Derfor vil processor-sårbarhederne Spectre og Meltdown plage os i månedsvis

Klumme: Sårbarhederne Meltdown og Spectre rammer de mest udbredte processortyper og vil tage tid at få styr på.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Klumme: Året begyndte med et par sårbarheder, som vi kommer til at beskæftige os med i de kommende måneder: Meltdown og Spectre.

Det drejer sig om sårbarheder i de processorer, der indgår i computere, smartphones og andet udstyr omkring os. Dele af dem kan rettes i software, andre kræver hardwareopdateringer.

Både Meltdown og Spectre ligger i processorens mulighed for at forsøge at forudsige, hvad et program vil gøre senere.
Moderne processorer er lynhurtige. Det meste af tiden venter de på at få data at arbejde med.

Ventetiden udnytter de til at afvikle kommandoer, der kommer senere i det program, de er ved at udføre.

Det kan være kommandoer, der kommer efter en valgmulighed: Hvis svaret er ja, skal denne kommando udføres, ellers skal den springes over.

Når en processor på den måde forsøger at afvikle kode, vil den som regel også arbejde med data. Men den forsøgsvise afvikling må naturligvis ikke få indflydelse på data, før det er helt sikkert, at kommandoerne rent faktisk skal gennemføres.

Snuser i cachen
Vor tids processorer henter deres data fra cache-lageret, der igen henter dem fra arbejdslageret.

Sårbarhederne ligger i, at det efterlader spor i cachen, når processoren forsøgsvis afvikler kommandoer. Dermed kan en proces få adgang til data, der tilhører en anden proces.

Meltdown giver således en uprivilegeret proces mulighed for at tilgå data, der tilhører operativsystemets kerne. Det burde ellers være forbudt.

En angriber kan lade processoren afvikle et program, der forsøger at hente data fra kernens dataområde. Derefter skal det skrive en bestemt variabel, hvis en del af de hentede data opfylder et kriterium.

Den indbyggede sikkerhed i processoren forhindrer, at programmet kan køre: Det må ikke tilgå data, der tilhører kernen.

Men sikkerhedssystemet forhindrer ikke, at processoren forsøgsvis prøver at afvikle kommandoerne. Det sørger heller ikke for at slette de foreløbige data, som bliver gemt i cachen.

Derefter prøver det skurkagtige program at læse den variabel, det bad om at få skrevet. Det tager tid på operationen.
Går det hurtigt, blev variablen hentet fra cachen. Det er tegn på, at kriteriet var opfyldt – for eksempel at en bestemt værdi fandtes et sted i kerne-dataene.

Tager det længere tid at hente variablen, findes den ikke i cachen, så kriteriet var øjensynlig ikke opfyldt.

Et side channel-angreb
Der er altså tale om et såkaldt side channel-angreb, hvor man ikke direkte kan tilgå fortrolige data. Men ved at observere andre fakta kan man slutte sig til, hvad de fortrolige data er.

Spectre bygger på lignende metoder. Her er det muligt for en proces at få fat i data fra andre processer.

Man kan beskytte mod Meltdown ved at installere opdateringer til operativsystemet.

Spectre kræver derimod en firmwareopdatering.

Intel udsendte opdateringer tidligere på måneden. Men de viste sig at medføre problemer: Nogle computere begyndte at genstarte.

Firmaet har fundet årsagen til problemerne, og en ny firmware-opdatering skulle være på trapperne.

Vurder risikoen
Før vi går i panik over Meltdown og Spectre, må vi overveje risikobilledet. Hvor realistisk er en fjendtlig udnyttelse af sårbarhederne?

Der er tale om sårbarheder, der kan give adgang til fortrolige data. Vi taler altså ikke om mulighed for at afvikle skadelig programkode.

For at få adgang til dataene skal en proces køre på den sårbare computer. Hvis vi har styr på, hvilken software der kører, kan vi forhindre udnyttelse af sårbarhederne.

Det sidste er sværere, end det lyder. Afvikling af software er blevet et vidt begreb. Kan en webside for eksempel udnytte sårbarheden via Javascript afviklet i en browser?

Risikoen er lille på servere, der kun afvikler en enkelt applikation. Den typiske mail- eller filserver er således ikke i risikozonen – medmindre den kører på sårbar virtualiseringsinfrastruktur.

Netop virtualiserede systemer er oplagte angrebsmål: Hvis angriberen kan afvikle kode på en virtuel maskine, kan koden tilgå data fra andre virtuelle maskiner.

Dermed er cloud-systemer mulige ofre. De store udbydere har da også været hurtige til at opdatere deres systemer.
Svært at rette hardware

Der opdages tusindvis af nye sårbarheder hvert år. Når Meltdown og Spectre vækker så megen opmærksomhed, skyldes det, at de findes i hardware, som er meget udbredt. Derfor er mange potentielt berørt.

Endvidere er det vanskeligt at lukke sikkerhedshuller i hardware: Rettelserne skal distribueres gennem computerproducenterne, der skal få deres kunder til at opdatere firmwaren.

Derfor kommer vi til at beskæftige os med Meltdown og Spectre i adskillige måneder endnu.

Sikkerhedsopdateringerne kan medføre, at systemer kører langsommere. Derfor er det værd at foretage en risikovurdering, før man installerer dem.

Mit råd lyder: Sæt jer ind i sårbarhederne og den skade, de kan medføre. Foretag en risikovurdering, og brug den som grundlag for at beslutte, hvad I skal gøre.

Læs også:

Patch-kaos hos pc-giganter: Både HP og Dell trækker Meltdown og Spectre-opdateringer tilbage

Spectre-opdatering får computere i hundredetusindevis til at genstarte konstant: Er du ramt?



DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Faktuelle oplysninger er klummeskribentens ansvar og synspunkterne er alene udtryk for klummeskribentens holdning.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Sådan afgør Lyngby Taarbæk Kommune valget mellem Schultz og KMD: "Der er ingen tvivl om, at det vil være allernemmest bare at blive hos KMD"
Interview: Kampen om at levere det nye fagsystem til Lyngby Taarbæk Kommunes jobcenter står mellem Schultz og KMD, efter KMD har opsagt den nuværende kontrakt tre måneder før tid. Læs her hvordan Lyngby Taarbæk Kommune beslutter sig for, hvilket af de to nye systemer kommunen skal bruge fra årsskiftet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
It-fagforbund rasler med sablerne over for IBM: Kræver overenskomst til 300 fyringstruede KMD-medarbejdere
It-fagforbundene Prosa og HK kræver nu, at de 300 fyringstruede KMD-medarbejdere, der den 1. oktober bliver virksomhedsoverdraget til IBM, bliver sikret med en overenskomst. Hvis kravene ikke bliver efterkommet, kan det ende med en faglig tvist, lyder det fra Prosa.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.