Procesory mają poważne wady projektowe…

Jeśli przez ostatnie parę dni nie śledziłeś internetu, spieszymy z wyjaśnieniami. Generalnie w procesorach odkryto dwie dziury: Meltdown i Spectre. Żeby było jasne: obie to problem sprzętowy, niezależny od systemu operacyjnego. Odkrycia dokonały niezależnie trzy zespoły specjalistów zajmujących się bezpieczeństwem, w tym Project Zero w Google'u. To właśnie ta ostatnia ekipa opublikowała najdokładniejszy jak do tej pory opis luk.

W skrócie: specjalnie spreparowany program jest w stanie wykraść informacje przechowywane w danej chwili w pamięci RAM przez dowolną inną aplikację. Tak jest w przypadku luki Spectre. Meltdown to poważniejszy przypadek, bo pozwala również położyć łapy na danych przechowywanych w pamięci przez sam system operacyjny.

Pierwsze informacje sugerowały, że podatne na te ataki są tylko procesory Intela. Już wtedy wyglądało jednak na to, że nie chodzi jedynie o najnowsze jednostki, ale także wcześniejsze. To się potwierdziło – z nawiązką. Na przynajmniej jedną z wersji powyższych ataków podatne są bowiem niemal wszystkie będące w użyciu procesory. W przypadku Intela chodzi (z małymi wyjątkami) o każdy model od 1995 roku – są podatne na oba typy ataków. Do listy procesorów z problemami trzeba jednak dopisać również układy AMD, a także bazujące na architekturze ARM oraz Power, które są podatne na atak typu Spectre. Oznacza to, że problem dotyczy nie tylko posiadaczy pecetów i Maców, ale także konsol, smartfonów i tabletów. Stosunkowo bezpieczni są natomiast fani inteligentnych zegarków i opasek, bo znajdujące się w nich układy są na tyle prymitywne, że powinny być na ten atak odporne. Oczywiście tylko pod warunkiem, że poza nosidłem nie mają nic innego. Problem dotyczy jednak nie tylko urządzeń konsumenckich, lecz również serwerów.

W wersji domowej oznacza to, że wystarczy otworzyć stronę www, a umieszczony na niej skrypt pozna wszystkie twoje hasła i dane logowania, ukradnie certyfikaty i zdjęcia. Jeśli tylko będzie wystarczająco długo uruchomiony, będzie mógł wiedzieć wszystko. A że chodzi nie tylko o komputery i smartfony, ale również serwery, konsekwencje mogą być katastrofalne. Przy czym „mogą być” tylko dlatego, że jak na razie nie wykryto jeszcze, by z tych luk korzystali hakerzy. To jednak tylko kwestia czasu.

Na szczęście nie. Zarówno Meltdown jak i Spectre – choć to błędy sprzętowe – można na szczęście załatać programowo. Stosowne poprawki są już albo wprowadzone, albo przynajmniej zapowiedziane. Problem tylko w tym, że mogą one powodować spory spadek wydajności. W przypadku pierwszych testów przeprowadzonych na sofcie wykorzystywanym w serwerach różnica przekraczała w niektórych przypadkach 50%. W praktyce okazało się jednak, że zazwyczaj tak źle nie jest, choć np. serwery Fortnite'a (za którymi stoi Epic Games, w którym teoretycznie ekspertów nie brakuje) dostały jeszcze mocniej, bo różnica przekracza 100%:

Apple stwierdziło jednak, że jego poprawki w ogóle nie spowodują spadku wydajności, a testy wykonane przez serwis computerbase.de w Windowsie 10 (stosowna poprawka jest dostępna od 4 stycznia, do W7 i 8.1 zostanie wydana 8 stycznia) pokazują, że zmiana w praktyce będzie niezauważalna (niebieskie słupki to wynik przed, a czerwone – po aktualizacji):

Do tego Microsoft, Google oraz Amazon poinformowały, że ich chmury są bezpieczne, a do tego w większości przypadków działają równie wydajnie co wcześniej.

Intel zapowiedział, że przyszłe wersje procesorów będą na ten błąd odporne, ale – poza wydaniem łatek – nic więcej nie zrobi. Darmowa wymiana CPU nie wchodzi więc w grę. AMD mówi, że w zasadzie nic robić nie musi, bo błąd jest na razie czysto teoretyczny. Procesory tej firmy będą jednak najpewniej i tak automatycznie chronione przez łatki do systemów operacyjnych – ze wszystkimi tego konsekwencjami, w tym spadkiem wydajności.

Największy problem mają jednak posiadacze smartfonów z Androidem (Apple zapowiedziało poprawki do iPhone’ów). Mniej więcej miliard takich urządzeń nie dostaje już żadnych aktualizacji, stanowić więc będą bardzo łakomy kąsek dla hakerów. Jeśli nie przerażały cię wcześniej luki w technologii Bluetooth ani w Wi-Fi, tym razem naprawdę warto pomyśleć o wymianie sprzętu na taki, który ma lub w najbliższym czasie dostanie styczniową poprawkę bezpieczeństwa.