ترس همه کاربران از نقص امنیتی جدید اینتل: چاره چیست؟
این روزها پیدا شدن دو حفره امنیتی Meltdown و Spectre سر و صدای زیادی در سیلیکون ولی به راه انداخته است. هکرها با به کارگیری این دو آسیب پذیری می توانند به پردازنده های اینتل، AMD و ARM حمله کنند. گوگل سال گذشته موفق به کشف این مشکلات امنیتی شده بود و چهارشنبه هفته ای که گذشت این خبر را در وبلاگ رسمی خود منتشر کرد.
گویا آی تی – گوگل در وب سایت اختصاصی که برای آسیب پذیری های Meltdown و Spectre طراحی کرده (اینجا) در بخش سوالات متداول این طور می گوید: ”هکرها با استفاده از این دو آسیب پذیری امنیتی موجود در پردازنده ها می توانند به اطلاعات حساس موجود در حافظه سیستم مثل رمزعبورها، کلیدهای رمزنگاری یا داده های مهم باز شده در نرم افزارها، دسترسی پیدا کنند.“
اولین چیزی که باید بدانید: این حفره های امنیتی تقریبا همه کامپیوترهای رومیزی، لپ تاپ ها، تبلت ها و تلفن های هوشمند، صرفنظر از شرکتی که آنها را ساخته و همچنین سیستم عامل های نصب شده، را آسیب پذیر خواهند کرد.
البته جای شکرش باقی است که سو استفاده از این آسیب پذیری چندان آسان نیست. برای این منظور مجموعه ای از شرایط باید فراهم باشند که یکی از آنها وجود یک بدافزار روی ابزارهاست.
البته این نقص امنیتی نه تنها ابزارهای شخصی بلکه سایر سیستم های کامپیوتری را هم با مشکل مواجه خواهد کرد. سرورها، پایگاه های داده و پلتفرم های بزرگ محاسبات ابری مثل خدمات وب آمازون، مایکروسافت آژور یا گوگل کلاود هم می توانند قربانی های بعدی این نقص امنیتی باشند.
در حقیقت اگر شرایط فراهم باشد مشتریان سرویس های ابری مذکور می توانند با استفاده از آسیب پذیری های Meltdown و Spectre اقدام به سرقت اطلاعات از یکدیگر کنند.
اگر چه اصلاحیه های لازم برای رفع این آسیب پذیری رفته رفته در دسترس عموم قرار می گیرند اما متاسفانه بعضی از ابزارها، خصوصا کامپیوترهای قدیمی بعد از نصب آنها با کندی محسوسی مواجه خواهند شد. اینها تمام اطلاعات ضروری درباره Meltdown و Spectre بود. اما بهتر است در ادامه هم همراه ما باشید تا با سایر جنبه های مهم این آسیب پذیری ها آشنا شوید.
آیا خطر فوری کاربران را تهدید می کند؟
خبر خوب: اینتل و گوگل اعلام کرده اند تا کنون شواهدی از حملات سایبری با استفاده از Meltdown و Spectre انجام نشده است. و شرکت هایی مثل اینتل، آمازون، گوگل، اپل و مایکروسافت تمام توان خود را برای حل این مشکل امنیتی به کار گرفته اند و برخی از اصلاحیه های لازم هم منتشر شده اند.
البته نصب این اصلاحیه ها عواقب منفی برای ابزارها به همراه خواهد داشت. طبق برخی گزارشات منتشر شده بعد از نصب اصلاحیه های امنیتی، سرعت عملکرد برخی از ابزارها تا ۳۰ درصد کاهش خواهد یافت. هر چند اینتل این رقم را رد کرده و اعلام کرده میزان کندی سرعت ابزار بسته به نحوه استفاده از آن خواهد داشت.
به نظر می رسد حمله Meltdown تنها روی پردازنده های اینتل انجام شود. طبق اظهارات گوگل با نصب به روزرسانی های نرم افزاری می توان سیستم را در برابر این حملات ایمن کرد. این به روزرسانی ها هم اکنون برای لینوکس و ویندوز ۱۰ عرضه شده اند.
از سوی دیگر به نظر می رسد آسیب پذیری Spectre بسیار خطرناک تر باشد. گوگل در آزمایشات خود موفق به اجرای حملات Spectre روی پردازنده های اینتل، ARM و AMD شده است. و طبق اظهارات رسمی این غول جستجو، هنوز اصلاحیه مشخصی برای رفع آن ارائه نشده است.
البته انجام حملات مبتنی بر آسیب پذیری Spectre بسیار دشوارتر است و به همین دلیل ترس از آن هنوز فراگیر نشده است. اما در این حملات از بخش جدایی ناپذیری از نحوه عملکرد پردازنده ها برای سرقت داده ها استفاده می شود؛ به همین خاطر برای رهایی کامل از این آسیب پذیری باید نسل جدیدی از پردازنده ها ساخته شود. در حقیقت انتخاب نام Specter یا همان ”شبح“ به همین خاطر بوده است. از آن جایی که برطرف کردن این نقص امنیتی آسان نیست تا مدت ها، مثل جن زده ها، درگیر آن خواهیم بود.
ماهیت Meltdown و Spectre چیست؟
علی رغم تمام صحبت هایی که از این دو نقص امنیتی در رسانه ها شده اما Meltdown و Spectre ”باگ“ نیستند. در حقیقت این دو شیوه های کشف شده توسط آزمایشگاه امنیت سایبری گوگل یعنی Project Zero هستند که در آنها سعی شده از نحوه عملکرد معمولی پردازنده های اینتل، ARM و AMD برای انجام حملات سایبری استفاده شود.
گوگل با اقتباس از مجموعه جنگ ستارگان و آزمایش برنامه های موسوم به Death Star موفق به سو استفاده از یک ضعف در دریچه کوچک خروجی حرارت شد.
همان طور که دو موشک پروتونی دقیقا هدف گیری شده قادر به تخریب Death Star بودند، Meltdown و Spectre هم می توانند از ویژگی های خاص طراحی سو استفاده کرده و روش های امنیتی رایج در پردازنده ها را دور بزنند.
ویژگی طراحی که امکان سو استفاده هکرها را فراهم می کند Speculative Execution نام دارد. این ویژگی در حقیقت یک تکنیک پردازشی است که از سال ۱۹۹۵ میلادی در اکثر چیپ های اینتل به کار گرفته شده و شرکت های ARM و AMD هم در ساخت پردازنده های خود از آن استفاده می کنند.
در Speculative Execution پردازنده ها سعی در حدس کار بعدی شما می کنند. اگر حدس آنها درست باشد، جلوتر از شما حرکت کرده و طبیعتا شما شاهد سرعت بیشتر در انجام کارها خواهید بود. اگر حدس اشتباه باشد، داده ها رونویسی شده و پروسه مجددا تکرار می شود.
آن چه که در «پروژه صفر» گوگل پیدا شد، دو روش کلیدی بود که توسط آنها امکان فریب نرم افزارهای ایمن و خوب طراحی شده به منظور سرقت اطلاعات از پردازش های برگشتی پردازنده ها بود. در این نفوذها از نقصی که در نحوه رونویسی داده ها وجود دارد برای مشاهده و سرقت اطلاعاتی که در اصل باید مخفی باشند، استفاده می شود (البته برای این منظور حتما باید بدافزاری خاص از قبل روی سیستم نصب شده باشد).
این آسیب پذیری خصوصا در سیستم های محاسبات ابری، که در آن کاربران کلاسترهای پردازشی بسیار بزرگ را اجازه می کنند، بسیار خطرناک است. سرورهای موجود در این کلاسترها ممکن است به صورت اشتراکی در اختیار چند کاربر قرار داده شوند و به این ترتیب مشتریانی که از سیستم های وصله نشده و آسیب پذیر استفاده می کنند ممکن است طعمه سارقان داده ای شوند که کاربر پردازنده های مشترک با آنها هستند (به عبارت دیگر کاربران آسیب پذیر و ناآگاه ممکن است در کنار هکرها یا سایر افراد سودجو از یک کلاستر پردازشی محاسبات ابری به صورت مشترک استفاده کنند و در این صورت معلوم است که بازنده اصلی چه کسی خواهد بود.)
وظیفه ما چیست؟
اولین کاری که برای محافظت از خود در برابر آسیب پذیری ها و حفره های امنیتی باید انجام دهید حصول اطمینان از به روز بودن سیستم عامل ها و نصب آخرین وصله های امنیتی است. سیستم عامل های اصلی و رایج کاربران پروسه عرضه وصله های مورد نیاز برای مقابله با Spectre و Meltdown را شروع کرده اند.
اصلاحیه های لازم برای لینوکس، اندروید، MacOS و ویندوز ۱۰ عرضه شده اند. از این رو چه کاربر یک ابزار اندرویدی باشید و یا یک برنامه نویس لینوکس وقت آن رسیده که سیستم عامل خود را به روزرسانی کنید.
ضمنا مایکروسافت در حال تلاش برای عرضه وصله های مورد نیاز برای پلتفرم ابری آژور است. از سوی دیگر گوگل هم از کاربران خدمات ابری گوگل کلاود درخواست کرده که سیستم عامل های خود را به روز کنند.
مهم ترین کار این است که مطمئن شوید همه ابزارهایتان کاملا به روز هستند. اگر چه ممکن است اصلاحیه ساده برای Spectre وجود نداشته باشد اما گوگل می گوید شیوه های مختلفی برای محافظت از سیستم ها در برابر آسیب پذیری های مشابه وجود دارد. با کشف حملات مرتبط با Spectre انتظار می رود مایکروسافت، اپل و گوگل به روزرسانی های جدید برای سیستم عامل های خود منتشر کنند.
علاوه بر این از آن جایی که Meltdown و Spectre برای نفوذ نیازمند وجود یک کد مخرب در سیستم هستند، بهتر است جوانب احتیاط را کاملا رعایت کرده و از نصب نرم افزارها و اپلیکیشن های ناشناخته موجود در وب جدا خودداری کنید. به هیچ عنوان از منابعی که اطمینان صد در صدی به آنها ندارید اقدام به نصب نرم افزار یا اپلیکیشن نکنید. از کلیک روی لینک های فریب دهنده ای که خبر از برنده شدن شما در بخت آزمایی ها یا نظرسنجی ها می دهند هم خودداری کنید.
چرا اصلاحیه های امنیتی موجب کندی عملکرد ابزارها خواهند شد؟
حملات Meltdown و Spectre از نحوه تعامل ”کرنل ها“ یا هسته های سیستم عامل ها با پردازنده ها سو استفاده می کنند. از نظر تئوری این دو باید از یکدیگر جدا باشند تا انجام چنین حملاتی میسر نباشد. هر چند در گزارش گوگل ثابت شده که اقدامات احتیاطی فعلی برای جلوگیری از حملات کافی نیستند.
گفته می شود توسعه دهندگان سیستم عامل ها به فکر استفاده از سطح جدیدی از ایزوله سازی مجازی افتاده اند؛ اساسا این کار موجب می شود درخواست های بین پردازنده و هسته سیستم عامل، فاصله بسیار زیادی با یکدیگر پیدا کنند.
مشکل اینجاست که اجرای این جداسازی نیازمند مقدار کمی توان پردازشی است؛ در نتیجه سیستم قادر به استفاده از توان پردازشی مذکور برای انجام سریع تر پردازش های اصلی نخواهد بود.
پژوهشگران نگران این مساله هستند که نصب اصلاحیه های امنیتی ممکن است سرعت کامپیوترها را ۲۰ تا ۳۰ درصد کاهش دهد. مایکروسافت احتمال می دهد کامپیوترهای مجهز به پردازنده های اینتل (سری Skylake) که عمری بیشتر از ۲ سال داشته با کاهش قابل توجه سرعت مواجه شوند. هر چند اینتل این ادعاها را به چالش کشیده و معتقد است کاهش سرعت آن چنان که گفته می شود نخواهد بود.
البته احتمالا با عرضه اصلاحیه های بعدی شاهد عادی شدن سرعت عملکرد ابزارها باشیم. از آن جایی که این آسیب پذیری ها به تازگی شناسایی شده اند، احتمال می رود راهکارها و تکنیک های جدید ارائه شده موجب کندی عملکرد ابزارها شوند و در آینده با تلاش بیشتر برنامه نویسان شاهد ارائه وصله هایی جامع تر که مشکل کندی عملکرد ابزارها را حل می کنند، خواهیم بود.
چشم انتظار چه اتفاقاتی باشیم؟
در حال حاضر اینتل تقریبا مطمئن است که آسیب پذیری های Meltdown و Spectre تاثیر چندانی روی قیمت سهام یا سهم این شرکت از بازار محصولات فناوری نخواهند داشت. علت این امر هم دشواری اجرای این حملات و همچنین عدم موفقیت هکرها در استفاده از آنها بوده است.
AMD خوشحال بود که حملات آسان Meltdown روی پردازنده های این شرکت عمل نمی کنند که البته گوگل با انجام یک سری آزمایشات نشان دادن این ادعا کاملا نادرست است و محصولات این شرکت هم آسیب پذیرند.
هر چند گوگل تاکید می کند که خطر Spectre را نباید دست کم گرفت. تکنیک Speculative Execution بیش از دو دهه است که به عنوان یکی از اصول پذیرفته شده طراحی پردازنده ها مورد استفاده بوده است. صنعت ساخت پردازنده باید فکری اساسی برای طراحی مجدد این تکنیک کرده تا در آینده امکان بهره گیری از آن برای نفوذ به سیستم ها و سرقت داده ها فراهم نباشد.
تهدید Spectre موجب خواهد شد نسل بعدی پردازنده ها-یعنی محصولات بعدی تمام شرکت ها- تفاوت های اساسی با مدل های فعلی داشته باشند.
اما با این وجود احتمالا سال های سال با تهدید Spectre دست به گریبان خواهیم بود. مشتریان همانند گذشته علاقه زیادی به تعویض کامپیوترهای قدیمی خود ندارند و به همین خاطر سیستم های قدیمی که در معرض حمله Spectre هستند برای سالیان متمادی با ما خواهند بود.
از سوی دیگر به روزرسانی ابزارهای اندرویدی به آخرین نسخه سیستم عامل همواره با دشواری های خاصی رو به روست و طبیعتا تا مدت ها با خیل عظیمی از تلفن های هوشمند و تبلت های وصله نشده و آسیب پذیر در برابر حملات سر و کار خواهیم داشت. بعید نیست که هکرها و خرابکارن سایبری از همین الان حساب این مسائل را کرده و به فکر سو استفاده از این آسیب پذیری افتاده باشند.
نگران نباشید دنیا که به پایان نرسیده است. اما احتمالا یک دوره بسیار مهم برای اینتل، AMD و ARM تمام شده و این شرکت ها باید به دنبال گشودن فصل جدیدی از ساخت پرازنده های ایمن تر باشند.