Meltdown i Spectre. Tak nazywają się dwie zagadkowe dziury w fizycznej konstrukcji procesorów komputerowych, przez które nawet weekendowi hakerzy mogą bez większych przeszkód podglądać przetwarzane przez nas dane. W tarapatach są dziś również banki, a nawet wojsko. Jak do tego doszło? Wyjaśnienia oferuje Michał Orłowski.
Wyobraź sobie, że wszystko, co wyświetla się na twoim monitorze, każde zdjęcie i każdą linijkę wpisywanego tekstu widzi jakaś obca osoba. Przerażające? Nie tak bardzo jak fakt, że taka sytuacja mogła mieć miejsce przez lata, bo obchodzenie komputerowych zabezpieczeń było dziecinnie łatwe. To dlatego Meltdown i Spectre, czyli wykryte niedawno sprzętowe „luki” w budowie procesorów, które mrożą krew w żyłach inżynierów od bezpieczeństwa, to problem dla nas wszystkich.
czytaj także
Co wiemy?
Mniej więcej od 1995 roku procesory większości produkowanych na świecie komputerów były dziurawe jak sito. Problem dotyczy zarówno komputerów z Windowsem, Linuxem czy oprogramowaniem firmy Apple.
Hakerzy mogli bez przeszkód podglądać przetwarzane przez nas dane. Co gorsza – nie chodzi o lukę w oprogramowaniu, lecz o „wbudowaną”, sprzętową podatność procesorów na podgląd aktualnie przetwarzanej pamięci przez złośliwe oprogramowanie. Złośliwe oprogramowanie nie musi być zatem wcale zainstalowane na naszym komputerze. Wystarczy, że z dobrze zabezpieczonego komputera odwiedzimy odpowiednio spreparowaną stronę. I po nas.
Takie wnioski płyną z branżowych mediów. Informację, która zatrzęsła doliną krzemową, upubliczniono na początku tego roku. Luki wykryli inżynierowie w białych kapeluszach z Google, Cyberus Technology oraz z austriackiego uniwersytetu w Graz. Doprawdy ciężko uwierzyć, że najlepsi producenci sprzętu i specjaliści na świecie nie znaleźli tych dziur przez niemal ćwierć wieku.
Intel opuszcza spodnie
Meltdown dotyczy głównie procesorów firmy Intel, natomiast Spectre… niemal wszystkich dostępnych na rynku układów. W rękach kogoś, kto wie, gdzie uderzyć, taka podatność jest ekstremalnie niebezpieczna. W sieci pojawiły się krótkie filmy pokazujące wykorzystanie luki w praktyce. Złośliwe oprogramowanie bez najmniejszych problemów przechwytuje obrazy czy wpisywane hasła i działa niezależnie od systemu operacyjnego.
Intel został przyłapany z opuszczonymi spodniami. Jego główny konkurent, firma AMD, najpierw wydała oświadczenie, że ich układy nie są zagrożone, żeby po kilku dniach, kiedy euforia wynikająca z obserwowania krwawiącego Intela przestała przesłaniać im oczy, przyznać, że pracują nad rozwiązaniami poprawiającym zabezpieczenia własnych procesorów.
Producenci procesorów mają problemy, bo o lukach bezpieczeństwa zostali powiadomieni co najmniej kilka miesięcy przed upublicznieniem informacji. Przeciwko Intelowi złożono już i przyjęto na wokandę pozwy zbiorowe. Producent oskarżony jest o opóźnianie przyznania się do błędów, a także o obniżenie wydajności (niejednokrotnie bardzo drogiego) sprzętu przez zmuszanie użytkowników do instalacji prowizorycznych łatek bezpieczeństwa, mających powstrzymać niebezpieczeństwo ataku hakerskiego.
Widmo luki krąży nad twoim laptopem
Na nieszczęście dla producentów, dziury, przez które mogą zaglądać dziś hakerzy, są sprzętowe. Nie da się ich naprawić bez szkody dla wydajności układów. Łatki, które naprawiają błędy w architekturze, spowalniają urządzenia.
Wygląda na to, że najbardziej odczują je administratorzy serwerów i branża rozrywkowa. Epic Games, twórca takich hitów jak Unreal Tournament czy Fortnite, na swoim forum zaprezentowało wpływ łatki na ich serwery. Po instalacji obciążenie procesora serwerów firmy wzrosło z 25% do niemal 60%.
Straty liczą administratorzy dużych serwerów obsługujących miliony klientów. Aby dostarczyć taką samą wydajność, firmy te będą musiały teraz kupić znacznie więcej nowych urządzeń. Koszty te firmy zapewne odbiją sobie na cenach usług. Na końcu ucierpi oczywiście użytkownik.
Obecnie oferowane użytkownikom łatki zawierają błędy. Prócz problemów z wydajnością, powodują częstsze restarty niektórych komputerów. Navin Shenoy, wiceszef Data Center Group w Intelu, zapewnił, że lada dzień partnerzy firmy otrzymają rozwiązanie problemu. Zwykły użytkownik komputera, aby w pełni uchronić się przed podatnością na atak hakerów, prócz systemu musi zaktualizować także bios płyty głównej.
Nawet jeśli problem uda się rozwiązać, to widmo skutków odkrycia Meltdown i Spectre zostanie z nami na dłużej. Jak wynika z badań przeprowadzonych przez specjalistów od zabezpieczeń z firmy Barkly, większość przedsiębiorstw jeszcze nie wdrożyła niezbędnych aktualizacji. Według raportu 3/4 firm zaczęło łatać swoje maszyny, jednak tylko 4% ukończyło ten proces. Codziennie pojawiają się doniesienia o nowych szkodliwych programach wykorzystujących luki. Część z nich działa pod przykrywką i udaje programy zabezpieczające, które przerażeni użytkownicy sami instalują i tak wpadają w sidła hakerów.
Użytkownik zapłaci, by prezes nie stracił
Napisałem, że producenci nie przygotowali się odpowiednio do oficjalnej publikacji o błędach? Przynajmniej ich prezesom nie można zarzucić zupełnej bezczynności. Na przykład Brian Krzanich, prezes Intela, pozbył się przed aferą wszystkich akcji, jakie tylko mógł sprzedać, zostawiając sobie tylko pakiet niezbędny do dalszego prezesowania. Zamiar sprzedaży tak wielkiego portfela akcji Krzanich zgłosił w ostatniej możliwej chwili, a jego decyzja nie miała oczywiście związku z całą sprawą.
Zaraz po ujawnieniu luk pojawiły się różnej maści teorie spiskowe. Niektórzy uważają, że błąd w procesorach był celowy i zlecony, bo dotyczy w głównej mierze procesorów wyprodukowanych po wprowadzeniu w 2001 roku w Stanach Zjednoczonych ustawy Patriot Act. Dzięki takiej luce specjaliści z niesławnej amerykańskiej agencji NSA nie mieliby problemu z dostaniem się do wytypowanego komputera i podejrzenia, co się na nim dzieje.
czytaj także
NSA pokazała już kilkakrotnie, do czego jest zdolna. Wiemy to z przekazów Edwarda Snowdena. Dziwnym trafem zaledwie rok po wybuchu afery związanej z tajnym amerykańskim programem szpiegowskim PRISM, Rosjanie wyprodukowali swój procesor — Baikal, a Chiny pochwaliły się procesorem MIPS. Tom Clancy z pewnością piałby z zachwytu nad nagłym przypływem szpiegowskich inspiracji w celowej produkcji podziurawionych procesorów.
czytaj także
Podejrzenia zaczęły się mnożyć już w 2014 roku po wystąpieniu Igora Skochinskiego na konferencji w Montrealu dotyczącej bezpieczeństwa. Igor odkrył w procesorach Intela ukryty podprogram, wchodzący w skład tzw. silnika zarządzania (management engine). Program ten może być użyty nawet jeżeli komputer jest wyłączony – wystarczy, żeby był podpięty do gniazdka. Co zastanawiające, jego system operacyjny ma nawet własne ukryte połączenie sieciowe i może wysyłać, odbierać i przetwarzać dane bez wiedzy głównego układu. Podejrzliwi zaczęli pytać: po co instalować takie oprogramowanie w strukturze procesora?
Poczynaniami producentów mikroukładów zainteresował się kongres USA. Jerry McNerney, członek Izby Reprezentantów, wysłał oficjalne zapytanie do siedziby Intela, AMD oraz brytyjskiej firmy AMR, m.in. dostawcy procesorów do urządzeń mobilnych.
Wyścig zbrojeń
Intel w reklamach z lat 90. przyzwyczaił nas do tego, że budową mikroprocesorów zajmują się ubrani w kosmiczne kombinezony najlepsi inżynierowie na świecie. Jak zatem ktoś taki mógł popełnić błędy, które przeszły niezauważone przez tyle lat?
Każdego roku największe firmy branży IT muszą zaprezentować jakąś nowość, aby ceny akcji szły w górę, a firmy dobrze wyglądały na międzynarodowych targach. Jednak dążenie do maksymalizacji wydajności bez doinwestowania i wsparcia działów zajmujących się badaniem, rozwojem i bezpieczeństwem nie ma żadnych szans na sukces. Bez czasu i pieniędzy na wdrożenie produktu i jego szczegółowe testy, wcześniej czy później nastąpi krach. Dziś nazywa się on Meltdown i Spectre.
Obecnie czas pracy inżynierów jest wyliczony co do minuty. Nie ma mowy o niedotrzymaniu terminu przeznaczonego na projekt. – Prośba o wydłużenie czasu pracy nad projektem i dopracowaniem go jest de facto informacją dla pracodawcy, że nie dajesz sobie rady – powiedział mi ważny pracownik branży informatycznej w Polsce.
To jednak nie nowość w branży. Standardowo ofiarami sprintu producentów do maksymalizacji zysku są gracze. Gra komputerowa nie musi być dokładnie sprawdzona, aby się sprzedała – wystarczy, że jakoś działa. Błędy zostaną poprawione, jak zgłoszą je sami gracze. W ten sposób ma się i darmowych betatesterów, i potencjalny zarobek z aktualizacji czy ekskluzywnych wersji.
„Optymalizacja” oraz cięcie kosztów to światowy trend, który niszczy światowe rynki już od wielu dziesiątek lat. Gdyby nie ślepe podążanie za maksymalizacją zysków, nie byłoby choćby afery z silnikami diesla w samochodach Volkswagena, ale w koncernie musiano uznać, że taniej i łatwiej będzie oszukać system, niż wydać pieniądze na specjalistów, którzy uporaliby się z ograniczeniami.
czytaj także
Według wszelkiej rynkowej logiki, Intel powinien dostać porządną nauczkę i przeorganizować swoje budżety. Wygląda jednak na to, że nic takiego się nie stanie. Po chwilowym tąpnięciu, ceny akcji Intela znów idą w górę. Pozostaje pytanie, kiedy następny światowy kryzys zabezpieczeń?
**
Głównym dostawcą usług informatycznych oraz strategicznym partnerem technologicznym Stowarzyszenia im. Stanisława Brzozowskiego, wydawcy m.in portali KrytykaPolityczna.pl, Ekspertki.org, Narkopolityka.pl i PoliticalCritique.org, jest firma Meverywhere, której usługi rekomendujemy wszystkim partnerom biznesowym i społecznym poszukującym sprawdzonych rozwiązań informatycznych.