Kako se nositi s ranjivostima procesora?

U novu godinu ušli smo s oktrićem ranjivosti procesora proizvođača Intel, Arm i AMD. Ranjivosti su dobile nazive Meltdown i Spectre, pri čemu je Spectre zbirno ime za cijeli niz ranjivosti. Ispada da su ranjivi svi Intelovi procesori proizvedeni od 1995. do danas. Intel je ekspresno izdao zakrpe, ali su one napravile neviđenu zbrku korisnicima koji su ih žurno instalirali.

Ubuntu 16.04 na mom notebooku s i7 procesorom podivljao je nakon instalacije zakrpa. Grafičko sučelje je postalo nefunkcionalno, klik na ikonu ne bi pokrenuo aplikaciju, morao sam otvarati terminal i pokretati programe s komandne linije. Kako redovito radim backup korisničkih podataka, odlučio sam iskoristiti priliku i instalirati novu verziju Ubuntua, 17.10. Ali nakon toga Linux se nije htio bootati! Pa sam ponovo zapržio verziju 16.04 i napravio svježu instalaciju. No time nisam ništa postigao, jer je novi instalacijski CD izgleda sadržavao neispravne zakrpe. Morao sam pričekati nekoliko dana, dok nisu stigle svježe zakrpe. Instalirao sam ih s komandne linije, nakon čega Ubuntu radi kao u dobra stara vremena. Radi, ali je ranjiv!

Nekoliko dana bio sam bez računala! Zapravo je to bilo zanimljivo iskustvo, s jedne strane je dobro da sam se odmorio od svakodnevnog "buljenja u ekran". S druge strane, kao pravi ovisnik proživljavao sam apstinencijsku krizu. Ali što bi u takvoj situaciji uradile tvrtke čije poslovanje nije moguće bez računala?

A onda mi je kolega donio notebook s Windowsima 10 koji su javljali grešku kod uključivanja: "No boot disk!" Ovdje je popravak ispao prilično jednostavan: trebalo se probiti kroz Microsoftove ekrane za oporavak i deinstalirati zadnju zakrpu od 8.1.2018. Nakon toga sve je radilo normalno.

Intel je povukao svoje zakrpe, ispričao se korisnicima. Linus Torvalds je napao Intelove zakrpe posve u svom stilu: "Zakrpe su potpuno smeće... Napravili su stvari koje nemaju smisla".

I što sad? Čitamo o najavama malwarea koji koristi ove ranjivosti. Nezavisna tvrtka AV-TEST dosad je nabrojala 139 uzoraka virusa koji već sada kruže Mrežom, a besumnje ih možemo očekivati još. Milijuni i milijarde računala, tableta, pametnih telefona, pametnih televizora i tko zna kakvih uređaja posve su bespomoćni i čekaju da ih netko napadne.

Dok sam nekoliko dana bio bez funkcionalnog notebooka, pod uticajem apstinencijske krize razmišljao sam o kupovini novog računala. Ali što kupiti? Čini se da su AMD-ovi procesori nešto manje izloženi, navodno nisu ranjivi na Meltdown. AMD je isprva negirao ranjivost, svojih procesora, tvrdeći da nisu ranjivi "radi razlike u arhitekturi". Pa sam potražio na tržištu računala s najnovijim Ryzen 7 procesorom. Ali onda su se pojavili exploiti koji funkcioniraju i na AMD-ovim procesorima! Kako sam u međuvremenu osposobio računalo, odlučio sam pričekati da se prašina slegne. U međuvremenu, našao sam dugačak popis ranjivih procesora raznih proizvođača. Ranjivi su Ryzen 7 serija 1700, kojih ima na našem tržištu, ali i brojni ARM Cortexi i Snapdragoni, Intelovi Atomi, Xeoni, Celeroni i svi iz i3, i5 i i7 serije. Na listi su i Appleovi procesori, pa su ugroženi redom njihovi iPhonei, iPadi, iPodi i Apple TV. Zanimljivo je da su ranjivi i IBM-ovi Power RISC procesori, pa i neki Nvidijini proizvodi. Lista je ogromna, možete je pregledavati satima. Evo linka na šestu, revidiranu listu ranjivh procesora koja i dalje raste, pa tu potražite procesore svojih servera: https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list.

Dosad smo se bavili ranjivostima softvera, OS-a i aplikacija. No sad je na dnevnom redu prava katastrofa. Softver je lako zakrpati, bar načelno, ali što s greškama u procesorima? Ovo su problemi za red veličine iznad svega s čime smo se dosad susreli. Doduše, na početku pisanja ove kolumne prenijeli smo vijest da NSA presreće računala koja se isporučuju u "neke čudne zemlje" i u njih ugrađuje svoje hardverske dodatke, koji omogućuju špijuniranje svjetskih "čudaka". No sad ispada da smo svi mi čudaci, da su sva naša računala, mobilni telefoni, tableti i tko zna koji sve uređaji "by default" otvoreni za preuzimanje.

Baš me zanima da li je prodaja računala smanjena radi ovih ranjivosti? Što se mene tiče, odustajem od novih kupovina. Dovoljno mi je što su moje dosadašnje "investicije" ispale loše. Ne čini mi se smisleno kupovati računala koja su samo prividno moja, ali njima može upravljati bilo tko na ovom planetu samo ako se potrudi iskoristiti njihove ranjivosti. Zakrpe bi trebale riješiti problem, ali istovremeno će usporiti računala. Čemu kupovati nove, brze i skupe procesore, ako će raditi usporeno? I usput nas izložiti nesigurnosti!? Neki stručnjaci upozoravaju nas da ćemo na pravo rješenje čekati još nekoliko godina! Drugim rječima, trebalo bi pričekati novu generaciju procesora i nadati se da istraživači neće i u njima pronaći propuste.

Ljubitelji teorija zavjere uživaju. Oni su uvjereni da ranjivosti nisu posljedica propusta i previda, nego su već samim dizajnom ugrađene u sprave koji nam se nude na tržištu, a mi naivno mislimo da ti uređaji služe nama i da su naše vlasništvo. Šipak! Mi smo samo dali novce za njih, ali oni služe nekom drugom!

Postoji alternativa. Povratak prirodi, napuštanje tehnologija koje nas porobljavaju. Tko je naslijedio imanje na selu, može se tamo preseliti, sam proizvoditi hranu, živjeti izvan mreže, udisati čist zrak, piti čistu izvorsku vodu! Zaboraviti na Internet, trolove, izljeve mržnje i netrpeljivosti, lažne vijesti i besmislene vijesti o izmišljenim "celebritijima". Ako niste ništa naslijedili, potražite zajednicu ljudi koji su okrenuli leđa civilizaciji, pa im se pridružite. Bez muke sam ih našao dvije na Kordunu. :)
Možda ova kriza potakne još nekoga na razmišljanje o alternativi.

Našao sam i kolege sistemce koji predviđaju propast ove civilizacije i pripremaju se za preživljavanje "kad sve ode kvragu". Jedan od njih kupio je zemlju u ruralnoj Hrvatskoj. Parcela ima svoj izvor zdrave vode. Ogradio ju je, sagradio kuću, posadio voćke. Spreman je živjeti "off the grid", sam proizvoditi struju, hranu. Postao je "prepper", spreman je za raspad svjetske ekonomije, nuklearni rat, katastrofe izazvane pregrijavanjem planeta, vulkanskim erupacijama, tsunamijem itd. Nije važno što, nešto će nas već pogoditi, a preživjet će najsposobniji i oni koji su se najbolje pripremili.

Doduše, ako se dogodi najcrnji scenarij, ostaje pitanje kako obraniti svoj mali raj od gladne svjetine koja će navaliti u pljačku?

Ili pak možemo naprosto prihvatiti nesigurnost kao način života i nastaviti po starom, nadajući se da smo premala i nevažna meta, pa se nitko neće baviti nama?

U ljudskoj je prirodi da, po Murphyu, pronalazi rješenja za probleme, ali na taj način da rješenja stvaraju nove probleme. Najveći izvor problema uvijek su rješenja. :) Ali naš je posao pronalaženje rješenja, zar ne? Inače bi bilo dosadno. Uostalom, "Nigdar ni tak bilo da ni nekak bilo, pak ni vezda ne bu da nam nekak ne bu."

Pri koncu pak Turčin potukel nas se bu! :)

Kategorije: 
Vote: 
0
No votes yet

Komentari

Neka me netko ispravi ako griješim. Gledajući video prezentacije korištenja "ranjivosti" na Linux-u, zaključujem da onaj koji želi iskoristit ranjivost, mora biti korisnik na sustavu. Zapravo to bi na osobnom Linux računalu značilo da nam netko prethodno treba "provaliti" u sustav. Ako nam je već provalio, mi imao problem i bez ranjivosti :)

Obično je to jedno računalo, jedan korisnik.

Napravljeni su već virusi/crvi koji nas vrebaju dok smo na mreži. Čak i kad bi to morao biti lokalni korisnik, serveri naših ustanova bili bi ugroženi, jer exploit omogućuje aplikaciji koja se izvršava s ovlastima običnog korisnika pristup memoriji drugih programa i kernela. Nije nimalo bezazleno.

Jasno mi je to što se tiče drugih virusa i servera sa više korisnika. Komentirao sam mogućnosti napadača koji želi korisititi konkretno Meltdown i Spectre na Linux Desktop računalu. Treba mu prvo naš lokalni korisnik. Što se tiće mojih korisnika sa servera. većina ih ne zna što je terminal, samo znači postoji način da im netko ukrade lozinku i putem terminala pokuša  pristupati memoriji. Sa tim da su kod mene studenti /bin/false ograničeni. Ali to  isto nije bezazleno što kažeš. Ali eto mi se "pokrpali" pa smo sigurni:) Mislim da je ovo puno veći problem na virtualnim sistemima sa puno korisnika , gdje svatko može "zaviriti u tuđu memoriju". Općenito problem koji opisuješ je ogorman. Tko zna za koliko propusnosti ne znamo :) jer nisu objavljene:)

Napadač, koji želi iskoristiti Meltdown ili Spectre, može pokrenuti program pod korisnikovim računom tako što će iskoristiti odgovarajuću ranjivost u nekom od korisničkih programa. Npr. Firefox na Ubuntuu je nedavno imao ranjivost koja omogućava pokretanje proizvoljnog programskog koda (arbitrary code execution) ako korisnik otvori prikladno pripremljenu web-stranicu (vidi http://www.cert.hr/node/33165 i https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5124.html). Sličnih ranjivosti je bilo u raznim web-preglednicima, e-mail programima, office paketima, multimedijskim preglednicima.

Dakle, nakon što napadač navede korisnika da s ranjivim programom otvori određenu datoteku, pokreće se napadačev maliciozni program u kojem napadač iskoristi ranjivost Metldown ili Spectre u procesoru računala. To znači da iako maliciozni program radi kao proces običnog korisnika, on može čitati sav RAM dostupan operacijskom sustavu, a to pak znači mogućnost otkrivanja različitih povjerljivih podataka koji se nalaze u memoriji kao što su lozinke, pinovi, privatni ključevi koje koriste protokoli za sigurnu komunikaciju i kriptiranje (HTTPS, SSH, VPN, PGP ...). Mogućnosti su bezbrojne.

Dosad sam neke rizične stvari radio iz virtualne makine, da ne bi ugrozio hosta. Sad je to svejedno, kažu da sad i aplikacija koja se izvršava u virtulaki ima na raspolaganju i memoriju hosta. Sve se ruši kao kula od karata. Zato i kažem da neću kupovati novo računalo dok se ne pojavi posve nova generacija procesora, koja će riješiti ove probleme.

Mislim da je otpor uzaludan zbog...Intel Management Engine

više na :

https://themerkle.com/what-is-the-intel-management-engine-backdoor/

Legalna "ranjivost"

Vrlo zanimljivo predavanje, blisko ovoj temi.

https://www.youtube.com/watch?v=iffTJ1vPCSo