Meltdown i Spectre – dwie luki bezpieczeństwa, które pojawiają się w procesorach wielu producentów – zostały nareszcie zidentyfikowane i ogłoszone światu przez ekspertów z Google Project Zero. Ze względu na przecieki informacji nastąpiło to nieco wcześniej, niż planowało to Google i producenci procesorów.
Obydwa błędy wynikają ze spekulatywnego działania nowoczesnych procesorów komputerowych i mobilnych. Aby przyspieszyć swoje działanie, podzespół „prognozuje”, jakie działanie nakaże mu użytkownik za chwilę i z wyprzedzeniem sięga po informacje, których będzie potrzebował do wykonania operacji. Meltdown i Spectre wykorzystują właśnie ten moment pobrania niepotrzebnych danych. Ten pierwszy zaburza granice między aplikacjami użytkownika i systemem operacyjnym, pozwalając szkodliwemu oprogramowaniu na sięgnięcie po dane z innych aplikacji i systemu operacyjnego. Zidentyfikowany Meltdown jest dość łatwy do naprawienia – rychłe wypuszczenie łatek zapowiedziały już Microsoft i Google.
Spectre wykorzystuje interakcje pomiędzy konkretnymi aplikacjami. Szkodliwe oprogramowanie podszywa się pod aplikację z dostępem do danego zaufanego procesu, „wyciągając” z niego dane. W porównaniu z Meltdown Spectre jest znacznie trudniejszy do zidentyfikowania i naprawy. Owszem, możliwa jest obrona przed atakami opartymi na wcześniej przeprowadzonych, jednak niemożliwe jest zabezpieczenie wszystkich kombinacji aplikacji. Przeprowadzonego ataku z wykorzystaniem Meltdown lub Spectre nie da się wykryć, raczej nie zatrzyma ich również antywirus czy firewall.
W praktyce oznacza to, że już niedługo nastąpi konieczność zmiany powszechnie stosowanych zasad architektury procesorów i podejścia do wykonywania spekulatywnego. Tylko takie rozwiązanie wyeliminuje ryzyko wystąpienia ataków typu Meltdown i Spectre w stu procentach. Co prawda niektórzy producenci (m. in. AMD) twierdzą, że wykorzystana w ich podzespołach technologia już na chwilę obecną zmniejsza możliwość wystąpienia ataku do „prawie zera”, jednak zapewnienia te nie zostały niestety potwierdzone przez Google.
Których urządzeń dotyczy niebezpieczeństwo? Google zaleca przyjęcie, że każdy sprzęt, o ile nie został dokładnie przebadany na obecność luki, powinien być uznany za potencjalnie zagrożony. Problem dotyczy również chmur danych. Łatki zwiększające bezpieczeństwo są już w drodze. Co można zrobić, aby zmniejszyć prawdopodobieństwo wycieku danych? Najprostszym rozwiązaniem jest po prostu zachowanie rozwagi – nie należy odkładać aktualizacji bezpieczeństwa w nieskończoność oraz pobierać plików z niezidentyfikowanych źródeł.
