Niemiecki regulator domaga się usunięcia zagrażających bezpieczeństwu błędów z popularnych procesorów

Niemieckie Federalne Biuro Bezpieczeństwa Informatycznego (BSI) oficjalnie wezwało producentów popularnych procesorów do rozwiązania wykrytych w nich ostatnio problemów z bezpieczeństwem. Zdaniem urzędników, stanowią one realne zagrożenie dla użytkowników i powinny zostać jak najszybciej usunięte – choć przedstawiciele BSI przyznają, że nie będzie to prosta operacja.

Oświadczenie wydane przez Bundesamt für Sicherheit in der Informationstechnik (BSI) dotyczy całej serii najróżniejszych luk w zabezpieczeniach i innych problemów z bezpieczeństwem, wykrytych w ostatnim czasie m.in. w procesorach firm ARM, AMD oraz Intel – choć z naciskiem na wykryty niedawno atak o nazwie Spectre-Next Generation. Jego nazwa nawiązuje do wykrytej w styczniu luki Spectre, która wraz z drugim problemem – Meltdown – od kilku miesięcy spędza sen z oczu użytkowników komputerów i administratorom serwerów – szerzej o tej sprawie pisaliśmy w artykule „Meltdown i Spectre: krajobraz po katastrofie”.

Jeśli chodzi o nowe luki, to ze wstępnych analiz wynika, że pozwalają one na skuteczne zaatakowanie komputera wyposażonego w podatny procesor i wykradanie z niego poufnych danych użytkownika – np. haseł czy kluczy szyfrujących. Dodajmy, iż na problem Spectre-Next Generation składa się tak naprawdę osiem różnych błędów i podatności, wykrytych w procesorach Intela i ARM. Trwają ustalenia, czy problem dotyczy również produktów AMD. Warto dodać, że obecnie zagrożenie jest tylko teoretyczne – nową metodę wykorzystania luki w CPU do wykradania danych udało się potwierdzić w warunkach laboratoryjnych, jednak do tej pory nie zaobserwowano przypadków wykorzystania jej do przeprowadzania realnych ataków na użytkowników.

Przedstawiciele BSI wolą jednak dmuchać na zimne. Domagają się oni od producentów procesorów, by jak najszybciej przygotowali choćby tymczasowe metody zabezpieczenia się przed atakiem – tak, by użytkownicy mogli zminimalizować ryzyko udanego ataku ze strony hakerów. Jednocześnie, przedstawiciele niemieckiego regulatora oświadczyli, że zdają sobie sprawę z faktu, iż obecnie definitywne rozwiązanie problemu nie jest możliwe. Stąd też dopuszczalna jest możliwość wprowadzenie rozwiązań tymczasowych.

Co istotne, w piśmie BSI nie wskazano bezpośrednio adresatów owego apelu; mowa jest w nim ogólnie o „producentach procesorów”. Dodajmy, że urzędnicy zaapelowali również przy okazji do producentów oprogramowania wirtualizacyjnego oraz dostawców usług chmurowych – mają oni sprawdzić, czy wykryte w procesorach luki nie stanowią zagrożenia również dla ich klientów.

Przedstawiciele wszystkich trzech firm, których potencjalnie może dotyczyć ów problem, na razie nie odnieśli się formalnie do stanowiska BSI – Intel i AMD oświadczyli jednak wcześniej, że analizują informacje o błędach, współpracują ze specjalistami, którzy je wykryli i w razie potrzeby będą podejmować działania na rzecz rozwiązania problemu. ARM na razie nie komentuje sprawy.