Päevatoimetaja:
Kaido Einama

TTÜ professor suurest kiibiveast: paljastus sajandi tõsiseim turvaprobleem (27)

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Tanel Tammet
Tanel Tammet Foto: ERIK PROZES/

Tallinna Tehnikaülikooli arvutiteadlasest professori Tanel Tammeti sõnul võib hiljuti pea kõigis arvutites ja nutiseadmetes avastatud kriitiline turvanõrkus olla selle sajandi kõige tõsisem küberturvalisuse risk. 

«Paar päeva tagasi jõudis avalikkuse ette võib-olla kõige suurem turvanõrkus, mis sellel sajandil on arvutitest leitud. Lugu on tõsine seepärast, et tegu on põhimõttelise nõrkusega protsessorites endis, mitte mingi tarkvaprobleemiga, mille saab parandustega korda teha,» ütles Tammet Postimehele. «Haavatavad on pea kõik arvutid ja mobiilid, seda nii meil kodudes kui suurtes serverikeskustes. Nõrkus tabas kogu IT-maailma.»

Google'i sellel nädalal tehtud pommavastus kahest turvanõrkusest protsessorite disainis on pannud kogu tööstuse lahendusi otsima. Täpsemalt puudutavad turvanõrkused Spectre ja Meltdown erinevate seadmete protsessorites leiduvaid Inteli, AMD ja ARMi kiipe, mida sisaldavad peaaegu kõik arvutid ja nutiseadmed maailmas. Kui Meltdown ohustab Inteli kiipe kasutavaid laua-, süle- ja serveriarvuteid, siis Spectre ohustab aga lisaks eelnevatele ka nutitelefone ja tahvelarvuteid, mis kasutavad Inteli, ARMi ja AMD kiipe. See puudutab ka iPhone, iPade ja Maci seadmeid.

Professori sõnul seisneb oht selles, et leiti viis, kuidas samas arvutis töötavad erinevad rakendused saaksid piiluda, mida teine rakendus teeb, mis andmeid ta parasjagu mälus hoiab ja mida töötleb. «Näiteks, kui sa parasjagu sisestad mõne rakenduse või veebisaidi parooli, siis ei ole välistatud, et teine parasjagu töötav programm, kasvõi muusikamängija või brauseri teises tabis lahti olev veebileht, kuulab sinu parooli pealt ja saadab selle sobival hetkel häkkeritele. Nemad võivad selle abil sinu veebikontosse sisse pääseda,» selgitas Tammet

«Kõigis arvutites töötab korraga taustal palju programme ning protsessorid on mõistagi ehitatud selliselt, et üks programm ei saaks lugeda teise programmi mälus olevaid andmeid,» jätkas Tammet. «Viimase poole aasta jooksul leidsid aga mitu sõltumatut spetsialistide gruppi viisi, kuidas programm saaks nii-öelda kaudsete märkide järgi, eeskätt pisioperatsioonideks kuluvat aega mõõtes, jälgida, mis on teise programmi mälus.»

Tammeti sõnul ilmnes ka tõsiasi, et nõrkusel on hulk variante ja pealtkuulamisviise. «Kõige haavatavamad on Inteli protsessorid, aga kuigivõrd haavatavad on ka teiste suurtootjate protsessorid: kõigi nende töö tekitab jälgitavaid kaudseid kõrvalefekte.»

«Protsessorid on arenenud sedavõrd keeruliseks, et väga vähesed inimesed saavad aru kõigist nende kihtidest ja alamsüsteemidest ning suudavad ennustada, kuidas mõnda alamsüsteemi ootamatul viisil kuritarvitada,» nentis Tammet.

«Inteli lihtsalt-ärakasutatava nõrkuse jaoks on juba välja töötatud tarkvarapaigad peamistele operatsioonisüsteemidele, mis selle nõrkuse nii-öelda neutraliseerivad,» kinnitas professor, kuid lisas, et needsamad paigad takistavad ka olulisi optimiseeringuid, mida protsessor muidu ette võtaks. «Seepärast muutuvad meie rakendused hinnanguliselt viis kuni kolmkümmend protsenti aeglasemaks, sõltuvalt rakenduse iseloomust.»

Tammeti sõnul pole operatsioonisüsteemide turvapaigad hetkel veel enamuse kasutajateni jõudnud, aga lähiajal olevat tõepoolest oodata arvutite kerget aeglustumist.

«Tõsisem mure on seotud universaalsema, raskemini ärakasutatava nõrkusevariandiga, mis puudutab pea kõiki protsessoreid arvutites ja mobiilides, mitte ainult Inteli toodangut,» hoiatas Tammet. «Selle nõrkuse jaoks ei ole veel leitud head kiiret turvapaika ja ei ole kindel, et selline üldse kunagi leitakse: võib-olla ei saa me oma praegusi arvuteid üldse päris turvaliseks,» möönis professor.

Samas ei ole Tammeti hinnangul kõik siiski päris hukas, sest tarkvaraga saab üht-teist ära teha. «Positiivse poole pealt saab aga konkreetseid rakendusi teha raskemini rünnatavaks: Google ja Firefox lasevad lähiajal välja uued variandid brauseritest, kus ühes tabis olev veebileht ei oleks enam võimeline jälgima teises tabis töötava veebirakenduse tegevust,» ütles Tammet.

«Hetkel on kõige kindlam kasutada brausereid nii, et kriitilistes veebisaitides – pangad, veebimail, Facebook jne, ei tohiks paroolide sisestamise ajal hoida brauseris lahti teisi tabe teiste veebilehtedega,» nõustas professor. «Ja nagu alati, on kindlam olla väga ettevaatlik uute programmide installeerimisega, mis võivad hiljem taustal töötades meie paroole pealt kuulata.»

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakonna juhataja Klaid Mägi ütles Postimehele, et kuna mõjutatud on kõik alates 1995. aastast kasutusel olevad moodsad protsessorid, siis tegemist on tõsise olukorraga. «Riistvaratootjad on sellele olukorrale kiiresti reageerinud ning asunud erandkorras äärmiselt kiiresti turvapaiku väljastama, » märkis Mägi.

Mägi sõnul on kasutajatel võimalus kontrollida, kas nende arvutis ja nutitelefonis kasutatavale operatsioonisüsteemile on juba väljastatud turvapaigad, et seadme turvalisust tõsta. «Küll aga tuleks praegu meeles pidada, et teadaolevalt võib uuenduste paigaldamine seadme protsessorit mudelist ning selle kasutusalast sõltuvalt 5–30% aeglasemaks muuta,» rõhutas Mägi.

Ta lisas, et RIA kodulehel on info teadaolevate turvapaikade kohta ja ka juhis veebilehitseja Google Chrome’i kasutajatele.

Mägi kinnitusel pole praeguseks teada ühtegi kuritarvitamist ei Eestis ega mujal maailmas.

Mida saab arvuti kasutaja juba praegu enda kaitseks ära teha?

Turvanõrkused Spectre ja Meltdown puudutavad erinevate seadmete protsessorites leiduvaid Inteli, AMD ja ARMi kiipe, mida sisaldavad peaaegu kõik arvutid ja nutiseadmed maailmas. Kui Meltdown ohustab Inteli kiipe kasutavaid laua-, süle- ja serveriarvuteid, siis Spectre ohustab aga lisaks eelnevatele ka nutitelefone ja tahvelarvuteid, mis kasutavad Inteli, ARMi ja AMD kiipe.

Esiteks tuleks ära märkida, et Spectre turvanõrkusele ei ole veel leitud lahendust ja seda ei pruugi ka kunagi tulla. Spectre puudutab protsessoreid fundamentaalsel tasandil ja võib nõuda täiesti uut riistvara disaini. Seepärast võib Spectre oht liikuda ringi veel aastaid. Väidetavalt pidi siiski Spectre nõrkuse kasutamine olema üpris keeruline.

Meltdowni vastu on hakanud tootjad aga väljastama juba turvauuendusi. Windowsiga laua- või sülearvuti kasutaja jaoks on hetkel kõige olulisem veenduda, et seadmel jookseks kõige hiljutisema uuendusega Windows 10. Kõige hiljutisem uuendus on KB4056892. Samuti on mitmed arvutite valmistajad nagu näiteks Dell, HP ja Lenovo lasknud välja BIOS uuendused.

Uuendada tuleks kindlasti ka oma veebilehitsejat. Nii Firefox kui Internet Explorer on saanud omale juba turvauuenduse. Google on lubanud Chrome'i uuendust 23. jaanuariks. Enamasti ei pea nende uuendamiseks ise suurt midagi tegema, sest need laetakse alla automaatselt.

Tagasi üles