2018-01-05

Olvadt kísértet

Elég hülyén hangzik ez a cím, de a Meltdown/Spectre sem biztos, hogy többet mond. Az informatika iránt érdeklődőknek esetleg, de a többieknek sem árt tudni a dologról, mert őket is érinti. Súlyos biztonsági réseket fedeztek fel a manapság általánosan használatos processzorok felépítésében. Az egyik a Meltdown becenevet kapta, és ez főként az Intel processzorokat érinti. Szinte az összes 1995 után gyártott Intel processzort. (Kivételt képeznek az Itanium és a 2013 előtt gyártott Atom processzorok, egyik sem túl korszerű, nekem "szerencsés módon" van egy MSI Wind D130-as NetTop gépem, 2009-es Atom procival.) Az újabb asztali számítógépek jó része érintett a hibában, amit eleve a processzor tervezésekor követtek el. Felelőtlen döntést hoztak, olyan módon működtetik a processzort, amitől gyorsabb lesz, de fittyet hány az adatok biztonságos kezelésére. Tudható volt, hogy "elvileg" ez nem kóser, de bíztak benne, hogy "gyakorlatilag" majd nem jelent problémát. Tévedtek. És most nem lehet a processzorok mikrokódját frissítve javítani őket, az operációs rendszert kell foltozni.
A javítófoltok készítése folyamatban. A főbb Linuxokra elkészült, tölthető, vagy automatikusan települ. Olvasgatni kell a disztribúciók listáit, hogy mi a teendő. OS X esetén is kész van, a 10.13.2 verzió már védett. Akinek régebbi Mac gépe van, amire nem megy rá a legfrissebb rendszer (mint például nekem), annak pechje van. Windows 10-re is elkészült a folt, a többségnél már automatikusan települt is. De a javítás nem működik együtt az antivírus programok többségével, kékhalált (lefagy a gép) okozna, így előfordulhat, hogy nem települ, mert a vírusirtó miatt blokkolva van. A vírusirtók gyártóinak többsége már megoldotta a problémát. (Kivétel pl. a BitDefender, és nekem épp ilyen van, állítólag ma este, vagy holnap már jó lesz.) Itt egy lista a vírusirtókról: ahol a C és D oszlopban is Y van, azok már teljesen rendben vannak, automatikusan megy minden. Windows 7 és 8.1 esetén várni kell majd a hóvégi frissítőkeddre, vagy kézzel lehet feltenni a javítást. A rendszerek védve lesznek, de annyi pici gond lesz, hogy 5-30% teljesítménycsökkenést okoz majd a működés során, vagyis előfordulhat, hogy érezhetően belassul a gépünk.
A javítás nélkül a Meltdown sérülékenység azt teszi lehetővé, hogy a rosszindulatú programok hozzáférjenek az operációs rendszer (elvileg) védett memóriaterületéhez, és így átvegyék az irányítást a gép felett, amivel ezután bármilyen gonoszságot elkövethetnek. A Spectre sérülékenység látszólag kevésbé problémás mert a rosszindulatú programok csak más, futó felhasználói programokhoz férhetnek hozzá, és azoknak is csak az adatait tudják olvasni. Valójában a Spectre a veszélyesebb, mert érinti az összes manapság használatos processzort, legyen az Intel, AMD vagy ARM gyártmány. Azaz nem csak az inteles, hanem az összes asztali gép, laptop, tablet, okostelefon és okoskütyü érintett. És nem elég az oprendszert frissíteni, a hardverelemek vezérlőin is javítani kéne, de a régebbi modellek esetében ezzel a gyártók már nem nagyon szoktak foglalkozni. A 2 évnél régebbi okostelefonok sem feltétlen kapnak majd javítást.
És hogy még durvább legyen, nem kell hozzá rosszindulatú programot telepíteni, futtatni, egy weboldalba ágyazott javascript kód is elég hozzá. Ezért a böngészők gyártói elkezdtek védelmi taktikákat kidolgozni:
A Firefox legújabb frissítése tartalmaz néhány trükköt, ellenőrizzük, hogy telepítve van e: Menü / Súgó / A firefox névjegye. A feljövő ablakban látni fogjuk a verziószámot, ha ez 57.0.4 vagy nagyobb, és kiírja alá, hogy A Firefox naprakész, akkor jók vagyunk.
A Chrome esetében a javított védelmi funkciót még be is kell kapcsolni. Ehhez írjuk (másoljuk) be a címsorba: chrome://flags/#enable-site-per-process, és a sárgán kiemelt opciónál kattintsunk az engedélyezés-re.
Az Opera nagyon hasonló lesz, csak ez a link: opera://flags/?search=enable-site-per-process, amit meg kell nyitni.
A Vivaldi böngészőben pedig vivaldi://flags a megoldás, amire bejön az összes opció, ezért a CTRL+F billentyűkombináció után azt kell beírni a keresőmezőbe, hogy "strict" (idézőjelek nélkül), ENTER, és megkeresi nekünk a Strict site isolation opciót, amit szintúgy be kell kapcsolni.
Ezek az alapvető biztonsági intézkedések, amiket érdemes megtennünk. Nem garantálnak 100%-os védelmet, de legalább is megnehezítik a támadók dolgát. És érdemes figyelni a híreket, mert jöhetnek újabb javítások. Hosszú távon egy valódi megoldás lesz, le kell majd cserélnünk a processzorunkat (valószínűleg az egész gépünket) újabbra, amiben már kiküszöbölték ezeket a hibákat. Rossz hír: sokba fog kerülni, és ami még rosszabb, egyelőre hiába megyünk a boltokba, nem tudnak nekünk semmit sem kínálni. Előbb újra kell tervezni a processzorokat, majd le kell őket gyártani. És mindenki venni akar majd, tehát elkapkodják őket, ezért mondom, nagyon durva áruk lesz. Én már most elkezdek gyűjtögetni. Addig meg különösen óvatos leszek. Megnézem, mit teszek fel a gépemre, milyen weboldalt nyitok meg. Teljes verziós, fizetős vírusvédelmi programot teszek fel, nem csak magamnak, hanem Kata és Fecó gépére is. És rendszeresen mentést csinálok az adataimról, amiket megsiratnék, ha elvesznének.

4 megjegyzés:

Névtelen írta...

Úgy is jellemzik a két biztonsági rést, mint az évtized - mit évtized, a valaha volt - legnagyobb IT problémáját, ami azért kicsit nekem mégis furcsa. Nem nem gondolom, hogy gyíkemberek, vagy az illuminátusok állnak mögötte. Inkább azon merengek, hogy hogy a fenébe lehet, hogy ilyen régóta, ilyen sok processzort gyártottak és soha nem derült ki. Kellett hozzá egy IT biztonságtechnikusokból álló csapat a Google-nél, hogy rájöjjenek. Még csak nem is a gyártójánál derült ki. Még a legjózanabb ember is sejt egy kis tervezettséget, esetleg egy eleve beépített hátsó ajtóként maradt bennük, ha technikailag valamikor valahol valamibe bele kell nyúlni. A másik verzióba, a nagyfokú hanyagságba már bele sem merek gondolni, mert akkor ki tudja hány ilyen rés tátong erre-arra.
A végkövetkeztetés meg egyenesen vérlázító: új processzort venni? Hát esetleg némi engedménnyel, a régi beszolgáltatásával. Egyrészt nem olcsó a szilícium, de annyira biztos nem, hogy a világ összes működő számítógépéhez elég legyen. Ez pedig olyan áringadozást fog előidézni, mint most a videókártyák piacán a bitcoin bányászat... :(

AncsaT írta...

Matematikai bizonyításokkal van úgy az ember, hogy nem érti, miért volt ez évszázadokon át kérdés, mikor tök egyszerűen megérthető. Mert hát tényleg. De csak miután már valaki bebizonyította. Ugyanígy van ez a processzortervezéssel is. A Meltdown sérülékenység az AMD CPU-kat nem érinti. Mert a tervezéskor elfogadtak egy alapelvet, a kernel és a felhasználói programok elkülönítésével kapcsolatban. És ezt szigorúan betartották, nem lazítottak rajta kicsit sem, és akkor sem, ha az javította volna a teljesítményt.
A Spectre esetében az AMD is elcseszte. A spekulatív végrehajtással. Hogy a CPU nem várja meg egy művelet eredményét, hanem megbecsüli az elágazásnál, hogy melyik irányban folytatódik a végrehajtás, és elkezdi betölteni a hozzá tartozó adatokat. Akkor is, ha az elágazás egy jogosultság ellenőrzése. Ha elutasítás történik, akkor legfeljebb eldobja majd a jogosulatlan hozzáférés dacára betöltött adatokat. Ideális esetben ez így is lenne, de ha az adat már egyszer megvan, akármi is történhet vele. Normál esetben, vagyis a tervező által elképzelt lehetséges esetekben nem történik semmi baj, de ezek a rendszerek nagyon bonyolultak, és a tervezők nem képesek végiggondolni minden lehetséges forgatókönyvet, főleg a rendellenes működésűeket nem.
Minél bonyolultabb egy rendszer, annál inkább hajlamos kaotikusan működni. Egy összetettségi szint fölött a káosz nem a rendellenes, hanem a várható viselkedés. És ha a processzorok olyan bonyolultak, hogy milliárdnyi kapuáramkörböl épülnek fel, nincs az a tervező, aki egyenként végigköveti az összes lehetséges állapotát és állapotátmenetét egy ilyen automatának. Az új prociknál a tervek nagy részét változatlanul átveszik egy korábbi modellből, itt-ott belenyúlnak, de a nagyjáról egyszerűen csak feltételezik, ha eddig jó volt, ezután is az lesz.
Talán az hoz majd megoldást, ha mesterséges intelligencia fog processzort tervezni. addig viszont az ilyen hibalehetőségek benne vannak a rendszerben. Mindenfajta összeesküvés nélkül. Azt viszont el tudom képzelni, hogy egyes hárombetűs kormányügynökségek rég tudnak az ilyen tervezési bakikról, és ezekre alapozva gyártják a különböző kormányzati hackerprogramjaikat. És hogy most kiderültek ezek a hibák, talán a WikiLeaks szivárogtatásoknak is köszönhetők, az amatőr szakértők azokból tanultak annyit, hogy végül felfedezték ezeket a sérülékenységeket.
A régi procik és gépek ára lemegy a béka segge alá, mert mindenki szabadulni akar tőlük, és a meglévő raktárkészletek nem kellenek a kutyának sem. Mindenki az új, javított procikra vár, amik lassan jönnek majd, és nagyon drágák lesznek a kereslet miatt. Ezért a csóri szegény emberek, főként a szegény, fejlődő államokban nem fogják tudni megfizetni a drága cuccost, és a nyomott árú, hibás, sérülékeny cuccost veszik majd. Csakhogy így kiszolgáltatottak lesznek majd a rosszindulatú kódoknak.
És a paranoid módon biztonságra törekvő dolgok divatba jönnek majd. Mint pl. kedvenc oprendszerem, a Qubes.

Névtelen írta...

A Qubes-ról még nem hallottam, de utánanézek, habár magam Win10 alól nyomom. Igaz nekem nincsenek paranoid tévképzeteim az adatbiztonsággal kapcsolatban, mert jóformán csak statisztikákként létezünk mindenféle adatbázisokba, ahol algoritmusok bóklásznak felhasználói szokásokra vadászva. Ebből meg legfeljebb egy rakás reklámot kapunk. Ebben az a jó, hogy ha éppen olyan munkánk van, akkor érdemes fogni egy hálózattól elzárt gépet és szépen azon dolgozni. A dugó kihúzásának lehetősége mindig megnyugtat.
Jobban idegesít pl. a rengeteg online fiókunk és a már minden weboldalba beágyazott közösségi média integráció, ami sütik segítségével végégig a nyomunkba marad, bármely weboldalra lépjünk is fel. Ha be vagyunk pl. jelentkezve a FB profilunkba, akkor a hátunk mögött hazaszól, hogy itt és itt jártál. Az okostelefonok dettó. A Google sem Máltai Szeretetszolgálat és nem kell hozzá GPS, hogy egy nagyobb városban adótornyok általi háromszögeléssel megnézzék éppen merre járunk.

Igen, ebben egyetértek, hogy nincs olyan tervezési eljárás, amiben minden szempont figyelembe vehető, ugyanakkor azt kétlem, hogy 10+ év alatt nem volt olyan belső vizsgálat egyik cégnél sem, ahol mondjuk ráuszítottak egy csomó fehér kalapos hackert egy-egy termékükre, hogy hajrá, próbálj hálózaton keresztül kilopni adatokat a gépről, amiben a procink van, külön ügyelve rá, hogy ne a szoftvert célozd, hanem magát a hardwaret, azon is belül a szoftvert. És ha jött egy "igen, lehet, de nagyon macerás", akkor simán kinézem a gyártókból, hogy "jó, hát azt mégsem lehet, hogy lassítani fogjuk a procikat egy nehezen kihasználható rés miatt, mikor mindig háborúban állunk a többi gyártóval". Gondolom tudták már előbb is, csak így, hogy Wikileaks szerűen megszellőztette a Google egyből vigyázzba álltak. Lásd az Intel reagálta le a legidiótábban.

Egyébként most bagóért elkelő rendszerekből lehet megérné bevásárolni és offline elemzésre száműzni őket egy brutál tűzfal meg egy VPN hálózat mögé és attól még simán használhatóak maradnának. Jó, persze nem sima felhasználókra gondolok :)

AncsaT írta...

A Qubes figyelemre méltó rendszer. Xen alapú virtualizációs környezet, ami különböző oprendszereket futtat egymás mellett, egymástól izoláltan. Az egyiken bankolhatsz, miközben a másikban warez oldalakat nézegetsz. Ez utóbbiaknál ha valami rosszindulatú izé belemászik a böngésződbe, nem fog hozzáférni a szeparáltan működő bankolós rendszeredben lévő kényes adatokhoz. Sőt, a warezolós rendszered lehet eldobható is, vagyis amikor bezárod a böngésződet, elveszik minden változtatás, ami az indítás óta történt benne, vagyis a homokozóba elzárt fertőzések is csak ideiglenesen maradnak meg, legközelebb a böngésződ megint sterilen indul.

Most lépnek a 4-es verzióra, pár dolog kísérleti, és még folyamatban a Win10 támogatás, valamint a hardverigénye nem kevés, plusz az új hírek miatt, lehet várni kéne egy következő processzorgenerációt. 3.1-es verzióval, Whonix, Debian és Win7 rendszereket futtatva nekem bejött. Sajnos lépnem kellett W10-re, így most ezt és Manjarót használok mostanában, de a Qubest nem veszítem szem elől.

A post végén emlegetett gyűjtögetés komolyan kell venni, a következő generációs proci minimum i5 legyen, és 32GB memória alá sem valószínű, hogy érdemes menni a tervezéskor. És egy kis linuxos skill kell a használatához, meg a hajlandóság a fórumok böngészéséhez. A rendszer maga elég stabil, nálam azért van "kísérleti" kategóriába sorolva, mert magamon kell "fejleszteni", hogy megbízhatóan működjön. De a jövő útja mindenképpen ebbe az irányba vezet.

Fecó ha offline videóvágásra akar egy régebbi fajta, brutálisabb erőgépet, nem fogom lebeszélni róla, webes böngészésre, fészbukozásra meg használhat egy gyengébb, olcsóbb, de javított processzoros gépet. És a profilokkal tényleg vigyázni kell. A papának kerestünk gyógyteát, azóta is kapom a reklámokat a prosztatabántalmakra való gyógyszerekről. :)

Megjegyzés küldése