Pokus o opravu katastrofálnych bezpečnostných chýb Meltdown a Spectre priniesol závažné problémy so stabilitou "opravených" počítačov. Microsoft vydal aktualizáciu, ktorá má vplyv nepodarenej záplaty Intelu eliminovať.
Keď sme na začiatku januára informovali o vážnych bezpečnostných chybách v procesoroch Intel (ale aj niektorých ARM a AMD), pomenovaných Spectre a Meltdown, nikto asi netušil, koľko nepríjemností tieto chyby spôsobia, bez toho aby ich niekto zneužil.
Oprava spôsobila výpadky
Stačilo totiž, aby Intel vydal zle napísané opravy (tvorca linuxového kódu Linus Torvalds ich emotívne označil za "absolútne totálny odpad") a s pomocou Microsoftu ich rozšíril do počítačov po celom svete.
Výsledkom opravy totiž bola nestabilita zaplátaných systémov, ktorá často končila zamrznutím, takzvaným BSOD. Stav, ktorý je pre užívateľov notebookov a desktopov nepríjemný, je v prípade serverov, ktorých služby majú byť neustále dostupné, priamo kritický. V niektorých prípadoch došlo pri páde aj k strate či narušeniu dát.
Intel odporučil správcom neinštalovať na servery vydané záplaty a Microsoft zastavil ich šírenie v rámci svojho aktualizačného systému.
Liek na záplatu (nie na problém)
Pomerne čerstvou a našťastie dobrou správou je, že sa Microsoftu podarilo vytvoriť a vydať aktualizáciu, ktorá dokáže nepodarenú záplatu (konkrétne tú na chybu Spectre v2) spoločnosti Intel zo systému odobrať a vrátiť mu tak pôvodnú stabilitu. Stiahnuť si ju môžete zo stránok Microsoftu - nič viac pre svoj počítač teraz urobiť nemôžete.
Horšou správou je, že Intel zatiaľ nevydal funkčnú opravu bezpečnostnej chyby Spectre v2 a nie je celkom jasné, nakoľko opravené sú ostatné chyby. Zatiaľ to navyše vyzerá, že vedľajším účinkom záplat je zníženie výkonu "opraveného" procesora. To, podľa informácií výrobcu, v niektorých aplikáciách dosahuje zhruba desať percent.
Trvalé riešenie v nedohľadne
Vzhľadom na to, že sa chyby týkajú priamo fyzickej funkcie procesora, sú ňou postihnuté aj dnes novo vyrábané a predávané čipy. "Pripravujeme úpravy týkajúce sa priamo kremíkových dosiek procesorov, ktorými odstránime bezpečnostné riziká Spectre a Meltdown. Tieto produkty sa začnú objavovať neskôr v tomto roku," uviedol pre americký PC World riaditeľ spoločnosti Intel Brian Krzan.
Aj z toho možno usudzovať, že súčasné čipy nikdy plnohodnotne opravené nebudú, záleží len na záplate, nakoľko zvýši bezpečnosť čipu a nakoľko obmedzí či neobmedzí jeho výkon. Procesor ako taký bude obsahovať chybu vždy.
Čína skôr ako americká vláda
Aby toho nebolo málo, podľa informácií Wall Street Journal, informoval Intel o objavených bezpečnostných chybách najskôr svojich OEM partnerov, vrátane čínskeho Lenova a Alibaba Group, až potom americkú vládu.
Podľa dokumentov zverejnených francúzskym magazínom LeMagIT k tomu došlo 29. novembra 2017, teda viac ako mesiac pred tým, než sa informácia stala 2. januára 2018 verejne známou.
Náhoda s akciami
Intel (podľa dohody so spoločnosťou Google, ktorej tím chyby objavil) pritom chcel o bezpečnostných chybách informovať až 9. januára 2018, čo prekazil magazín The Register, ktorý informáciu vypátral a zverejnil o týždeň skôr.
Na okraj, tento dátum je zaujímavý aj z iného dôvodu. V tento deň predal riaditeľ Intelu Brian Krzan časť svojich akcií spoločnosti Intel za zhruba 11 miliónov dolárov. Krzan akúkoľvek spojitosť odmieta, predaj akcií bol údajne pripravovaný dlho dopredu.
O dátume zverejnenia čínskym partnerom sa emotívne diskutovalo najmä preto, že bezpečnostná chyba sa logicky stáva nebezpečnou až v momente, kedy sa stane známou prípadným útočníkom. Čo v prípade teoreticky možnej (nie preukázanej) previazanosti čínskych firiem, vlády a tajných služieb prinajmenšom pôsobí ako značné bezpečnostné riziko.
Problém v architektúre
Chyby sa týkajú dvoch funkcií, ktoré efektívne pomáhajú zvyšovať rýchlosť procesorov - takzvaných "speculative execution" a "caching" - pre ľahšie pochopenie sa tu dopustíme veľmi razantného zjednodušenia.
Prvá menovaná funkcia, teda "speculative execution", využíva aktuálne nepotrebný výkon procesora k tomu, že dopredu vypočítava výsledky niekoľkých možných budúcich logických operácií spusteného programu, pričom nakoniec vyberie výsledok len tej operácie, ktorú program nakoniec chce uskutočniť.
Vďaka tomu okamžite dodá výsledok (ušetrí tak čas pre jeho výpočet) a nepotrebné výsledky zahodí. Zníženie výkonu procesora záplatou Intelu je zrejme spôsobené obmedzením tejto funkcie.
Využívanie rýchlej pamäte
Druhou funkciou nazvanou "caching", v slovenčine sa používa výraz "kešovanie", je využitie veľmi rýchlej pamäte priamo na čipe procesora pre uloženie dát, ktoré program bude v bezprostrednej budúcnosti potrebovať alebo ich potrebuje často.
Procesor potom pracuje s dátami v tejto extrémne rýchlej pamäti a nemusí siahať do pomalšej (na inom čipe a za zbernicou umiestnenej) operačnej pamäte.
Bezpečnostné chyby Meltdown a Spectre umožňujú útočníkom rôznym spôsobom získať prístup k dátam (napríklad heslám, šifrovacím kľúčom ...), s ktorými procesor pomocou "speculative execution" v pamäti pracuje, bez ohľadu na zabezpečenie operačného systému, zabezpečenie danej aplikácie či daného procesu. Bezpečnostní odborníci preto chyby označujú ako potenciálne katastrofálne.
Intel v tom nie je sám (aj keď je v tom najviac)
Všetky zistené chyby sa týkajú procesorov Intel (väčšina produkcie za posledných dvadsať rokov), v obmedzenej miere aj procesorov ARM a v ešte obmedzenejšej i AMD.
K prítomnosti oboch bezpečnostných chýb v procesoroch svojich výrobkov sa prihlásil aj Apple, postihnuté sú aj telefóny iPhone, tablety iPad alebo niektoré streamboxy Apple TV.
Chyby sa nevyhli ani procesorom IBM Power, ktoré sú často osadené v systémoch kritickej infraštruktúry, napríklad v bankách. Pre väčšinu procesorov už IBM vydalo záplaty, pre zvyšné sú ohlásené na druhý februárový týždeň.
Veľa nezmôžete
Čo s tým môže urobiť užívateľ? Nie veľa. Radi by sme odporučili bezodkladné aktualizovanie operačných systémov, ale ako sa ukázalo, niekedy si tým možno "zarobiť" na ešte horúcejší problém.
Ak však máte Windows a váš počítač teraz trpí častejšími reštartmi a zamŕzaním systému, pravdepodobne to vyriešite touto aktualizáciou od Microsoftu.