Macpatric reder ut säkerhetshålen Meltdown & Spectre

18 Jan 2018

Den absolut största snackisen inom datasäkerhet sedan strax efter nyår har varit de två säkerhetshålen Meltdown och Spectre som hela IT-branschen drabbats av och försöker att lansera säkerhetslösningar till. Mac-plattformen är också drabbad och det finns många som vill veta mer om säkerhetshålen då dessa uppmärksammats. Hur stort är problemet? Hur orolig behöver man vara? Hur skyddar man sig? Macpatric reder ut efter att ha genomfört en rejäl research.

Innan vi börjar genomgången så vill vi på Macpatric understryka att Mac-användare inte behöver känna sig tvingade att uppgradera från Mac OS 10.11 eller 10.12 till senaste 10.13.2 för att ta del av lösningar. Det finns nämligen lösningar till gamla 10.11 ("El Capitan") och 10.12 ("Sierra"). Men även visst skydd till Mac OS X 10.9–10.10. Mer om det längre ner i denna genomgång.

Bakgrund

Allt handlar om en datorteknisk term som kallas "Speculative Execution". Det hela kan jämföras med rullande bandet på kassan i mataffären. Vi låtsas att det finns en stamkund som varje dag efter jobbet köper samma dryck och samma färdigrätt som är redo att värmas i ugnen. Då skulle kassören baserat på det statistiska underlaget kunna slå in alla varor i förväg för att vinna tid.

Ungefär en sådan princip/metodik har utvecklats för processorer till datorer för att öka prestandan på annat sätt än det klassiska med fler och fler MHz/GHz (högre klockfrekvens). Förr eller senare uppstår det felbedömningar i processorn och då kommer det "förberedda resultatet" att kastas och hamnar därmed i oskyddad del av processorns cacheminne som en obehörig kan nå via en så kallad "side-channel". Exempel på känslig/privat information som kan hamna i en "side-channel" är lösenord och kontoinformation.

I datorhistoriens tidiga skede innan internet blommade ut stod persondatorer och stordatorer ganska isolerade från omvärlden och då ansågs inte "Speculative Execution" vara ett säkerhetsproblem.

Men nu med dagens spridning av internet och världens samlade maskinpark med servrar, persondatorer, surfplattor och smartphones har det blivit ett potentiellt problem. Problemet upptäcktes i juni 2017 av bland annat Google Project Zero och av allt att döma har de stora teknikjättarna snackat ihop sig bakom stängda dörrar om att skapa säkerhetslösningar och jobbat med detta under andra halvan av år 2017.

Tre olika sårbarheter hittades och kallas för variant 1, 2 och 3. Ettan och tvåan kallas Spectre (Spöke / Gengångare) medan trean kallas för Meltdown (Härdsmälta). Samtliga tre är svåra att utnyttja. Det går endast att läsa data men inte skriva något, så någon skadlig kod kommer inte kunna läggas in. Men stöld är stöld – stort som smått. Företag och myndigheter vill inte ha läckage och privatpersoner bryr sig om sin personliga integritet. 

Läget just nu

Allmänheten informerades den 3:e januari i år och redan då hade de stora teknikjättarna hunnit jobba en hel del bakom stängda dörrar med förklarande texter och att undersöka vilka processorer/produkter som är drabbade. Så gott som de flesta processorer är drabbade. Vissa processorer påstås dock vara odrabbade. Apples egna analyser visar att endast Apple Watch har sluppit denna detta säkerhetshål. Alla – åtminstone i modern tid – Macar, iPhone, iPad, iPod touch och Apple TV är drabbade.

Problemet är hårdvarurelaterat där mjukvaruupdateringar kan täppa till hålen allt mellan noll och 100 procent. Apple, Microsoft och Linux-världen har jobbat för högtryck med att göra vad dom själva kan för att lösa problemen i så stor grad som möjligt. Hårdvaruföretagen har tagit till sig problematiken och det troliga är att framtidens processorer kommer att designas för att undvika detta problem.

Störst risk att drabbas ser datacenters/webhotell ut att vara där den så kallade "side-channel" i processorerna kan läsas av. Kontouppgifter, personuppgifter och annan känslig företagsinformation kan fiskas upp. För vanligt folk med en persondator är risken mindre, men den finns alltid. Webbläsare (JavaScript och Cookies är några av bovarna) och antivirusprogram uppges vara två av de mest riskabla programmen att använda om man oroar sig för Meltdown och Spectre.

Beroende på dator/enhet, processor och operativsystem kan mjukvaruupdateringarna dra ned prestandan i datorn med upp till hela 30 procent. Att prestandan kan reduceras är inga konstigheter då bakgrunden till problematiken handlar om öka prestandan. Datacenters uppges bli prestandamässigt värst drabbade av mjukvaruuppdateringarna. Sedan kommer vanliga PC-datorer med Windows 7–8 och Intel-processorer som ej är från senaste generationen. Minst drabbade ser extremt moderna PC med Windows 10 samt Macar ut att vara med näst intill omätbar påverkan.

Apple var väldigt snabba med säkerhetsuppdateringarna och tjuvstartade faktiskt med att släppa Meltdown-åtgärder redan i december 2017 till exempelvis Macarna. Med andra ord innan branschen informerade allmänheten om problematiken. Därefter snabbade sig Apple med att ordna åtgärder för Spectre.

Detta innebär inte per automatik att alla Macar med åtgärder för Meltdown och Spectre är 100 procent säkrade för dessa problem. Bedömare i branschen/teknikmedia spår att de säkerhetsuppdateringar vi hittills sett/fått för Spectre (och kanske även för Meltdown) är bara en början på en följetång med uppdateringar. De säkerhetsuppdateringar som hittills släppts är naturligtvis viktiga att ta del av och installera.

Tyvärr är risken stor att säkerhetsuppdateringar för äldre datorer/operativsystem ej släpps. Det krävs på Mac-sidan en dator som klarar Mac OS 10.11 El Capitan eller senare för att ta del av så gott som bästa möjliga skydd. Det gör att äldre Mac-modeller än dessa blir utan säkerhetsåtgärderna:

MacBook (i aluminium från slutet av 2008, eller tidigt 2009)
MacBook Pro (mitten av/sent 2007)
MacBook Air (sent 2008)
Mac mini (tidigt 2009)
iMac (mitten av 2007)
Mac Pro (tidigt 2008)
Xserve (tidigt 2009)

Så här har Apple hittills skyddat sina produkter...

Apple Watch – påstås vara ej drabbad

Apple TV – drabbad
Meltdown-åtgärd: tvOS v11.2.0
Spectre-åtgärd: ännu ingen lösning

När det gäller Apple TV i allmänhet är det än så länge ganska tryggt, med tanke på den relativt begränsade katalogen med tredjepartsappar som kan installeras.

iOS-enheter – drabbade
Meltdown-åtgärd: iOS v11.2.0
Spectre-åtgärd: iOS v11.2.2

Observera att dessa uppdateringar till iOS kommer exempelvis Google Chrome för iOS till nytta, eftersom den webbläsaren använder sig av Apples lösning (WKWebView) för att sidvisningar. Men trots detta är det ändå klokt att säkerställa att iOS-enheten har senaste möjliga Chrome för iOS.

Mac-datorer – drabbade
Meltdown-åtgärd: Mac OS v10.11.6 Sec Update 2017-005, v10.12.6 Sec Update 2017-002 samt Mac OS v10.13.2
Spectre-åtgärd: Mac OS v10.13.2 Tilläggsuppdatering

Safari för Mac - drabbad
Meltdown-åtgärd: Safari v11.0.2 (till Mac OS v10.11.6+)
Spectre-åtgärd: Safari v11.0.2 (till Mac OS v10.11.6+)

Övriga produkter/mjukvaror – mer info lär dyka upp framöver

Så här har ett urval av andra teknikjättar hittills skyddat sina produkter...

Mozilla – webbläsaren Firefox fick säkerhetspatchar i version 57.0.4.

Google – läs mer här

Microsoft – läs mer här

Hur bör man resonera om man har en dator/mobil som garanterat eller eventuellt är drabbad av hårdvarubristerna men har Mac OS v10.10 (Yosemite) eller äldre eller annat system som tillverkaren slutat ge uppdateringar till?

1 – i första hand, om möjligt – uppgradera datorn, mobilen eller surfplattan till åtminstone Mac OS v10.11 eller iOS 11.2.2. I samband med uppgradering till Mac OS v10.11 eller senare kan det även vara klokt att uppgradera RAM och hårddisk/SSD om möjligt. Se även till att du har Safari 11.0.2 eller nyare version ifall det är din favoritbrowser. Mac OS v10.11–10.12 kommer dock sakna Spectre-fix på systemnivå men det finns dock detta på webbläsarnivå som senaste Safari och version 64 eller senare av Google Chrome.

2 – om datorn har Mac OS X v10.9 eller v10.10 kan du komma relativt långt med datorsäkerheten genom att använda senaste versionen av Google Chrome istället för Safari. Chrome v63 kräver Mac OS X v10.9 eller senare. Nya Chrome v64 med nya säkerhetstänket är planerad att släppas 23:e januari.

3 – om datorn klarar Mac OS v10.11 men att det av olika skäl som exemplevis Rosetta i Mac OS X 10.6 Snow Leopard gör att datorn behöver behålla detta äldre system så är en god idé att vara mer noga än tidigare med vilka sajter på nätet man surfar in på, oavsett vilken webbläsare som används. Utöver detta är det också en god idé att fundera kring en lösning att uppgradera till Mac OS v10.11 eller senare i kombination med att säkerställa att alla de program som används i den dagliga driften kommer att fungera – eller hitta alternativa lösningar.

4 – om datorn klarar Mac OS X v10.8 som absolut nyaste systemversion, vilket innebär att inte ens Google Chrome med nya säkerhetstänket är möjlig att använda, gäller det också att vara noga med vilka sajter man surfar in på. Kanske är det snart dags att skaffa ny dator?

5 – ännu något oklart hur det ligger till med dessa säkerhetsaspekter hos äldre Macar med PowerPC-processorer och de ännu äldre med 68k. Enligt denna analys bör man kunna känna sig relativt trygg med en G3- eller G4-Mac, däremot är G5-Macarna inte lika trygga. Det kommer säkerligen att komma mer information i detta ämne på sikt.

6 – till sist, och detta gäller för samtliga mobil-/datoranvändare: samtliga av dessa hårdvarubuggar är extremt svåra att utnyttja. Risken att drabbas är extremt liten. Även om Apple, Google, Microsoft och de övriga mjukvarujättarna kommer med säkerhetsfixar finns det inga garantier att bli av med säkerhetsproblemen helt och hållet som hårdvaran medför. Inte ens Mac OS v10.13.2 med senaste Safari, Firefox eller Chrome kan 100-procentigt garantera att problemen försvinner helt och hållet. Däremot kan man minimera säkerhetsriskerna så mycket som möjligt. För att Meltdown och Spectre ska försvinna behöver företagen på hårdvarusidan jobba fram nya lösningar. Extremt säkerhetsmedvetna personer gör rätt i att vänta med nya datorköp och slå till när exempelvis Apple kan garantera att de nya modellerna har en processor där problemet saknas.

Macpatric hjälper dig som som är osäker kring säkerheten

Förhoppningsvis har denna genomgång kunnat vara till hjälp. Känns det ändå som att du behöver hjälp med att uppgradera/säkra din dator eller datorpark, oavsett om det har med dessa nämnda säkerhetsfrågor att göra eller på grund av andra säkerhetsfrågor – kontakta Macpatric redan idag.

 

För den som vill läsa på mer – nyttiga länkar:

https://meltdownattack.com/

Apples egen redogörelse för säkerhetshålen

Sajten iMores "levande" infosida där senaste nytt kring säkerhetshålen för Apples produkter alltid uppdateras (engelska)

Google Project Zero – som upptäckte säkerhetshålen – har sin första redogörelse här i detta blogginlägg (3 januari 2018)

Svenska sajten Sweclockers genomgång av säkerhetshålen

Scott Manleys video på YouTube där säkerhetshålen förklaras (4 januari 2018, engelska)

Liknande läsning

Så använder du din Mac som AirPlay-mottagare – en enkel guide
Tips & Tricks från Macpatric  Många av oss använder AirPlay för att strömma innehåll till våra smarta TV-apparater, men visste...
Välj lokal backup för din iPhone eller iPad på macOS Sonoma
Hantera din iPhone eller iPad med macOS Sonoma Med macOS Sonoma har Apple vidareutvecklat processen att hantera din iPhone eller...
Kommunikation utan gränser: Apple bekräftar RCS för iPhone
Apple bekräftar RCS på iPhoneI en oväntad och betydelsefull vändning har Apple bekräftat att de kommer att införa RCS (Rich...