Podatność w procesorach: Meltdown i Spectre

Głośnym echem odbiła się informacja o podatności procesorów produkowanych przez firmę Intel. Okazało się, że praktycznie wszystkie procesory (nie tylko firmy Intel) posiadają podatność, która pozwala odczytać dane, które są przetwarzane przez procesor. Badacze wyróżnili dwa rodzaje ataków: Meltdown (podatne są procesory firmy Intel i ARM – urządzenia mobile) i Spectre (wszystkie procesory). Podatność w procesorach to negatywne doświadczenie, które dotyczy wszystkich użytkowników komputerów, laptopów czy urządzeń mobilnych (tablety, telefony).

Na atak może narazić nas m.in. wejście na stronę internetową, która została spreparowana do przeprowadzenia takiego zabiegu, pobranie oprogramowania, które będzie miało wszczepiony złośliwy kod. Nie ma szans, aby zabezpieczyć się przed odczytaniem naszych danych, w inny sposób niż aktualizując system operacyjny.

Wszystkie systemy operacyjne otrzymały już aktualizacje niwelującą podatność Meltdown (Windows, LINUX, Android, Apple). Mówi się, że do końca stycznia mają one dotrzeć na wszystkie rodzaje sprzętu. Zabezpieczenie się przed podatnością Spectre jest o wiele trudniejsze, gdyż sami producenci nie wiedzą jak w 100% rozwiązać problem. To, co na chwilę obecną można zrobić to usunąć podatność Meltdown, która drastycznie obniża możliwość wykorzystania przez atakujących podatności Spectre.

Pierwsze doniesienia mówiły o tym, że zainstalowanie aktualizacji usuwającej podatność w procesorach wydajność procesora może spać od 5 do 45%. Spadek wydajności zależy od wielu czynników m.in. od tego jaki procesor posiadamy, jakie operacje są wykonywane na komputerze. Na chwilę obecną spadki wydajności są dużo niższe, niż przewidywano.

Co to oznacza dla laika?

A no tyle, że dziura faktycznie jest i należy ją „załatać”, pobierając aktualizację (patch) systemu operacyjnego. Nie zwracając uwagi na dywagację, czy wydajność naszego procesora spadnie, gdyż:

  • Bezpieczeństwo naszych danych jest ważniejsze od wydajności naszego komputera.
    Przykład: Jeśli ktoś wykradnie nasze dane np. numer karty kredytowej i dane autoryzujące do niej szybkość naszego komputera nie przyspieszy zgłaszania sprawy na policję i nijak nie pomoże w odzyskaniu pieniędzy.
    Przykład: Jeśli ktoś wykradnie dane logowania do naszych kont mailowych, społecznościowych szybkość naszego komputera nie obroni naszych danych osobowych, prywatnych maili, a co za tym idzie reputacji, czy bezpieczeństwa.
  • Spowolnienie pracy komputerów użytkowanych w warunkach domowych według osób, które zainstalowały już aktualizację, nie jest aż tak znaczące. Najbardziej odczuwają to użytkownicy korzystający z baz danych, wyspecjalizowanych programów.

Radzimy śledzić uważnie proponowane aktualizacje systemów, z którym Państwo korzystają i wykonać ich aktualizację.