αθηνόραμα digital

Παρασκευή, 5 Ιανουαρίου 2018

Intel: κενό ασφαλείας μεγάλο, σε αμέτρητα PC

Υπαρκτό και σε επεξεργαστές AMD και ARM - η τεχνολογική αγορά σε ανησυχία κι επιφυλακή

Σαν να... περίμεναν να περάσει η εορταστική περίοδος των Χριστουγέννων και της Πρωτοχρονιάς, θα έλεγε κανείς: δεν εξηγείται αλλιώς το πώς πολλαπλά αμερικανικά μέσα ενημέρωσης , τεχνολογικά και μη, μέσα σε 48 ώρες αποκάλυψαν σχεδόν από κοινού ένα τεράστιο πρόβλημα ασφαλείας που αφορά σε επεξεργαστές της Intel και τον τρόπο με τον οποίο αυτοί, βάσει σχεδιασμού, προσφέρουν σε επίδοξους hackers το περιθώριο να υποκλέψουν δεδομένα από διαφορετικών ειδών προσωπικούς υπολογιστές. Το περιθώριο αυτό μπορεί να "αξιοποιηθεί" κακόβουλα με δύο διαφορετικούς τρόπους, οι οποίοι έχουν κωδικά ονομαστεί "Meltdown" και "Spectre". Το πλέον παράξενο όλων: τα δύο αυτά κενά ασφαλείας ήταν γνωστά σε, την Intel, την Microsoft, την Google και άλλους εδώ και καιρό, μόλις τώρα ωστόσο φαίνεται να έχει "ενορχηστρωθεί" προσπάθεια αντιμετώπισής τους.

Και τα δύο κενά ασφαλείας - χωρίς να υπεισέλθουμε σε δυσνόητες τεχνικές λεπτομέρειες - εκμεταλλεύονται τον εδώ και πολλά χρόνια καθιερωμένο τρόπο διαχείρισης της μνήμης ενός Η/Υ όταν αυτός εκτελεί προγράμματα και προσωρινά κρατά εκεί αποθηκευμένα προς επεξεργασία διαφόρων ειδών δεδομένα. Ένας hacker που γνωρίζει την αρχιτεκτονική των επεξεργαστών της Intel από το 1995 (!) και μετά, καθώς και πώς στηρίζονται σε αυτή τα σύγχρονα λειτουργικά σύστήματα - Windows, macOS, Linux, Android, ChromeOS - μπορεί να εκμεταλλευτεί αυτά τα κενά ασφαλείας για να υποκλέψει δεδομένα που βρίσκονται... "live" στην μνήμη του εκάστοτε Η/Υ. Ο όρος "Meltdown" αναφέρεται σε προσέγγιση τέτοιου hacking που έχει αποδειχθεί επιτυχής σε επεξεργαστές της Intel συγκεκριμένα, ενώ ο όρος "Spectre" σε προσέγγιση που αφορά και άλλων εταιρειών επεξεργαστές - κοινώς των AMD και ARM - οπότε στην δεύτερη περίπτωση η γκάμα των εν δυνάμει απροστάτευτων συσκευών περιλαμβάνει πέρα από Η/Υ και smartphones, tablets και άλλες συσκευές.

Το κενό ασφαλείας που εκμεταλλεύονται αυτές οι δύο μέθοδοι είναι τόσο μεγάλο, ώστε θα χρειαστούν πολλαπλές ενημερώσεις λογισμικού για τον "πυρήνα" όλων των λειτουργικών συστημάτων και ίσως μερικός ανασχεδιασμός του όλου τρόπου διαχείρισης μνήμης (!) εκ μέρους τους, προκειμένου να αντιμετωπιστεί πλήρως. Οι Microsoft και Apple έχουν ήδη προγραμματίσει σχετικές ενημερώσεις των Windows 10 και macOS για τις επόμενες ημέρες, ενώ η Google (που πρωτοανακάλυψε το πρόβλημα πέρυσι μέσω της πρωτοβουλίας της Project Zero), θεωρεί πως στο Android με τις πλέον πρόσφατες ενημερώσεις είναι δύσκολο να υλοποιηθεί hacking μέσω "Meltdown" ή "Spectre" (αλλά έχει δεσμευτεί να παρακολουθεί το θέμα από κοντά). Η Apple έχει ήδη κάνει κάποιες προστατευτικές κινήσεις με την έκδοση 11.2 του iOS για iPhone και iPad, όμως είναι βέβαιο πως θα χρειαστούν πολύ περισσότερες.

Συζητήσεις έχουν προκύψει, μάλιστα, αναφορικά με τις συνέπειες που θα έχουν στον τομέα των επιδόσεων αυτές οι αλλαγές στον πυρήνα των δημοφιλέστερων λειτουργικών συστημάτων - κυρίως, δε, στις συσκευές που βασίζονται σε επεξεργαστές της Intel. Αν και οι ενδείξεις ως τώρα συγκλίνουν προς την αντίθετη κατεύθυνση - με δοκιμαστικές εκδόσεις των πρώτων ενημερώσεων για Windows 10 οι συγκριτικές μετρήσεις "πριν και μετά" σκιαγράφησαν διαφορές μικρότερες του 5% - δεν θα γνωρίζουμε με σιγουριά μέχρις ότου ολοκληρωθούν όλες οι απαραίτητες αλλαγές, οι οποίες θα πάρουν καιρό. Το σίγουρο είναι πως οι αναλυτές ασφαλείας δεν υπερβάλλουν στις εκτιμήσεις τους: πρόκειται για ένα από τα σοβαρότερα προβλήματα του είδους που έχουν ανακαλυφθεί εδώ και πολλά χρόνια, ενώ δεν είναι λίγοι και εκείνοι που υποψιάζονται πως άλλες... "ενδιαφερόμενες πλευρές", όπως οι μυστικές υπηρεσίες μεγάλων κρατών, γνώριζαν επίσης αυτές τις αδυναμίες και δεν τις γνωστοποίησαν ποτέ στις εταιρείες πληροφορικής, για τους δικούς τους γνωστούς λόγους.

To όλο ζήτημα φυσικά συνεχίζει να εξελίσσεται - και στην διάρκεια των επόμενων εβδομάδων ή μηνών θα φανούν αφενός τα αποτελέσματα και τα "αντανακλαστικά" των κολοσσών της τεχνολογίας απέναντι σε αυτό το πρόβλημα, αφετέρου ο τρόπος με τον οποίο αυτό... κατάφερε να παραμείνει "εκτός ραντάρ" τόσων ειδικών για δύο ολόκληρες δεκαετίες. Το πώς θα σταματήσουμε να έχουμε σκέψεις και απορίες του τύπου "αν κάτι τόσο σοβαρό, που επηρεάζει τόσα εκατοντάδες εκατομμύρια καταναλωτικά προϊόντα, έμεινε κρυφό κι ανεξιχνίαστο για τόσα χρόνια, τί άλλο συνεχίζει να μην δημοσιοποιείται κι ενδεχομένως δεν θα μάθουμε ποτέ;", είναι φυσικά ένα άλλο θέμα.


ΣΧΟΛΙΑΣΜΟΣ ΣΤΑ ΑΡΘΡΑ