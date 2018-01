Googlova ekipa varnostnih analitikov Project Zero in več drugih varnostnih strokovnjakov je 3. decembra objavila podatke o dveh ranljivostih sodobnih računalniških procesorjev. Prva ranljivost, ki so jo poimenovali Meltdown, se nanaša na Intelove procesorje, proizvedene po letu 2011, in AMD-jeve procesorje, medtem ko se ranljivost Spectre nanaša na vse moderne procesorje, ne glede na proizvajalca.

Ker se ranljivost nahaja na nivoju mikroarhitekture procesorjev, pred njo niso varni niti uporabniki operacijskih sistemov, ki slovijo kot varnejši. Prizadeti so bili namreč vsi. Microsoftovi windowsi, Applovi macos-i pa tudi vsi linuxi.

Večina operacijskih sistemov že s posodobitvami SI-Cert opozarja, da ranljivost napadalcem omogoča dostop do občutljivih podatkov, kot so gesla ali digitalna potrdila. Edini pogoj je, da imajo - poleg potrebnega znanja za izrabo ranljivosti - tudi možnost zagnati zlonamerno programsko kodo na računalniku, ki ga napadajo. To bi jim lahko uspelo s fizičnim dostopom do računalnika ali s pomočjo računalniškega virusa. Za nameček pa napad z izkoriščanjem ranljivosti na operacijskih sistemih ne pusti nikakršnih sledi in lahko zato dolgo ostane neopažen.

Googlu zaradi objave očitajo slabo prakso Čeprav je Google ranljivost javnosti predstavil šele v prvih dneh tega meseca, so ranljivost odkrili že v prvi polovici lanskega leta. Proizvajalcem procesorjev in operacijskih sistemov so težavo sporočili lanskega junija, ti pa od tedaj iščejo rešitve. Te so možne zgolj s pomočjo posodobitev operacijskih sistemov. Google je sporočil, da so njihove oblačne storitve, vključno z gmailom, driveom in drugimi Googlovimi spletnimi aplikacijami že dobile potrebne popravke. Podobno je uspelo tudi Applu, Microsoftu in Amazonu. Objava podatkov o ranljivosti 3. januarja pa je razjezila podjetje Canonical, ki bdi nad različico operacijskega sistema linux ubuntu. V sporočilu za javnost so zapisali, da je bil dogovorjen datum za javno objavo ranljivosti 9. januar. Pravijo, da bi z objavo ob dogovorjenem datumu omogočili vsem izdelovalcem programske opreme, da izdajo potrebne posodobitve. Tako bi hkrati zagotovili, da bodo vsi uporabniki prizadetih računalnikov varni pred vdori že na dan, ko podatki o ranljivostih pridejo v javnost oziroma na ušesa spletnih nepridipravov. Pri Canonicalu ob tem opozarjajo, da so tovrstne predčasne objave v nasprotju z načeli dobre prakse.

Težave predvsem za strežnike in oblak Čeprav je preplah glede nevarnost ranljivosti v procesorjih za večino računalniških uporabnikov torej odveč že od nedavne posodobitve sistema oziroma bo to postal s prihodnjimi, ki naj bi prišle do 9. januarja, pa bodo imeli popravki domnevno negativne posledice na zmogljivost procesorjev. Nekatere ocene pravijo, da bodo postali celo med 5 in 30 odstotki počasnejši, a bo za točne podatke treba še počakati na preverjanje v praksi. S trditvami, da bodo imeli zaradi varnostnih posodobitev nevšečnosti povprečni uporabniki, pa se nikakor ne strinjajo pri Intelu. V sporočilu za javnost so zapisali, da povprečni uporabnik kljub popravkom ne bo opazil nobenih sprememb v delovanju procesorjev in da so ocene o upočasnjevanju močno pretirane. Zapisali so še, da bodo morebitne težave z upočasnjevanjem procesorjev s časom postale še manj hude. Slednje naj bi najbolj prizadele strežnike in velike podatkovne centre, ki omogočajo delovanje vse bolj pomembnih storitev v oblaku.