Czym jest Meltdown i Spectre?

Meltdown to luka wynikająca z optymalizacji, dzięki której komputery zyskują na przyspieszeniu. Polega to na tym, że programy odczytują dane systemu operacyjnego bądź innych aplikacji i wykonują potencjalnie potrzebne obliczenia. Z tego powodu komputery zostały narażone na wycieki wrażliwych informacji. Dotyczy to nie tylko komputerów, ale każdej technologii wykorzystującej procesory Intel, AMD i ARM – od serwerów bankowych, przez smart-TV, po chmury danych.

Odrębny i trudniejszy do wyeliminowania problem stanowi Spectre, w odróżnieniu od Meltdownu w niektórych wariantach dotykająca również produktów AMD - między innymi procesorów Ryzen. Ta podatność umożliwia aplikacjom (w tym złośliwym skryptom na stronach internetowych) wykradanie haseł, informacji logowania i innych wrażliwych danych uruchomionych na komputerze procesów.

Jakich urządzeń dotyczą niebezpieczne luki?

O wspomnianych lukach pisał w czwartek dziennik „New York Times”. Ujawniony przez brytyjski serwis technologiczny The Register exploit nazwany Meltdown pozwala działającym na komputerze programom na dostęp do pamięci jądra systemu operacyjnego. Według "NYT" luka dotykająca urządzeń i programów korzystających z procesorów Intela i ARM (na smartfony) jest szczególnym zagrożeniem dla usług chmurowych. Intel twierdzi, że jest to problem wszystkich współczesnych procesorów, jednak konkurencyjny Advanced Micro Devices Inc. zapewnia, że zagrożenie Meltdown w przypadku ich produktów jest „prawie zerowe”.

Własne poprawki zabezpieczające przed wykorzystaniem podatności wprowadziły już Amazon i Google, a także Microsoft, Apple i twórcy Linuxa. Apple Inc. podaje, że wszystkie komputery Mac i urządzenia z systemem iOS, takie jak iPhone i iPady, są narażone na Meltdown, jednak koncern już przygotował aktualizację oprogramowania, która ma tę lukę uszczelnić. Apple Watch, który jest pochodną systemu operacyjnego iPhone’a, nie jest zagrożona wyciekiem danych.

Intel poinformował, że do końca przyszłego tygodnia udostępni aktualizacje dla ponad 90 proc. ostatnio wprowadzonych procesorów. Amazon.com Inc. twierdzi, że „wszystkie, z wyjątkiem niewielkiego, jednocyfrowego procentu” serwerów są już chronione. Według Google niektóre urządzenia z Androidem, laptopy Google Chromebook i ich usługi w chmurze wciąż wymagają specjalnych aktualizacji, aby załatać luki w zabezpieczeniach. Patches na urządzenia z systemem Windows są już dostępne, a firma zabezpiecza swoje usługi w chmurze, zapewnia Microsoft.

Czy aktualizacje spowolnią pracę urządzeń?

Pomimo obaw, że poprawki mogą spowolnić działanie urządzeń, Apple oświadczyło, że jego kroki w celu rozwiązania problemu Meltdown nie utrudniły działania. W najbliższych dniach firma wyda aktualizację przeglądarki Safari, aby bronić się przed Spectre. Jak donosi Apple, może ona spowolnić szybkość przeglądarki o mniej niż 2,5 proc. The Register szacował, że zależnie od wykonywanego zadania i rodzaju procesora aktualizacje tego typu mogą powodować spadek wydajności CPU od 6 do nawet 30 proc. Serwis zaznaczył przy tym, że większość użytkowników komputerów nie odnotuje żadnej zmiany w codziennym funkcjonowaniu. Firmy Apple, Amazon, Google oraz Microsoft potwierdziły, że aktualizacja, która ma zniwelować luki zabezpieczeń Meltdown i Spectre, ma niewielki lub zerowy wpływ na wydajność komputerów.

Oto oficjalne informacje na temat ewentualnego spadku wydajności sprzętu po aktualizacji:

Apple – „Przeprowadzone przez nas testy przy użyciu ogólnodostępnych benchmarków wykazały, że wprowadzone w grudniu 2017 r. aktualizacje nie spowodowały wymiernego pogorszenia wydajności systemów macOS i iOS. Do testów zostały wykorzystane benchmarki: GeekBench 4, Speedometer, JetStream praz ARES-6.”

Microsoft – „Większość użytkowników usługi Azure nie powinna dostrzec zauważalnego wpływu wspomnianej aktualizacji na wydajność. Pracowaliśmy nad optymalizacją działania procesora oraz ścieżką wejścia/wyjścia i nie zaobserwowaliśmy znaczącego wpływu na wydajność po zainstalowaniu poprawki dot. bezpieczeństwa.”

Amazon – „Nie odnotowaliśmy znaczącego wpływu aktualizacji na wydajność podczas obciążeń dot. EC2 (Amazon Elastic Compute Cloud - elastyczne przetwarzanie w chmurze firmy Amazon).”

Google – „Podczas wykonywania większości zadań, w tym tych dotyczących infrastruktury chmury obliczeniowej dostrzegliśmy jedynie niewielki wpływ na ogólną wydajność systemu.”

Firma Intel uważa, że wpływ wspomnianych aktualizacji na wydajność jest w dużym stopniu zależny od obciążenia i nie powinien w znaczący sposób wpływać na przeciętnego użytkownika komputera. Testowanie i udoskonalanie aktualizacji oprogramowania powinno złagodzić ten wpływ.

Jak odkryto luki w bezpieczeństwie procesorów?

Meltdown i Spectre zostały odkryte przez specjalistów ds. zabezpieczeń z zespołu Google Project Zero i naukowców współpracujących z Paulem Kocherem, którzy poinformowali o nich Intela, AMD i ARM jeszcze w czerwcu 2017 roku. Ponoć procesory podatne są na Meltdown od 20 lat.

W grudniu Apple było krytykowane za zmiany oprogramowania iPhone’a, które zmniejszyły wydajność starszych modeli smartfonów. W odpowiedzi oprócz przeprosin i wyjaśnienia, że zaimplementowano zmianę oprogramowania w celu zrównoważenia efektu starzenia się akumulatorów, firma obniżyła koszt wymiany akumulatorów z 79 dolarów na 29 dolarów do końca 2018 roku.

Akcje Apple pozostały stabilne po ogłoszeniu luk w bezpieczeństwie procesorów. Media związane z sektorem technologii podawały wcześniej, że 29 listopada 2017 roku szef Intela sprzedał niemal wszystkie należące do niego akcje firmy, zachowując jedynie minimum udziałów. Po ujawnieniu podatności przypisanej produktom Intela akcje firmy spadły na rzecz AMD, które oświadczyło, że jej procesory powinny być bezpieczne ze względu na zastosowanie odmiennego rozwiązania.

>>> Czytaj też: Miasta przyszłości. Metropolie stają się imperiami, jak nad nimi zapanować?

Meltdown i Spectre. O co chodzi w aferze z procesorami Intela?