פרצת האבטחה Meltdown במעבדים – כל מה שרציתם לדעת ולא היה לכם את מי לשאול

מעבד

מה קרה?

פגם או באג במעבדי אינטל שיוצרו מאז 2011 למעט כמה חריגים (אינטל טוענים שמדובר בפגם שהתרחש גם אצל יצרניות ומעצבות מעבדים אחרות, אבל זה לא מדויק – ראו בהמשך), גורם לכך שיישומים מהשורה יכולים לגשת לאזורי הזיכרון השמורים לליבת מערכת ההפעלה. המתקפה המבוססת על הפגם הזה זכתה לכינוי Meltdown.

למה זה בעייתי? ליבת מערכת ההפעלה היא פחות או יותר, קודש הקודשים וליישומים "מהשורה" לא אמורה להיות גישה לשם. ליבת המערכת היא הכהן הגדול – כל פעם שיישום צריך לעשות פעולה משמעותית כמו לכתוב לקובץ או לפתוח חיבור רשת, הוא מעביר את השליטה באופן זמני לליבת המערכת. לליבת המערכת יש זכות מיוחדת השמורה רק לה לעבוד באופן שונה עם המעבד, ואז היא מחזירה את המעבד למצב עבודה "רגיל", ומחזירה את השליטה ליישום שאמור להיות מוגבל. הבעיה שהפגם הזה מעניק ליישומי צד שלישי "זכויות יתר", כולל גישה לאזורי הזיכרון שאמורים להיות מוגבלים לליבה בלבד.

 

למה זה מסוכן?

זה אומר שיישומי צד שלישי, כמו קוד ג'אווה בדפדפן או יישומים של בסיסי נתונים מהשורה, גם מסוגלים להריץ קוד זדוני ולנצל את הפרצה הזו לצרכים מרושעים אחרים, וגם לגשת לנתונים רגישים שמאוחסנים רק בזיכרון הליבה, כמו סיסמאות, מפתחות הצפנה ופרטים רגישים אחרים. הפגם הזה מסייע לשתי התקפות שונות, אחת מכונה כאמור, Meltdown, והשניה מכונה Spectre.

 

אז מה עושים?

כיון שאי אפשר ככל הנראה לתקן את ההפרדה הנדרשת הזו ברמת החומרה, נדרש טלאי תוכנה של מערכות ההפעלה השונות (ווינדוס, מק ולינוקס), כדי "להחזיר את החומות" למקומן, ולהפריד את אזורי הזיכרון של יישומים וליבת המערכת כך שיישומים רגילים לא יוכלו לגשת לאזורי הזיכרון השמורים שלה.

מיקרוסופט הזדרזה והוציאה טלאי חירום לווינדוס 10, ועדכונים ללינוקס גם בנמצא. למערכות ההפעלה של מק ייתכן שידרשו עדכונים נוספים, אבל טלאי המטפל עקרונית במחדל כבר קיים מגירסה 10.13.2. בכל מקרה, מומלץ להפעיל ולעדכן כל עדכון שקיים למערכת ההפעלה שלכם, שזו עצה טובה לכל ימות השנה.


רגע, אז הכל בסדר, לא?

לא. הטלאים, על אף שפותרים את הבעיה מהשורש, עשויים לפגוע בביצועים (בגלל הצורך שתואר בסעיף הקודם, לעשות את ההפרדה ברמת התוכנה). רוב המשתמשים הרגילים שמשתמשים במחשב לצרכים של וורד, גלישה וכו' לא ירגישו בכך, גם לא גיימרים. אבל בתרחישי שימוש כבדים מסוימים כמו אנשים שמריצים שרתים, מסדי נתונים וכדומה, מבצעים פעולות כונן בתכיפות גבוהה ובאופן כללי "סוחטים" את המערכת שלהם למקסימום – עלולים להרגיש ירידה בביצועים (ביצועי מעבד), שלפי ההערכות עשויה להתבטא באובדן ביצועים של בין 17 ל-23 אחוזים, הכל תלוי במקרה הספציפי, סוג המעבד ומה נדרש ממנו.

 

תגובת אינטל הראשונה (ומדוע החלטנו שלא לפרסם אותה)

אינטל פרסמו אמש תגובה ארוכה באנגלית, אותה ניתן לקרוא כאן. הבעיה שלנו עם התגובה הזו כפי שפורסמה, שהיא תגובה לא עניינית, אשר מתחמקת מלהשיב על הסוגיה האמיתית של הפגם במעבדי אינטל.

תחת זאת, היא רוויה בהצהרות סתומות וחסרות משמעות, וטוענת טענות שאינן נכונות לגבי מתחרותיה ולגבי כלי התקשורת שדיווחו בנאמנות על הסיפור. לכן, זו תגובה שהחזרנו לאנשי אינטל, והודענו להם שלא נוכל לפרסמה כלשונה. הנה הסבר מלא לכם הקוראים מדוע:

1. ראשית, התגובה טוענת שהבעיה היא בכל התעשייה, וזו טענה לא נכונה – Meltdown  לא משפיעה כלל על מעבדים של AMD ומשפיעה בעיקר על מעבדי הדור הבא של ARM, ה-A75, שיתוקנו עוד לפני צאתם לשוק בערכות סנאפדרגון 845. מעבדי A15, A72, ו-A57 מושפעים רק באופן חלקי, ו-ARM פירטו כאן בנושא).

2. התגובה טוענת ש-"דיווחי התקשורת בנושא אינם נכונים", אך אינה אומרת אילו כלי תקשורת לא מדייקים בדיווח, ולכן לא ניתן להתייחס לטענה לגופה.

3. התגובה מתייחסת לממצאים המרשיעים כתיאורטיים בלבד, בשעה שהם אומתו על ידי שלושה צוותי מחקר שונים, ואף פורסמו הדגמות מעשיות כיצד הפרצה הזו מנוצלת לרעה.

4. התגובה כוללת הצהרות שלמעשה לא אומרות דבר כמו: "אינטל מאמינה שהמוצרים שלה הם הבטוחים ביותר בעולם, ובכך שעם התמיכה של שותפיה, הפתרונות הנוכחיים לבעיה מספקים את האבטחה הטובה ביותר ללקוחותיה".

עדכון: תגובת אינטל השניה (ואנחנו מפרסמים אותה)

[עדכון 5/1/18 14:00] אמש (ה') הוציאה אינטל הודעה נוספת, מתונה יותר, בה היא מודה בבעיה ושהם עובדים על עדכונים. להלן לשון ההודעה:

"אינטל מוציאה עדכונים רציפים לכל מערכות המחשוב מבוססות אינטל, לרבות מחשבים אישיים ושרתים, המחסנים את המערכות הללו מהפרצות המכונות Spectre ו-Meltdown, כפי שדווח על ידי פרויקט Zero של גוגל. אינטל ושותפותיה התקדמו בהפצת העדכונים, בתוכנה ובקושחה.

אינטל כבר הוציאה עדכונים למרבית מוצרי המעבדים מחמש השנים האחרונות. עד סוף השבוע, אינטל מצפה להוציא עדכונים ליותר מ-90 אחוזים ממוצרי המעבדים מחמש השנים האחרונות. יצרני מערכות הפעלה רבים, ספקי שירות ענן ציבוריים, יצרני התקנים ואחרים ציינו כי כבר עדכנו את מוצריהם ושירותיהם.

אינטל ממשיכה להאמין שההשפעה על הביצועים של עדכונים תלויה מאוד בעומס העבודה, ועבור המשתמש הממוצע, לא תהיה משמעותית והפער יכוסה לאורך זמן. במקרים ספציפיים, ההשפעה כתוצאה מהעדכונים עשויה להיות גבוהה יותר בהתחלה, זיהוי לאחר ההפצה, בדיקות ושיפור העדכונים אמור לגשר על הפער הזה.

עדכוני תוכנה יהיו זמינים מיצרני המערכות, ספקי מערכות ההפעלה ואחרים. אינטל תמשיך לעבוד עם שותפיה ואחרים כדי לטפל בנושאים אלה, ואינטל מעריכה את התמיכה והעזרה. אינטל מעודדת משתמשי מחשבים ברחבי העולם להפעיל את העדכונים האוטומטיים של מערכות ההפעלה ותוכנות מחשב אחרות, כדי לשמור את המערכות שלהם עדכניות".

[5/1/18 – הידיעה עודכנה כדי להכיל את תגובת אינטל]

אם אתם כבר כאן…
רצינו לבקש טובה. בכתבה שזה עתה קראתם הושקעו שעות רבות של איסוף מידע, תחקיר, כתיבה, עריכה, גרפיקה, עיצוב, צילום ועריכת וידאו. בנוסף, יש לנו הוצאות קבועות על אירוח האתר, אחסון, שרתי וידאו, גרפיקה ועוד. “החיבור” נעשה על ידי שורה של עיתונאים מקצועיים, שבשבילם עיתונות היא שליחות, אבל היא גם פרנסה – ואנחנו מעדיפים לעבוד עבורכם, הקוראים. התמיכה הישירה שלכם מבטיחה את המשך קיומו של “החיבור” כמגזין עצמאי, אובייקטיבי, חופשי מתלות במפרסמים, ותאפשר לנו להביא לכם עוד סיפורים מעניינים, עוד תכנים שיוגשו בצורות מקוריות, עוד כתבות, עוד סרטונים ובכלל – עוד. לתמיכה במגזין

אולי יעניין אתכם גם...

על אודות המחבר לצפיה בכל הכתבות לאתר המחבר

ניב ליליאן

העורך האחראי של "החיבור".

ניב ליליאן הוא עיתונאי חוקר בעל ניסיון של 21 שנה בכתיבה על טכנולוגיה, אינטרנט והשפעותיהם על פוליטיקה וחברה. כעורך ערוץ המחשבים של ynet בשעתו, הוא הוביל קמפיין עיתונאי נרחב ועיקש שהביא את סכנות המאגר הביומטרי לידיעת הציבור, ופרסם תחקירים על עוולות צרכניות כמו התערבות ספקיות האינטרנט הישראליות בתעבורת רשת, לצד פרשנויות מורות נבוכים וקלות לעיכול.
פרט טריוויה: הוא העיתונאי הישראלי הראשון שראיין את מנכ"ל גוגל.

6 תגובותהשמיעו קולכם

  • כמה תיקונים: קודם כל מעבדי AMD בהחלט מושפעים (בין אם מ-MELTDOWN או מ-SPECTRE זה כבר פחות משנה). לראיה, מיקרוסופט טרחה והוציאה להם גם עדכוני אבטחה. אממה? עדכוני האבטחה ל-AMD גורמים בחלק מהמחשבים להשבתתם (UNBOOTABLE) שאפשר לומר שזו צרה גדולה יותר.
    לגבי מעבדי אינטל (ומנסיון אישי) אני יכול לומר שלפחות במחשב שלי (מעבד i7-6850k) אין פגיעה נראית בביצועים. וגם מבחנים עצמאיים ברשת כבר הראו שאם יש הבדלים בביצועים הם ברמות זניחות ביותר. זאת לגבי משתמשים ביתיים כמובן.

    • אורן היי,

      שים לב לתאריך של הכתבה. מעבדי AMD נכון ליום הפרסום, הושפעו רק מואריייאנט אחד של ספקטר, וגם זה באופן זניח.

      בכל מה שקשור לביצועים – כמו שכתבתי בטקסט, זה תלוי תרחישי שימוש. במחקרים שפורסמו, אלה האחוזים שציינו, וציינו שמשתמשים רגילים לא יחושו פגיעה, אלא רק משתמשים כבדים. תודה על ההערות.

  • לא מובן מהכתבה , האם לאחר שנתגלתה הבעיה במעבדים שמיוצרים מכאן ואילך הפתרון יהיה ברמת החומרה והאם בכזה מצב עדכוני הוינודס ידעו שאין צורך ולא יאיטו את הביצועים.??

    שאלה נוספת , האם מיקרוסופט הטמיעה בשחרור הוינדוס האחרון 1803 את העדכון הזה והאם ניתן להסירו (מה מס העדכון?) במקרה שבן אדם לא חושש מפריצות ומעדיף לשמר את הביצועים? (יש מקרים כאלה… לא לכולנו יש מעבדי 6800k יש אנשים רבים שנאלצים עדין להשתמש במעבדים חלשים שבקושי סוחבים את וינדוס ויותרו על ההגנה הזו) למשל במחשבים שעובדים כל השנה offline וכו…

    • בוריס היי,

      בדורות מעבדי אינטל האחרונים הפרצה תוקנה ברמת עיצוב החומרה. לגבי השאר – כמו שכתבנו, אינטל הוציאה עדכון לכל המעבדים שלה מכל הדורות.
      בגדול, אנחנו ממליצים להתקין כל טלאי אבטחה שיוצא ממיקרוסופט.

השמיעו את קולכם

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

banner