Děravá CPU: unikli jsme jen o fous?

Unikli jsme tentokrát jen o fous? Ta otázka napadne snad každého, kdo se alespoň trochu ponoří do zkoumání podstaty bezpečnostních slabin v procesorech Intel, AMD a ARM (a podle nejnovějších zpráv také v Power PC i dalších architekturách zpracovávajících instrukce "spekulativně" a "mimo pořadí" - tedy téměř všech procesorech, které pohánějí dnešní koncová zařízení a datová centra). Možná by ale byla namístě jiná otázka – opravdu byly tyto slabiny doposud skutečně neznámé jak výrobcům procesorů, tak světu kyberzločinu, nebo například tajným službám? Koneckonců nezávisle na sobě objevily možnost, jak zneužít způsob, jímž fungují prakticky všechny moderní procesory hned tři výzkumné týmy (Google Project Zero, Cyberus Technology a Technologická univerzita v Grazu).

Chyby Meltdown a Spectre umožňují neoprávněný přístup do paměti. Zejména Meltdown, jehož se týkají již vydané nebo chystané záplaty pro operační systémy, internetové prohlížeče a hypervizory, kontejnery a paravirtualizační (PV) platformy představuje značné riziko zcizení hesel a dalších citlivých informací jak na koncových stanicích, tak v rámci infrastruktury hostované v cloudu – jak poznamenává analytik Nik Simpson, zákazník s nezáplatovaným OS je rizikem pro všechny ostatní zákazníky, kteří s ním sdílejí cloudovou infrastrukturu. Meltdown postihuje prakticky všechny procesory Intel vyrobené po roce 1995 (vyjma modelů Itanium a Atomy vyrobené před rokem 2013) a také jeden model ARM.

V případě zranitelnosti Spectre, která se týká i všech čipů ARM a AMD, může být jistou, i když možná malou úlevou, že zneužití obou jejích variant je složitější, a i v případě úspěchu umožňuje číst data z paměti rychlostí pod 2 kB/s. Zároveň se ale zdá, že se v jeho případě plnohodnotné záplaty nedočkáme – ostatně americký CERT v první verzi svého doporučení nemilosrdně uváděl, že jediným skutečným řešením je výměna CPU (na trhu nicméně není „bezvadná“ x86 či ARM alternativa).

V nadcházejících dnech a týdnech bude nejdůležitější aplikovat všechny dostupné záplaty, rozhodnout co se systémy, které již aktualizovat nelze, a vyhodnotit dopad záplat na výkon aplikací – více v doporučeních Nika Simpsona, která jsme výjimečně zařadili coby „speciál“ do Observeru.

Doporučení analytika Nika Simpsona pro podnikové IT a uživatele naleznete na našem webu.

Shrnutí základních postřehů o Meltdown a Spectre z minulého týdne si můžete přečíst na webu Inside. Velmi povedené shrnutí s odkazy má také CSO Online.

Další komentáře

3/4 Chief Data Officerů jsou významně zapojeny do transformace

Data a analytika hrají v digitální transformaci zásadní roli – a platí to i pro lídry odpovědné za tuto oblast. Jak ukázaly nejnovější studie Gartneru v šestém výročním průzkumu CDO (Chief Data Officer), bezmála ¾ z nich (72 %) jsou významně zapojení do transformačních iniciativ. To mimo jiné znamená, že data a analytika se stávají (podobně jako například kybernetická bezpečnost – viz téma tohoto Observeru) oblastí, kterou ve stále větším procentu organizací řeší nejvyšší vedení. I proto...

Bord zajímá především kyber-bezpečnost

Kybernetická bezpečnost se v posledním roce stala prioritou nejen řady CIO, ale dokonce tématem, které řeší CEO či celé bordy. Dobře to ilustrovala nedávná anonymní anketa mezi tuzemskými CIO ze sektoru utilit, kterou INSIDE pomáhal uskutečnit. Přibližně polovina respondentů uvedla, že oblastí, v níž budou v roce 2021 (oproti roku předchozímu) nejvíce navyšovat výdaje, je kybernetická/informační bezpečnost – a zároveň ji označili jako zásadní (přelomovou, převratnou) technologii pro své odvětví (prvenství sdílela společně s digitálním dvojčetem). Stejně tomu...