افشاي يك آسيب‌پذيري امنيتي جديد در پردازنده‌هاي اينتل

ژانويه‌ي ۲۰۱۸، پژوهشگران، مجموعه‌اي از آسيب‌پذيري‌هاي مرتبط با عملكرد پردازنده‌هاي جديد در زمان اجراي تابعي موسوم به اجراي حدسي (speculative execution) را كشف كردند. اهميت آسيب‌پذيري‌هاي اسپكتر (Spectre) و ملتداون (Meltdown) تا حدي به اين خاطر بود كه اسپكتر عامل تمامي حمله‌هايي كه به يك روش عمل مي‌كنند، معرفي شده است. اينتل بيشتر وقت خود را در سال ۲۰۱۸ صرف مقابله با اين حمله‌ها كرد.

تقريبا يك و نيم سال پس از آن ماجرا، پژوهشگران همچنان مشغول پژوهش روي موضوعات مشابهي هستند. چند آسيب‌پذيري جديد كشف شد و پژوهشگران نام‌هاي مختلفي روي آن‌ها گذاشتند: ZombieLoad، RIDL و Fallout. اينتل نام اين نوع خاص از آسيب‌پذيري‌ها را MDS ناميد كه مخفف عبارت «نمونه‌برداري از داده‌هاي ريزمعماري» (Microarchitectural Data Sampling) است. Rogue In-flight Data Load (بارگيري خودسرانه‌ي داده‌ها در حين پرواز) يا به اختصار RIDL توسط دانشگاه وريج آمستردام (Vrije Universiteit Amsterdam) و مركز امنيت اطلاعات هلمهولتز (Helmholtz Center for Information Security) كشف شد. Fallout توسط گروهي از متخصص كارشناسان دانشگاه صنعتي گراتس (Graz University of Technology) اتريش، دانشگاه كاتوليك لوون (KU Leuven) بلژيك، دانشگاه ميشيگان و مؤسسه‌ي پلي‌تكنيك ورچستر مشاهده شد. و درنهايت، آسيب‌پذيري ZombieLoad نيز حاصل پژوهش‌هاي انجام‌شده در دانشگاه‌هاي گراتس، ورچستر و كايو لوون است.

از لحاظ معماري، همه‌ي عمليات‌ها به ترتيب اجرا مي‌شوند و تنها داده‌هاي ذخيره‌شده توسط پردازنده‌ها، داده‌هايي هستند كه براي اجراي عمليات‌ها لازم هستند. اما امكان تجسس در ريزمعماري و يافتن سرنخ‌هايي زيركانه براي يافتن مكان ذخيره‌ي داده‌ها روي تراشه وجود دارد. اين كار، با استفاده از تفاوت‌هاي زماني موجود در مدت زمان لازم براي دسترسي به اطلاعات اندازه‌گيري اين تفاوت‌ها به مهاجمان اجازه استخراج مقادير عددي ذخيره‌شده در حافظه‌ي كش يا بافرهاي روي تراشه را مي‌دهد. معمولا آسيب‌پذيري‌هاي قبلي مشابه اسپكترا روي داده‌هايي كه از حافظه‌ي كش به بيرون درز مي‌كردند، در كانون توجه بود؛ اما MDS از داده‌هاي درزكرده از بافرها استفاده مي‌كند؛ يعني همان داده‌هاي بسيار كوچكي كه تراشه‌ها براي انتقال داخلي داده‌ها استفاده مي‌كنند.

به‌هرحال، هيچ نتيجه‌اي از آن آسيب‌پذيري‌ها كه شركت فروش استقراضي مذكور يعني Viceroy Research، با صراحت پيش‌بيني كرده بود باعث كاهش شديد ارزش سهام AMD خواهد شد، حاصل نشد. همان‌طور كه همان زمان هم گفته شد، صرف‌انديشه متخصصين از اينكه چه كسي و با چه انگيزه‌اي، هدف چنين برنامه‌هايي قرار مي‌گيرد، اينگونه افشاگري‌ها با چاشني ادعاهاي بازاريابي مبالغه‌آميز با هدف بدتر جلوه‌دادن شرايط نسبت به آنچه در واقعيت وجود دارد، ايده‌اي به‌شدت اشتباه است.

شرايط فعلي اينتل به وخامت شرايط AMD در سال گذشته نيست؛ ولي همان روند ناراحت‌كننده را طي مي‌‌كند. پژوهشگران يافته‌هاي خود را در وب‌سايتي با نام «CPU.fail» منتشر كرده‌اند كه باتوجه‌به نوع طراحي و پرسش و پاسخ‌هاي مطرح‌شده در آن به انديشه متخصصين مي‌رسد بيشتر از آنكه به‌دنبال آگاهي‌بخشي باشند، قصد ترساندن ديگران را دارند. به‌عنوان مثال، گردانندگان سايت در پاسخ به اين سؤال كه آيا آن‌ها تاكنون براي مقاصد خرابكارانه در مقياس بزرگ استفاده شده‌اند، خيلي خلاصه پاسخ مي‌دهند: «نمي‌دانيم». اما واقعيت اين است كه طرح سوالي درباره‌ي ميزان اهميت آسيب‌پذيري‌ها، سوالي هوشمندانه است.

تابه‌حال، به‌غير از چند نمونه از كارهاي اثبات مفهومي كه توسط پژوهشگران انجام شده، هيچ حمله‌ي فراگيري با استفاده از اسپكتر و ملتداون گزارش نشده است. همچنين، استفاده از MDS خيلي پيچيده‌تر از چيزي است كه در اين وب‌سايت به آن اشاره شده است. مهاجمان نمي‌توانند به‌صورت مستقيم داده‌هاي ذخيره‌شده در بافري كه مورد هدف قرار داده‌اند را كنترل كنند؛ يعني، شايد فقط داده‌هاي قديمي و غيروابسته‌اي را به‌دست بياورند كه هيچ فايده‌اي براي آن‌ها ندارد.

ميكروكدهاي به‌روزرساني‌شده براي سيستم‌هايي كه از پردازنده‌هاي «سندي ليك» (Sandy Lake) يا «كابي ليك» (Kaby Lake) بهره مي‌برند هم‌اكنون براي مشتريان ارسال شده است. در حال حاضر، پردازنده‌هاي Coffee Lake و Whiskey Lake دربرابر اين حمله ايمن هستند. تاثير ترميم‌هاي نرم‌افزاري بر عملكرد سيستم‌ها در حدود ۳ درصد تخمين زده مي‌شود.

در حال حاضر، در خيلي از پردازنده‌هاي نسل هشتم و نهم Intel Core و نسل دوم پردازنده‌هاي مقياس‌پذير Xeon موضوع MDS را به لحاظ سخت‌افزاري در دستور كار قرار داده‌اند. در ساير محصولات آسيب‌پذير نيز تلاش شده است تا ازطريق به‌روزرساني ميكروكدها به همراه ساير به‌روزرساني‌هاي مرتبط با سيستم‌عامل و نرم‌افزار هايپروايزور (Hypervisor) كه همين روزها در دسترس متخصصان قرار مي‌گيرند، از آسيب‌پذيري سيستم‌ها كاسته شود.اطلاعات بيشتر در اين زمينه را روي سايت قرار داده‌ايم و همچنان از همه مي‌خواهيم تا سيستم‌هاي خود را به‌روز نگه دارند. چرا كه به‌روزرساني يكي از بهترين روش‌ها براي در امان ماندن است. از همه‌ي پژوهشگراني كه با ما همكاري كردند و همه‌ي شركاي صنعتي‌مان، به‌خاطر نقشي كه در افشاي اين مسائل داشتند، قدرداني مي‌كنيم. 

هم انديشي ها مختلفي درباره‌ي خطرناك‌بودن آسيب‌پذيري‌هاي تازه كشف شده وجود دارد. سايت Wired در اين خصوص لحني هشداردهنده به خود گرفته و معتقد است كه اين آسيب‌پذيري‌ها به مهاجمان اين امكان را مي‌بخشد كه تقريبا بيت به بيت داده‌هاي خامي را كه يك پردازنده قرباني دريافت مي‌كند به دست بياورند. اين سايت مي‌گويد انديشه متخصصين پژوهشگران درباره‌ي جدي‌بودن اين آسيب‌پذيري‌ها، انديشه متخصصين صحيحي است.

در مقابل اينتل معتقد است كه باتوجه‌به اجراي پيچيده‌ي آن‌ها، گزارش نشدن حمله‌هاي خرابكارانه در مقياس گسترده و نيز اين حقيقت كه به‌روزرساني‌هاي ميكروكدها و پردازنده‌هاي ترميم‌شده‌ي سخت‌افزاري هم‌اكنون در بازار موجود هستند، مي‌توان گفت كه اين آسيب‌پذيري‌ها از ريسك متوسط يا پاييني برخوردار هستند.

به‌گفته‌ي PCMag:

آسيب‌پذيري‌هاي MDS كه كشف آن‌ها امروز اعلام شد، در اين مرحله بيشتر مسائلي علمي به‌انديشه متخصصين مي‌رسند. فعلا، هيچ حمله‌اي كه به‌نوعي درگير اين آسيب‌پذيري‌ها باشند در دنياي واقعي به‌صورت عمومي گزارش نشده است. شايد يك دليل مهم آن است باشد كه مهاجمان به‌جاي اينكه با پردازنده‌هاي اينتل دست‌وپنجه نرم كنند، خيلي راحت مي‌توانند از بدافزارهاي سنتي براي دزديدن داده‌هاي كامپيوترها استفاده كنند.

بخشي از سختي تصميم‌گيري درباره‌ي اينكه اين آسيب‌پذيري‌ها تا چه اندازه مهم و خطرناك هستند، به خاطر اين است كه متخصصان هنوز نمي‌دانند بايد حرف‌هاي كدام متخصص كارشناس را جدي بگيرند. به‌عنوان مثال، سال گذشته تئو درات (Theo de Raadt) مهندس نرم‌افزار كانادايي، تصميم گرفت كه رفتار پيش‌فرض سيستم‌عامل FreeBSD را تغيير بدهد و گزينه‌ي Hyper-Threading را در آن‌ها غيرفعال كند؛ چرا كه آن را يك ريسك امنيتي مهم مي‌دانست.

ولي طراحان ساير سيستم‌هاي عامل به اين نتيجه نرسيدند كه چنين كاري كنند. آيا واقعا Hyper-Threading يك خطر امنيتي بالقوه است؟ پاسخ مثبت است. آيا خطر آن به اندازه‌اي است كه متخصصان فعلي اقدام به غيرفعال‌سازي قابليت Hyper-Threading كنند؟ متخصص كارشناسان به‌معني واقعي كلمه با اين كار مخالف هستند. پاسخ منطقي كه مي‌توان به اين سؤال داد اين است: «بستگي دارد»؛ نه به‌اين‌خاطر كه هيچكس نمي‌تواند تصميم قاطعي در اين زمينه بگيرد، بلكه به‌اين‌خاطر كه شيوه‌هاي امنيتي مناسب در هر شرايطي بستگي به خطرات تهديد‌كننده و هزينه‌ي اصلاح آن دارد.

كاربران چقدر بايد اين تهديدها را جدي بگيرند؟ پاسخ اين است: آنقدر كه قانع شوند سيستم‌هاي خود را به‌روزرساني كنند. از همه‌ي اين‌ها گذشته، هنوز پيامدهاي اين تهديدها در دنياي واقعي براي كسي آشكار نيست. تا به امروز هيچ حمله‌ي مبتني بر اسپكتر يا ملتداون در سطح وسيع اتفاق نيفتاده است كه پردازنده‌هاي اينتل (يا هر پردازنده ديگري را) در هر نسلي درگير خود كرده باشد. اين بدان معني نيست كه چنين چيزي در آينده هرگز اتفاق نخواهد افتاد و البته، اينتل را از مسئوليت ايمن‌سازي محصولات خود مبرا نمي‌كند.

ولي اين به آن معنا هم نيست كه هكرهاي نامرئي همين الان ازطريق حمله‌هاي سخت‌افزاري كه روحتان هم از آن‌ها خبر ندارد، مشغول خالي‌كردن جيب‌هاي شما هستند. هر آسيب‌پذيري امنيتي لاخبار تخصصيا به يك حمله ختم نمي‌شود؛ حداقل تا به امروز كه چنين بوده است.