Knaldene fra bordbomber og raketter havde dårligt lagt sig, før nytårets lydkulisse fik følgeskab af endnu et brag. Denne gang fra en sikkerhedsbombe i den it-hardware, de fleste af os anvender.
Få dage inde i 2018, den 3. januar, blev sløret nemlig løftet for to sårbarheder, der har fået de malende navne Meltdown og Spectre. Der er som sådan ikke noget usædvanligt i, at der dukker mere eller mindre alvorlige sikkerhedshuller op i it-systemer, men Meltdown og Spectre er alligevel bemærkelsesværdige.
Sårbarhederne relaterer sig til designet af de processorer, der sidder i alle computere. Spectre og Meltdown gør det kort fortalt muligt for ondsindede brugere og programmer at få fat i oplysninger fra steder i computerens hukommelse, der som udgangspunkt ikke burde være adgang til. For eksempel kodeord.
Flere har i den forbindelse vurderet, at det med Javascript i en browser vil være muligt at udnytte sårbarhederne på systemer, der endnu ikke er opdateret med modtræk mod sårbarhederne. Det vil med andre ord sige, at hvis en bruger surfer ind på den forkerte hjemmeside, så kan en angriber få fat i for eksempel et kodeord eller andre fortrolige oplysninger.
Det er sikkerhedsforskere fra forskellige universiteter og fra Googles Project Zero, der har fundet sårbarhederne. Den britiske avis The Guardian har på baggrund af informationer fra Google oplyst, at CPU-producenter blev informeret om Spectre-sårbarheden 1. juni 2017, mens Meltdown-sårbarheden blev indberettet 28. juli.
Sidenhen har en sluttet skare af indviede personer og organisationer arbejdet på at udvikle forsvarsmekanismer til blandt andet styresystemer, der kan forhindre, at sårbarhederne bliver brugt til at kompromittere computere, servere og mobiltelefoner.
Udfordringer på en ny skala
Da sårbarhederne relaterer sig til udbredt hardware giver det udfordringer på en helt anden skala, end når det blot handler om at lukke et sikkerhedshul ved at rette nogle kodelinjer i et enkelt software-produkt.
Meltdown og Spectre rammer i udgangspunktet stort set alle moderne systemer, der indeholder en CPU. Ifølge forskerne bag opdagelsen, som informerer om sårbarhederne på spectreattack.com, lader Meltdown primært til at være et problem på Intel-processorer, mens Spectre rammer processorer fra AMD, Intel og ARM – og dermed de fleste computere. Uanset om et it-system kører Windows, Android, MacOS eller et andet styresystem, så er den altså gal.
Microsoft, Apple og udviklere på open source-styresystemet Linux, der blandt andet er udbredt på servere, har i løbet af de seneste måneder i relativ stilhed arbejdet på at udvikle software-rettelser, der kan begrænse skadens omfang.
Relativ stilhed vil her sige, at detaljerne i sårbarhederne ikke har været meldt ud til den brede offentlighed, for det nytter selvsagt ikke noget, at én producent melder åbent ud om problemet efter at have patchet sine systemer for sårbarhederne, mens andre computere står pivåbne i forhold til de samme sårbarheder.
Da sårbarhederne er relateret til den underliggende hardware, løser rettelserne til styresystemer og softwareprodukter ikke det grundlæggende problem, men de forhindrer dog umiddelbart, at problemet kan udnyttes af en angriber.
Som sikkerhedsmanden Bruce Schneier formulerer det på bloggen ‘Schneier on Security’ i indlægget ‘Spectre and Meltdown Attacks Against Microprocessors’:
»Dette er ikke normale softwaresårbarheder, hvor en patch løser problemet, og alle kan komme videre. Disse sårbarheder er i den grundlæggende måde, hvorpå mikroprocessorer fungerer.«
Ud over rettelser til diverse styresystemer, som skal imødegå Spectre og Meltdown, så har Intel i en pressemeddelelse oplyst, at virksomheden i samarbejde med partnere har været med til at klargøre firmware-opdateringer. Det vil sige opdateringer til den software, der ligger i computerens hardware.
Bruce Schneier peger i blogindlægget på, at firmware-opdateringer kan være komplicerede, og at hvis den slags opdateringer går galt, kan det i sidste ende gøre computeren ubrugelig.
Her er det i øvrigt værd at bemærke, at Intel i november meldte ud om en anden sårbarhed i virksomhedens CPU’er, som det også har krævet en firmwareopdatering at imødegå.
Rettelser koster ydeevne
Men Spectre og Meltdown bliver også imødegået ved at introducere forskellige forsvarsmekanismer i den software, der kører oven på hardwaren.
Da imødegåelsen af sårbarhederne ændrer på den måde, hvorpå styresystemerne håndterer hukommelsesområder, har det budt på nye udfordringer.
Blandt andet har der været fokus på, at rettelserne vil betyde et tab i performance, altså computerens ydeevne. Hvor stort et tab har der været vidt forskellige vurderinger af. Det vil sige alt fra ganske få procent helt op til 30 procent. Under alle omstændigheder lader det til at hænge sammen med det specifikke brugsscenarie.
Google har i et blogindlæg meldt ud, at det ikke er nævneværdigt i forhold til virksomhedens cloud-løsninger, dog uden at gå i detaljer med, hvad ‘nævneværdigt’ konkret vil sige. Senest har Microsoft meldt ud, at Windows-brugere kan risikere at opleve en mærkbar nedgang i ydeevnen på både pc’er og servere.
I et blogindlæg fortæller Executive Vice President of the Windows and Devices Group ved Microsoft Terry Myerson, at særligt systemer med visse CPU’er fra 2015 og tidligere risikerer at opleve en nedgang i performance, efter at rettelserne er gennemført.
Terry Myerson oplyser desuden, at Microsoft forventer at offentliggøre mere præcise målinger af performance på opdaterede systemer.
Og efterdønningerne fra Meltdown og Spectre har langtfra lagt sig endnu. Bruce Schneier fortæller i sit blogindlæg, at sikkerhedsforskere er begyndt at interessere sig mere for CPU’er, og at flere sårbarheder derfor vil dukke op, og han kalder det heldigt, at det ikke er gået værre end det er efter opdagelsen af Spectre og Meltdown:
»Men der kommer mere, og det vil blive værre. 2018 bliver året med mikroprocessorsårbarheder, og det bliver en vild tur,« slutter Schneier sit blogindlæg.
Artiklen er oprindeligt bragt i avisen Ingeniøren og er bl.a. baseret på skriftlige kilder fra it-virksomhederne Intel, Apple, Microsoft, Google og Mozilla samt medierne The Guardian og The Register.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
