Meltdown og Spectre varsler ilde for 2018

Illustration: Lasse Gorm Jensen
Nye sikkerhedshuller, der har at gøre med hardwaren i vores it-udstyr, giver helt nye udfordringer, når vi skal beskytte os mod hackere.

Knaldene fra bordbomber og raketter havde dårligt lagt sig, før nytårets lydkulisse fik følgeskab af endnu et brag. Denne gang fra en sikkerhedsbombe i den it-hardware, de fleste af os anvender.

Få dage inde i 2018, den 3. januar, blev sløret nemlig løftet for to sårbarheder, der har fået de malende navne Meltdown og Spectre. Der er som sådan ikke noget usædvanligt i, at der dukker mere eller mindre alvorlige sikkerhedshuller op i it-­systemer, men Meltdown og Spectre er alligevel bemærkelsesværdige.

Sårbarhederne relaterer sig til designet af de processorer, der sidder i alle computere. Spectre og Meltdown gør det kort fortalt muligt for ondsindede brugere og programmer at få fat i oplysninger fra steder i computerens hukommelse, der som udgangspunkt ikke burde være adgang til. For eksempel kodeord.

Læs også: Spekulativ udførelse: Sådan virker Meltdown-sårbarheden

Flere har i den forbindelse vurderet, at det med Javascript i en browser vil være muligt at udnytte sårbarhederne på systemer, der endnu ikke er opdateret med modtræk mod sårbarhederne. Det vil med andre ord sige, at hvis en bruger surfer ind på den forkerte hjemmeside, så kan en angriber få fat i for eksempel et kodeord eller andre fortrolige oplysninger.

Det er sikkerhedsforskere fra forskellige universiteter og fra Googles Project Zero, der har fundet sårbarhederne. Den britiske avis The Guardian har på baggrund af informationer fra Google oplyst, at CPU-producenter blev informeret om Spectre-sårbarheden 1. juni 2017, mens Meltdown-sårbarheden blev indberettet 28. juli.

Sidenhen har en sluttet skare af indviede personer og organisa­tioner arbejdet på at udvikle forsvarsmekanismer til blandt andet styresystemer, der kan forhindre, at sårbarhederne bliver brugt til at kompromittere computere, servere og mobiltelefoner.

Udfordringer på en ny skala

Da sårbarhederne relaterer sig til udbredt hardware giver det udfordringer på en helt anden skala, end når det blot handler om at lukke et sikkerhedshul ved at rette nogle kodelinjer i et enkelt software-­produkt.

Meltdown og Spectre rammer i udgangspunktet stort set alle moderne systemer, der indeholder en CPU. Ifølge forskerne bag opdagelsen, som informerer om sårbarhederne på spectreattack.com, lader Meltdown primært til at være et problem på Intel-processorer, mens Spectre rammer processorer fra AMD, Intel og ARM – og dermed de fleste computere. Uanset om et it-system kører Windows, Android, MacOS eller et andet styresystem, så er den altså gal.

Microsoft, Apple og udviklere på open source-styresystemet Linux, der blandt andet er udbredt på servere, har i løbet af de seneste måneder i relativ stilhed arbejdet på at udvikle software-rettelser, der kan begrænse skadens omfang.

Relativ stilhed vil her sige, at detaljerne i sårbarhederne ikke har været meldt ud til den brede offentlighed, for det nytter selvsagt ikke noget, at én producent melder åbent ud om problemet efter at have patchet sine systemer for sårbarhederne, mens andre computere står pivåbne i forhold til de samme sårbarheder.

Da sårbarhederne er relateret til den underliggende hardware, løser rettelserne til styresystemer og softwareprodukter ikke det grundlæggende problem, men de forhindrer dog umiddelbart, at problemet kan udnyttes af en angriber.

Læs også: Microsoft bremser Meltdown- og Spectre-patches til AMD: Pc’er kan ikke starte

Som sikkerhedsmanden Bruce Schneier formulerer det på bloggen ‘Schneier on Security’ i indlægget ‘Spectre and Meltdown Attacks Against Microprocessors’:

»Dette er ikke normale software­sårbarheder, hvor en patch løser problemet, og alle kan komme videre. Disse sårbarheder er i den grundlæggende måde, hvorpå mikroprocessorer fungerer.«

Ud over rettelser til diverse styre­systemer, som skal imødegå Spectre og Meltdown, så har Intel i en pressemeddelelse oplyst, at virksomheden i samarbejde med partnere har været med til at klargøre firmware-opdateringer. Det vil sige opdateringer til den software, der ligger i computerens hardware.

Bruce Schneier peger i blogindlægget på, at firmware-opdateringer kan være komplicerede, og at hvis den slags opdateringer går galt, kan det i sidste ende gøre computeren ubrugelig.

Her er det i øvrigt værd at bemærke, at Intel i november meldte ud om en anden sårbarhed i virksomhedens CPU’er, som det også har krævet en firmwareopdatering at imødegå.

Rettelser koster ydeevne

Men Spectre og Meltdown bliver også imødegået ved at introducere forskellige forsvarsmekanismer i den software, der kører oven på hardwaren.

Da imødegåelsen af sårbarhederne ændrer på den måde, hvorpå styresystemerne håndterer hukommelsesområder, har det budt på nye udfordringer.

Blandt andet har der været fokus på, at rettelserne vil betyde et tab i performance, altså computerens ydeevne. Hvor stort et tab har der været vidt forskellige vurderinger af. Det vil sige alt fra ganske få procent helt op til 30 procent. Under alle omstændigheder lader det til at hænge sammen med det specifikke brugsscenarie.

Google har i et blogindlæg meldt ud, at det ikke er nævneværdigt i forhold til virksomhedens cloud-løsninger, dog uden at gå i detaljer med, hvad ‘nævneværdigt’ konkret vil sige. Senest har Microsoft meldt ud, at Windows-brugere kan risikere at opleve en mærkbar nedgang i ydeevnen på både pc’er og servere.

Læs også: Meltdown og Spectre: Enorme sikkerhedshuller fundet i CPU'er

I et blogindlæg fortæller Executive Vice President of the Windows and Devices Group ved Microsoft Terry Myerson, at særligt systemer med visse CPU’er fra 2015 og tidligere risikerer at opleve en nedgang i performance, efter at rettelserne er gennemført.

Terry Myerson oplyser desuden, at Microsoft forventer at offentliggøre mere præcise målinger af performance på opdaterede systemer.

Og efterdønningerne fra Meltdown og Spectre har langtfra lagt sig endnu. Bruce Schneier fortæller i sit blogindlæg, at sikkerhedsforskere er begyndt at interessere sig mere for CPU’er, og at flere sårbarheder derfor vil dukke op, og han kalder det heldigt, at det ikke er gået værre end det er efter opdagelsen af Spectre og Meltdown:

»Men der kommer mere, og det vil blive værre. 2018 bliver året med mikroprocessorsårbarheder, og det bliver en vild tur,« slutter Schneier sit blogindlæg.

Artiklen er oprindeligt bragt i avisen Ingeniøren og er bl.a. baseret på skriftlige kilder fra it-virksomhederne Intel, Apple, Microsoft, Google og Mozilla samt medierne The Guardian og The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder