Děravá CPU: unikli jsme jen o fous?

Unikli jsme tentokrát jen o fous? Ta otázka napadne snad každého, kdo se alespoň trochu ponoří do zkoumání podstaty bezpečnostních slabin v procesorech Intel, AMD a ARM (a podle nejnovějších zpráv také v Power PC i dalších architekturách zpracovávajících instrukce "spekulativně" a "mimo pořadí" - tedy téměř všech procesorech, které pohánějí dnešní koncová zařízení a datová centra). Možná by ale byla namístě jiná otázka – opravdu byly tyto slabiny doposud skutečně neznámé jak výrobcům procesorů, tak světu kyberzločinu, nebo například tajným službám? Koneckonců nezávisle na sobě objevily možnost, jak zneužít způsob, jímž fungují prakticky všechny moderní procesory hned tři výzkumné týmy (Google Project Zero, Cyberus Technology a Technologická univerzita v Grazu).

Chyby Meltdown a Spectre umožňují neoprávněný přístup do paměti. Zejména Meltdown, jehož se týkají již vydané nebo chystané záplaty pro operační systémy, internetové prohlížeče a hypervizory, kontejnery a paravirtualizační (PV) platformy představuje značné riziko zcizení hesel a dalších citlivých informací jak na koncových stanicích, tak v rámci infrastruktury hostované v cloudu – jak poznamenává analytik Nik Simpson, zákazník s nezáplatovaným OS je rizikem pro všechny ostatní zákazníky, kteří s ním sdílejí cloudovou infrastrukturu. Meltdown postihuje prakticky všechny procesory Intel vyrobené po roce 1995 (vyjma modelů Itanium a Atomy vyrobené před rokem 2013) a také jeden model ARM.

V případě zranitelnosti Spectre, která se týká i všech čipů ARM a AMD, může být jistou, i když možná malou úlevou, že zneužití obou jejích variant je složitější, a i v případě úspěchu umožňuje číst data z paměti rychlostí pod 2 kB/s. Zároveň se ale zdá, že se v jeho případě plnohodnotné záplaty nedočkáme – ostatně americký CERT v první verzi svého doporučení nemilosrdně uváděl, že jediným skutečným řešením je výměna CPU (na trhu nicméně není „bezvadná“ x86 či ARM alternativa).

V nadcházejících dnech a týdnech bude nejdůležitější aplikovat všechny dostupné záplaty, rozhodnout co se systémy, které již aktualizovat nelze, a vyhodnotit dopad záplat na výkon aplikací – více v doporučeních Nika Simpsona, která jsme výjimečně zařadili coby „speciál“ do Observeru.

Doporučení analytika Nika Simpsona pro podnikové IT a uživatele naleznete na našem webu.

Shrnutí základních postřehů o Meltdown a Spectre z minulého týdne si můžete přečíst na webu Inside. Velmi povedené shrnutí s odkazy má také CSO Online.

Další komentáře

Česko má podle analytiků Gartner tři nové cool technologické firmy

Profily celkem 269 cool dodavatelů – společností, které dokážou propojit technologie a byznys způsobem vhodným pro řešení komplexních problémů, realizaci rychlých transformačních projektů, optimalizaci využívání technologií nebo vyřešení problémů, jež podniky již delší dobu trápí – zpracovali v letošním roce analytici společnosti Gartner v celkem 66 studiích. Většina cool dodavatelů se věnuje tématům, jako jsou digitalizace, umělá inteligence, internet věcí nebo blockchain, a nabízí na jejich základě nevídané možnosti rozvíjet a využívat nové obchodní modely. Jde...

Čtyři varianty jak nastartovat digitální byznys

Podle analytiků je pro většinu (57 %) organizací nejtěžší nalézt odpověď na otázku, kde vůbec s digitalizací začít.  Analytička Christine Moyerová proto v komentáři Christy Pettey doporučuje CIO, aby se společně s vedením celého podniku zaměřili na čtyři možné startovní oblasti, z nichž lze efektivně rozvíjet digitální transformaci - nastartovat digitální byznys. Představte si, že by vás při volání na tísňovou linku záchranné služby přepojili na virtuálního hlasového asistenta poháněného umělou či spíše strojovou inteligencí. Ne, ani pro nás...