Nekompromisní CERT: plnohodnotnou ochranou před Meltdown/Spectre je jen výměna CPU

Některá média si při doplňování zpráv o dopadech a možné ochraně před zranitelnostmi v Meltdown (týká se patrně jen CPU Intel) a Spectre (týká se až na výjímky prakticky všech CPU v PC i mobilních zařízeních a serverech) všimla nekompromisního doporučení amerického CERT, který ve své zprávě k oběma chybám (online zde) uvedl jako jediné plnohodnotné řešení výměnu CPU. Stránka CERT doslova uváděla: "Underlying vulnerability is caused by CPU architecture design choices. Fully removing the vulnerability requires replacing vulnerable CPU hardware."

CERT následně na stránce která je průběžně aktualizována toto doporučení odstranil a ponechal jen doporučení provádět aktualizace OS a aplikací (my dodáváme že důležité jsou též aktualizace hypervisorů a virtualizační infrastruktury jako například kontejnery), které jsou schopny rizika Meltdown/Spectre "zmírnit" (mitigate).

Odstranění doporučení výměny CPU ze stránek CERT lze pochopit s ohledem na skutečnost, že, zejména v případě zranitelnosti SPECTRE v současné době na trhu neexistuje alternativa - týká se CPU Intel, AMD i ARM a je dána jejich architekturou. SPECTRE je naštěstí, jak jsme již psali, obtížnější zneužít (ale také záplatovat). S trochou nadsázky lze nicméně říci, že ve chvíli kdy budou zveřejněny kompletní detaily obou zranitelností nebude na světě existovat skutečně bezpečný výpočetní systém (zařízení či cloudová služba) - přinejmenším do doby, než výrobci CPU nabídnou opravené modely, což s ohledem na fakt že se jedná o vlastnost architektury může trvat několik let. Na druhou stranu pochybujeme o tom, že s výjimkou důkladně uzamčených systémů odpojených od internetu doposud nějaké skutečně či absolutně bezpečné výpočetní systémy existovaly.

 

 

 

Další komentáře

3/4 Chief Data Officerů jsou významně zapojeny do transformace

Data a analytika hrají v digitální transformaci zásadní roli – a platí to i pro lídry odpovědné za tuto oblast. Jak ukázaly nejnovější studie Gartneru v šestém výročním průzkumu CDO (Chief Data Officer), bezmála ¾ z nich (72 %) jsou významně zapojení do transformačních iniciativ. To mimo jiné znamená, že data a analytika se stávají (podobně jako například kybernetická bezpečnost – viz téma tohoto Observeru) oblastí, kterou ve stále větším procentu organizací řeší nejvyšší vedení. I proto...

Bord zajímá především kyber-bezpečnost

Kybernetická bezpečnost se v posledním roce stala prioritou nejen řady CIO, ale dokonce tématem, které řeší CEO či celé bordy. Dobře to ilustrovala nedávná anonymní anketa mezi tuzemskými CIO ze sektoru utilit, kterou INSIDE pomáhal uskutečnit. Přibližně polovina respondentů uvedla, že oblastí, v níž budou v roce 2021 (oproti roku předchozímu) nejvíce navyšovat výdaje, je kybernetická/informační bezpečnost – a zároveň ji označili jako zásadní (přelomovou, převratnou) technologii pro své odvětví (prvenství sdílela společně s digitálním dvojčetem). Stejně tomu...