מעבדים שנבנו מאז שנת 1995 חושפים את המשתמשים בהם לפגם אבטחה קשה - כך נחשף אתמול בתקשורת העולמית. נקודות התורפה במעבדים יכולות להביא לגניבה של נתונים אישיים ממכשירים שמשתמשים בחומרה של אינטל, ARM ו-AMD. זה עשוי לכלול סיסמאות, תמונות, אימיילים, הודעות ומסמכים שמקורם במחשבים אישיים, מכשירים ניידים ובענן. בתגובה לסערה שעוררה החשיפה, ענקיות טכנולוגיה החלו לשחרר טלאים ועדכוני אבטחה שיגנו על המשתמשים מהסיכון הזה.
מה בעצם קרה?
הבעיות אמנם קיימות כבר 20 שנה אך הן התגלו עלך ידי חוקרי גוגל זירו וחוקרים אקדמאיים ב-2017. החדשות אודות הפרצה דלפו לפני שהחברות הספיקו למצוא פתרון לבעיה. הבעיות נוגעות לתהליך שהשבב עושה כדי לגרום למעבד לפעול מהר יותר. השבב מעריך כמה זמן המחשב צריך כדי לבצע פעולה, ומתבצעת הכנה של הנתונים שהפעולה תצריך. בזמן הזה קל יותר לגשת לאינפורמציה הסודית. בעוד שלרוב תוכנות לא רשאיות לקרוא נתונים של תוכנות אחרות, תוכנה זדונית יכולה לנצל את פרצות האבטחה כדי לגשת לסודות שמאוחסנות בזיכרון של תכניות שרצות. השמות שניתנו לשני הבאגים הם Spectre ו-Meltdown. עכשיו כשהפגמים ידועים יש סיכוי גבוה יותר שהאקרים ינצלו אותם.
מה ההבדל בין Spectre
ל- Meltdown?
ספקטר מאפשר לתוכנה זדונית לרמות את המעבד כך שיתחיל בתהליך בו הוא מעריך את אורכה של פעולה, על מנת שיהיה ניתן לקרוא את הנתונים הסודיים. הוא שובר את ההפרדה בין יישומים שונים ומאפשר לתוקף להשתמש בתוכנות כדי לקבל מהם נתונים סודיים.
מלטדאון מאפשר לתוקפים לגשת לאינפורמציה הסודית דרך מערכת ההפעלה של המחשב. הוא שובר את ההפרדה בין היישומים למערכת ההפעלה, ומאפשר לתוכנה לגשת לזיכרון ומכאן גם לסודות של תוכנות אחרות ושל מערכת ההפעלה.
איך אפשר להתגונן?
חשוב לזכור שכדי שפרצות האבטחה יוכלו לשמש נגדכם, תוכנה זדונית צריכה לפרוץ למחשב. לכן ההמלצה היא להימנע מהורדות וקישורים ממקורות לא ידועים, ולוודא שיש ברשותכם את עדכוני האבטחה החדשים ביותר שחברות הטכנולוגיה מתחילות לשחרר.
מה אומרים באינטל?
באינטל אמרו שהמצב לא ייחודי למוצרי החברה, בשונה ממה שהשתמע מהדיווחים הראשוניים בתקשורת, ושהם עובדים יחד עם ARM ו-AMD כדי למצוא פתרון. בנוסף אינטל דחתה את הטענה שעדכוני אבטחה שמטפלים בפרצות יאטו את המכשירים משמעותית. בריאן קרזניץ', מנכ"ל אינטל אמר לאן.בי.סי כי לא היו מקרים עד היום בהם אנשים ניצלו את הפגם הזה.
בנוסף, לפי דיווחים, הסיבה שקרזניץ' מכר בסוף השנה מניות בשווי 24 מיליון דולר ונשאר עם 250 אלף מניות - המינימום אליו הוא מחויב, הוא שידע על הבאג, אך באינטל טענו כי הדברים אינם קשורים.
אילו עוד חברות נפגעו
ומה הן עושות?
AMD אמרו כי אין כמעט סיכון למעבדים שלהם ו-ARM טוענים שרוב המעבדים עמידים, ופרסמו באתר שלהם רשימת מוצרים שמושפעים מהבאג בכל זאת. שתי החברות מייצרות שבבים למכשירי אפל, אך אפל טרם הגיבה באופן רשמי. לפי הערכות, העדכון האחרון של אפל, macOS 10.13.2 כנראה מספק הגנה לבעיה.
מחר ייצא עדכון אבטחה לטלפונים של גוגל. בחברה אמרו כי גרסה חדשה של כרום שמגנה מהפרצה תצא ב-23 בינואר ועד אז ממליצים להפעיל "Site Isolation בכרום. לפי החברה, ג'ימייל ואפליקציות גוגל לא מושפעים ופריצה וחילוץ נתונים סודיים ממכשירי אנדרואיד תהיה "מורכבת ומוגבלת".
במיקרוסופט שחררו עדכון חירום כדי להגן על לקוחות ווינדוס. במוזילה אישרו שהתקפות הן אפשריות ושינקטו אמצעים להפחית אותן בגרסה 57 של פיירפוקס. אך למרות כל העדכונים, יש לזכור שהחוקרים ציינו שאת פרצת "ספקטר" לא יהיה קל לתקן וכנראה שתהיה איתנו לעוד זמן.
מה הייתה תגובת השוק?
המניה של אינטל ירדה ב-3.4% ביום רביעי לאחר שהבאג נחשף בעוד שיריבתה, AMD עלתה ב-5.2%. לשם השוואה, ב-2017 מניית אינטל עלתה ב-27% ואילו מניית AMD ירדה ב-9%. האנליסט סטייסי רסגון מברנשטיין טען שהנושא יגרור עוד השפעות שליליות על אינטל. הוא ציין את הבאג בפנטיום ב-1994 שעלה 475 מיליון דולר והבעיה בערכת השבבים "קוגר פוינט" ב-2011 שעלתה 700 מיליון דולר וטען שהבעיה הנוכחית "מרגישה גדולה בהרבה".
במה מתמקדת כל חברה?
אינטל מתמקדת במחשבים אישיים, וברובם נמצאים המיקרו-שבבים בייצורה. היא מספקת מעבדים ליצרנים כמו אפל, לנובו, דל, ו-HP. חברת AMD היא המתחרה המשמעותית היחידה של אינטל, והיא מובילה את שוק המעבדים הגרפיים יחד עם המתחרה Nvidia. ARM נחשבת למובילה בשוק המעבדים למכשירים סלולריים וטאבלטים.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
