveč že od nedavne posodobitve sistema oziroma bo to postal s prihodnjimi, ki naj bi prišle do 9. januarja, pa bodo imeli popravki domnevno negativne posledice na zmogljivost procesorjev. Nekatere ocene pravijo, da bodo postali celo med 5 in 30 odstotki počasnejši, a bo za točne podatke treba še počakati na preverjanje v praksi.

S trditvami, da bodo imeli zaradi varnostnih posodobitev nevšečnosti povprečni uporabniki, pa se nikakor ne strinjajo pri Intelu. V sporočilu za javnost so zapisali, da povprečni uporabnik kljub popravkom ne bo opazil nobenih sprememb v delovanju procesorjev in da so ocene o upočasnjevanju močno pretirane. Zapisali so še, da bodo morebitne težave z upočasnjevanjem procesorjev s časom postale še manj hude. Slednje naj bi najbolj prizadele strežnike in velike podatkovne centre, ki omogočajo delovanje vse bolj pomembnih storitev v oblaku.

Direktor Intela pred razkritjem prodal delnice

Z objavo težav procesorjev pa je pozornost pritegnil tudi izvršni direktor Intela Brian Krzanich. Slednji je malce več kot mesec pred objavo ranljivosti prodal za 39 milijonov dolarjev delnic Intela. Krzanich se brani, da prodaja ni bila povezana z ranljivostmi in strahom, da bo vrednost Intelovih delnic zaradi teh padla. Pravi, da so vse prodaje delnic pri podjetju prej dogovorjene.

Iz javno dostopnih podatkov je res razvidno, da je Krzanich prodajo vseh delnic, ki jih je lahko prodal 29. novembra, najavil že oktobra. Ker pa je od Googlovega sporočila Intelu, da so v njihovih procesorjih našli ranljivost, do oktobra minilo več mesecev, njegova obramba ni povsem vodotesna. Pred javnim ogorčenjem, ga zna zaščititi predvsem nihanje cene Intelovih delnic. Te so decembra močno zrasle in so kljub padcu, ki je sledil razkritju, blizu cene, po kateri jih je prodal Krzanich. Bi pa si zadevo zaradi suma trgovanja z notranjimi informacijami vseeno znale ogledati ameriške oblasti.

Spectre Meltdown Intel AMD ARM procesorji Google windows macos linux ubuntu Microsoft Apple Canonical Si Cert spletna varnost varnost na spletu računalniki Brian Krzanich Project Zero