Ni še minilo leto dni, odkar sta Spectre in Meltdown pretresli IT svet do temeljev. Če v zadnjih tednih več nista najprivlačnejša tema za polnjenje naslovnic, se bi to utegnilo kmalu spremeniti. Nedavno je bilo namreč odkritih osem Spectre (princip) ranljivosti v Intel procesorjih.
Vse je kazalo na to, da se situacija počasi umirja. Po nekaj izdanih popravkih, ko smo se že vsi počutili varneje, so varnostni poznavalci posvarili pred novimi tveganji. In ponovno smo na začetku.
Na nemški spletni strani Heise sem naletel na streznitev, Spectre NG (Next Generation) varnostna tveganja, s katerimi je bil že pred časom seznanjen tudi Intel (morda se tudi v tem skriva razlog za nedavno pocenitev?). Kar štirim izmed njih je bila dodeljena oznaka visoko, preostalim pa srednje tveganje. Vsaka izmed njih zahteva lasten popravek in popolnoma mogoče je, da bodo prejele tudi samostojno poimenovanje. Za enim izmed razkritij stoji Google Project Zero, kar nam daje vsaj približen vpogled v to, kdaj lahko popravek pričakujemo. Googlovi elitni hekerji imajo splošno znan 90-dnevni rok, po katerem vse informacije brez slabe vesti spustijo na splet. Ta rok poteče 7. 5., kar pomeni, da bi morali prvo serijo obližev pričakovati v naslednjih dneh.
Tehnični detajli sicer še niso javno razkriti, ranljivosti in možnost napadalnih scenarijev močno spominjajo na predhodnika Spectre. Najbolj ogroženi so ponudniki oblačnih storitev in gostovanja v oblaku, saj lahko napadalci preko luknje pridobijo dostop do prenosa podatkov in dostopajo do varovanih podatkov.
Prav tako pri Heise navajajo, da so ogroženi tudi ARM procesorji, ni pa znano, če enako velja tudi za AMD produkte.
Intel je bil z napakami seznanjen in že dela na popravkih, med tem luknje krpajo tudi pri Microsoftu in preostalih izdelovalcih OS. Prišli bodo v dveh valovih, prvega pričakujemo že ta mesec, drugega malce kasneje v avgustu. Roke je treba jemati z določeno mero skepticizma, saj niso zavezujoči.
Največ zaskrbljenosti ob razkritju zbuja vprašanje, koliko zmogljivosti bomo vsakdanji uporabniki izgubili s tokratnim krpanjem in ali se bodo ob popravkih pojavljale enake težave kot pri predhodnikih, kjer je šlo celo tako daleč, da so nekatera podjetja uporabnikom priporočala negacijo posodobitev, vezanih na Spectre in Meltdown.
Tokrat je torej vse skupaj še nekoliko bolj nevarno. Čeprav je večino izmed osmih ranljivosti mogoče izkoristiti na podoben način kot pri Spectre, razen ene izjeme.
Ena izmed Spectre NG ranljivosti napad na sistem poenostavi do te mere, da upravičeno govorimo o večji grožnji kot v prvem aktu. Natančneje, napadalec bi lahko začel izkoriščati kodo v navideznem računalniku (Virtual Machine) in napadel gostitelja od tam – strežnik gostitelja oblaka.
Druga možnost je napad VM druge stranke, ki teče na istem strežniku. Zlasti so zelo iskani cilji gesla in tajni ključi za varen prenos podatkov. Intelov SGX, ki naj bi sicer varoval občutljive podatke v oblaku, žal ne nudi zaščite pred Spectre.
Intelova prva izjava po razkritju:
“Zaščita podatkov naših strank in njihova varnost sta naši krljučni prioriteti. Delamo v stiku s strankami, partnerji in preostalimi izdelovalci čipovij ter raziskovalci, da bi napake odkrili, jih razumeli in odpravili, del tega procesa sestavlja tudi rezervacija blokov CVE številk. Trdno verjamemo v vrednost usklajenih razkritij in izmenjavo podrobnosti o ključnih vprašanjih. Najboljša in hkrati edina preventiva je še vedno redno posodabljanje sistemov.”
Ali je tudi vaš procesor ogrožen, lahko preverite TUKAJ.
