Mida inimene ühes arvutiprogrammis teeb – näiteks sisestab oma parooli – seda ei tohi teine programm teada saada. Selle põhimõttelise eelduse seavad ohtu kaks enneolematu mõjuga viga, mis ohustavad sisuliselt kõiki maailma arvuteid.
Turvavead, mis on ristitud vastavalt Spectre ja Meltdown, lubavad ründajal varastada arvuti mälu sisu, olgu tegu nutitelefoni, personaalarvuti või serveriga.
Meltdown, millest eile kirjutasime, puudutab Inteli viimase kümne aasta jooksul välja antud protsessoreid, mis on hinnanguliselt miljardites arvutites. Firma andis välja juba palju kriitikat saanud pressiteate, kus ütleb, et seda ei saa nimetada “veaks või bugiks”, kuid möönab probleemi olemaslu.
Teine seonduv, kuid eraldiseisev ja eraldi avastatud viga Spectre on tehniliselt veel keerukam, mis laseb aga samuti riistvaralise probleemi tõttu ühel programmil lugeda samas arvutis töötavate teiste programmide andmeid või mälus olevat infot.
Turvauurija tehtud näidis, kuidas arvutis parooli sisestamine on teisele programmile “nähtav”:
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP
— Michael Schwarz (@misc0110) January 4, 2018
Spectre ei esine aga ainult Inteli protsessorites, vaid teise suure personaalarvutite ja serverite protsessorite tootja AMD seadmetes. Samuti esineb see ka ARM disainiga protsessorites, mida kasutavad nutitelefonid.
Seetõttu ongi kahe vea mõju kokku hinnatud, et see esineb pea kõigis arvutites maailmas.
TTÜ insener: reaalses maailmas on rünnaku võimalused piiratud
Kuigi turvavigadel on enneolematu mõjuulatus puudutades väga suurt hulka arvuteid, ei saa Tallinna tehnikaülikooli (TTÜ) tarkvarateaduse instituudi tarkvarainseneri Jaagup Irve sõnul tavaline arvutikasutaja ise midagi teha. Pigem puudutab see serverite ja andmekeskuse haldajaid ja teenusepakkujaid, kes peavad vea vastu end kaitsma.
“See on see koht, kus pankadel on stress, aga meie võime rahulikult magada,” ütles Irve.
Tema sõnul on sisuliselt tegu isolatsiooniprobleemiga, kus üks programm võib pääseda arvuti mälus sinna ligi, kuhu see ei tohiks pääseda. “Põhimõtteliselt lubavad mõlemad vead eri viisidel protsessorist lisainfot varastada,” selgitas Irve.
Probleem on eriti tõsine serverite ja pilveteenuste puhul
Kuigi mõjutatud on väga erinevad arvutid, on Google’i teatel juba valmis veaparandus näiteks Androidiga süsteemidele. Windowsile on oodata veaparandust järgmises tarkvarauuenduses ja macOS on osaliselt juba kaitstud. Viga on nii keerukas, et tavakasutaja arvutist võivad küberkurjategijad andmeid varastada ilmselt ka lihtsamate meetoditega.
Tõsisem on asi serverikeskustega, kus on tüüpiline, et üks füüsiline arvuti on jagatud ära mitmeks eraldatud virtuaalmasinaks, mis üksteist “näha” ei tohiks. “Spectre jälgib ajakulu ja teeb päris kavalaid arvutusi, mis omakorda võimaldavad lugeda mälu, mida kasutavad teised virtuaalmasinad või neid jooksutava serveri mälu,” selgitas Irve, kuidas virtuaalmasinates turvaviga ära kasutatakse. Samas ütles ta, et see nõuab väga häid eelteadmisi antud protsessoritüübi kohta.
Lahendus teeb arvutid aeglaseks
Lahendus, mis turvavigade kasutamise välistab, eraldab arvutis toimivad protsessid üksteisest rohkem. Selle tulemusena võivad arvutis teatud tegevused muutuda aeglasemaks – kui palju, sõltub konkreetsest arvutist ja programmist.
Kuigi lahendus toob ebamugavuse, on see vajalik kompromiss turvalisuse tagamiseks, ütles Irve. “Ma leian, et see lahendus (mille kaasmõju on aegalaseks muutumine – toim) likvideerib ära suure klassi turvaauke, mis võiks muudel viisidel olemas olla,” ütles ta. “See on nagu ID-kaardiga, veidi on ebamugav, aga nüüd on turvaline.”
Tema sõnul on pidevalt olnud kahtlused või teoreetilised võimalused, et sellised turvaprobleemid arvutites esinevad, aga põhjendused ja kahtlused olid hägused. “Nüüd on selge põhjus see korda teha,” ütles ta.
