„Meltdown“ ir „Spectre“ pažeidžiamumai kelia grėsmę praktiškai visiems kompiuteriams ir išmaniesiems telefonams. Kodėl „Intel“ teatrališkai numoja į tai ranka?
Nuo sausio pradžios pasaulio žiniasklaida aptarinėja aptiktus beprecedenčius „Intel“ procesorių pažeidžiamumus. Jais pasinaudodami, piktavaliai gali pasiekti branduolio atmintį, kur laikoma konfidenciali informacija. Grėsmė kilo įrenginiams, kuriuose veikia „Windows“, „Linux“ ir „MacOS“ operacinės sistemos. Nors kompiuterių gamintojai netgi ima svarstyti bendradarbiavimo su „Intel“ nutraukimą, korporacija rastiems pažeidžiamumams nelinkusi priskirti itin didelės grėsmės.
Las Vegase neseniai vykusioje plataus vartojimo elektronikos parodoje „Consumer Electronic Show“ – CES kalbą sakė „Intel“ generalinis direktorius, 57 metų Brianas Krzanichas. „Bloomberg“ straipsnio autoriaus nuomone, tai buvo gan keista įžanginė kalba. „Dabar tenoriu padėti telefoną į šoną ir pašvęsti vakarą inovacijų šlovinimui“, – pareiškė jis, girdamas korporacijos pasiekimus virtualios realybės technologijų srityje ir partnerystę su bepiločių aparatų gamintojais. Po įžangos jis pakvietė susirinkusiuosius į lauką pasigėrėti šimtų „Intel“ pagamintų arba valdomų, naudojant kompanijos lustus, dronų atliekamu šviesų pasirodymu.
Dabar „Intel“ gamina ~90 % kompiuteriams skirtų mikroprocesorių ir 99 % duomenų centrų serverių lustų. Didžiausia pasaulyje lustų ir procesorių gamintoja iš visų jėgų stengiasi savo veiklą išplėsti, tačiau 2017 metų korporacijos pajamos buvo 60 mlrd. dolerių, o pelno marža 63 % – daugumai kompanijų toks pelnas nė nesisapnuoja.
„Intel“ vadovo kalba nuskambėjo siurrealistiškai, nes joje praktiškai neužsiminta apie tai, kas kirbėjo susirinkusiųjų mintyse: potencialiai katastrofiškos naujienos apie „Intel“ procesoriuose nepriklausomų tyrėjų aptiktus pažeidžiamumus „Meltdown“ ir „Spectre“. Pasinaudodami jais, hakeriai gali prasmukti į tą kompiuterio dalį, kur naudotojai saugo slaptažodžius, šifravimo raktus ir kitą slaptą informaciją. O be to, grėsmė beprecedentė: pavojus gresia praktiškai visiems kompiuteriams, išmaniesiems telefonams ir serveriams. Dėl to pateikti ieškiniai ir reikalavimai ištirti incidentą, griaunantį tikėjimą „Intel“ technine magija.
Kelis pastaruosius metus stambūs debesų kompiuterijos paslaugų tiekėjai stengiasi susilpninti „Intel“ monopoliją serverių lustų rinkoje, kurdami savo modelius ar remdami jos konkurentus. Ir korporacija savo veiksmais jų pastangas tik skatina.
Netgi „Meltdown“ ir „Spectre“ aptikę ekspertai iš pradžių nepatikėjo savo akimis. „Tai tokia didžiulė „Intel“ nesėkmė, kad tai tiesiog negalėjo būti tiesa“, – prisimena Michaelis Schwartzas iš „Google“. „Spectre“ spraga būdinga visiems šiuolaikiniams procesoriams, netgi gaminamiems konkurentų, o „Meltdown“ „veikia“ tik su „Intel“ lustais.
Saugumo spragas galima užlopyti, tačiau tada lustai sulėtėja 30 %, ir šiuolaikiškiausias serverio procesorius atsiduria 2013 metų lygyje. „Tokiems atvejams parengto sprendimo nėra, – sako Charlesas Carmichaelas iš JAV kompanijos „Mandiant“, užsiimančios kibernetiniu saugumu. – Nemanau, kad kada nors susidūrėme su tokioje daugybėje įvairių operacinių sistemų ir įrenginių veikiančiu pažeidžiamumu.“
Jei darbo sulėtėjimas bus toks rimtas, duomenų centrų valdytojų išlaidos smarkiai išaugs ir šie, savo ruožtu reikalaus kompensacijos iš „Intel“. Kol kas stambūs debesų kompiuterijos paslaugų tiekėjai tikina, kad ši problema jų klientams neatsilieps, todėl jų planai ir išlaidos tebėra neaiškūs. Kadangi „Intel“ taip smarkiai priklausoma nuo lustų pardavimų pajamų, korporacijai padengti nuostolius bus nelengva. Po pranešimų apie pažeidžiamumus pasirodymo viešumoje, „Intel“ akcijų kaina nukrito 5 %, o vienintelio realaus jų konkurento mikroprocesorių ir serverių lustų gamybos srityje – „Advanced Micro Devices“ (AMD) – išaugo 11 %.
Per pusę metų, kol „Intel“ tylomis ieškojo pažeidžiamumų sprendimo būdo, Krzanichas pardavė kompanijos akcijų už 24 mln. dolerių. „Intel“ tvirtina, kad toks žingsnis buvo suplanuotas jau seniai iki sužinojimo apie „Meltdown“ ar „Spectre“. Tačiau praėjus vos dienai nuo Krzanicho kalbos CES, du JAV senatoriai nusiuntė laiškus į Valstybinę vertybinių popierių ir fondų rinkų komisiją ir JAV Teisingumo ministeriją, kuriuose reikalaujama atlikti tyrimą. Klientų ir akcininkų advokatai jau padavė kelis kolektyvinius ieškinius prieš korporaciją, ir kol kas menkai tikėtina, kad spaudimas Krzanichui artimiausius metu susilpnės. Analitinės firmos „Bernstein“ ekspertas „Intel“ akcijų pardavimą pavadino „nepateisinamu“.
Krzanichas duoti interviu „Bloomberg“ atsisakė. Tuo tarpu „Intel“, panašu, „Meltdown“ ir „Spectre“ didelės reikšmės neteikia. Pirmajame (sausio 3-osios) pareiškime kompanija „Spectre“ ir „Meltdown“ pažeidžiamumų savo silpnomis vietomis nepripažino, pavadindama juos nauja šios šakos fenomeno „tyrimo“ sfera. Pranešime taip pat buvo sakoma, kad šis epizodas daugumai žmonių ir „Intel“ verslui niekaip neatsilieps. Pasisakydamas CES, Krzanichas trumpai užsiminė apie incidentą, padėkodamas kolegoms už bendrą darbą su naujais „saugumo užtikrinimo sferos radiniais“.
„Intel“ klientai, įskaitant ir stambiausias technologijų pramonės įmones, iš esmės tyli. Jos neturi alternatyvaus lustų ir mikroprocesorių tiekėjo. Tačiau kalbėdami privačiai, kai kurie reiškia nepasitenkinimą. Kitą dieną po vaizdingo „Intel“ pasirodymo CES, „Microsoft“ tinklaraštyje atsirado įrašas, kurio autorius abejojo, ar naudotojai nepastebės sumažėjusios spartos. Navin Shenoy, vykdantysis „Intel“ viceprezidentas, savo pareiškime vartotojų saugumą pavadino kompanijos „pagrindiniu prioritetu“. Tuo tarpu privačiuose pokalbiuose su klientais, „Intel“ vyr. valdytojai, visų PK naudotojų saugumui ir visos verslo srities pelnui gresiančią katastrofą vertino lengvabūdiškai. Tuo tarpu potencialus neigiamas poveikis, pasak vieno valdytojo, „velnioniškai baugina“.
Iš dalies „Meltdown“ ir „Spectre“ kelia siaubą tuo, kad paneigia įsigalėjusią nuomonę apie informacinį saugumą. Nuo šio amžiaus pirmojo dešimtmečio vidurio „Intel“ sustiprino savo lustų saugumą ir pradėjo skatinti vartotojus slapčiausią informaciją saugoti toje „aptvertoje“ zonoje, o ne programos atmintyje. Vos prieš porą metų tyrėjai pirmą kartą pastebėjo ir pabandė nulaužti vadinamąjį „spekuliatyvųjį vykdymą“ – funkciją, kuria „Intel“ spartino savo procesorius. Iš esmės, per ją lustas gali pasiekti bet kuriuos duomenis, netgi esančius įslaptintoje zonoje, iki patikrinimo, ar naudotojas turi tam teisę. Kompiuteriai ir išmanieji telefonai kasmet labiausiai spartėjo būtent dėl šios funkcijos. Tuo pat metu tai tapo priežastimi vis didėjančios skylės saugumo sistemoje.
Šios funkcijos pažeidžiamumai buvo svarstomi konferencijose ir moksliniuose tyrimuose, bet buvo laikomi grynai teoriniais. Tačiau pernai pavasarį 22 metų amžiaus Jannas Hornas iš elitinio „Google“ kibernetinio saugumo užtikrinimo padalinio sugebėjo gauti asmeninius duomenis iš saugomos zonos. Apie tai Hornas pranešė „Intel“ dar birželį, aplenkdamas kitas tris tyrėjų komandas, irgi aptikusias problemą 2017 metais, tačiau šiek tiek vėliau. Jie pradėjo bendradarbiauti su „Intel“, bandydami ją pašalinti, ir savo išvadas planavo paskelbti sausio 9 dieną, tačiau juos aplenkė apie „čipokalipsę“ papasakojusi žiniasklaida. „Google“ tinklaraštyje buvo rašoma, kad saugumo problemos debesų kompiuterijos paslaugų naudotojams suteikia galimybę slapta stebėti kito naudotojo kompiuterį, o taip pat slapta pavogti jo slaptažodį ir gauti prieigą prie jo failų.
„Intel“ vyr. valdytojai su hipoteze, kad dėl susitelkimo į spartą kompanija pražiopsojo akivaizdžius pažeidžiamumus, nesutinka. „Intel“ teigia, kad jau ištaisė 90 % savo lustų programinės įrangos klaidas ir kad čia nėra nieko nepaprasto. „Mes nuolat geriname savo produkciją, – sako Stephenas Smithas, „Intel“ duomenų centrų grupės generalinis vadovas. – Tiesiog dabar esame dėmesio centre“. CES Krzanichas pranešė, kad kol kas „Intel“ nėra gavusi informacijos, kad žalingi kodai būtų naudojami naudotojų duomenų gavimui.
Skamba viltingiau, nei turėtų. Saugumo ekspertai mano, kad jeigu keturios saugumo tyrėjų grupės nepriklausomai viena nuo kitos šiuos kodus aptiko, tai reiškia, kad tobuliausius kibernetinius ginklus turinčių šalių (Kinija, Rusija) valdžia juos irgi turi. Pasak Carmichaelo iš „Mandiant“, savo arsenale „Spectre“ ar „Meltdown“ turinti žvalgybos agentūra taikysis į stambų taikinį – pavyzdžiui, JAV Gynybos ministeriją.
Eiliniam naudotojui „Meltdown“ ir „Spectre“ kol kas kelia menkesnę grėsmę, nei tipiškos fišingo atakos. Šie pažeidžiamumai nesukels panikos, kokia apėmė daugelį, kai pernai buvo įsilaužta į stambiausio kreditų istorijų biuro „Equifax“ naudotojų duomenų bazę. Tačiau tai gali pasikeisti. Anksčiau netikėję, kad kompanija gali palikti neužrakintą slaptą įėjimą ir „Intel“ „geležies“ nebandę nulaužti hakeriai dabar gali pabandyti prasmukti vidun. „Tai naujo tipo kibernetinės atakos. Tai tęsis“, – mano Jeffas Pollardas, „Forrester“ kompanijos analitikas.
Dėl viso to „Intel“ atsidūrė sunkioje padėtyje. Išmaniųjų telefonų rinkoje korporacija užleidžia pozicijas „Samsung“, „Qualcomm“ ir ARM, o konkurentė „Nvidia“ užėmė pirmaujančią vietą sparčiai augančioje grafinių procesorių, skirtų dirbtino intelekto naudojimui, rinkoje. Dabar gi „Meltdown“ ir „Spectre“ grasina pagrindiniam „Intel“ verslui. Korporacija kol kas neturi konkurentų serveriams skirtų lustų gamybos sferoje, tačiau situacija gali pasikeisti. „Microsoft“ ir „Google“ neseniai teigiamai atsiliepė apie pirmąjį „Qualcomm“ sukurtą lustą, kuriuo prekiauti pradėta lapkritį, o „Apple“, „Google“, „Microsoft“, „Amazon“ ir „Facebook“ turi nuosavus mikroprocesorių kūrimo padalinius.
Realesnė „Intel“ kylanti grėsmė – politinė. Korporacijai neabejotinai teks atlaikyti įstatymdavių kritikos bangą, juk visų šalių vyriausybės vis skeptiškiau vertina technologijų sferos kompanijas monopolistes. „Pernelyg didelė priklausomybė nuo vieno gamintojo, nuo vienos technologijos buvo paskelbta kaip būdas sumažinti kainas. Tačiau taip visuomenė darosi labiau pažeidžiama ne tik hakerių, bet ir „šokinių įvykių“, sutrikdančių visų sistemų darbą“, – sausio 11 savaitiniame pranešime rašė Vašingtono analitinis centras „Open Markets“ institute. Kol kas didžiausia „Intel“ problema lieka Krzanichiaus atliktas kompanijos akcijų pardavimas, tačiau jeigu paaiškės, kad buvo padaryta žala vartotojams (dėl išaugusių kainų ar hakerių atakų), gali būti, kad kontroliuojantys organai reikalaus apginti vartotojus ieškiniais ir antimonopoliniais tyrimais.
Ir šias „Intel“ produkcijos spragas ištaisyti bus nelengva. Mikroprocesorių ir serverių lustų kūrimas, testavimas ir gamyba truko ne vienus metus ir atsiėjo dešimtis milijonų dolerių. Dabar kompiuterių savininkams ir duomenų centrų valdytojams teks atlikti nemalonų pasirinkimą: panaudoti darbo našumą sumažinančius „Intel“ programinės įrangos pataisymus, arba jų atsisakyti ir rizikuoti. („Intel“ jau pranešė, kad dėl pataisymų kai kurios mašinos dažniau persikrauna.) Ateityje mikroprocesorių ir lustų spartos nesumažinantys pataisymai bus įgyvendinti aparatiniame lygmenyje, tačiau kompanijos teigimu, pirmosios versijos pasirodys tik po kelių mėnesių.
Su panašiu visuomenės spaudimu „Intel“ jau teko susidurti. 1994 metais kompanija griežtai kritikuota dėl to, kad jos „Pentium“ procesoriai klaidingai atlikdavo kai kuriuos skaičiavimus, o pati kompanija ignoravo to įrodymus. Dėl šios krizės IBM atsisakė tiekti kompiuterius su defektuotais procesoriais. Kruopščiai sukurtas „Intel“ prekės ženklas – „Intel Inside“ – anksčiau buvęs savotišku kokybės ženklu, ėmė kelti abejones. Tuometinis korporacijos vadovas Andy Grove, pripažinęs klaidą, pasiūlė pakeisti visus probleminius procesorius, kas „Intel“ kainavo 475 mln. dolerių – tais laikais tai atitiko maždaug pusę tyrimams ir kūrimui kompanijos skirto biudžeto.
Grove'o pamoka, kaip jis pats parašė savo knygoje „Išgyvena tik paranojikai. Kaip išnaudoti krizes, ištinkančias bet kurią kompaniją“, ta, kad „Intel“ buvo užklupta netikėtai. Ilgiau nei ketvirtį amžiaus veikusi kompanija vis dar manė esanti aikštinga startuolė. Tačiau drauge su dydžiu ir įtaka atėjo ir atsakomybė, pripažįsta jis. „Problema buvo ne tik tai, kad nesupratome, jog taisyklės pasikeitė. Blogiau – nežinojome, kokių taisyklių dabar reikia laikytis“, – rašo Grove'as.
Pastaruosius 25 metus „Intel“ buvo stambiausiu lustų gamintoju, tačiau „Meltdown“ ir „Spectre“ gali sukelti liūdnesnes pasekmes, nei „Pentium“ problemos. Jeigu kompanija nori išsaugoti savo pozicijas, ji privalo parodyti nuolankumą, o ne pigius teatrališkus efektus.