Nyt gabende hul i sikkerheden rammer de fleste computere
Forskere og sikkerhedsfirmaer har opdaget nye, alvorlige sårbarheder i alle processorer fra Intel – og dermed langt de fleste computere. Nu gælder det om at opdatere sin computer.
Kommer du ind på en hjemmeside med luskede bagtanker, risikerer du, at andre kan læse med i fortrolige data, der er i brug i din computers centrale hjerne – for eksempel det password, du lige har brugt.
Det er konsekvensen af afsløringen af to nye sikkerhedshuller i alle nyere processorer fra Intel, altså den centrale chip i computeren. Intel har en markedsandel på over 80 pct. på markedet for bærbare og stationære computere og endnu højere for computere, der ikke er budget-modeller, så de fleste danskere har i dag Intel-chips i computeren.
Sårbarheden består af flere forskellige varianter, der har fået navne som RIDL, Fallout og ZombieLoad, men er samlet under navnet MDS. Og konceptet i de angreb, en hacker vil kunne sætte ind, minder en del om sårbarhederne Meltdown og Spectre, der blev afsløret i januar 2018, og som vakte enorm opsigt i it-branchen.
Nu er det bare endnu værre, lyder vurderingen fra eksperter.
De to huller fra 2018 gav en hacker adgang til data i den særlige hukommelse tilknyttet en processor, men krævede også, at hackeren vidste nogenlunde, hvor man skulle lede. De nye sårbarheder giver adgang til al den kommunikation, der foregår mellem de forskellige dele i computeren centralhjerne.
»Hvis man ser en processor som et netværk af komponenter, kan vi lytte med på trafikken imellem komponenterne,« siger Cristiano Giuffrida, forsker hos VUSec-gruppen på Vrije Universiteit Amsterdam, til tech-magasinet Wired.
Både de gamle og de nye måder at angribe på udnytter samme centrale funktion i Intels processorer, nemlig at data bliver gjort klar til ’servering’, inden der bliver spurgt efter dem. Det har været en effektiv måde at hæve hastigheden på, for gætter chippen rigtigt om, hvilke data der skal i brug, bliver der sparet en masse tid.
Data, der ikke skal bruges, bliver bare droppet.
Da Intel sendte en opdatering ud for at løse problemet med Meltdown og Spectre, gik det derfor udover computerens hastighed, fordi det blev nødvendigt at begrænse gætte-konceptet. Ikke så meget hos almindelige computerbrugere, men mest hos dem, der driver datacentre og udnytter hardwaren til det yderste.
Her kan det koste 8-9 pct. af hastigheden, har Intel oplyst.
De store cloud-tjenester som Amazon Web Service og Microsoft Azure er også presset af, at sikkerhedshullerne gør det muligt for hackere at ’lure’ i data fra andre kunder, der kører på samme computer. Og normalt kan der køre mange hundrede kunder på én gang på samme stykke fysiske hardware, adskilt af digitale vægge, som altså her smuldrede.
Sikkerhedshullet har været kendt siden juni 2018, og løbende er flere varianter kommet til. Men det er temmelig kompliceret at sende en opdatering ud, fordi det både involverer producenten af computeren og af computerens styresystem. Derfor har alle involverede ventet med at afsløre noget, til der var en løsning klar.
De kommende dage vil Mac-, Windows- og Chromebook-computere derfor få vigtige opdateringer.
Men de nye huller i computerens vigtigste stykke hardware er kun begyndelsen, vurderer eksperterne. Kapløbet mellem hackere og sikkerhedsforskere er i gang om at finde de næste huller først. Hvis altså ikke at hackerne allerede har brugt dem længe.
