Порушення безпеки Виробники процесорів Meltdown і Spectre заперечують будь-який ризик -

Опубліковано 01.05.2018 о 15:10

безпеки

Після виявлення вразливостей безпеки Meltdown та Spectre виробники Intel, AMD та ARM хочуть заспокоїти. Однак обережність залишається до наявності виправлень, розроблених постачальниками операційної системи.

Вразливості безпеки Meltdown та Spectre впливають на переважну більшість мікропроцесорів на ринку.

Creative Commons/Lungstruck

Вони називаються Meltdown і Spectre, відповідно, і на перший план вийшли в січні 2018 року, завдяки дослідникам комп’ютерних технологій. Meltdown, перша з цих двох вразливих систем безпеки стосується всіх процесорів Intel, що продаються з 1995 року, за винятком процесорів Itanium та Atom, що продавались до 2013 року, тоді як друга (під назвою Spectre) стосується обох напівпровідників Intel, ніж їх конкурента. AMD. З моменту розкриття проблеми в ЗМІ вже 3 січня 2018 року (ділові партнери Intel, такі як Google, знали про це до 1 червня 2017 року), зацікавлені компанії відреагували. Починаючи з Intel та ARM (британська компанія, що створює процесорні архітектури), згідно з якою недолік не є недоліком дизайну. AMD вважає, що ризик майже дорівнює нулю. Окрім семантичного питання, яке є перш за все питанням відповідальності, залишається більш розумним оновлення всіх цих систем, як тільки з’являться виправлення безпеки. Оскільки хакери могли скористатися відомими подробицями цих уразливостей для розробки шкідливих програм.

"Не недолік дизайну" для Intel

"Це позначається на телефонах, ПК, але вплив залежить від продукту", - заявив генеральний директор Intel Брайан Крзаніч в інтерв'ю CNBC 3 січня 2017 р. Однак у виробників Intel і ARM недолік не стосується до архітектури мікропроцесорів. "Це не помилка або невід'ємний дефект нашої продукції", - наполягає Intel у прес-релізі. "Ця вразливість використовує переваги обробних методів, загальних для всіх обчислювальних платформ, так що безпека може бути порушена навіть тоді, коли система працює точно так, як передбачалося".

ВІДПОВІДАЛЬНІСТЬ. Іншими словами, відмовляючись говорити про дефект конструкції для опису проблеми, виробники напівпровідників уникають нести відповідальність самостійно. Ось чому вони воліють вказувати пальцем на комп'ютерні стандарти, що використовуються роками, щоб дозволити обробку інформації на кожному тактовому циклі мікропроцесора.

Наскільки ймовірно шкідливе програмне забезпечення скористатися вразливістю ?

За словами команди дослідників комп'ютерної безпеки, яка працює в проекті Google Zero від Google, яка розкрила подробиці ризиків, пов'язаних з Meltdown і Spectre, Apple і Microsoft вже мають виправлення для робочих столів, на які впливає Meltdown. На запитання інформаційного агентства Reuters дві компанії досі не реагували з цього приводу. "Ми сподіваємось, що постачальники операційних систем виправлять проблему до 7 січня для більш ніж 90% процесорів, представлених за останні 5 років", - також йдеться у заяві Intel. Однак постане питання про мікропроцесори, вироблені між 1995 і 2013 роками. Вони працюють під застарілими операційними системами, які їх видавці більше не оновлюють, наприклад, Microsoft XP, наприклад. Для цих систем оновлення недоступне.

РИЗИКИ. Які конкретні ризики? Все залежить від здатності потенційних хакерів використовувати масу інформації, зібраної зараз щодо двох уразливих місць, щоб перетворити її на шкідливе програмне забезпечення та швидко розповсюдити. "На даний момент нам не відомо про будь-яке шкідливе програмне забезпечення, розроблене для використання цієї вади. Однак, системні адміністратори повинні бути обережними та встановлювати виправлення ”, - заявила Intel. Та сама історія на стороні AMD, для якої "на даний момент ризик для продуктів AMD майже нульовий". В дану хвилину. але не назавжди. Тим більше, що недолік Spectre, "який важче використати, ніж Meltdown, також важче виправити", за словами комп'ютерних дослідників, що стоять за цим відкриттям. "Ми вирішили назвати його" Привид ", тому що, оскільки його важко зірвати, він буде переслідувати нас довгий час", - пишуть дослідники Янн Хорн і Пол Кохер на сайті, присвяченому ваді.

Невизначеність щодо очікуваного падіння показників

Очікуване зниження продуктивності після виправлення спочатку оцінювалося від -5 до -30%. Під питанням, обов'язково програмне вирішення проблеми, що включає досить кропіткий обхідний шлях, як виявив обмін розробниками Linux на Github. І тут Intel хоче бути заспокійливим і згадує тести, які виконують її партнери. Таким чином, на продуктивність сервісів Google або навіть хмарних служб від Microsoft або Amazon мало впливати. Що стосується Apple, ми впевнені, що тести виконані і не демонструють суттєвого зниження продуктивності. Але ці тестові стенди не завжди надійно відображають реальні умови: для нетипових застосувань, які споживають багато обчислювальної потужності (як правило, моделювання, обробка відео чи зображень), потрібно буде дочекатися наявності патчів, щоб судити про докази.

СМАРТФОНИ. Google також повідомив у своєму блозі, що нещодавно оновлені телефони Android також захищені, включаючи моделі Nexus та Pixel. Американська група додала, що конкретні дії щодо електронної пошти Gmail не потрібні, однак користувачам Chromebook, веб-браузера Chrome та інших сервісів Google Cloud потрібно буде встановлювати оновлення.

Дивовижний продаж опціонів на акції генеральним директором Intel у листопаді 2017 року

І якщо все-таки існувала потреба у чомусь, що підживлює суперечку: Intel знала про ці вразливості протягом декількох місяців. Це не завадило Брайану Крзанічу, генеральному директору компанії, продати близько 245 000 акцій Intel (або 11 мільйонів доларів США, або понад 9 мільйонів євро) 29 листопада 2017 року, не надавши пояснень. Ми краще розуміємо ризики звинувачень, з якими може зіткнутися Intel, якщо буде задіяна її відповідальність.