Annyi mindent írnak, pontosan miről van szó?
Nem kell ahhoz új év, hogy új biztonsági résről szóljanak a hírek, de a 2018 elején robbant bomba a megszokottnál jóval nagyobbat szólt. Két olyan sebezhetőségre derült ugyanis fény, amely a szokásosnál jóval nagyobb kört érint – lényegében mindenkit, aki rendelkezik számítógéppel vagy okostelefonnal. Előbb az Intel által gyártott processzorok kerültek a hírekbe, ezek tervezési hibáját Meltdown néven emlegetik. Nem sokkal később kiderült: van egy másik, Spectre nevű sebezhetőség is, amit viszont más processzorgyártók chipjein is megtaláltak a biztonsági szakemberek.
Miért így hívják őket?
Az összeomlást, vagy ebben az esetben inkább olvadást jelentő Meltdown nevet a hibát elsőként felfedező csapat egyik tagja Daniel Gruss adta. A Mashable-nek a csapat képviselője elmondta: több okból is jónak találták a nevet. Egyrészt egy nukleáris olvadás után szivárgás következik be: ennél a hibánál ugyanez játszódik le, csak itt az adatainkkal. Másrészt a hiba következtében "elolvadnak" a biztonsági határvonalak a programok és az operációs rendszer között.
A Spectre kísértetet jelent. Nevét Paul Kocher adta, aki szerint a hiba működése ugyanolyan láthatatlan módon történik, mint amennyire láthatatlanok a szellemek.
Melyik készüléket érintik a hibák?
A Meltdownt az Intel által az elmúlt bő két évtizedben gyártott processzorokban sikerült azonosítani. Lényegében mindegyikben, amelyik 1995 után készült, kivéve az Itanium sorozatot, illetve a 2013 előtt gyártott Atomokat. Később kiderült, az ARM rendszerű chipek némelyike is érintett. A Spectre még nagyobb körben van jelen: a biztonsági rést az Intel, az AMD, az ARM, az IBM és a Qualcomm processzoraiban is megtalálták – a Qualcomm chipjeiben jó esély van a Meltdown jelenlétére is. A napokban az Apple közölte: az iPhone-okban és iPadekben lévő processzorokban is megvan a hiba, illetve a Mac számítógépekben is – gyakorlatilag minden modell érintett.
A gyakorlatban ez azt jelenti: lényegében bármilyen számítógépe, bármilyen okostelefonja és bármilyen táblagépe van otthon, a két sebezhetőség közül legalább az egyik megtalálható benne. Ráadásul közel sem csak a személyi eszközökről van szó, szintén komoly gondot jelent, hogy a szerverek, így a felhőszolgáltatásokat kiszolgáló gépek zöme is érintett.
Mi bajom lehet ebből nekem?
A biztonsági rések olyan kaliberűek, hogy miattuk hatályukat vesztik a gépen lévő alapvető biztonsági szabályok. Normál esetben a számítógépen/telefonon futó egyik szoftver nem fér hozzá a többi programban lévő adatokhoz – kivéve persze akkor, ha erre külön engedélyt ad a felhasználó. A Meltdown és a Spectre kiskapuit kihasználva egy rosszindulatú program lényegében a gépen futó összes többi szoftver által kezelt adatokhoz hozzáfér:
-
valós idejű és tárolt böngészési adatok;
-
a mindenféle programokban, köztük a jelszókezelőkben (!) tárolt jelszavak;
-
szöveges dokumentumok, táblázatok, prezentációk;
-
e-mailek, chatelések tartalma, üzenetek;
-
fényképek…
Ezek csak példák voltak, röviden összefoglalva: lényegében mindenhez hozzáférhetnek a gépünkön és telefonunkon. Itt nézheti meg, a jelszavakat milyen egyszerűen lopják el: ahogy begépeli, azonnal ki is figyelik.
Ez komoly. Hogyan védekezhetek ellene?
A hibásan gyártott chipek hibásak maradnak. A gyártók pedig természetesen nem hívhatják vissza az elmúlt két évtized összes processzorát. Maximum elnézést kérhetnek a “figyelmetlenségükért”. Ezt eddig egyik vállalat sem tette meg, másrészt persze praktikusan nem is segítene túl sokat.
Az operációs rendszerek és más szoftverek szintjén szerencsére lehet valamit tenni a helyzet megoldására.
Kik adtak ki eddig szoftverjavításokat?
A Microsoft példás gyorsasággal reagált: a hiba nyilvánosságra kerülése után napokkal már elkészült a Windows operációs rendszerek vészfrissítése, amely az új Windowst használók gépére már csütörtökön automatikusan települt, a korábbi verziók pedig most kedden kapják majd meg a csomagot. (Az önhöz is érkező rendkívüli Windows-frissítésről itt olvashat.)
Az Apple az asztali gépein futó macOS-hez és a mobil eszközein lévő iOS-hez már decemberben kiadott olyan frissítést, amely szűkíti a Meltdown biztonsági rést. A Spectre által szélesre nyitott kaput némileg behajtó szoftverfrissítés pedig napokon belül érkezik az Apple készülékeire. A vállalat azt ígéri, szakemberei továbbra is vizsgálják a sebezhetőségeket, és a következő hetekben próbálnak újabb védelmi elemeket hozzáadni rendszereikhez.
A Google is kiadott egy szoftveres javítást az Androidhoz még decemberben. De a platform sajátosságai miatt az androidos helyzet bonyolultabb: itt ugyanis a készülékgyártóktól függ, hogy melyik készülékekre mikor küldik ki a csomagot. Ha egyáltalán kiküldik: az eddigi tapasztalatok alapján alig némelyik telefonokra készül rendszeres szoftverfrissítést.
A szintén a Google által fejlesztett Chrome böngésző a január 23-án érkező új verzióban kap majd fontos védelmi elemeket. A Mozilla már novemberben tett a Firefoxba olyan kódrészleteket, melyek részleges, átmeneti védelmi vonalat jelenthetnek a program által kezelt adatok ellopása ellen. Az Internet Explorer és az Edge esetében a már említett Windows-frissítés, a Safari esetében pedig az Apple által kiadott csomag tartalmaz részleges megoldásokat.
Közvetlenül a vállalati felhasználókat érintheti, hogy az Amazonnál és a Ciscónál szintén komoly erőkkel dolgoznak a szükséges rendszermódosításokon.
Mit érnek a számítógépen lévő antivírus programok?
A Meltdown és a Spectre hibákat kihasználó rosszindulatú programok olyan szinten mozognak a rendszerben, hogy az antivírusok/vírusirtók nem tudják kordában tartani őket. De azért a biztonsági szoftverek fejlesztői is tehetnek valamit, sőt muszáj is tegyenek: az előzőekben említett operációsrendszer-frissítések olyan mélyen nyúlnak például a Windows működésébe, hogy a Microsoft közlés szerint minden antivírusprogramot frissítenie kell a gyártóknak, hogy a vírusirtók továbbra is működhessenek.
Szóval a következő napokban minden megoldódik, ha minden rendszerhez és programhoz megjön a frissítés?
Jelenlegi ismereteink alapján a következő napokban/hetekben érkező frissítésekkel a Meltdown ellen nagy hatékonysággal védekezhetünk. A Spectre esetében picit bonyolultabb a helyzet: biztonsági szakértők becslése szerint hónapokban, akár évekbe is telhet, mire teljesen úrrá tud majd lenni az iparág a helyzeten.
Mennyire lassítják le a gépet a szoftveres javítások?
A teljesítmény romlása sajnos biztosra vehető, csak a mértéke kérdéses. A funkcionalitásban is lehetnek kisebb változások. Mindezt Mozillánál senior fejlesztőként dolgozó Luke Wagner úgy magyarázta: be kell látni, hogy mivel nem szoftveres hibáról van szó – melynek javításához lényegében csak "ki kellene hagyni" a hibás kódrészletet –, a hardvertervezési probléma szoftveres megoldása áldozatokat kíván. A The Registernek a szakember úgy nyilatkozott, a szoftverfejlesztők áthidaló megoldásai azzal járnak majd, hogy bizonyos háttérfunkciókat korlátozniuk kell.
A biztonsági szakértők első becslései szerint javítások telepítése után az eszközök 5-30 százalékkal lassabban működnek majd. Fontos megérteni, hogy ezt a csúcsteljesítményből kell levonni – tehát a lassulást nem minden esetben, nem minden tevékenység közben érezzük majd meg. Erre jutott a saját felhőrendszereit már frissítő Google és Amazon is.
Általánosságban elmondható, hogy a már eleve lassabb régebbi (processzorral szerelt) számítógépek esetén nagyobb mértékű lehet a lassulás. Ez legalább arra késztetheti a régebbi gépek használóit, hogy új eszközt vegyenek, az abban lévő processzorokban pedig már nem lesznek ott ezek a tervezési hibák.
Mit tehetek én mint felhasználó?
A következő napokban-hetekben még a szokásosnál is jobban figyeljen oda a szoftverfrissítésekre. Rendszeresen keressen rá arra kedvenc szoftvereiben és oprendszerében, nem érkezett-e újabb frissítés – és ha érkezett, azonnal telepítse azt.
Kétszer is gondolja át, hogy honnan tölt le és telepít új programot, ezekben a napokban ugyanis nem csak a szoftverfejlesztők dolgoznak a frissítések elkészítésén, hanem a rosszindulatú programok készítői is a vírusaik “aktualizálásán”. Telefonok esetében csak a hivatalos alkalmazásboltokból telepítsen appokat.
Ha tudni szeretne a fejleményekről, lájkolja a HVG Tech rovatának Facebook-oldalát.
Kommentáld!