Časovaná bomba v procesorech – Meltdown a Spectre z pohledu SW

Richard Jan Voigts , 11. březen 2018 10:05 0 komentářů
Časovaná bomba v procesorech – Meltdown a Spectre z pohledu SW

Jak se ke zranitelnostem Meltdown a Spectre, které sahají až na procesorovou úroveň, stavějí výrobci softwaru a operačních systémů? Je správné se vyděsit nebo je spíše na místě zachovat klid a postupovat jako v případě jiných bezpečnostních rizik?

Red Hat byl velmi aktivní a prostřednictvím své PR agentury poslal vysvětlení, na které stojí za to kliknout - blog Johna Masterse, hlavního ARM architekta ve společnosti Red Hat, který srozumitelnou, netechnickou formou vysvětluje aktuální bezpečnostní chyby Meltdown a Spectre, které byly potvrzeny v procesorech výrobců Intel, AMD a ARM, a které se týkají miliónů uživatelů počítačů a mobilních zařízení i firem.

Součástí blogu je i animované video, a text je v současnosti mezi IT experty považován za jedno z nejsrozumitelnějších vysvětlení aktuálních bezpečnostních hrozeb.

Doporučení pro uživatele a zákazníky a podrobnější informace o zranitelnostech dává Red Hat zde. Materiál je podle společnosti Red Hat průběžně aktualizován. Doporučení se týká i linuxových kontejnerů.

Microsoft, Windows a Azure Windows

Microsoft sice většinou stejně jako jeho operační systém Windows neodpovídá, avšak tentokrát vzácně ano – Petr Klement, Business Group leader Microsoft 365 ve společnosti Microsoft v České republice a na Slovensku: „Microsoft úzce spolupracuje s výrobci procesorů na vývoji a testování ochrany proti potenciálním útokům. Naše cloudové služby jsou ochráněny a 3. ledna 2018 jsme vydali bezpečnostní aktualizace pro zákazníky používající Windows na platformách Intel, ARM a AMD. Nemáme zatím žádné informace o útocích na naše zákazníky v souvislosti se zranitelností Meltdown a Spectre.“

Operační systém Windows – pro kompletní zabezpečení Vašeho zařízení je podle Petra Klementa nutné získat aktuální softwarové i hardwarové bezpečnostní aktualizace. Microsoft doporučuje následující kroky:

  • Aktualizujte si svůj antivirový software (doporučujeme kontrolu na stránkách softwarového výrobce).
  • Zapnout si automatické aktualizace systému Windows.
  • Zkontrolovat, že jste nainstalovali lednový (2018) bezpečnostní update systému Windows. Pokud máte povolenu automatickou aktualizaci systému, bezpečnostní update byste již měli mít k dispozici automaticky.
  • Nainstalujte aktualizaci firmwaru vašeho výrobce zařízení.

Windows Server – správce serveru by se měl ujistit, že aktualizuje firmware fyzického serveru. Pokud zákazník používá Hyper-V, je potřeba také nainstalovat aktualizace z Windows Update.

Suse

Ohledně Suse Linux Enterprise Server se vyjádřil na žádost ITBizu prostřednictvím agentury Matthias G. Eckermann, Director Product Management Suse: Oficiální vyjádření, Technické podrobnosti, Konkrétní případ.

Meltdown a Spectre v cloudu

Zranitelnostmi Meltdown a Spectre nejsou ohroženy jen PC, notebooky a servery „on-site“, případně tablety a smartphony, na kterých si tohle čtete, ale i prostředí cloudu. Odpovědi poslaly dotázané společnosti Microsoft a IBM.

Petr Klement, Microsoft – zákazníci využívající Azure nemusejí učinit žádné dodatečné kroky související se zranitelnostmi Meltdown a Spectre. Microsoft již aplikoval veškeré aktualizace a všechny servery v prostředí Azure jsou již ochráněny.

Petr Leština, IBM Cloud – IBM implementuje ve svém prostředí IBM Cloud na systémy Intel x86 a IBM Power opravu formou instalace patche a restartu systému ve vlastní režii, takže zákazník s tímto problémem nemá v prostředí IBM Cloud žádnou starost. Jinými slovy implementace opravy je plně v režii IBM. Naši zákazníci, využívající prostředí IBM Cloud, o této záležitosti byli včas informováni. Více blog IBM.

Kromě toho „pod čarou“ vyplynulo, že aktualizace a patche mohou způsobit stejné zpomalení, jako na lokálním serveru, takže při výše uvedených úlohách (databázových, I/O intenzivních), bude nutno v cloudu přikoupit (nějaký ten) další procesor.

Chyba nebo vlastnost?

Když se nad tím zamyslíme, o chybu vlastně nejde. Jde jen o vlastnost procesorů. Vlastnost, s jejíž zneužitelností před oněmi desítkami let, kdy spekulativní výpočty vznikly a Intel je zpopularizoval, nikdo nepočítal. Prostě se na ni přišlo až vloni. Proto také nejde o to, někoho (a Intel zejména) nějak napadat, spíše informovat, co se vlastně děje, a jak se proti zranitelnostem chránit.

Nebezpečí ale není dobré podceňovat, ale pokud máte nainstalovány aktualizace OS, antimalware a aktivní firewall, není třeba se vyděsit a podléhat hysterii. Spíše by se měly mít na pozoru státní organizace, nadnárodní korporace, výzkumné laboratoře.


Komentáře

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30
Pavel Houser

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Podle Check Pointu malware těžící kryptoměny dominuje dál

Pavel Houser , 17. listopad 2018 08:00

Objevena byla rozsáhlá kampaň šířící RAT malware FlawedAmmyy....

Více 0 komentářů

Samsung Exynos 9 řady 9820 pro umělou inteligenci v mobilech

Pavel Houser , 16. listopad 2018 12:46

Jádro čtvrté generace a modem LTE Advanced Pro s rychlostí 2,0 Gb/s mají vylepšit rozšířenou a virtu...

Více 0 komentářů

BlackBerry koupí za 1,4 miliardy USD Cylance

ČTK , 16. listopad 2018 12:40

Cylance vyvíjí produkty na bázi umělé inteligence, které mají zabránit kybernetickým útokům....

Více 0 komentářů

Starší zprávičky

Uber ve čtvrtletí prohloubil ztrátu na 1,07 miliardy USD

ČTK , 16. listopad 2018 08:00

Uber zvažuje, že posune primární nabídku akcií z druhé poloviny příštího roku na první polovinu....

Více 0 komentářů

Novým generálním ředitelem Autocontu je bývalý šéf Oracle Sameš

ČTK , 15. listopad 2018 12:44

Autocont se zaměřuje na poskytování komplexních IT řešení a služeb pro firmy a státní správu....

Více 0 komentářů

Lagardeová: Centrální banky by měly vydávat digitální měny

ČTK , 15. listopad 2018 08:00

Některé centrální banky, včetně švédské, kanadské a čínské, již uvažují o emisích digitálních měn ve...

Více 0 komentářů

Rostly ceny smartphonů, počítačů i tiskáren

Pavel Houser , 14. listopad 2018 11:53

Trh s technickým spotřebním zbožím zaznamenal podle statistik GfK v České republice ve 3. čtvrtletí ...

Více 0 komentářů