Balogh Csaba
Balogh Csaba
Értékelje a cikket:
Köszönjük!

Szokatlanul erősen indult 2018, már ami az életünket egyre jobban behálózó technológia világát érinti. Kiderült, az elmúlt 20 évben gyártott processzorok közül szinte mindegyikben ott van az a tervezési hiba, amely miatt lényegében minden számítógép, sőt a legtöbb okostelefon is sebezhetővé válik. Összeszedtük a legfontosabb kérdéseket, igyekszünk érthető magyarázatokkal előállni.

Annyi mindent írnak, pontosan miről van szó?

Nem kell ahhoz új év, hogy új biztonsági résről szóljanak a hírek, de a 2018 elején robbant bomba a megszokottnál jóval nagyobbat szólt. Két olyan sebezhetőségre derült ugyanis fény, amely a szokásosnál jóval nagyobb kört érint – lényegében mindenkit, aki rendelkezik számítógéppel vagy okostelefonnal. Előbb az Intel által gyártott processzorok kerültek a hírekbe, ezek tervezési hibáját Meltdown néven emlegetik. Nem sokkal később kiderült: van egy másik, Spectre nevű sebezhetőség is, amit viszont más processzorgyártók chipjein is megtaláltak a biztonsági szakemberek.

Miért így hívják őket?

Az összeomlást, vagy ebben az esetben inkább olvadást jelentő Meltdown nevet a hibát elsőként felfedező csapat egyik tagja Daniel Gruss adta. A Mashable-nek a csapat képviselője elmondta: több okból is jónak találták a nevet. Egyrészt egy nukleáris olvadás után szivárgás következik be: ennél a hibánál ugyanez játszódik le, csak itt az adatainkkal. Másrészt a hiba következtében "elolvadnak" a biztonsági határvonalak a programok és az operációs rendszer között.

A Spectre kísértetet jelent. Nevét Paul Kocher adta, aki szerint a hiba működése ugyanolyan láthatatlan módon történik, mint amennyire láthatatlanok a szellemek.

Melyik készüléket érintik a hibák?

A Meltdownt az Intel által az elmúlt bő két évtizedben gyártott processzorokban sikerült azonosítani. Lényegében mindegyikben, amelyik 1995 után készült, kivéve az Itanium sorozatot, illetve a 2013 előtt gyártott Atomokat. Később kiderült, az ARM rendszerű chipek némelyike is érintett. A Spectre még nagyobb körben van jelen: a biztonsági rést az Intel, az AMD, az ARM, az IBM és a Qualcomm processzoraiban is megtalálták – a Qualcomm chipjeiben jó esély van a Meltdown jelenlétére is. A napokban az Apple közölte: az iPhone-okban és iPadekben lévő processzorokban is megvan a hiba, illetve a Mac számítógépekben is – gyakorlatilag minden modell érintett.

©

A gyakorlatban ez azt jelenti: lényegében bármilyen számítógépe, bármilyen okostelefonja és bármilyen táblagépe van otthon, a két sebezhetőség közül legalább az egyik megtalálható benne. Ráadásul közel sem csak a személyi eszközökről van szó, szintén komoly gondot jelent, hogy a szerverek, így a felhőszolgáltatásokat kiszolgáló gépek zöme is érintett.

Mi bajom lehet ebből nekem?

A biztonsági rések olyan kaliberűek, hogy miattuk hatályukat vesztik a gépen lévő alapvető biztonsági szabályok. Normál esetben a számítógépen/telefonon futó egyik szoftver nem fér hozzá a többi programban lévő adatokhoz – kivéve persze akkor, ha erre külön engedélyt ad a felhasználó. A Meltdown és a Spectre kiskapuit kihasználva egy rosszindulatú program lényegében a gépen futó összes többi szoftver által kezelt adatokhoz hozzáfér:

  • valós idejű és tárolt böngészési adatok;

  • a mindenféle programokban, köztük a jelszókezelőkben (!) tárolt jelszavak;

  • szöveges dokumentumok, táblázatok, prezentációk;

  • e-mailek, chatelések tartalma, üzenetek;

  • fényképek…

Ezek csak példák voltak, röviden összefoglalva: lényegében mindenhez hozzáférhetnek a gépünkön és telefonunkon. Itt nézheti meg, a jelszavakat milyen egyszerűen lopják el: ahogy begépeli, azonnal ki is figyelik.

Ez komoly. Hogyan védekezhetek ellene?

A hibásan gyártott chipek hibásak maradnak. A gyártók pedig természetesen nem hívhatják vissza az elmúlt két évtized összes processzorát. Maximum elnézést kérhetnek a “figyelmetlenségükért”. Ezt eddig egyik vállalat sem tette meg, másrészt persze praktikusan nem is segítene túl sokat.

Az operációs rendszerek és más szoftverek szintjén szerencsére lehet valamit tenni a helyzet megoldására.

Kik adtak ki eddig szoftverjavításokat?

A Microsoft példás gyorsasággal reagált: a hiba nyilvánosságra kerülése után napokkal már elkészült a Windows operációs rendszerek vészfrissítése, amely az új Windowst használók gépére már csütörtökön automatikusan települt, a korábbi verziók pedig most kedden kapják majd meg a csomagot. (Az önhöz is érkező rendkívüli Windows-frissítésről itt olvashat.)

©

Az Apple az asztali gépein futó macOS-hez és a mobil eszközein lévő iOS-hez már decemberben kiadott olyan frissítést, amely szűkíti a Meltdown biztonsági rést. A Spectre által szélesre nyitott kaput némileg behajtó szoftverfrissítés pedig napokon belül érkezik az Apple készülékeire. A vállalat azt ígéri, szakemberei továbbra is vizsgálják a sebezhetőségeket, és a következő hetekben próbálnak újabb védelmi elemeket hozzáadni rendszereikhez.

A Google is kiadott egy szoftveres javítást az Androidhoz még decemberben. De a platform sajátosságai miatt az androidos helyzet bonyolultabb: itt ugyanis a készülékgyártóktól függ, hogy melyik készülékekre mikor küldik ki a csomagot. Ha egyáltalán kiküldik: az eddigi tapasztalatok alapján alig némelyik telefonokra készül rendszeres szoftverfrissítést.

A szintén a Google által fejlesztett Chrome böngésző a január 23-án érkező új verzióban kap majd fontos védelmi elemeket. A Mozilla már novemberben tett a Firefoxba olyan kódrészleteket, melyek részleges, átmeneti védelmi vonalat jelenthetnek a program által kezelt adatok ellopása ellen. Az Internet Explorer és az Edge esetében a már említett Windows-frissítés, a Safari esetében pedig az Apple által kiadott csomag tartalmaz részleges megoldásokat.

Közvetlenül a vállalati felhasználókat érintheti, hogy az Amazonnál és a Ciscónál szintén komoly erőkkel dolgoznak a szükséges rendszermódosításokon.

©

Mit érnek a számítógépen lévő antivírus programok?

A Meltdown és a Spectre hibákat kihasználó rosszindulatú programok olyan szinten mozognak a rendszerben, hogy az antivírusok/vírusirtók nem tudják kordában tartani őket. De azért a biztonsági szoftverek fejlesztői is tehetnek valamit, sőt muszáj is tegyenek: az előzőekben említett operációsrendszer-frissítések olyan mélyen nyúlnak például a Windows működésébe, hogy a Microsoft közlés szerint minden antivírusprogramot frissítenie kell a gyártóknak, hogy a vírusirtók továbbra is működhessenek.

Szóval a következő napokban minden megoldódik, ha minden rendszerhez és programhoz megjön a frissítés?

Jelenlegi ismereteink alapján a következő napokban/hetekben érkező frissítésekkel a Meltdown ellen nagy hatékonysággal védekezhetünk. A Spectre esetében picit bonyolultabb a helyzet: biztonsági szakértők becslése szerint hónapokban, akár évekbe is telhet, mire teljesen úrrá tud majd lenni az iparág a helyzeten.

Mennyire lassítják le a gépet a szoftveres javítások?

A teljesítmény romlása sajnos biztosra vehető, csak a mértéke kérdéses. A funkcionalitásban is lehetnek kisebb változások. Mindezt Mozillánál senior fejlesztőként dolgozó Luke Wagner úgy magyarázta: be kell látni, hogy mivel nem szoftveres hibáról van szó – melynek javításához lényegében csak "ki kellene hagyni" a hibás kódrészletet –, a hardvertervezési probléma szoftveres megoldása áldozatokat kíván. A The Registernek a szakember úgy nyilatkozott, a szoftverfejlesztők áthidaló megoldásai azzal járnak majd, hogy bizonyos háttérfunkciókat korlátozniuk kell.

©

A biztonsági szakértők első becslései szerint javítások telepítése után az eszközök 5-30 százalékkal lassabban működnek majd. Fontos megérteni, hogy ezt a csúcsteljesítményből kell levonni – tehát a lassulást nem minden esetben, nem minden tevékenység közben érezzük majd meg. Erre jutott a saját felhőrendszereit már frissítő Google és Amazon is.

Általánosságban elmondható, hogy a már eleve lassabb régebbi (processzorral szerelt) számítógépek esetén nagyobb mértékű lehet a lassulás. Ez legalább arra késztetheti a régebbi gépek használóit, hogy új eszközt vegyenek, az abban lévő processzorokban pedig már nem lesznek ott ezek a tervezési hibák.

Mit tehetek én mint felhasználó?

A következő napokban-hetekben még a szokásosnál is jobban figyeljen oda a szoftverfrissítésekre. Rendszeresen keressen rá arra kedvenc szoftvereiben és oprendszerében, nem érkezett-e újabb frissítés – és ha érkezett, azonnal telepítse azt.

Kétszer is gondolja át, hogy honnan tölt le és telepít új programot, ezekben a napokban ugyanis nem csak a szoftverfejlesztők dolgoznak a frissítések elkészítésén, hanem a rosszindulatú programok készítői is a vírusaik “aktualizálásán”. Telefonok esetében csak a hivatalos alkalmazásboltokból telepítsen appokat.

Ha tudni szeretne a fejleményekről, lájkolja a HVG Tech rovatának Facebook-oldalát.

Érdekesnek találta cikkünket?
Legyen HVG pártoló tag!

A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Tagjainknak heti exkluzív hírlevelet küldünk, rendezvényeket kínálunk, a könyveinkre és egyéb termékeinkre pedig komoly kedvezményt adunk. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! „Amikor annyira eluralkodik a mindennapi életünkön a virtualitás, üdítő igazi emberi kapcsolatokat építeni.”
K. Erna – Pártoló tag


„Régóta olvasom a HVG-t és cikkei között mindennap találok érdekfeszítőt!”
H. Szabolcs - Támogató
Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz, és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!