Další trable: Starší PC s procesory Intel po záplatě Meltdown jsou nestabilní. IPhone 6 je pomalejší |
Napsal Jan "DD" Stach | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Pondělí, 15 leden 2018 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Problémy nekončí, Intel přiznává další a objevily se i nové. Intel AMT je další díra.
Ačkoliv se na všechny problémy přišlo už před půl rokem, vše bylo drženo v přísném utajení. Jednak kvůli tomu, aby se o obrovské bezpečnostní díře nedozvěděli ti, kteří by ji rádi využili, ale také proto aby byla připravena a otestována řešení a záplaty. Samozřejmě Intel také nechtěl, aby jeho procesory přestaly firmy a lidi kupovat. Nicméně problémy zdaleka nekončí …
Někteří se snaží problém MELTDOWN a SPECTRE zcela nemístně zlehčovat a snižovat jeho závažnost, přitom si neuvědomují, kolik rovin tenhle obří problém znamená. Zejména MELTDOWN díra v procesorech Intel a některých ARM je obrovský problém, který fakticky nemá řešení. Záplaty se totiž snaží ošetřit vlastnost a architektonický prvek, který je součástí Intel procesorů už desetiletí a využíván v široké míře. Nejen že snižuje výkon znatelně v mnoha aspektech, ale řada počítačů má i velké problémy se stabilitou.
A týkají se jak klasických počítačů, tak serverů. Problém je zkrátka v tom, že MELTDOWN je hluboko v systémech procesorů, a hlavně v aplikacích a překladačích. Ačkoliv Intel a výrobci operačních systémů pracují na záplatách už dlouhé měsíce, stejně se nedaří věci dotáhnout a jen těžbo mohou být otestovány všechny procesory a všechny aplikace, které MELTDOWN zranitelnost a prvek architektury využívají. Bohužel z naší vlastní zkušenosti, kdy jsme aktualizovali některé starší počítače, tak nejen u nich klesl výkon (herní výkon je negativně znatelně ovlivněný minimálními FPS), občas se počítač nedařilo ani nastartovat do Windows a pak byl stejně nestabilní a restartoval se. Tyto problémy hlásí velké množství uživatelů a Intel je také oficiálně už přiznává.
Prý pracuje na jejich odstranění, ale není schopen říci, kdy a zda se to vůbec podaří. Mezitím útočníci pracují na využití MELTDOWN problému, protože spousta počítačů zabezpečena ať záměrně, či ne, prostě nebude. To je noční můra vše bezpečnostních analytiků a správců systémů. Protože tyto počítače mohou po napadaní představovat další rizika pro všechny ostatní. Ovšem i když nakonec zabezpečení některá PC dostanou, sníží se jejich výkon a jak je vidět v mnoha případech, značně negativně ovlivní jejich funkčnost a stabilita. Kvůli SPECTRE zranitelnosti týkající se vše AMR i x86 procesorů, se musí velmi hluboko zasahovat i do překladačů programů, a tak problémem není ovlivněn jen Intel, ale i další výrobci, i když přeci jen výrazně v menším měřítku. Za což samozřejmě může prostý fakt, kolik serverů, datacenter a počítačů všeho druhu za posledních 10 let používá Intel procesor, které mají největší díry v sobě a vyžadují největší zásahy.
Problém dělají ty opravy i proto, že je zejména Microsoft ani pořádně netestuje. A prostě je vydává a doufá. Tak to zatím vypadá …
I některé ARM procesory trpí jak SPECTRE, tak dokonce MELTDOWN problémem. Procesory Apple v iPhone 6 by měly být mezi nejspotiženějšími, a stejně jako ostatní tvůrci operačních systémů, i Apple vydalo bezpečnostní aktualizaci pro iOS, která to má řešit … Řeší, ovšem za cenu poklesu výkonu, kdy mezi ošetřeným a neošetřeným iPhone 6 uživatelé naměřili 40% pokles výkonu! Au ….
Společnost Intel ale zdá se už nějakou dobu ví i o dalším problému, který se nyní dostal na veřejnost i s praktickou ukázkou využití této zranitelnosti, která je v mnoha počítačích s Intel procesory. Problém je v AMT (Active Management Technology), což je Intel technologie, která dovoluje vzdálenou aktualizaci systému a administrátorům tak ulehčuje práci. Jenže se přišlo na to, že tahle technologie není zabezpečena pro triviální zneužití a přístup do sebe zabezpečenějšího počítače.
Velice jednoduchým způsobem, se tak dá do jakéhokoliv počítače s touhle technologií nabourat, musíte mít k němu jen fyzický přístup, pak už ale můžete cokoliv a to i vzdáleně bez fyzického přístupu k němu. Uživatelům nepomohou žádná hesla, firewall ani jiná bezpečnostní opatření. V BIOSu totiž není v základu změněno heslo „admin“, které je tam z výroby pro AMT, a které v podstatě nikdo z uživatelů ani administrátorů po počítačů nemění. No a pak už má útočník cestu otevřenu a následně k čemukoliv i vzdáleně.
Problému lze částečně předejít změnou tohoto AMT hesla, ale to nemusí stačit. Problém je, že u řady PC to nikdo neudělá a mohou být už tak klidně zneužity nebo zneužívány. Intel už před časem vydal výrobcům PC doporučení, ale veřejně se o tom nemluvilo. Opět hlavně proto, že je to další obří díra s naprosto primitivně jednoduchou zneužitelností, která je součástí obrovského počtu počítačů s Intel procesory. Bezpečnostním expertům a administrátorům by ale měla být známa už více jak půl roku. Veřejně se o ní dozvídáme až nyní. Každopádně tohle jsou hodně velká otevřená vrata v počítačích s Intelem, a i ta zůstanou u mnoha počítačů a systémů otevřena dokořán.
Všechny problémy mají jedno jediné skutečné řešení, fyzickou výměnu procesorů a platformy za ty bez děr. Záplaty a update operačních systémů problém neřeší, jen ho obchází za cenu mnoha dalších problémů a bez aktualizací mikrokódu (BIOSu) nejsou ani plnohodnotnou záplatou. Jediným skutečným řešením je fyzická změna architektury procesoru, tedy procesoru i platformy. Intel však v současnosti nenabízí žádné řešení, nemá žádný procesor a platformu, který by MELTDOWN, SPECTRE i AMT díry v sobě neměl. I nejnovější SKYLAKE-X či KABY LAKE a COFFEE LAKE všech verzí, mají tyhle chyby a mít je vždy budou.
Už nyní je jisté, že se 100% záplatovat věci nepodaří, že budou existovat jak výkonové problémy, tak problémy se stabilitou počítačů. Intel se už nechal slyšet, že u další generace procesorů si bude dávat větší pozor a údajně nyní bude upřednostňovat bezpečnost před výkonem. V současnosti však Intel nenabízí žádný procesor, který by se za bezpečný dal objektivně označit. Na takový si od Intelu budeme muset až dva roky počkat, než dorazí s 10nm ICE LAKE s výrazněji upravenou a opravenou architekturou CORE. I ostatní výrobci ale budou muset ošetřit SPECTRE zranitelnost, která je naštěstí ale mnohem menším problémem než MELTDOWN a AMT, ovšem její záplatování přidělává taktéž problémy se stabilitou i výkonem pro všechno, co na x86 i ARM funguje. Tedy všechno! A pokud tomuhle chce někdo říkat malý problém, tak pak nevím a snad ani nechci vědět, jak by vypadal velký problém …
BTW: musím říci, že osobně jsem v posledních dnech zahlcený dotazy uživatelů, kteří po updatech mají problémy s počítači, které vůbec nejedou, nebo padají. Jak jsem řekl v předchozích článcích, bohužel celá věc je extrémně závažná a nevídaným dosahem a většina si neuvědomuje, jak obrovský je to problém. Ta zranitelnost je zcela reálná a bohužel bude terčem všech „zlých“ útočníků a hackerů a zabezpečení je tedy naprosto bez debat nutné. Ale jak bylo řečeno i v tomto článku, vzhledem k povaze věci a faktu, že jde o jádrovou záležitost týkající se stěženích věcí jak mnohé aplikace a procesy deset let fungovaly, lze očekávat prostě pokles výkonu i nestabilitu. Žádná dokonalá rada v současnosti není. Fyzicky vyměnit procesor a vlastně počítač za ten „bez děr v architektuře a technologiích“, je jedna z možností, ale má své komplikace a nemalou cenu. Pro ty, co už problém mají se stabilitou apod. tak najet ze zálohy, bodu obnovení, případně nová instalace OS (či přehrání staršího BIOSu) a buď nainstalovat ty poslední aktualizace a BIOS, které dělají problémy, ale záplatují problém, a doufat že to pojede, anebo je neinstalovat a také doufat že to pojede a nebudete první na ráně.
Osobně jsem naštěstí nedávno ještě bez znalosti aktuálních bezpečnostních problémů u většiny PC v mém okolí dokončil přechody na AMD RYZEN platformy (většina strojů to potřebovala po letech), s výjimkou několika notebooků, kde to není tak jednoduché vzhledem k mizerní nabídce výrobců mobilních RYZEN PC, a u všech těchto RYZEN PC se problémy zatím ani po aktualizaci nevyskytly ani pokles výkonu není měřitelný. Vše funguje bez potíží (nepřekvapivě, je to to nejnovější a pokud tedy alespoň něco někde MS testoval kolem oprav, tak určitě tuhle platformu jako aktuální). U několika starších hlavně Intel sestav (mají je i Athlon X2 2000-6000, ale ty už v mém ukolí níkdo neprovozuje) ale problémy v okolí řešíme :(. Zatím jsem tedy u některých PC vrátil aktualizace a jsou tedy zranitelné a doufám ve vydání lepších opravných balíčků a BIOSů (ale velké naděje tomu nedávám). Později budeme muset řešit fyzické nahrazení, což zamrzí jemména jen o 2-4 roky starých PC s Intelem, které by jinak ještě sloužit mohly, ovšem s těmi dírami a ošetřením které je řeší jen částečně a za cenu nižšího výkonu a nestabilit, je to problém. Pokud vás vaše bezpečnost nijak netrápí, pak můžete být v klidu, aktualizace zatím neinstalovat. Pokud vás trápí, jsou třeba radikálnější kroky …
Pouze registrovaní uživatelé mohou přidat komentář! |