A Qubit+ tartalmai Ilyen volt a 10. Qubit Live Modellváltás Adatközpont Hóhérhíresség Spekulatív csemegék Holdhelyzet

Az Intel vezérigazgatója személyesen is érintett az utóbbi idők legnagyobb számítástechnikai botrányában

Vajna Tamás
2018.01.04. · TECH

A Google által 2014-ben alapított kiberbiztonsági szupercsapat, a Project Zero és a német Cyberus Technology szakemberei, valamint a grazi műszaki egyetem (TU Graz) kutatói január 3-án jelentették be, hogy a tavaly november óta folytatott vizsgálataik során két biztonsági rést is találtak a legnagyobb processzorgyártók termékeiben.

A Meltdown (Összeomlás) és Spectre (Kísértet) névre keresztelt gyári hibákat az Intel, illetve az ARM és az AMD processzorainak tesztelésekor észlelték. A szakmai részletek kifejtése nélkül mindez azt jelenti, hogy a csak az Intel termékeiben felfedezett Meltdown miatt a rosszindulatú felhasználók megkerülhetik a futtatott alkalmazások és a számítógép memóriája közötti „válaszfalat”, így szabadon kutakodhatnak a gépek programmagjának (kerneljének) memóriájában, ellopva akár a jelszavakat is. A mindhárom processzorgyártó integrált áramköreiben észlelt Spectre pedig azt teszi lehetővé, hogy a hibátlanul működő védelmi alkalmazások ellenére információt lehessen kinyerni a számítógépből.

Spekulatív végrehajtás

A hiba abból adódik, hogy több mint egy évtizede a processzorokat a futtatási sebességet növelendő úgynevezett spekulatív végrehajtási képességgel látták el – vázolta a Qubitnek egy a neve mellőzését kérő magyar biztonsági szakértő. Ennek lényege, hogy a processzorok előre, a tényleges utasítás kiadása előtt elkezdenek végrehajtani bizonyos parancsokat, feltételezve, hogy a felhasználó tényleg ezek egyikére fogja utasítani az eszközt.

„Ha a spekuláció helyes, akkor a végrehajtás sokkal gyorsabb lesz, mivel már meg is történt. Ha viszont nem, akkor a CPU elbukta a spekulációra fordított időt és a számítási eredményt, de ez általában alig észrevehető kiesést okoz a teljesítményben” – magyarázta szakértőnk. A rést a fel nem használt, kikukázott műveletek jelentik – a processzor ugyanis a spekuláció okán az operációs rendszer védett magmemóriájához is hozzáfér. Innentől szabad az út a hekkerekek előtt.

Az érintett cégek közül az AMD tette közzé leggyorsabban válaszát, de a legnagyobb operációs rendszerek gyártói is kevesebb mint 24 órán belül reagáltak, soron kívül elérhetővé téve frissítéseiket és javítócsomagjaikat. A hibák a processzorok rendkívül széles körű elterjedtsége és alkalmazásuk sokfélesége miatt világméretű problémát jelentenek, a gépek meggyógyítva 5-30 százalékkal is lassulhatnak. A hibák viszonylag gyorsan orvosolhatóak, de sokak szerint egy új CPU beszerzése a legjobb gyógyír. A nagyobb problémát a gyártók, mindenekelőtt az Intel – a gyanú szerint a vezérigazgató tőzsdei spekulációjával súlyosbított – sumákolása jelenti.

24 millió dolláros időhúzás?

Mint az a security.googleblog.com január 3-i kommentárjából kiderül a Project Zero szakemberei már tavaly júniusban, a német Cyberus Technology-nál pedig júliusban észlelték a spekulatív végrehajtás jelentette biztonsági réseket. Erről az iparági betyárbecsület-kódex szabályai szerint a nyilvánosság kizárásával tájékoztatták is az érintett cégeket, amelyek azonban állítólag csak idén január 9-én, a már kész megoldásokkal együtt, közösen kívánták megosztani a hibákat a publikummal. Csakhogy a Registernek a hibát elsőként nyilvánosságra hozó január 2-i cikke keresztülhúzta számításaikat. A processzorgyártók így kríziskommunikációra kényszerültek, ami legkevésbé az Intelnek sikerült, jól látható eredménnyel: a cég részvényeinek árfolyama nagyot zuhant a tőzsdén.

Az Intel árfolyamgörbéje az év eleje óta
photo_camera Az Intel árfolyamgörbéje az év eleje óta Fotó: Qubit

Mindezt megfejelte, hogy a Business Insider azzal állt elő: tavaly november végén az Intel vezérigazgatója, Brian Krzanich 24 millió dollár értékben értékesítette saját céges részvényeiből és azok opciós jogaiból álló pakettjét. Méghozzá úgy, hogy tudatában volt a fent vázolt, világraszóló „gyártási hibának”. A lap szerint tőzsdei elemzőknek már akkor feltűnt, hogy Krzanich vélhetően csak a vállatvezetés által kötelezően birtoklandó részvényminimumot tarthatta meg, vagy még azt sem. Magyarán, kevés bizalma volt az Intel jövőjét illetően.

Brian Krzanich
photo_camera Brian Krzanich Fotó: JUSTIN SULLIVAN/AFP

Az Intel szerint természetesen sem bennfentes kereskedés, sem más tiltott tőzsdei spekuláció nem történt: a vezérigazgató jó előre bejelentette, hogy értékesíteni kívánja részvényeit, és az egész tranzakciónak még véletlenül sincs köze az Összeomláshoz vagy esetleg a Kísértethez.

A biztonsági rést ősszel már szintén észlelő Linuxot alapító Linus Torwalds kommentárja szerint „az Intelnél alaposan rá kellene néznie a CPU-kra, és ténylegesen bevallani, hogy problémáik vannak, ahelyett, hogy PR-dumákkal bódítanak”.