Kako se čuvala tajna o ranjivostima Meltdown i Spectre
Kada je sigurnosni istraživač Michael Schwarz sa Tehnološkog univerziteta u Gracu odlučio da se obrati Intel-u, mislio je da će saznanje do kojeg je došao značajno da ugrozi poslovanje kompanije. Naime, radilo se o problemu u okviru njihovih čipova, te je ivaj u tom trenutku otkrio ranjivost koja je vrlo ozbiljna, te ju je moguće eksploatisati kako bi se došlo o podataka o korisnicima. Schwarz, te negov tim, su završili sa radom u nedelju, 3. decembra, te odmah kontaktirali Intel i obavestili ga o ozbiljnosti situacije.
Iz Intel-a su se oglasili tek posle devet dana, a Schwarz je bio poprilično iznenađen odgovorom koji je dobio – u kompaniji su već znali o CPU problemima, te su očajnički pokušavali da pronađu način kako da ih reše, a sve svoje snage su ulagali i u to da niko ne sazna o problemima koje su otkrili. Zahvalili su se timu koji ih je obavestio o problemima, te Schwarzu objasnili kako se radi o strogo poverljivoj tajni i upozorili ga da javnost o njoj ne sme da sazna sve do precizno utvrđenog datuma.
Mana koju je Schwarz – a kako će kasnije saznati, i mnogi drugi – otkrio, imala je razarajući potencijal, te je mogla da uspori rad skoro svakog procesora na svetu, te ugrozi svaku veliku tehnološku kompaniju – od Amazon-ovih farmi servera, do proizvođača procesora, poput Intel-a i ARM-a. U tom trenutku se naišlo i na drugi problem – kako da se ovako velika greška dovoljno dugo krije od javnosti, kako bi oni koji pokušavaju da je reše imali dovoljno vremena? Čuvanje tajne je uobičajen problem u svetu bezbednosti, te svaki put kada istraživači otkriju neki propust, obavezni su da kompaniji koje se propust tiče daju nekoliko meseci za rešavanje, a pre nego što informacija dospe u javnost, te na taj način obavesti i potencijalne napadače o ranjivosti koju bi mogli da eksploatišu. Kada je u takva otkrića uključeno više kompanija, te proizvođača, problem postaje daleko kompleksniji, budući da je u proces uključeno više osoba, što obično znači da će informacije pre procureti u javnost. Tako je tajna u vezi sa Meltdown i Spectre došla do javnosti pre nego što se pronašlo rešenje i pre nego što je bilo ko bio spreman za to.
Kao što to obično biva, preuranjeno curenje informacija imalo je svoje posledice. Tako, na primer, antivirus programi nisu bili spremni za ono što će se dogoditi, te su blokirali veliki broj zakrpa koje su bile namenjene za rešavanje, ili bar ublažavanje problema. Druge zakrpe su morale da budu obustavljane, budući da su uticale na rad uređaja. Najviše uznemiruje činjenica da su neke ključne sigurnosne organizacije potpuno izostavljene iz ovog procesa, te je najznačajnije obaveštenje o ranjivostima došlo od CERT divizije kompanije Carnegie Mellon, koja sarađuje sa Američkom državnom bezbednošću kada su ovakvi problemi u pitanju, ali iz kompanije kažu da CERT nije znao ništa o ranjivostima sve dok ove nisu postale dostupne čitavoj javnosti, što je izazvalo još veći haos. Prvobitni izvešaj je preporučivao zamenu CPU-ova kao najbolje rešenje, što je tehnički bilo tačno, budući da ranjivosti dolaze zbog greške u dizajnu, ali je ova preporuka izazvala paniku, budući da je to značilo da bi trebalo zameniti skoro svaki procesor na svetu. Nekoliko dana kasnije preporučeno je jednostavnije rešenje – da se instaliraju zakrpe koje bi trebalo da reše ove probleme. Budući da se radi o najvećim do sada zabeleženim ranjivostima, koje uključuju, te pogađaju više strana, nemoguće je doći do rešenja koje bi bilo dobro za sve, te su stručnjaci zbog toga morali da budu oprezniji nego inače.
Prvi korak u objavljivanju ovih problema dogodio se pre nego što j Schwarz došao do svog otkrića, a 1. juna kada je Jann Horn iz Google Project Zero poslao poruku Intel-u, AMD-u i ARM-u, a o ranjivosti koja će kasnije postati poznata kao Spectre, a koja je sadržala zabrinjavajuće mogućnosti za eksploatisanje procesora iz Intel-a i AMD-a, te naznake da isto važi i za ARM. Horn se potrudio da obezbedi dovoljno informacija kako bi privukao pažnju pomenutih kompanija, te se namerno obratio baš njima, apelujući da utvrde koliko su njihovi proizvodi ugroženi, te da o tome obaveste ostale kompanije na čije bi proizvode greške mogle da utiču. U isto vreme ih je upozorio da informacije ne objavljuju neoprezno, te suviše brzo.
Ispostavilo se da je bilo teško utvrditi koje sve proizvode novootkrivene ranjivosti pogađaju, te je jedino bilo jasno da se pre svega radi o proizvođačima čipova. Uskoro je postalo jasno da će zakrpe biti neophodne i za operativne sisteme, što je značilo da će u čitav proces biti uključeno još stručnjaka. Tako se došlo do toga da je veliki broj kompanija morao da kreira sopstvene zakrpe, a što je više strana bilo uključeno u rešavanje problema, to je bilo teže da se sačuva tajna. Google Project Zero kompanijama obično daje 90 dana da reše neki problem, a pre nego što o tome obavesti javnost, ali kako se sve više kompanija uključivalo u priču o ranjivostima, tako se to vreme povećavalo, tako da je na kraju taj period udvostručen. Tokom meseci koji su usledili kompanije su radile na rešavanju problema, te kreirale svoje zakrpe, a Microsoft Insiders program je prvu zakrpu lansirao u tajnosti početkom novembra.
Postalo je jasno da nije moguće promeniti infrastrukturu čitavog interneta, a da neko ne posumnja u ono što se događa. Prvi jači razlozi za sumnju došli su od Linux-a, koji omogućava rad većini cloud servera, te je morao da bude značajan deo u rešavanju novih ranjivosti. Budući da se radi o open-source sistemu, sve izmene su morale da budu javne, tako da su oni koji pažljivo prate dešavanja uskoro znali da se nešto krupno dešava. Najveći razlog za sumnju dogodio se 18. decembra kada je promenjen način na koji Linux kernel funkcioniše sa x86 procesorima. Obično se čeka da se neka zakrpa objavi u okviru sledećeg ažuriranja, ali ovoga puta to nije bio slučaj, te je objavljena odmah, što je pružilo dodatne razloge za sumnju.
Sledeći korak došao je od samih proizvođača procesora, budući da je Linux sve x86-kompatibilne procesore označio kao ranjive, uključujući i one iz AMD-a, te su iz kompanije reagovali objašnjenjima zašto AMD procesorima nisu potrebne zakrpe, budući da nisu bili oduševljeni onim što se događa. Jednom kada je sve to dospelo u javnost, stručnjaci koji nisu bili upućeni u problem lako su mogli da sklope deliće koji nedostaju, te tako shvate o čemu se radi. Do Nove godine je već bilo nemoguće ignorisati glasine, te je 2. januara na portalu The Register izašao članak o onome što se u tom trenutku nazivalo „nedostatak u dizajnu u okviru Intel procesora“. U članku su opisana sva rana istraživanja koja se tiču novih ranjivosti, a kasnije se ispostavilo da je odluka o objavljivanju ovog članka bila prilično kontroverzna. Naime, prerano objavljivanje vesti skratilo je vreme koje su kompanije imale da kreiraju zakrpe, dajući cyber napadačima više vremena da zloupotrebe ranjivosti pre nego što zakrpe stignu do korisnika.
Još uvek se ne zna tačno koliko je štete nanelo to što je vest dospela u javnost pre nego što je planirano, te nije jasno da li bi sve prošlo bez problema da su kompanije imale više vremena, ili bi se sve dogodilo na isti način, samo nedelju dana kasnije. Ove ranjivosti su svakako promenile i načine na koji se slični problemi razumeju, budući da se ranije smatralo da se jedan problem tiče samo jednog proizvođača, a danas, kada se sve više kompanija udružuje, te koristi komponente drugih proizvođača, svaka opasnost je postala opšta, te se ispostavilo da, na kraju, niko nije bezbedan.
Izvor: The Verge