Već sama imena sigurnosnih propusta koji su nam u srijedu postali poznati, a ugrađeni su u milijune procesora zvuče zastrašujuće, ističe Zeit Online.
Jedan se zove Spectre (sablazan) kao lukava tajna organizacija iz trilera s Jamesom Bondom, a drugi Meltdown (raspad jezgre nuklearnog reaktora), kao film iz 2006. koji prikazuje pokušaj obrane od asteroida koji ide u smjeru Zemlje; nakon neuspjele nuklearne obrane zemljina se os pomaknula k suncu i čovječanstvo je nestalo.
Kako bi procesori brže radili, inženjeri su razvili tehnologiju izvršavanja naredbi unaprijed (speculative execution) gdje se određen broj naredbi izvršava unaprijed iako to možda kasnije neće biti potrebno, kako bi ti podatci bili dostupni programima čim to zatraže.
Na žalost, gotovo svatko od nas posjeduje neki uređaj, koji je pogođen ili je prikriveno izložen.
Pametni telefon, tablet ili računalo, svejedno, također je svejedno i koji operativni sustav rabite: Android, iOS ili Windows. Ključno je koji je procesor u uređaju. Gotovo svaki chipset, koji je proteklih godina ugrađen sadržava najmanje jedan od dva propusta: dok Meltdown pogađa chipset Intela, Spectre pak one svih proizvođača: Intel, AMD i one s ARM-strukturom koji se uglavnom nalaze u mobilnim uređajima.
Znanstvenici oko Daniela Grußa s Tehnološkog sveučilišta Graz bili su prvi koji su zamijetili propuste ove vrste još u prosincu. Povezali su se s drugim istraživačkim skupinama i tvrde da mnogi stručnjaci – među njima i informatičari s Googleovog projekta Zero, koji u ime tvrtke traže slabe točke – rade već na ovom problemu. Informaciju su objavili u srijedu na Google Security Blog – zbog već procurjelih informacija i to nekoliko dana ranije nego što su planirali.
Ovo sad konkretno znači: tisuće milijuna korisnika Applea, Googla, Samsunga ili drugih uređaja u opasnosti su od uhođenja privatnih podataka: broj bankovnog računa, zaporke…
“Možemo sve čitati skupa s vama, dok tipkate” rekao je za Tagesspeigel istraživač Michel Schwarz koji je uključen na otkrivanju. Iako oba ova propusta iskorištavaju istu tehniku, razlikuju se u složenosti i scenarijima napada. No ima nekoliko osnovnih stvari koje bi svatko sada trebao napraviti.
Obratite pozornost na svako ažuriranje
Tko posjeduje iPhone ili iPad, treba što prije napraviti ažuririranje (iOS-Software-Update) i svaki sljedeći dan nadalje pratiti nova ažuriranja.
Jednako vrijedi za korisnike Mac-a s MacOS-om. To zatvara rupe, doduše ne savršeno, ali bar velikim dijelom. Sljedećih dana treba izaći novo ažuriranje za preglednik Safari. Apple Watch ne utječe na Appl.
Za Windows 10 Microsoft je izdao ažuriranje za hitan slučaj. Isto se očekuje ažuriranje za Windows 8 i 7. No, funkcionira samo za korisnike koji imaju prilagođen antivirusni program. Konkretno su Kaspersky i Avast najvaili nove inačice za 9. siječnja. Eset je već ponudio svoj prilagođeni program. Mnoge Linuxove distribucije već su spremne, no korisnik bi trebao provjeriti je li njegov sustav u odgovarajućem stanju.
Google je također ponudio popis proizvoda i servisa za Androide, koji su spremni. Ovdje se mogu pronaći i sigurnosne “zakrpe” za Androide, koje je između ostalog Pixel i Nexus uređaji već posjeduju. Tko ima Android-Tablet ili pametni mobitel drugih proizvođača mora se još strpiti dok se ne pojavi ažuriranje i za njihove uređaje. To bi moglo značiti da stari uređaji (stariji od tri godine) moguće neće dobiti nikakvu zaštitu, ako za njih više ne postoji podrška.
Budući da ažuriranje programa ima utjecaj na središnji dio strukture procesora, neke se performanse mogu izgubiti. Prvo je bilo govora o 30 % ali gubitci bi trebali biti manji. Apple govori u svom testu o 2,5 %. No u konačnici radi se o tome koji procesor, koji sustav i koje aplikacije dolaze zajedno. U svakodnevici to je neosjetno ali će u industriji i u složenijim slučajevima stvar biti primjetna.
Od dva sigurnosna propusta, Specter je složeniji.
Dok se Meltdown, jednostavnim jezikom , odnosi na podatke koji su privremeno u memoriji, zlonamjerne aplikacije programa Specter mogu pristupiti informacijama iz drugih aplikacija.
Tako zaobilaze sigurnosne mehanizme koji bi trebali spriječiti pristup iz jedne aplikacije u drugu. To bi moglo npr. biti osobito teško za usluge Cloud, u kojima više korisnika dijele isti poslužitelj. Korisnici bi trebali biti izdvojeni, ali zato što dijele isti procesor i memoriju, teorijski je moguće da zlonamjerni softver pristupi i drugim korisničkim podatcima. Međutim, to je teško jer napadač u slučaju Spectera mora znati koji operativni sustav i koji je softver na ciljanom sustavu.
Sve ovo zvuči predramatično. No proizvođači chipseta, uređaja i operativnog sustava tvrde da nema razloga za paniku. Intel opisuje svoje mjere u podrobnom proglasu. Proizvođač će do kraja sljedećeg tjedna 90 % procesora, koji su izašli proteklih pet godina, “pokrpati”.
Niti Intelu, niti Microsoftu ili Appelu dosad nisu bili poznati slučajevi, u kojima bi se hakeri okoristili jednim od dvaju nedostataka.
Hakeri moraju pristupiti odgovarajućim pametnim telefonima ili računalima kako bi uopće iskoristili prazninu. S jedne se strane to može učiniti zlonamjernim softverom, kao što su privitci e-pošte ili štetnim aplikacijama. Korisnici bi stoga – kao i prije – trebali biti oprezni koje privitke otvaraju i koje aplikacije instaliraju.
Međutim, napad se može izvršiti i putem oštećenog JavaScripta u pregledniku, zbog čega ih se također treba ažurirati.
Tekst se nastavlja ispod oglasa
