Spectre és Meltdown: a világ összes számítógépét érintő hibával kezdődik az év

szerző
Szedlák Ádám
publikálva
2018. jan. 04., 16:30
Twitter megosztások száma
Google +1
Egyéb megosztás

Hozzászokhatunk a karikás szemű rendszergazdák látványához. Ezt a két sebezhetőséget őrült munka kivédeni.

„Minden egész darabokban”

Igazán remek hibákat találtak a modern processzorokban a Technische Universität Graz, a Cyberus Technology és a Google Project Zero kutatói. Két sebezhetőségről van szó. Az egyiket Meltdownnak hívják és az Intel processzorait érinti, a másiknak Spectre a neve, és lényegében minden más processzort érint. Az első hibára van javítás, ám a processzorok durván harminc százalékkal lesznek lassabbak tőle, a másodikra még nincs semmilyen javítófolt. A probléma hardveres, a vasban van, szóval a kozmetikázás helyet elképzelhető, hogy a sérülékeny processzorok cseréje lesz a megoldás. Hogy a világ összes processzoráról van szó? Igen, ez egy kicsit kínossá teszi a dolgot.

Tovább is van természetesen a történet, hiszen arról még nem beszéltünk, mit csinál a Meltdown és a Spectre. Mindkét esetben a spekulatív végrehajtás (speculative execution) nevű optimalizálási technológia rejti a hibát. Ez a technológia felületesen körbeírva azt jelenti, hogy a processzor megpróbálja megtippelni, hogy milyen számítások elvégzésére kérik fel a jövőben, elvégzi azokat, és a később feleslegesnek bizonyuló eredményeket eldobja. Az elvvel a mindennapokban is találkozhatunk. Ha nem kapcsoltuk ki, a Google Chrome úgy gyorsítja a böngészést, hogy az épp meglátogatott oldalról linkelt további lapokat előre betölti, így kattintásra rögtön megjelennek.

Féljek-e?

A két hiba azt teszi lehetővé, hogy a támadók hozzáférjenek a gép memóriájában tárolt adatokhoz. Ez azért nem szerencsés, mert a memóriában iszonyatos mennyiségű érzékeny adat van.

A hiba természetesen aggaszthat minket, otthoni felhasználókat is. Valószínű, hogy előbukkannak majd olyan vírusok vagy férgek, amelyek a Spectre vagy a Meltdown sebezhetőségek segítségével lopnak el a memóriából banki adatokat, titkosító kulcsokat, ezt-azt. Ha pedig telepítjük a legalább a Meltdownt kivédő javítófoltot, lassulhat a gépünk. Az egyelőre nem világos, hogy az otthoni felhasználók mennyire fogják megérezni a lassulást. Igazából azonban nem itt van a vitamin.

false

 

Fotó: Intel

Az általunk használt internetes szolgáltatások sérülékeny processzorokat használó szervereken futnak. Gyakran olyan gépeken, amelyek szoftveresen több, egymással kapcsolatban nem álló virtualizált gépre vannak széthasítva – a legegyszerűbb analógia erre egy határolóelemekkel több darabra osztott fiók. A két sebezhetőség lehetővé teszi, hogy a támadók az azonos fizikai gépen futó többi virtuális gép memóriájának tartalmához is hozzáférhessenek. Ez abban a világban, amikor a szolgáltatások számottevő része az Amazon, a Google vagy a Microsoft felhőjében – azaz virtualizált számítógépein – fut, egészen ijesztő a rendszerek üzemeltetőinek.

Gondolkodjunk hosszú távon

Szép új évi ajándékot rakott össze a techvilágnak a három kutatócsoport. Az biztos, hogy a Spectre és a Meltdown egy ideig velünk marad. Nem lehet varázsütésre lecserélni a világ összes processzorát, ráadásul nincs is mire.

Még érdekesebb az, hogy ahhoz szoktunk hozzá az elmúlt évtizedben, hogy mindig van felesleges erőforrásunk. A gépi tanulás vagy a mesterséges intelligenciának nevezett, nehezen körülhatárolható terület erőből dolgozik: annyi processzoridőt és matematikus PhD-st dobálnak a problémákra, amennyi csak van. Ha viszont a rendszerhívások, lemezműveletek – ez a két terület, ahol a Meltdown javítása igazán visszafogja a gépet – lassulnak, azt gyors gépekre építő területek is megsínylik. Hogy mennyire, azt még senki nem tudja.

Az Intel részvényárfolyamán már látszik, hogy a piac szerint nem egyszerűen megúszható hibába szaladt bele a cég. A harmincszázalékos teljesítményvesztést már vitatja is az Intel. A rosszmájúak viszont arra mutogatnak, hogy ha a cég ennyire bízik magában, akkor mégis miért adta el a vezérigazgató az összes olyan részvényét december közepén, amitől megszabadulhatott?

Másvalaki problémája – kövesse a Magyar Narancs technológiai-társadalmi kérdésekkel foglalkozó blogját!

Másvalaki problémája – Magyar Narancs

Nem látod, pedig ott van, és téged is érint. A Magyar Narancs új, technológiai-társadalmi kérdésekkel foglalkozó blogja.

szerző
Szedlák Ádám
publikálva
2018. jan. 04., 16:30
Twitter megosztások száma
Google +1
Egyéb megosztás
Cimkék:
Ezt már olvasta?

Kommentek

Rendezés:
  1. 1 Neumerker
    Neumerker
    2018. január 04., csütörtök 16:58
    Már megint a Soros!

Komment írásához