„Intel“ reakcija dėl surastos kritinės saugumo spragos procesoriuose ir ekspertų prognozės, kaip tai atsilieps išmaniesiems telefonams ()
Neseniai nustatytas kompiuterių lustų pažeidžiamumas trečiadienį sukėlė nerimą, jog įsilaužėliai gali prieiti prie jautrių duomenų daugelyje kompiuterinių sistemų. Tačiau technologijų kompanijos rizikos nesureikšmina.
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
JAV technologijų milžinė „Intel“ trečiadienį išplatino pareiškimą po serijos tyrėjų nuogąstavimų, jog tokia spraga sukuria galimybę, jog kompiuteriuose ir tinkluose privačiai saugomi duomenys gali nutekėti.
„Intel“ taip pat pavadino netiksliais pranešimus, kad tokia spraga yra susijusi tik su jos gaminamais produktais. „Intel“ vadovas Brianas Krzanichas CNBC sakė, kad „iš esmės visi šiuolaikiniai bet kur pritaikyti procesoriai naudoja procesą, vadinamą „prieigos atmintimi“, kurį aptiko „Google“ tyrėjai, neskelbę šios informacijos, kol kompanijos ieško sprendimo būdo“.
Tuo tarpu „Google“ paskelbė savo saugumo tyrėjų išvadas anksčiau, nes pastaruoju metu spaudoje pasirodė nemažai informacijos.
Tyrėjai nustatė „rimtų saugumo spragų“ įrenginiuose su „Intel“, AMD ir ARM lustais ir su jais susijusiose operacinėse sistemose. Jie teigia, kad pasinaudojusi šia spraga „neautorizuota šalis gali perskaityti jautrią informaciją sistemos atmintyje, kaip slaptažodžiai, kodavimo raktai“.
„Kai tik mes sužinojome apie šią naują spragą, mūsų saugumo ir produktų kūrimo komandos mobilizavosi, kad apsaugotų „Google“ sistemas ir mūsų vartotojų duomenis, – skelbiama „Google“ tinklaraštyje. – Mes atnaujinome mūsų sistemas ir susijusius produktus, kad apsisaugotume nuo išpuolių. Taip pat bendradarbiaujame su kompiuterinės ir programinės įrangos kūrėjais, kad padėtume jiems apsaugoti vartotojus ir platesnį tinklą.“
„Intel“ taip pat pranešė bendradarbiaujanti su konkurentėmis AMD ir „ARM Holdings“, kuriančiomis sistemas mobiliems įrenginiams, bei kompiuterinių operacinių sistemų kūrėjams, kad „greitai ir konstruktyviai sukurtų šios problemos sprendimo būdą viso sektoriaus mastu“.
Nepriklausomas technologijų analitikas Jackas Goldas sakė bendravęs su „Intel“, AMD ir „ARM Holdings“ atstovais šiuo klausimu, ir jie pabrėžė, kad problema yra per daug išpūsta.
„Tai nėra kažkoks „Intel“ lustų brokas. Taip veikai visi lustai“, – sakė jis.
„Microsoft“ skelbia neturinti informacijos apie kokį nors duomenų nutekėjimo atvejį, tačiau „išleidžiame saugumo atnaujinimus, kad apsaugotume „Windows“ vartotojus“.
O AMD atstovas sakė, kad dėl AMD procesorių sandaros skirtumų „mes manome, kad šiuo metu AMD produktais kylanti grėsmė yra beveik nulinė“.
Tuo tarpu kai kurie ekspertai anksčiau šią savaitę pareiškė, kad bet koks šios problemos sprendimo būdas gali sulėtinti kompiuterinių sistemų veikimą 30 proc. ir daugiau. Tačiau „Intel“ pareiškė, kad tokie nuogąstavimai yra perdėti.
Garsioji procesorių klaida kirs ne tik kompiuteriams su „Intel“ procesoriais, bet ir išmaniesiems telefonams
Pasirodo, ši klaida (iš tikrųjų – dvi atskiros klaidos) kiša koją ne tik „Intel“, bet ir AMD bei ARM architektūros gaminiams. Kas reiškia, kad problemų esama beveik visuose kompiuteriuose bei telefonuose, rašo „Engadget“.
Didelių tarnybinių stočių ūkių valdytojai (tokie, kaip „Google“ bei „Amazon“) jau dabar naujina savo kompiuterius, kad vienų žmonių šiose stotyse vykdomos operacijos nebūtų matomos visai kitiems žmonėms (tiksliau, jų sukurtoms programoms), tačiau ką tai reiškia namų kompiuterių ir išmaniųjų telefonų naudotojams?
„Google Project Zero“ saugumo tyrėjai tinklaraštyje skelbia, kad problemą pastebėjo dar praėjusiais metais. Jie nurodo, kad daugumoje įrenginių su „Android“ operacine sistema šių klaidų išnaudojimas yra „sudėtingas ir ribotas“. Sudarytas ir potencialiai pažeidžiamų paslaugų bei techninės įrangos sąrašas, o naujausiame „Android“ sistemos saugumo atnaujinime yra įtrauktos priemonės, kad asmeninė informacija nenutekėtų į netinkamas rankas.
„Microsoft“ savo pareiškime skelbė: „Šiuo metu platiname priemones, apsaugančias debesines paslaugas, taip pat išplatinome saugumo naujinius, kurie apsaugos „Windows“ vartotojus nuo saugumo spragų, esančių palaikomuose procesoriuose, pagamintuose „Intel“, ARM ir AMD“. Tinklaraštyje, skirtame „Azure“ tarnybinių stočių platformos naudotojams, ši korporacija skelbia, kad jų infrastruktūra jau atnaujinta ir kad didžioji dauguma vartotojų neturėtų pajusti neigiamo poveikio produktyvumui.
„Apple“ oficialių pareiškimų, susijusių su šia saugumo spraga, neplatino, tačiau kibernetinio saugumo ekspertas Alexas Ionescu nurodė, kad „macOS 10.13.2“ versijoje jau yra priemonių, susijusių su šia spraga, o 10.13.3 sistemos naujinyje bus ir „staigmenų“.
AMD skelbė: „dėl kitokios AMD architektūros esame įsitikinę, kad grėsmė AMD procesoriams yra artima nulinei“, tačiau pažadėjo, kad gavus daugiau informacijos, bus pateikta ir daugiau vartotojams skirtų žinių. Tuo tarpu ARM skelbia, kad daugumai jų gaminamų procesorių šios saugumo spragos nėra būdingos, tačiau turima specifinės informacijos apie pažeidžiamus produktus.
Ką gi tai reiškia paprastiems vartotojams? Kibernetinio saugumo ekspertai pateikia standartines rekomendacijas – įsidiekite į kompiuterius naujausias saugumo pataisas ir stenkitės vengti programų bei kitokio turinio siuntimosi iš įtartinų šaltinių, mat šios programos gali būti „praturtintos“ piktybiniais elementais.
Dvi klaidos
Naujienų agentūra „Reuters“ rašo, kad „Intel“ procesoriams būdinga tik viena iš dviejų aptiktųjų architektūros klaidų. Antrąją klaidą galima rasti praktiškai visuose šiuolaikiniuose gaminiuose, kuriuose esama procesorių – nešiojamuosiuose, staliniuose, planšetiniuose kompiuteriuose, išmaniuosiuose telefonuose ir interneto platformose.
Pirmoji klaida, pavadinta „Meltdown“, programišiams leidžia įveikti techninės įrangos barjerą, esantį tarp programų, kurias vykdo vartotojai, ir kompiuterio atminties – potencialiai ji programišiams suteikia galimybę iš kompiuterio atminties nuskaityti vartotojų slaptažodžius.
Antroji klaida, vadinama „Spectre“, yra ir „Intel“, ir AMD, ir ARM procesoriuose – išnaudoję šią klaidą, programišiai gali priversti šiaip jau korektiškai veikiančias programas perduoti jiems slaptą informaciją apie kitus vartotojus. Abiejų spragų išsamesnius aprašymus galima rasti šioje svetainėje.
„Meltdown“ spragos užtaisymai „Windows“ ir „MacOS“ vartotojams jau parengti ir platinami.
Graco technologijų universiteto (Austrija) tyrėjas Danielis Grussas, dirbantis grupėje, atradusioje „Meltdown“, teigė, kad tai „turbūt rimčiausia kada nors surasta procesoriaus klaida“.
Anot jo, „Meltdown“ klaida, vertinant trumpuoju laikotarpiu, grėsmingesnė už „Spectre“, tačiau ją galima patikimai užkimšti programiniais pataisymais. Tuo tarpu „Spectre“ yra platesnės apimties spraga, esanti praktiškai visuose skaičiuojamosiomis galimybėmis pasižyminčiuose įrenginiuose. Programišiams ja pasinaudoti sunkiau, tačiau ir užkimšti ją gerokai sudėtingiau, todėl vertinant ilguoju periodu tai – rimtesnė grėsmė.
„Intel“ vadovas pirmiausiai saugojo save?
Įmonės „Intel“ vadovas Brianas Krzanichius sakė, kad „Google“ apie spragas jiems pranešė „prieš kurį laiką“ ir kad baiginėjami bandymai pataisų, kurios techninės įrangos gamintojams, naudojantiems „Intel“ lustus, bus išplatintos ateinančią savaitę. Iki spragų išviešinimo „Google“ savo tinklaraštyje rašė, kad „Intel“ ir kitos įmonės viešai apie jas pradės kalbėti sausio 9 dieną. „Google“ nurodė, kad apie „Spectre“ susijusias įmones informavo 2017 m. birželio 1 dieną, apie „Meltdown“ – kiek vėliau, bet iki 2017 m. birželio 28 dienos.
Pirmieji viešai apie šią problemą paskelbę „The Register“ žurnalistai nurodė, kad dėl papildomų operacijų pareikalausiančių pataisymų veikimo ypatumų visi atnaujinti kompiuteriai su „Intel“ procesoriais veiks 5-30 proc. lėčiau, tačiau „Intel“ neigė, kad bus padarytas koks nors poveikis našumui.
„Intel“ pradėjo teikti programinius atnaujinimus, neleidžiančius pasinaudoti šiomis spragomis. Skirtingai, nei rašoma kai kuriuose pranešimuose, bet koks poveikis našumui yra susijęs su darbo krūviu ir įprastiniams kompiuterių vartotojams jis nebus reikšmingas, o ilgainiui apskritai bus pašalintas“, – rašoma įmonės viešame pranešime.
Tuo tarpu „Business Insider“ rašė, kad lapkričio pabaigoje, kai „Intel“ jau tikrai buvo žinoma apie šias spragas ir galimą jų įtaką, B.Krzanichius pardavė įmonės akcijų už 24 mln. JAV dolerių. „Intel“ teisinasi, kad šie du faktai nėra susiję ir akcijų pardavimas buvo suplanuotas iš anksto – spalio mėnesį. Tiesa, jau ir spalį apie šias spragas buvo žinoma.
Po pirmųjų žinių apie procesorių klaidas „Intel“ akcijų vertė krito 3,4 procentais, tačiau netrukus atgavo 1,2 vertės ir pakilo iki 44,7 dolerių už akciją. AMD akcijų vertė išaugo 1 procentu iki 11,77 dolerių už akciją.
ARM atstovas spaudai Philas Hughesas sakė, kad įmonės partneriams, tarp kurių yra daugelis išmaniųjų telefonų ir planšetinių kompiuterių gamintojų, jau išplatintos programinės pataisos. „Šis metodas veiksmingas tik tuo atveju, jeigu tam tikro tipo piktybinis kodas jau veikia įrenginyje ir blogiausiu atveji juo pasinaudojus galima išgauti tik mažus duomenų fragmentus iš privilegijuotos atminties srities“, – sakė P.Hughesas.
Nors „Spectre“ klaida būdinga ir AMD procesoriams, įmonės atstovai tvirtina, kad ją galima taisyti programiniu būdu. Anot jų, „šiuo metu grėsmė AMD produktams yra artima nuliui“.
„Google“ skelbia, kad saugūs yra tie „Android“ telefonai, kuriuose įdiegti naujausi saugumo papildymai – pavyzdžiui, jų pačių gaminami „Nexus“ ir „Pixel“ serijų gaminiai. „Gmail“ paslaugos naudotojams jokių papildomų veiksmų imtis nereikia, tačiau „Google Chrome“ naršyklės, „Chromebook“ kompiuterių ir debesinių „Google“ paslaugų naudotojams reikės įsidiegti programinius naujinius.
Kibernetinio saugumo bendrovės „Trail of Bits“ vadovas Danas Guido tvirtina, kad verslo įmonės turėtų kuo skubiau užlopyti pažeidžiamas savo sistemas – anot jo, programišiai nedelsdami suprogramuos kodus, kurie leis vykdyti išpuolius išnaudojant šias klaidas. „Šių klaidų išnaudojimo priemonės bus įtrauktos į programišių standartinį įrankių rinkinį“, – sakė jis.