Tehnologija nas je učinila ranjivijima
Gotovo svaki napredni uređaj u svijetu, bez obzira da li se radilo o računarima, mobitelima, tabletima, poslovnim serverima i svakom drugom uređaju koji ima mikroprocesor u sebi, ugrožen je zbog propusta koji malicioznim osobama omogućavaju pristup i dozvoljavaju krađu povjerljivih podataka, otkrili su stručnjaci.
Najnovija otkrića pokazuju da zbog sveprisutnosti napredne tehnologije donekle postajemo sve ugroženiji i ranjiviji, smatra Bojan Ždrnja, viši savjetnik za informatičku sigurnost kompanije INFIGO IS, specijalizirane za pružanje profesionalnih usluga u području informatičke sigurnosti.
Ovaj primjer sa široko rasprostranjenim propustom pokazuje da je sigurnost jedan vrlo, vrlo bitan faktor koji se više ne smije zanemarivati, jer posljedice lošeg upravljanja mogu daleko sezati.
Zaštita od propustaDva se savjeta ‘vrte’ u cybersvijetu ovih dana, i oba su bitna. Prvi je održavati sisteme ažuriranim i pratiti najnovije nadogradnje.
“Nebitno je koji operativni sistem koristite, Meltdown i Spectre to ne zanima. Nadogradnje nisu hir proizvođača softvera, nego prijeka potreba”, kaže Šiljak.
Drugi je možda i kontroverzan, dodaje, ali itekako vrijedan pažnje: potrebno je instalirati dodatke za blokiranje reklama, odnosno popularni adblocker.
Mada većina korisnika ove dodatke svojim preglednicima koristi za blokadu dosadnog šarenila reklama i napornih iskačućih prozora, motiv za instalaciju u ovom trenutku nije taj.
Zlonamjerne reklame mogu pokrenuti izvršavanje koda u pregledniku koji će u procesoru prema receptima novootkrivenih propusta obaviti svoj podmukli zadatak krađe podataka.
“Ako već ne skidate sumnjive sadržaje s interneta i ne otvarate datoteke koje vam sumnjiva lica šalju putem elektronske pošte, zatvorite i kanal malvertisementa (reklama koje šire malvere, štetne programe)”, kaže Šiljak.
Stručnjaci iz više zemalja su otkrili dva nedostatka na modernim uređajima, prvi, nazvan Meltdown, pogađa mikroprocesore kompanije Intel i dopušta hakerima da zaobiđu hardversku prepreku između aplikacija koje upotrebljavaju korisnici i memorije računara, što dopušta pristup podacima pohranjenim u memoriji računara i krađu šifri.
Drugi, nazvan Spectre, pogađa procesore Intela, ali i kompanija AMD i ARM, te dopušta hakerima da potencijalno prevare aplikacije, koje su inače nemaju sigurnosnu grešku, da odaju tajne informacije.
Kako se mikroprocesori ugrađuju u gotovo svaki moderni uređaj, poput inzulinskih pumpi, “pametnih kuća”, gdje su svi uređaji putem interneta stvari uvezani, ali i u avione, automobile… pojavila se zabrinutost da bi sigurnosni propusti mogli odnijeti i živote, a ne samo novac i povjerljive podatke.
Međutim, vjerovatnost da se tako nešto dogodi je zanemariva, kaže Ždrnja, jer napadači za iskorištavanje ranjivosti Meltdown/Spectre moraju biti u stanju pokrenuti svoj maliciozni program na ciljnom uređaju, a to znači da napadač već u tom slučaju ionako ima visok nivo pristupa.
Kod svih ovih uređaja postoji više puno opasnijih ranjivosti i loših konfiguracija nego same Meltdown/Spectre ranjivosti.
Ono što je dobra vijest jeste da građani ne trebaju biti previše zabrinuti zbog novootkrivene ranjivosti.
Vektori napada
Iako je riječ o relativno ozbiljnim ranjivostima, vektori napada su još ograničeni: konkretno, napadač mora na lokalnom računaru koje ima ranjivi procesor pokrenuti svoj program, kaže stručnjak za sigurnost.
To znači da su zapravo pod najvećim udarom cloud poslužitelji te korisnici kroz web preglednike. Svi proizvođači preglednika (Mozilla, Chrome, Internet Explorer, Safari) izdali su sigurnosne zakrpe koje ograničavaju ili onemogućavaju iskorištavanje ranjivosti kroz web preglednike, tako da su korisnici u principu sigurni pod uvjetom da su instalirali zadnje zakrpe, što je uvijek preporučeno.
Najveći problem bit će na poslužiteljima i to prvenstveno zbog utjecaja zakrpi na performanse, gdje može doći do usporavanja rada čak do 30 posto.
Kako obični građani i građanke već godinama šire svoje elektronsko bivstvovanje s ličnih uređaja na cloud servise i dobar dio posla, zabave i učenja im se odvijaju u web pregledniku, možda već osjete posljedice u pogledu brzine odziva web stranica koje posjećuju, jer se serveri širom svijeta “krpe” štiteći od Meltdowna i djelomično od Spectrea.
Efekti zakrpa
Građani će efekte tih zakrpa mjeriti u jedinicama vremena, a kompanije prema ustaljenom običaju, u novčanim jedinicama.
Naredni period svakako će biti zanimljiv, budući će i razne grupe probati na druge načine iskoristiti ove ranjivosti tako da će možda doći do još nekih zanimljivih otkrića, dodaje Ždrnja, te preporučuje svima da instaliraju sve dostupne zakrpe kako bi bili sigurni.
Harun Šiljak, postdoktoralni istraživač na Trinity Collegeu u Dublinu, navodi da su proizvođači opreme za propuste znali nešto ranije, ali su do ostatka svijeta vijesti doprle tek proteklih dana.
I dok je javnost navikla na vijesti o opasnim virusima koje hakeri koriste za pristup računarima, Spectre i Meltdown su specifični jer nisu virusi nego takozvane ranjivosti koje mogu biti iskorištene za pristup podacima koji bi inače trebali biti zaštićeni, a u oba slučaja se radi o ranjivosti načina na koji procesor ubrzava izvršavanje programa.
Osim direktnih posljedica u vidu krađe podataka, ovi će propusti imati velike posljedice na tržište hardvera, na tokove u svijetu računarske sigurnosti u 2018. godini, ali i na svjetsku računarsku infrastrukturu čiji puls možemo opipati na internetu svaki dan, koristeći razne cloud servise i druge vrste usluga.
“Da li ste već osjetili usporenje?”, pita Šiljak.
Da bi se u potpunosti riješio problem sa ovim ranjivostima, morat će se napraviti novi procesori, dodaje.
“Za Meltdown imamo softverska rješenja koja se trenutno distribuiraju korisnicima, ali je Spectre tako dubok problem da ga u potpunosti ne možemo riješiti na postojećim arhitekturama. Jasno, zamjena svih postojećih procesora nekim hipotetskim novim neće biti praktično rješenje, pa ćemo imati razne softverske zakrpe i pored onih koje ovih dana možemo vidjeti”, dodao je postdoktoralni istraživač na Trinity Collegeu.
Izvor: Al Jazeera