Hlavní stránka Hardware Procesory, paměti Meltdown/Spectre: Na pokraji apokalypsy?
Meltdown/Spectre: Na pokraji apokalypsy?
autor: Michal Rybka , publikováno 13.1.2018
Meltdown/Spectre: Na pokraji apokalypsy?

Poslední týden bouří tisk apokalyptickými vizemi kolem bezpečnostních slabin Meltdown a Spectre. Přiznám se, že mě celkem ohromilo, s jakou grácií i zdánlivě technicky založené weby přejaly apokalyptické vize jiných technicky založených médií – pravděpodobně proto, že jde o techniku tak komplexní, že ji opisovači nechápou.


Slabina činí systémy s procesory Intel nepoužitelné.

Patche pro procesory Intel skutečně sníží výkon, ale snížení výkonu přesně odpovídá frekvenci volání kernelu. Standardní PC trpí po implementaci Meltdown patchů penále mezi nula až čtyřmi procenty. Jak vysvětluje video od Red Hat, řešení problémů je ekvivalentem toho, že „útočník získal neomezený přístup ke klíčům správce v budově, takže skříň s klíči umístíme do jiné budovy. Penále je srovnatelné s tím, že pokud potřebuje správce klíče, musí o dům vedle. Věc se ale má tak, že některé aplikace až tak často volat správce nepotřebují.“

A tady je jádro pudla: Aplikace málo volající kernel nejsou výkonově ovlivněny, protože penále vzniká pouze při volání kernelu. Render, výpočty a také hry volají kernel jenom málo a proto nejsou prakticky ovlivněny. Ten, kdo jásá nad tím, že si pořídil pomalejší AMD, ale po patchi bude mít navrch, jásá marně: Ne, nebude: Procesor od Intelu, který byl před patchem rychlejší, bude stále rychlejší.

Problém se týká pouze serverových a serveru podobných nasazení, jako je intenzivní trvalá práce s malými soubory. U častých volání souborového systému skutečně vzniká výrazné penále, ovšem pouze u nejrychlejších NVMe disků a to jen ve specifických případech. U typického nasazení a u pomalejších disků je ale zpomalení na úrovni statistické chyby.

Slabina znamená masivní ohrožení důvěrných údajů.

Pokud se vám do PC dostal malware, má mnoho cest, jak se mnohem jednodušeji dostat k zajímavým údajům – například si je přečte přímo z disku. Co povídám, v moderní cloudové současnosti sdílíte všechno se vším, sdílíte svoje kontakty, kalendáře, události, záložky a data s cloudem, což znamená, že je mnohem jednodušší prostě si je přečíst tam, než se páčit do paměti procesů. V moderní společnosti se na diskrétnost nehraje, což zjistíte ve chvíli, kdy chcete obchodovat s kryptoměnami – a PRVNÍ věc, kterou po vás bude služba chtít, jsou všechny vaše kontaktní a bankovní údaje včetně oboustranně ofoceného pasu.

A v tom je skutečná pointa problému: Je jenom velice málo scénářů, kdy by se vyplatilo tímto způsobem útočit na uživatelská PC, například v případě, že používají kryptografii typu VeraCrypt, běží v nich kryptopeněženky anebo mining kryptoměn. K většině útoků nepotřebujete tuhle techniku. Ta se dá ale naopak použít na útoky na cloudové systémy, což je problém, protože v nich máte fakticky kopii všech důvěrných dat – a pokud se naplní poněkud choromyslná vize Microsoftu o cloudovém sdílení clipboardu a „historie aplikací“, tak ano, útok na cloudový systém znamená útok na vaše soukromí v měřítku, které si dnes ani nedovedeme představit.

Problém ale není v samotné průnikové technice, ale poněkud šílené myšlence, že nejlepší cestou do budoucnosti je datový kolektivismus: Útok na JDD (Jednotné Datové Družstvo) je mnohem efektivnější, než statisíce úderů na jednotlivé datové záhumenky.



 
Komentáře naleznete na konci poslední kapitoly.
207 čtenářů navrhlo autorovi prémii: 90.7Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.