Innlent | mbl | 5.1.2018 | 13:39 | Uppfært 6.7.2019 2:33

Nýir öryggisgallar snerta alla

Intel framleiðir örgjörva í nær allar tegundir tölva, eftir að Apple tók loks örgjörva þeirra í notkun árið 2005. AFP

Upp hefur komist um tvo meiri háttar öryggisgalla í vikunni. Ólíkt hefðbundnum öryggisgöllum, líkt og þeim sem upp kom hjá Apple í síðasta mánuði, er gallinn ekki í hugbúnaði, svo sem stýrikerfi, heldur vélbúnaði tölvunnar. Gallarnir, sem hafa fengið nöfnin Meltdown og Spectre, eru til staðar í örgjörvum sem framleiddir eru af Intel, AMD og ARM.

Hverja snertir gallinn?

Því má segja að gallinn snerti nær allar hefðbundnar tölvur, farsíma og svokölluð ský. Þegar forrit er að sækja gögn í vinnsluminni örgjörva tölvunnar reynist vera möguleiki að sækja gögn sem ekki tilheyra því forriti eða þeirri vél, útskýrir Guðbjarni Guðmundsson, forstöðumaður hjá Opnum kerfum.

Þannig geti óprúttnir aðilar mögulega nálgast ýmsar upplýsingar, til að mynda lykilorð, kreditkortanúmer og það sem slegið hefur verið inn á lyklaborðið.

Til að hakkarar geti fært sér öryggisgallann í nyt á hefðbundnum einkatölvum eða farsímum þurfa þeir fyrst að finna leið til að keyra forrit á tölvunni eða símanum. Er fólki því ráðlagt að forðast næstu misserin að hlaða niður nýjum forritum á tölvur eða síma nema það viti fyrir víst hvaðan þau koma.

Að sögn netöryggisstofnunar Bretlands eru engin merki þess að öryggisgallarnir tveir hafi verið nýttir til að stela gögnum enn sem komið er. Eðli slíkra netárása sé þó þannig að erfitt sé að koma upp um þær.

„Það sést ekkert í vélinni að þessi veikleiki hafi verið nýttur, þannig að þó menn viti ekki til þess að veikleikinn hafi verið nýttur er ekkert sem segir að hann hafi ekki verið það,“ segir Guðbjarni.

Hvað get ég gert?

Góð spurning.
Microsoft, framleiðandi Windows-stýrikerfanna, hefur þegar gefið frá sér uppfærslu á stýrikerfinu Windows 10, sem flestir ættu að kannast við. Sama gildir um forritarasamfélagið sem stendur að opna hugbúnaðnum Linux. Apple hefur gefið út uppfærslu sem tekur á hluta vandans, en von er á annarri uppfærslu frá fyrirtækinu á næstunni. Notendur eru hvattir til að uppfæra tæki sín sem fyrst.

Vafrarnir Firefox, Internet Explorer og Edge hafa fengið sjálfvirka uppfærslu, en að sögn Google er uppfærslu á vinsælasta vafra heims, Google Chrome, ekki að vænta fyrr en 23. janúar.

Annars gildir hið fornkveðna, að fara varlega á netinu og forðast hugbúnað ef framleiðandinn er ekki traustur.

Apple hefur staðfest að öryggisgallinn hrjái allar tegundir Macbook-tölva og iPhone. AFP

Fórnarkostnaður

Úrbætur á Meltdown eru ekki án fórnar. Talið er að úrbæturnar geti í sumum tilvikum hægt á tölvum um allt að 30 prósent. Þetta hefur New York Times eftir Andres Freund, sjálfstæðum forritara, sem hefur prófað nýja útgáfu Linux-stýrikerfisins.

Aðrir sérfræðingar hafa bent á að þessar ógnvænlegu tölur eigi líklega ekki við hefðbundna notkun, heldur helst þá sem innifelur í sér mikla skráarvinnslu, eins og raunin er oft í skýjunum.

Bakslag í velgengni skýjanna

Eins og áður segir glíma ekki aðeins tölvur og símar við öryggisgallann, sem nefndur er Meltdown. Hann herjar einnig á skýin, en það eru gagnageymslur á netinu, sem notið hafa síaukinna vinsælda undanfarin ár. Meðal vinsælla skýja eru Google Drive, iCloud Drive frá Apple og Dropbox. Þá nýta fjölmörg fyrirtæki sérhæfðari útgáfur af skýjum til að geyma gögn sín, og mætti taka vefkerfi Amazon-sölusíðunnar sem dæmi.

Ástæða þess að skýin eru einnig í hættu er sú að þótt talað sé um gagnageymslur á netinu þá eru gögnin í „skýinu“ í raun geymd á tölvum með örgjörvum, eins og öll önnur gögn. Að geyma gögn „í skýinu“ þýðir einfaldlega að þau eru ekki geymd á tölvu notandans heldur í gagnaveri þess sem heldur úti skýinu. Notandinn sækir gögnin síðan úr gagnaverinu í gegnum netið þegar á þarf að halda.

Eftir því sem skýjunum vex fiskur um hrygg spretta ný gagnaver tæknifyrirtækja upp eins og gorkúlur víða um heim, og hefur oft verið litið til Íslands í þeim efnum enda raforka ódýr, landflæmi mikið og ekki þörf á mikilli kælingu.

Frétt af mbl.is

Undirbúa jarðveg fyrir gagnaver

Gallinn kemur skýjunum einstaklega illa. Til að nýta sér Meltdown-öryggisgallann gætu hakkarar leigt rými í skýinu, rétt eins og hefðbundinn notandi. Þegar þangað er komið gætu þeir nýtt sér gallann til að komast yfir persónuupplýsingar annarra viðskiptavina.

Stærstu tæknifyrirtæki eru óðum að uppfæra skýin sín. Microsoft segir úrbætur á sínum skýjum í fullum gangi. Að sögn Google hefur þorri kerfa þeirra verið uppfærður en tekið fram að notendur gætu einnig þurft að bregðast við.

Gagnaver Thor Datacenter í Hafnarfirði var tekið í notkun árið 2010. Ólafur Ragnar Grímsson þá forseti og Katrín Júlíusdóttir þá iðnaðarráðherra klippa á borðann. mbl.is/Eggert Jóhannesson

Grunur um innherjasvik

Öryggissérfræðingar, þeirra á meðal Jann Horn hjá Google og fræðimenn við Graz-háskóla í Austurríki, komu upp um öryggisgallann síðasta sumar. Þeir höfðu þegar deilt upplýsingunum með stórum tæknifyrirtækjum á borð við Microsoft og Apple svo þau gætu unnið að öryggisuppfærslum áður en hann yrði á allra vitorði. Upplýsingar um öryggisgallann láku hins vegar út nú í vikunni, um hálfum mánuði fyrr en fyrirhugað var að deila þeim.

Guðbjarni segir ekki ólíklegt að stórar njósnastofnanir erlendra ríkja, líkt og Bandaríska þjóðaröryggisstofnunin NSA, hafi strax í sumar hafið vinnu við að nýta sér gallann. „En við höfum ekkert í höndunum sem getur hrakið það eða staðfest.“

Örgjörvaframleiðandinn Intel var einnig látinn vita. Þess má geta að forstjóri fyrirtækisins, Brian Krzanich, seldi hlutabréf í félaginu fyrir 24 milljónir dollara (um 2,5 milljarða króna) í nóvember síðastliðnum en hann vissi þá af öryggisgallanum, að því er fram kemur á vef Business Insider. Hlutabréf í fyrirtækinu hafa lækkað um tæp 4 prósent í vikunni.