Komunikat prasowy Intela w sprawie procesorów – właściwie to nic się nie stało

Za to, by z naszych komputerów z procesorami Intela nie dało sięwykraść haseł i kluczy, zapłaciliśmy odczuwalnym, sięgającymniekiedy 30% zmniejszeniem ich wydajności. Co na to producent?Właściwie nic. Google linkuje co prawda do biuletynubezpieczeństwa, ale póki co niczego tam nie ma. Jest za tokomunikatprasowy, za który dział PR niebieskich powinien otrzymaćjakieś piękne trofeum. Nie ma w nim niczego, co można by byłouznać za fałsz, nie ma też niczego, co by stawiało Intela w złymświetle. Właściwie jest wręcz przeciwnie – Intel wierzy żejego produkty są najbezpieczniejsze na świecie.

Intel przyznaje na początku, że mamy do czynienia z problemem,ale stwierdza, że inni producenci też go mają. Intel i innefirmy technologiczne zapoznały się z nowymi badaniami z zakresubezpieczeństwa, opisującymi metody analizy oprogramowania, któreużyte do złośliwych celów mają potencjał niewłaściwegogromadzenia wrażliwych danych z poprawnie działających urządzeńkomputerowych.

I faktycznie, na atak Meltdown podatny jest np. najnowszySnapdragon z rdzeniami Cortex-A75, więc faktycznie wrażliwe danemożna tak pozyskać nie tylko na procesorze Intela. Co jednakszczególnie ważne, urządzenie komputerowe działa poprawnie –zdaniem Intela. Linus Torvalds już to skomentowałw charakterystyczny dla siebie sposób. Stwierdził, że ktoś wIntelu powinien spojrzeć na ich procesory i przyznać, że mają znimi problemy, zamiast opowiadać o poprawnym działaniu. Chyba żeIntel po prostu nam mówi – stawiamy na sprzedawanie wam przezwieki wieków dziadostwa i nienaprawianie niczego.

Nic dziwnego, w końcu to co Intel nazywa metodą analizyoprogramowania, jest z perspektywy odkrywców Meltdowna złamaniemwszelkich założeń bezpieczeństwa dostarczanych przez mechanizmyizolacji pamięci procesora. Nic z nie szkodzi, ważne, że exploityte nie mają potencjału do uszkodzenia, zmodyfikowania czyskasowania danych. Czysta prawda. Wykradzenie hasła czy kluczato przecież nie jest uszkodzenie czy skasowanie danych. Po co używaćtakich okropnych słów, lepiej użytkowniku zapomnij, że chodzi okradzież wrażliwych informacji.

Intel przyznaje więc, że jakiś problem jest, ale zarazzapewnia, że pracuje wraz z innymi firmami technologicznymi, wtym AMD i ARM Holdings, oraz producentami systemów operacyjnych, abystworzyć wspólne, ogólnobranżowe podejście do rozwiązaniaproblemu szybko i konstruktywnie. Zacząłnawet już dostarczać aktualizacje software i firmware – aużytkownicy, ci zwykli użytkownicy nie mają się czym przejmować,ponieważ w przeciwieństwie do tego co twierdząniektórzy, obniżenie wydajności zależy od typu obciążeniaroboczego. Dla tych zwykłychużytkowników nie będzie ono znaczącei z czasem zostanie jeszcze bardziej ograniczone.

I ponownie nie powiedziano tuniczego, co byłoby nieprawdziwe. Faktycznie, cała branża pracujenad rozwiązaniem problemów z lukami Meltdown i Spectre. ZapewneIntel już swoim partnerom mógł dostarczyć pierwsze łatki.Faktycznie wpływ izolacji pamięci kernela na wydajność zależy odobciążenia roboczego. Najwięcej ucierpimy przezzmniejszoną wydajność w zastosowaniach serwerowych,związanych z operacjami dyskowymi i sieciowymi.

Tyle że AMD nie ucierpi odzałatania Meltdowna, a w wypadku ARM problem spowolnienia dotyczytylko najnowszych rdzeni Cortex-A75, których póki co na rynkupraktycznie nie ma. Uważa się jednak, że zastosowanie izolacjikernela nie będzie się tam wiązało z poważnym zmniejszeniemwydajności.

Prawdziwy problem mają więcoperatorzy centrów danych i chmur – jeśli bazy danych będądziałać o 30% wolniej, to nagle okaże się, że rachunki zakorzystanie z chmur znacznie wzrosną, a może nawet wiele systemówpo prostu się posypie. Były projektowane przecież na określonąwydajność, której nagle zabrakło.

Intel stawia na stosowanie najlepszych praktyk dotyczącychodpowiedzialnego ujawniania potencjalnych zagrożeń bezpieczeństwa,dlatego zamierzał wraz z innymi producentami sprzętu ujawnićproblem w kolejnym tygodniu, gdy będzie już więcej gotowychaktualizacji software i firmware. Niestety jednak w mediachpojawiły się niedokładne doniesienia, więc Intel musidzisiaj przedstawić to oświadczenie.

Aż szkoda, że nie użyto terminu fake news, co by niemówić jednak blog Google’a ma dużą siłę rażenia. Szkodajednak, że Intel nie wspomniał np. o odpowiedzialnej produkcjiprocesorów, a może jeszcze lepiej, o odpowiedzialnej wymianieprocesorów obarczonych sprzętowym błędem.

Swoje wyjaśnienia Intel kończy przypomnieniem, że należykorzystać z aktualizacji oprogramowania od producenta systemuoperacyjnego i stosować dobre praktyki bezpieczeństwachroniące przez złośliwym oprogramowaniem. Pomoże to uchronićsię przed możliwymi exploitami do momentu gdy pojawią się łatki.

Szczegółowa analiza zarówno Meltdowna jak i Spectre pokazuje,że żaden antywirus nie jest w stanie zabezpieczyć przed tego typunieuprawnionym odczytem pamięci. Atak taki nie pozostawia żadnychśladów w logach. Opowiadając o dobrych praktykach bezpieczeństwa,Intel mógłby więc tu równie dobrze opowiedzieć o zaletachstosowania prezerwatyw w przygodnym seksie.

Zamknięcie jest jednak prawdziwym mistrzostwem: Intel wierzy,że jego produkty są najbezpieczniejsze na świecie i że z pomocąswoich partnerów, obecne rozwiązania tego problemu dostarczająnajlepszego możliwego bezpieczeństwa dla klientów.

Niewątpliwie Intel wierzy. Ale czy CEO Intela, Brian Krzanich,też w to wierzy? Pod koniec listopada zeszłego roku sprzedał wdobrej cenie niemal połowę swoich akcji firmy, wartych wówczasokoło 11 mln dolarów. Dzisiaj już w tak dobrej cenie by ich niesprzedał – od wczoraj ich wartość leci w dół.