Časovaná bomba v procesorech – Meltdown a Spectre z pohledu SW
Jak se ke zranitelnostem Meltdown a Spectre, které sahají až na procesorovou úroveň, stavějí výrobci softwaru a operačních systémů? Je správné se vyděsit nebo je spíše na místě zachovat klid a postupovat jako v případě jiných bezpečnostních rizik?
Red Hat byl velmi aktivní a prostřednictvím své PR agentury poslal vysvětlení, na které stojí za to kliknout - blog Johna Masterse, hlavního ARM architekta ve společnosti Red Hat, který srozumitelnou, netechnickou formou vysvětluje aktuální bezpečnostní chyby Meltdown a Spectre, které byly potvrzeny v procesorech výrobců Intel, AMD a ARM, a které se týkají miliónů uživatelů počítačů a mobilních zařízení i firem.
Součástí blogu je i animované video, a text je v současnosti mezi IT experty považován za jedno z nejsrozumitelnějších vysvětlení aktuálních bezpečnostních hrozeb.
Doporučení pro uživatele a zákazníky a podrobnější informace o zranitelnostech dává Red Hat zde. Materiál je podle společnosti Red Hat průběžně aktualizován. Doporučení se týká i linuxových kontejnerů.
Microsoft, Windows a Azure Windows
Microsoft sice většinou stejně jako jeho operační systém Windows neodpovídá, avšak tentokrát vzácně ano – Petr Klement, Business Group leader Microsoft 365 ve společnosti Microsoft v České republice a na Slovensku: „Microsoft úzce spolupracuje s výrobci procesorů na vývoji a testování ochrany proti potenciálním útokům. Naše cloudové služby jsou ochráněny a 3. ledna 2018 jsme vydali bezpečnostní aktualizace pro zákazníky používající Windows na platformách Intel, ARM a AMD. Nemáme zatím žádné informace o útocích na naše zákazníky v souvislosti se zranitelností Meltdown a Spectre.“
Operační systém Windows – pro kompletní zabezpečení Vašeho zařízení je podle Petra Klementa nutné získat aktuální softwarové i hardwarové bezpečnostní aktualizace. Microsoft doporučuje následující kroky:
- Aktualizujte si svůj antivirový software (doporučujeme kontrolu na stránkách softwarového výrobce).
- Zapnout si automatické aktualizace systému Windows.
- Zkontrolovat, že jste nainstalovali lednový (2018) bezpečnostní update systému Windows. Pokud máte povolenu automatickou aktualizaci systému, bezpečnostní update byste již měli mít k dispozici automaticky.
- Nainstalujte aktualizaci firmwaru vašeho výrobce zařízení.
Windows Server – správce serveru by se měl ujistit, že aktualizuje firmware fyzického serveru. Pokud zákazník používá Hyper-V, je potřeba také nainstalovat aktualizace z Windows Update.
Suse
Ohledně Suse Linux Enterprise Server se vyjádřil na žádost ITBizu prostřednictvím agentury Matthias G. Eckermann, Director Product Management Suse: Oficiální vyjádření, Technické podrobnosti, Konkrétní případ.
Meltdown a Spectre v cloudu
Zranitelnostmi Meltdown a Spectre nejsou ohroženy jen PC, notebooky a servery „on-site“, případně tablety a smartphony, na kterých si tohle čtete, ale i prostředí cloudu. Odpovědi poslaly dotázané společnosti Microsoft a IBM.
Petr Klement, Microsoft – zákazníci využívající Azure nemusejí učinit žádné dodatečné kroky související se zranitelnostmi Meltdown a Spectre. Microsoft již aplikoval veškeré aktualizace a všechny servery v prostředí Azure jsou již ochráněny.
Petr Leština, IBM Cloud – IBM implementuje ve svém prostředí IBM Cloud na systémy Intel x86 a IBM Power opravu formou instalace patche a restartu systému ve vlastní režii, takže zákazník s tímto problémem nemá v prostředí IBM Cloud žádnou starost. Jinými slovy implementace opravy je plně v režii IBM. Naši zákazníci, využívající prostředí IBM Cloud, o této záležitosti byli včas informováni. Více blog IBM.
Kromě toho „pod čarou“ vyplynulo, že aktualizace a patche mohou způsobit stejné zpomalení, jako na lokálním serveru, takže při výše uvedených úlohách (databázových, I/O intenzivních), bude nutno v cloudu přikoupit (nějaký ten) další procesor.
Chyba nebo vlastnost?
Když se nad tím zamyslíme, o chybu vlastně nejde. Jde jen o vlastnost procesorů. Vlastnost, s jejíž zneužitelností před oněmi desítkami let, kdy spekulativní výpočty vznikly a Intel je zpopularizoval, nikdo nepočítal. Prostě se na ni přišlo až vloni. Proto také nejde o to, někoho (a Intel zejména) nějak napadat, spíše informovat, co se vlastně děje, a jak se proti zranitelnostem chránit.
Nebezpečí ale není dobré podceňovat, ale pokud máte nainstalovány aktualizace OS, antimalware a aktivní firewall, není třeba se vyděsit a podléhat hysterii. Spíše by se měly mít na pozoru státní organizace, nadnárodní korporace, výzkumné laboratoře.
