”Olemme liemessä” – tästä melkein kaikkia tietokoneita hidastavassa ongelmassa on kyse

Julkaistu:

Haavoittuvuudet
Yksi ja joissain tapauksissa kaksi tietoturva-aukkoa koskee useimpia tietokoneiden ja kännyköiden prosessoreita.
Tietoturvatutkijat ovat julkaisseet ennenaikaisesti lisätietoa eilen julkisuuteen vuotaneesta Intelin suorittimia koskeneesta vakavasta haavoittuvuudesta. Tämän lisäksi julkisuuteen tuli melkein kaikkia, myös toisten valmistajien suorittimia koskeva haavoittuvuus.

Asiasta kirjoittavat muun muassa The New York Times (NYT) sekä Zdnet.

Eilen julkisuuteen tullut Intelin prosessoreita koskeva haavoittuvuus on saanut tietoturvatukijoilta nimen Meltdown (sulaminen, romahdus). Toinen haavoittuvuus tunnetaan nimellä Spectre (aave), ja sitä kuvaillaan Meltdownia vaarattomammaksi, mutta useampia laitteita koskettavaksi.

Tavallinen käyttäjä ei pysty tällä hetkellä tekemään mitään oman tilanteensa korjaamiseksi. Riskit eivät ole toistaiseksi kuitenkaan kovin suuria.

Meltdown koskee Intel-suorittimia

Meltdown mahdollistaa tietyissä olosuhteissa tietojen urkkimisen Intel-prosessoreilla varustettujen tietokoneiden muistista. Teoriassa tämä voisi mahdollistaa esimerkiksi salasanojen kaappaamisen haittaohjelmaa käyttämällä.

Meltdown ei näillä näkymin kuitenkaan aiheuta välitöntä vaaraa tavallisille tietokoneen käyttäjille, sillä haavoittuvuuden hyödyntämiseksi tietokoneelle olisi ensin ujutettava haittaohjelma tai sille olisi hyökättävä verkkosivuilta käsin. Nämä eivät ole uusia uhkakuvia.

Haavoittuvuus korjataan ohjelmistopäivityksellä, joka tulee kaikille yleisimmille Intel-prosessoreita tukeville käyttöjärjestelmille, kuten Windowsille, MacOS:lle, Linuxille sekä Androidille.

Päivityksen arvioidaan hidastavan tietokoneita. Lopullinen suorituskykyhävikki riippuu koneessa olevan prosessorin iästä sekä siitä, millaisesta tehtävästä on kyse. Arviot hidastumisesta vaihtelevat liki nollasta (Phronox-sivuston testin pelisuorituskyvystä Linuxilla) jopa kymmeniin prosentteihin.

NYT:n mukaan riippumaton ohjelmistokehittäjä Andres Freund sanoi keskihävikin Linuxilla olevan silti 20–30 prosentin luokkaa.

Suurimman ongelman Meltdown muodostaa pilvipalveluita tarjoaville yrityksille. Teoriassa verkkorikolliset voisivat vuokrata palvelimilta tallennustilaa ja hyökätä sieltä käsin muita käyttäjiä vastaan. Google ja Microsoft ilmoittivat keskiviikkona jo tehneensä ohjelmistokorjauksia omilla palvelimillaan.

10 tietoturvatutkijan ryhmä julkaisi Meltdownista 10-sivuisen tutkimuspaperin.

Toinen haavoittuvuus on hankalampi hyödynnettävä

Tietoturva-aukoista toinen, Spectre, koskee muidenkin valmistajien kuin Intelin suorittimia. Listalla ovat myös muun muassa AMD ja mobiililaitteissa yleinen ARM. Spectreen ei ole tällä hetkellä korjausta tiedossa.

Haavoittuvuus on peräisin pitkän ajan takaa, ja se on ollut osa sirusuunnittelua pitkään.

Spectren luonne on jossain määrin sama kuin Meltdownin, mutta se antaa tietokoneen sovellusten päästä käsiksi toistensa toimintaan ei-sallituilla tavoilla. Tämä tarkoittaa sitä, että tietokoneelle ujutettu haittaohjelma kykenisi joissakin olosuhteissa kaappaamaan tietoja toisen sovelluksen käyttämästä muistista, kertoo Grazin yliopiston haavoittuvuuksille omistettu sivu.

Mitä todennäköisimmin Spectren korjaamiseksi vaaditaan muutoksia itse prosessorien laitearkkitehtuuriin, ja asia korjaantuu vasta seuraavan sukupolven suorittimissa.

– Olemme liemessä. Tämä johtuu puolijohdeteollisuuden halusta valmistaa samanaikaisesti sekä yhä nopeampia että turvallisempia tuotteita. Molempia ei voi saada kerralla, sanoi Spectren löytäjiin kuulunut tietoturvatutkija Paul Kocher NYT:lle.

Kocher arvioi Spectren vainoavan prosessoriteollisuutta vielä hyvän aikaa.

16-sivuinen Spectre-tutkimuspaperi on luettavissa täältä.

Tiettävästi kumpaakaan haavoittuvuutta ei hyödynnetä ainakaan vielä verkkohyökkäyksissä. Tutkijat ovat kuitenkin kehittäneet ohjelmakoodia, joka mahdollistaa hyökkäykset. Ennen pitkää tämä saattaa löytää tiensä myös haittaohjelmiin, jotka iskevät paikkaamattomiin tietokoneisiin.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt