Meltdown και Spectre: Τα χειρότερα bugs στην ιστορία των ηλεκτρονικών συσκευών

Με μία σύντομη περιγραφή, τα Meltdown και Spectre είναι κενά ασφαλείας που επιτρέπουν σε επιτήδειους την κλοπή πολύτιμων πληροφοριών όπως κωδικών και πληροφοριών τραπεζικών λογαριασμών και βρίσκονται σχεδόν σε κάθε επεξεργαστή που έχει παραχθεί από την Intel, την AMD και την ARM. Το πρόβλημα όμως δεν είναι τόσο απλό.

Αρχικά, τα bugs ανακαλύφθηκαν το καλοκαίρι από ερευνητές του Project Zero της Google σε συνεργασία με τον ακαδημαϊκό και το βιομηχανικό κλάδο. Μαζί, Meltdown και Spectre επηρεάζουν ουσιαστικά κάθε μοντέρνο υπολογιστικό σύστημα, συμπεριλαμβανομένων των smartphones, των tablets, των PCs και άλλα, από κάθε κατασκευαστή, τρέχοντας σχεδόν οποιοδήποτε λογισμικό. Οι επιθέσεις θα ήταν σχεδόν αδύνατο να εντοπιστούν, αφού δεν αφήνουν ίχνη σε log files. Οι ερευνητές ανησυχούν πως οι hackers θα αναπτύξουν κώδικα ο οποίος θα εκτελεί τέτοιου είδους επιθέσεις και πως γρήγορα θα το εντάξουν στο οπλοστάσιό τους.

Το Meltdown είναι “πιθανώς το χειρότερο CPU bug που έχει βρεθεί ποτέ” και επηρεάζει κυρίως Intel επεξεργαστές που κατασκευάστηκαν από 1995 και έπειτα, με εξαίρεση τα Itanium server chips και τα προ-2013 Atom chips. Επιτρέπει λοιπόν στους hackers να προσπεράσουν το hardware φράγμα μεταξύ εφαρμογών που τρέχουν οι χρήστες και της μνήμης του υπολογιστή. Για να αντιμετωπιστεί, θέλει αλλαγή στον τρόπο με τον οποίο το λογισμικό σύστημα διαχειρίζεται τη μνήμη. Η λύση του προβλήματος όμως δημιουργεί ένα άλλο, αφού οι αρχικές εκτιμήσεις κάνουν λόγο για μείωση της ταχύτητας της συσκευής έως και 30% σε περίπτωση fix.

Το Spectre από την άλλη επηρεάζει την πλειοψηφία των μοντέρνων επεξεργαστών, ανεξαρτήτως κατασκευαστή και συμπεριλαμβάνει τις Intel, AMD και ARM. Επιτρέπει στους hackers να “ξεγελούν” εφαρμογές για να αποσπούν μυστικές πληροφορίες. Απαιτεί κάποιο επίπεδο εξειδίκευσης για τον επιτήδειο hacker αλλά από την άλλη είναι πιο δύσκολο να διορθωθεί και μακροπρόθεσμα, ίσως να αποτελέσει μεγαλύτερο πρόβλημα. Οι ερευνητές καταλήγουν για το Spectre:

Ενώ τα αντίμετρά μας μπορεί να βοηθήσουν στη μείωση πρακτικών εκμεταλλεύσεων στο εγγύς μέλλον, προς το παρόν δεν υπάρχει κανένας τρόπος να γνωρίζουμε αν μία συγκεκριμένη δομή κώδικα είναι ή όχι, ασφαλής στους σημερινούς επεξεργαστές, πόσο μάλλον στα μελλοντικά designs.

Intel και ARM ισχυρίζονται πως δεν πρόκειται για σχεδιαστικό ψεγάδι. Η Intel έχει δώσει στην κυκλοφορία updates τα οποία ισχυρίζεται πως αντιμετωπίζουν τα προβλήματα και ταυτόχρονα δεν επηρεάζουν την ταχύτητα των συσκευών. Apple και Microsoft έχουν έτοιμα patches για το Meltdown σε desktops, ενώ patch είναι διαθέσιμο και για τα Linux. Η Microsoft είναι στη διαδικασία αναβάθμισης των cloud υπηρεσιών της, ενώ στις 3 Ιανουαρίου διέθεσε update ασφαλείας για τα Windows. Η Google ανέφερε πως οι Android συσκευές που τρέχουν τις πιο πρόσφατες εκδόσεις ασφαλείας είναι προστατευμένες, όπως τα Nexus και τα Pixel. Η ARM δήλωσε πως patches έχουν ήδη διανεμηθεί στους συνεργάτες τους και η AMD πιστεύει πως τα bugs “προς το παρόν αποτελούν μηδενικό κίνδυνο για τα προϊόντα της”.