Pár napja folyamatosan érkeznek a hírek arról, hogy két nagyon súlyos, mikroprocesszorokkal kapcsolatos sebezhetőséget fedeztek fel biztonsági szakértők, amelyekből legalább egyik érinti az Intel, az ARM és az AMD processzorgyártók bizonyos chipjeit, azaz:
Ennek nyomán hozzáértő hackerek – kártékony kódokkal – ellophatják a felhasználók jelszavait, lenyúlhatnak bankkártya- és más érzékeny adatokat az eszközök memóriájából.
Elmagyarázzuk, mit kell tudnia az átlagos felhasználónak az esetről, mennyire súlyos a dolog, és mit tehetünk magunk a védelmünkért.
MIK EZEK A HIBÁK?
A tájékozódást bonyolítja, hogy nem is egy, hanem két kihasználható sérülékenységről van szó. Ezek sok mindenben hasonlítanak egymásra (mind képes hozzájutni a memóriában tárolt információkhoz), de módszereik különböznek, erre utal elnevezésük is. A kutatók által közzétett dokumentációk mindenki számára elérhetők a neten.
Ezek nem „fizikai” hibák, amik magukban a processzorokban találhatók, vagy olyan szoftveres bugok, amelyek, mondjuk, a Chrome-ban vagy a Flashben bújnak meg, hanem valahol a kettő között jelentkeznek: architektúrák szintjén merül fel, miközben milliónyi tranzisztor és logikai egység dolgozik együtt az utasítások végrehajtásán.
A szakértők által Meltdown névre keresztelt sebezhetőség az Intel 1995 után gyártott (kivéve a 2013 előtt készült Itanium és Atom), illetve bizonyos ARM-chipeket is érinti, ezt három különböző csoport fedezte fel és jelentette egymástól függetlenül, a Google Project Zero szakemberei, Werner Haas és Thomas Perscher szakértők a Cbyerus Technologytól, illetve a Graz Egyetem négy kutatója.
A Spectre pedig nemcsak az Intel, de az AMD és ARM chipjeit használó kütyükben is jelentkezik, így a laptopokon és asztali gépeken túl táblagépek és okostelefonok is sebezhetőnek számítanak. Ugyan nehezebben kihasználható, de javítása is körülményesebb és hosszabb távon okozhat nagyobb gondokat.
MIT LOPHATNAK EL A HACKEREK?
A brit nemzeti kiberbiztonsági központ (NCSC) állítása szerint eddig nincs bizonyíték arra, hogy a Meltdownt és a Spectre-t kihasználták volna már konkrét támadás során, de azokat amúgyis rendkívül nehéz azonosítani, a hagyományos naplófájlokban nem maradnak nyomok.
A biztonsági szakértők azonban arra számítanak, hogy miután az ügy nyilvánosságra került, a hackerek gyorsan akcióba lendülnek, és kifejlesztik a támadáshoz szükséges eszközöket, programokat.
Ám mivel a cégeket már hónapokkal ezelőtt értesítették a sebezhetőségekről, ezért javarészt már elérhetők a szükséges frissítések, amik erősebb, bár nem száz százalékos védelmet nyújtanak.
MENNYIRE KELL FÉLNÜNK?
Daniel Gruss, a Graz Egyetem kutatója szerint a Meltdown valószínűleg „a valaha volt egyik legsúlyosabb processzorhiba, amit találtak”, rövidtávon is komolyan kell venni a problémát, és azonnali intézkedést igényel.
Ám ahogy Matt Trait biztonsági szakértő is írja,
A sebezhetőség nem jelenti azt, hogy tárva nyitva áll a számítógépünk minden mezei kiberbűnöző előtt, főleg azért, mert számukra nem kifizetődő a különálló személyek gépéből információkat kiolvasni (az eljárás egyébként is lassú), sokkal inkább a különféle kriptopénzes szolgáltatásokat, tárcákat támadhatják.
MIT TEHET A MEZEI USER?
Győződjünk meg arról, hogy az általunk használt rendszer naprakész, és telepítettünk minden frissítést az operációs rendszerünkhöz és a preferált internetes böngészőhöz, utóbbiaknál pedig használjunk hirdetésblokkolókat is.
- A Microsoft január harmadikán adta ki a Windows 10-es eszközökre saját javítását, ami automatikusan települ, később érkezik a csomag a 7-es és 8-as verziókhoz is.
- Linuxhoz is elérhető már javítás.
- A Google beszámolt róla, hogy adroidos eszközök esetén is biztonságban vagyunk, ha telepítettük a legutóbbi biztonsági javítást. A Chrome böngészőhöz január 23-án jön egy frissítés, addig kapcsoljuk be a Site Isolation nevű funkciót, és használjunk hirdetésblokkolókat is.
- Az Apple január negyedikén közölte, hogy az iOS 11.2, macOS 10.13.2 és a tvOS 11.2 már tartalmazzák a javítást, és napokon belül a Safarihoz is kiadnak egyet. Az Apple Watch okosóra tulajdonosainak nem kell félniük.
- Az Intel pedig a következő hét végéig kiadja a szükséges csomagokat, amik az elmúlt öt évben gyártott processzorok 90 százalékát lefedik.
A gyártók felhívják a figyelmet arra, hogy csak megbízható forrásból telepítsünk.
