08. januar 2018

Hvad er op og ned på Meltdown og Spectre?

Teknologivirksomhederne arbejder hårdt på at afhjælpe de to nye CPU-sårbarheder Meltdown og Spectre. Men hvad er risikoen for et angreb, og hvordan kan et angreb blive udført?

Af: Thomas Lund ThuenSystemkonsulent - JCD A/S

 

Milliarder af systemer rundt om i verden er påvirket af Spectre- og Meltdown-sårbarhederne. Disse systemer er alt fra servere og stationære PCere til smartphones. Generelt er alle enheder, der har en CPU produceret af Intel, AMD og ARM berørt.

Sårbarhederne kan ikke udnyttes fra internettet. For at udnytte sårbarhederne skal en hacker først kompromittere en enhed, hvorefter hackeren kan aflæse fortrolige oplysninger fra enhedens CPU - disse fortrolige oplysninger kan f.eks. være adgangskoder og krypteringsnøgler.

Hvilken del af min computer er i fare?
En computer arbejder med enorme mængder data, og reagerer på klik, kommandoer og tastetryk. Den centrale del af en computers operativsystem kaldes kernen. Kernen koordinerer disse klik, kommandoer og tastetryk og flytter data mellem de forskellige typer hukommelse på CPU chippen og andre steder i computeren. 

Når der udføres et Meltdown- eller Spectre-angreb, så sker det mod det data der er i processorens egen hukommelse - cachen.

Spectre fungerer ved at få programmer til at udføre unødvendige operationer, og dette medfører at der kan lækkes data fra enhedens CPU; data der burde være fortroligt.

Meltdown læser ligeledes fortrolige data, der normalt kun ville være tilgængelig for kernen.

Begge angreb udnytter en sårbarhed i den teknologi, der kaldes "speculative execution" hvor processoren forbereder data før der anmodes om disse. Disse resultater placeres i processorens hurtige cachehukommelse. Desværre viser det sig, at det er muligt at manipulere speculative execution teknologien - for eksempel ved at få processoren til at udføre ekstra operationer, som den normalt ikke ville gøre.

Denne teknik giver dermed en hacker mulighed for at hente stykker af følsomme data fra computerens hukommelse.

Hvordan ville en hacker målrette et angreb mod min maskine?
En hacker skal være i stand til at køre kode på en brugers computer med henblik på at forsøge at udnytte enten Meltdown eller Spectre. Angrebet kan ikke udføres uden at hackeren først på anden vis har kompromitteret den - hvorpå Meltdown eller Spectre angrebet skal udføres.

Dette kan gøres på en række forskellige måder ved at udnytte andre sårbarheder. Eksekvering af ondsindet kode der udnytter de to sårbarheder via en web browser er  allerede ved at blive lukket af virksomheder som Google, Microsoft og Mozilla. 

Selv hvis hackere får adgang til en enhed og efterfølgende eksekverer et Spectre eller Meltdown angreb, vil de kun få et uddrag af data fra processoren, der i sidste ende kan stykkes sammen for at afsløre passwords eller krypteringsnøgler mv.

Det betyder, at incitamentet til at bruge Meltdown eller Spectre i første omgang sandsynligvis vil være begrænset til dem, der formår at planlægge og gennemføre mere komplekse angreb, snarere end de mindre dygtige cyberkriminelle. 

Er jeg mere udsat, hvis jeg bruger skytjenester?
De virksomheder der leverer cloudtjenester, har travlt med at finde ud af, hvilke konsekvenser Spectre og Meltdown har for dem.

Det er måden man typisk organiserer cloud tjenester på, der giver disse udbydere overarbejde i disse dage. I et cloudmiljø lader man typisk mange kunder bruge de samme servere. Software mellem kunderne holdes adskilt f.eks. ved brug af virtualiseringsteknologier såsom VMWare og Hyper-V.

De to fejl antyder, at det at hacke en cloud-bruger kan betyde, at hackere kan få adgang til data fra de andre brugere, der bruger den samme CPU på den pågældende server.

Mange cloud-tjenester kører allerede sikkerhedssoftware, der monitorerer den slags data-forurening og delingsproblematikker, og disse sikkerhedssystemer skal nu også tilrettes så de tager højde for de to nye trusler.

Påvirkes min computers ydeevne, hvis jeg installerer en programrettelse?
Rettelserne for Meltdown indebærer, at processoren gentagne gange vil tilgå oplysninger fra hukommelsen som normalt ikke ville være nødvendigt.

Dette vil få processoren til at arbejde hårderem, og det er anslået at processorens ydeevnen i nogle tilfælde kan falde med op til 30%. 

Programmer, der foretager mange anmodninger til kernen vil blive hårdest ramt - men det er begrænset til bestemte typer af programmer. For eksempel programmer der udfører masser af database-forespørgsler.

Andre CPU krævende programmer som f.eks. Bitcoin mining, vil ikke være hårdt ramt, da disse processer ikke involverer mange kald til kernen.

Det antages, at for de fleste mennesker vil tabet af ydeevne ikke være særlig stor, men det vil være mærkbar i nogle tilfælde.

Er programrettelser for begge sårbarheder tilgængelige endnu?
Patches for Meltdown sårbarheden er allerede ved at blive frigivet. Microsofts Windows 10 patch blev frigivet torsdag i denne uge, og opdateringer til Windows 7 og 8 er på trapperne.

Den seneste version af Apples macOS, 10.13.2, er rettet, men tidligere versioner skal opdateres.

Patching af Spectre vil være sværere, fordi de svagheder, det udnytter bruges så bredt på moderne maskiner. Processoren forsøger at bryde anmodninger op i flere opgaver, der kan håndteres separat og dermed forbedre hastigheden. 

Hvad skal jeg gøre for at sikre mig bedst muligt?
Der findes ikke et universal fiks, der løser problemet, da der er tale om en hardware fejl. At købe nyt Hardware vil heller ikke løse problematikken før fejlen er rettet af chip producenterne. For at sikre sig bedst muligt er nedenstående punkter pt. aktuelle:

  • Sørg for at patche dit operativsystem.
  • Sørg for at du kører nyeste version af dit antivirusprogram. 
  • Sørg for at alle programmer på dine enheder kører nyeste versioner og dermed minimerer sårbarheder.
  • Hold øje med sikkerhedspatches fra de relevante IT producenter og installer disse når de udkommer - herunder firmware og bios opdateringer.

Skal jeg gå i panik?
Nej, det skal du ikke. Hvis en hacker skal kunne bruge sårbarheden til at skade dig, kræver det, at han går meget målrettet efter lige præcis dig.

Du skal patche dine systemer med producenternes opdateringer, og du skal - som altid - lade være med at klikke på mistænkelige links i din indbakke.

 

Af: Thomas Lund Thuen, Systemkonsulent - JCD A/S