Chyb je postupně víc najednou a doplňují se

Ba dnes už bezpečnost a zabezpečení počítače ani nezáleží na chování uživatele. Chyby jsou tak vzdálené běžnému uživateli, že již zní jak z křemíkového světa…

Problém první – HW a interní knihovny procesorů

V dnešních dnech se dozvídáme o potenciální chybě v procesorech. Hluboko v architektuře, dokonce tak hluboko, že se netýká operačního systému a ani práce uživatele. Přesto jsou prvotní informace o knihovně ME zarážející (link zive.cz) a zdá se, že Google se cítí být nějakým způsobem ohrožen. Ačkoliv sám článek se drží zpátky od panického podání, některé příspěvky v diskuzi celý problém posouvají ještě dál… Oč tedy pravděpodobně jde…

Pokud pamatujete dobu prvních Pentií a rozšiřování výpočetního výkonu na úrovni vývoje procesorů, vzpomenete možná na líbivé články o zahrnutí instruktážních procesů do srdce procesoru a tak odstranění čekací doby na periferní zisk dat. První byl Intel a vzápětí AMD a obě firmy soutěžily KOLIK těchto základních instrukcí vstřebal jejich procesor a jak moc toto začlenění do jádra procesoru otevírá další možnosti. Zrychlení a nové možnosti byly zřetelné. Z pohledu uživatele nepovím, zda úspěch spočívá v začlenění instrukcí do procesoru nebo prostě je daný vývojem. Když jsem si navrhoval svůj první PC, byl s právě vydaným procesorem architektury i486, už 2MB RAM a na trhu se objevil již v komerční podobě skoro 40GB pevný disk… a rok poté už byl svět úplně jiný… mohlo jít tedy jen o vývoj … ale o otevřených možnostech je možné se bavit i dnes.

Procesory stále tyto knihovny (firmware) obsahují a jsou ještě rozvinutější. Zatímco první úvahy byly o navýšení práce s desetinnou čárkou (zrychlení výpočtu a grafiky), dnes je to o komplexní obsluze HW počítačů. Podle dsotupných informací, mají tyto knihovny možnost obsloužit síťové karty, grafiku, a … vše potřebné k vyvolání informace, zpracování informace a aplikace výsledku…   bez zásahu uživatele a dokonce i při vypnutém stavu počítače. Toto, i při vypnutém stavu, jsem dříve bral na lehkou váhu, ale dnes je opravdu potřeba se rozhlédnout, co je ve stavu StandBy, tedy připravenosti k provozu na „zavolání“.
Počítač ve spánku je žrout energie, co čeká i na pohyb myší aby se probudil a během tisíciny vteřiny je celý v plném provozu (a odběru) … co dělal do té doby nikdo neví … a zmíněné knihovny pracují stále. Podporují IPMI a další vylomeniny, které z počítače nedělají zrovna poslušného sluhu …

Problém druhý – Děravá komunikace, Wi-Fi a chyba Krack

Chyba Krack se týká šifrování protokolu WPA2, který je snad i defaultně nastavován a proto velmi rozšířený.

Zde se informace krapet rozcházejí na dva modely. Oba modely sdílí to, že útočník musí být v dosahu Wi-Fi a dál se liší podle kroků útočníka. Jeden model pracuje s tradičními oblastmi ohrožení jako jsou důvěrné informace, citlivé informace a zneužití informací. Tento model odkazuje na bezpečnost HTTPS, který tímto prolomením Wi-Fi prý ohrožený není (SSL to má za sebou také, viz problém Třetí)

Druhý model pracuje s internetem věcí a přihlášením se neautorizovaných zařízení do sítě. To je skupina možných událostí vyvolávající větší hrozbu. Tedy zase jde o úhel pohledu, ale jen si představte, že váš toustovač, z kategorie chytrých věcí, spolupracuje s řízením domu a spustí se při vašem vstávání, protože tak je to už váš vzorec. Nyní ale, soused vedle v bytě si pořídil také toustovač a hle.. tento jeho toustovač, asi nechtěně, hacknul vaši Wi-Fi a nechává se obsluhovat zároveň s vaším… k radosti souseda.
Na druhou stranu například pohozené sledovací zařízení v prostorech firmy, datový směrovač.. prostě hračičky, které jsou dnes také dostupné a mohou tuto chybu ve Wi-Fi využívat již dlouhá léta… mohou do sítě vstoupit také.

Problém třetí – SSL a chyba DROWN

Chyba byla popsána jako velmi závažná a týká se starší verze v protokolu SSLv2. V době objevení chyby byl odhad potenciálně nebezpečných serverů na třetinu všech serverů dostupných v internetu. Chyba spočívá v principu odposlechu zabezpečené komunikace. Problém odposlechu spočívá v zaslání požadavku na server a jeho zachycení před zpracováním serverem. Z datového odposlechu se tak útočník může dostat k emailům, bankovnictví, nákupním účtům a mít plnou kontrolu jako oprávněný uživatel. To už mi zní hrozivě. O chybě tehdy informoval i portál novinky.cz.

Řešení na cestě?

Prý na většinu stačí aktualizace a uvážená práce uživatele. Tomu rčení lze věřit, ale ne se o něj opírat.
I přes mnohá doporučení o používání hesel a jejich obměně… kdo z nás ví, zda jeho účet nebyl v době chyby také ulovený a kdo si od té doby změnil heslo?
Víte, zda to nebyl server vašeho prodejce krmiv pro miláčky co šetří na IT službách a nebyl dostatečně a včas zabezpečen? Víte že o chybě a potřebě řešení vůbec ví? … a přesto má údaje o vás i platební kartě.

A to je druhá strana mince zveřejněných chyb. Na každou zveřejněnou chybu by měl reagovat i uživatel. Aktualizace je jen jeden krok z mnoha potřebných úkonů… a kdo by na to měl stále myslet…

V tuto chvíli bych bral mít k dispozici své domácí jádro U. I., které by reagovalo na hrozbu a nabídlo aktualizace a řešení napříč domem. Nejen vykonalo, ale nabídlo tak, aby uživatel věděl co se děje a případně rozšířil protokoly zabezpečení.

Jenže výukové jádro U. I. nemám… píšu na počítači se zadními vrátky v procesoru, nejistou Wi-Fi a se systémem Windows 10, který se aktualizuje podle svého harmonogramu, zapíná vypnutá zařízení a neustále mi vnucuje ovladače na neexistující HW…

Wikipedie k chybě KRACK: https://cs.wikipedia.org/wiki/KRACK

Wikipedie k chybě DROWN: https://cs.wikipedia.org/wiki/DROWN