אינטל לא לבד: משבר השבבים העולמי ישפיע על התעשייה כולה
לפי מומחי הסייבר של גוגל, ליקוי האבטחה במעבדי אינטל שנחשף השבוע קיים גם במעבדי מתחרותיה ומאיים על כל מכשירי המובייל, מערכות ההפעלה ושירותי הענן בעולם. מה עושה אותו לכל כך מסוכן ועד כמה ישפיע תיקונו על המשתמש?
משבר השבבים, שהוביל לצניחה במניית אינטל ולצמיחה במניות מתחרותיה, הוא נרחב משמעותית משהוערך בתחילה; השבוע חשף הרג'יסטר הבריטי כי כל מעבדי אינטל מהעשור האחרון כוללים פרצת אבטחה, אותה יכולים לנצל פושעי סייבר לגניבת מידע. עדכוני התוכנה הנדרשים לפתרון, טענו מומחי אבטחה, צפויים להאט את המחשבים בכ-30%. בעקבות הדיווח, ירדה מניית אינטל ב-3.4%.
- דיווח: מנכ"ל אינטל מכר מניות כשידע על פרצת האבטחה הקריטית
- נעילה ירוקה בוול סטריט; אינטל ירדה ב-3.4%, הנפט בשיא של 3 שנים
- דיווח: מעבדי אינטל סובלים מפרצת אבטחה קריטית
ענקית השבבים מסרה בתגובה כי להערכתה, לא ניתן לגרום נזק משמעותי למחשבים דרך הפרצה. בנוסף, טענה שמדובר בליקוי שמשפיע על מעבדי חברות אחרות, מה שיצריך שיתוף פעולה כלל-תעשייתי לפתרון הבעיה.
את הפרצה זיהו חוקרים של גוגל, במסגרת פרויקט האבטחה Zero. החברה כתבה בבלוג האבטחה שלה שתכננה לחשוף את הפרצה (שמורכבת משני באגים שזכו לכינוי Spectre ו-Meltdown) בשבוע הבא, אך בחרה להתייחס אליה כעת בגלל "פרסומים בכלי התקשורת וצמיחה בספקולציות במדיה ובקרב קהילות אבטחת המידע", מה שמעלה לטענתה את הסיכון לניצולה בידי פושעי סייבר.
גוגל חיזקה את דברי אינטל: לטענתה, כל יצרניות השבבים הגדולות חשופות לפרצה (אינטל, AMD, אנווידיה ו-ARM), כל מערכות ההפעלה יושפעו ממנה (ווינדוס, לינוקס לסוגיה, אנדרואיד, OS X וכרום OS), כל ספקי שירותי הענן הגדולים (מיקרוסופט, אמזון וגוגל עצמה) וכך גם חברות המפתחות יישומים.
בינתיים, החלו יצרניות מערכות ההפעלה להגיב בהוצאות עדכוני אבטחה לפרצה. אפל כבר העלתה עדכונים חלקיים בגרסת 10.13.2 של iOS, ועדכונים נוספים עתידים להגיע בגרסה 10.3.3 שנמצאת כיום בבטא.
ממיקרוסופט נמסר שהחברה עובדים עם יצרניות מעבדים כדי לפתח ולבדוק פתרונות שיגנו על לקוחות. "אנחנו פורסים פתרונות לשירותי ענן, וגם הפצנו עדכוני אבטחה כדי להגן על משתשמי ווינדוס", נמסר.
עדיין לא ידוע כיצד ישפיע תיקון הליקוי על המכשירים עצמם; לפי הערכות, עדכון התוכנה צפוי לגרוע משמעותית מביצועי המכשירים. ואולם, מקורות המקורבים לנושא מסרו ל"כלכליסט" שמהנדסי חומרה באינטל מעריכים שהתיקונים לפרצה ישפיעו רק באחוזים בודדים בלבד על מהירות הביצועים של מחשבי משתמשים פרטיים. לדבריהם, סביר להניח שהמשתמש הסביר אפילו לא ישים לב לשינוי בביצועים.
מה כל כך מסוכן בפרצה הזו?
לפי חוקרי גוגל, באג Meltdown מאפשר לבודד אפליקציות ממערכת ההפעלה, בצורה שנותנת לה גישה לזיכרון הפעולה במחשבים וללוגים (תיעודי פעולות שוטפות שמבוצעות בכל מערכת הפעלה). דרכה יכולים פושעי סייבר להשיג מידע על פעולת המחשב וגישה ליישומים מוגנים. "בבסיסו, הבאג הזה ממיס את מחיצות האבטחה שמופעלות באופן שוטף בידי רכיבי חומרה", נכתב בבלוג האבטחה של החברה.
באג Spectre מורכב יותר לניצול בידי פושעי סייבר, אך גם קשה יותר לטיפול במקרה של מתקפה. הוא מבודד אפליקציות זו מזו, מה שמאפשר לקבל גישה ליישומים ללא חשש מגילוי באמצעות מערכות אבטחה, ולשנות את אופן פעילותם בצורה שתיראה לגיטימית ומובנית. כך, יכולים תוקפים לנצל אפליקציות לגיטימיות כדי להשיג גישה לקבצים, רשתות ומידע ולהרחיב את המתקפה שלהם.
בעוד פושעי סייבר רבים מסתפקים בנטרול מחשבים במתקפת כופר או גניבת מידע נקודתית, האיום הבעייתי ביותר עבור ארגונים היה ונשאר המתקפה המתקדמת המתמשכת, APT. מדובר בהאקרים מומחים שיושבים בתוך רשתות הארגון במשך חודשים ושנים, וגונבים כל מידע אפשרי. חלקם מופעלים בידי מדינות, בעוד אחרים מחוברים לכנופיות מתוקצבות היטב. הגישה של תוקפי APT לרשתות מתבצעת לרוב דרך נקודת קצה בודדת - מחשב, טלפון, ראוטר וכיו"ב, ולכן תקל הפרצה על שלב הטיפוס האנכי - הפעולה של התרחבות מנקודת הקצה ועד לרכיבים בהם נמצא המידע שחומדים ההאקרים; במקום לחפש סיסמאות והרשאות שונות ולהיות חשופים לגילוי, יוכלו התוקפים לשלוף אותן דרך הבאגים האמורים.
מבצעי APT הם מורכבים טכנית ויקרים מאוד; פיתוח נוזקות מתאימות והפעלתן יכול להגיע לעשרות מיליוני דולרים. לפיכך, כל פרצה שיכולה להאיץ מבצעי האקינג ממושכים מעלה את סיכויי ההצלחה שלהם - ולכן, גם מעודדת פושעי סייבר ומדינות לשגר מתקפות שכאלה. טיהור רשתות ארגוניות ממתקפות שכאלה היא פעולה ממושכת ויקרה, שיכולה להוביל לפגיעה בביצועי החברה, זינוק בהוצאות התפעול ואף לפגיעה ביכולתה התחרותית בשוק. לפיכך, תיקון הפרצה מהווה אינטרס עליון של כל יצרניות השבבים, מערכות ההפעלה והשירותים המקוונים, כדי להגן על הלקוחות, המשתמשים ועל עצמן.