İkiz kardeş hatalarımız Meltdown ve Spectre

Gün geçmiyor ki yeni hatalarımız ortaya çıkmasın. İşlemcilerin yapılarındaki boşlukları kullanarak şifrelenmemiş dataları “çalmaya” yarayan iki yeni açığımız var, Meltdown ve Spectre. 1995 yılından sonra geliştirilmeye başlayan yeni mimarinin teknolojiye kattıkları malum. Ama şeytanın aklına gelmeyecek bir açıkları olduğu daha yeni ortaya çıktı. Sistemlerin içinde bulunan ve işlemcinin fiziksel yapısında değil ama sistem mimarisinden kaynaklanan bu açıkları kullanan Meltdown ve Spectre için hali hazırda tam manasıyla bir düzeltme bulunmuyor.

Meltdown ve Spectre

Kendi internet siteleri olan[1] bu ikiz kardeşler Google Project Zero üzerinde çalışan Jann Horn ve Teknoloji üniversitelerinde çalışmalar yürüten diğer mühendisler tarafından ortaya çıkartıldı. Son sürümlerdeki işlemcilerden başlayarak, 2011 yılından itibaren üretilen işlemciler üzerinde yapılan testlerde bu açıkların bulunduğunu fark ettiklerini açıklamışlar. Hatta bu açıkların 1995 yılındaki işlemcilere kadar uzandığını ifade ettiler. Zaten bundan öncesi farklı mimari yapıyla oluşturulmuş işlemcileri kapsıyor.

Genel olarak işlemci mimarisinde ham ve şifrelenmemiş verilerin aktarımında kullanılan alanlar arasındaki boşlukları kullanabilen bu açıklar girilen veri bilgisini anlık olarak yakalayabiliyor. Hedefleme doğru yapılabilirse işlemci üzerinde geçişi sağlanan data böylelikle “çalınmış” oluyor.

Meltdown Ne Yapıyor?

Sistemin kullanmış olduğu alt yapı olan ve Kernel olarak bilinen kod bütünlüğünün içerisindeki güvenlik alanlarını yıkarak ya da kendi isminin çevirisiyle “eriterek” ilerleyen sistem, araya girerek içerikleri ve hafızada bulunan verilerin dökümünü alabiliyor. Aynı zamanda şayet işlemcide belirli bir ID bilgisine sahip olunursa programlar üzerindeki şifre giriş alanlarındaki verileri çekebiliyor.

Aşağıda meltdown atağının bir işlemciden veri çekerken görebilirsiniz. Bu arada belirtmemiz gerekiyor. Bu ataklar yazılım açıklarına güvenmiyor. Direkt olarak işlemci hafızası ile kernel arasına giriyor.

Alttaki videoda ise bu bir programın şifre alanına girilen verinin terminal alanında erişilmesini gösteriyor.

Spectre Ne Yapıyor?

Farklı uygulamalar arasındaki izolasyon katmanlarını kırıyor ve böylelikle hata sahibi olmayan uygulamaların arasına sızıyor. Meltdown ataklarından daha zor bir uygulama yapısı olsa da sistemin bir şekilde hata vermesini sağlayarak içeriye sızmasını biliyor. Böylelikle güvenilen uygulamalarda bile açıkların oluşmasını ya da daha doğru anlatımla veri sızdırılmasını sağlıyor. Meltdown’a göre durdurması ya da düzeltilmesi daha zor bir atak türü olarak karşımıza çıkıyor.

Bu iki atak türü de bilinen sistem kayıtlarına bir kayıt ya da teknik bilinen adıyla “log” bırakmıyor. Bu yüzden sisteminize sızılmış ve bu ataklar uygulanmaya başlanmış olsa bile fark edemiyorsunuz. Her iki sistem için de emekleme aşamasını yeni aşmış olsa da güvenlik yamaları bulunmakta.

Peki Meltdown ve Spectre için çözüm var mı?

Linux, MacOS ve Windows için Meltdown için önerilen güvenlik yaması KPTI ve Spectre için önerilen güvenlik yaması ise LLVM Patch adındaki yama. Genel anlamda bu ataklardan kaçınmak için yüzde yüz bir koruma sağlayamadıkları da bilinenler arasında.

Bunun yanında aklınızdaki şu soruları da yanıtlayarak haberimizi sonlandırmaya ve gelecek yeni haberleri takip etmeye devam edelim.

  1. Sistemim etkilenmiş midir?
    Muhtemelen Evet
  2. Meltdown ve Spectre ataklarını tespit edebilir miyim?
    Muhtemelen hayır. Bilinen kayıt dosyalarında bir iz bırakmıyorlar
  3. Antivirüs bunları tespit edebilir mi?
    Şu an bilinen yöntemler ile tespit edilmesi oldukça güç. Çünkü bir malware gibi davranmıyorlar. Ama belki bu altyapıyı malware ile birleştiren biri olursa olabilir.
  4. Meltdown hangi sistemleri etkilenmiş olabilir?
    Masaüstü, Dizüstü, Bulut sistemler Meltdown tarafından etkilenmiş olabilir. 1995 yılından sonra üretilen çoğu işlemci üzerinde test yapıldı. Özellikle Intel işlemciler üzerinde denenen bu sistemin ARM ve AMD altyapısını kullanan işlemcileri etkileyip etkilemediği netlik kazanmadı.
  5. Spectre hangi sistemleri etkilemiş olabilir?
    Bilinen bütün sistemler Spectre tarafından etkilenmiş olabilir. Masaüstü, dizüstü ve bulut sistemlerin tamamı bu atağa karşı açıklar barındırıyor. Metldown’un aksine Spectre Intel, AMD ve ARM altyapılı işlemlerde başarıya ulaştı.
  6. Bu atakların teknik (CVE) kodları neler?
    Meltdown için kullanılan kod CVE-2017-5754 ve Spectre için kullanılan kodlar CVE-2017-5753 ve CVE-2017-5715

Ekstra olarak bu konu hakkında bir tweet floodu ile sizleri baş başa bırakıyorum. Bu flood için Gökhan Topçu’ya teşekkür ediyoruz (@ifndefgt)

[1] Meltdown Atack Web Sitesi

Serkan Algur

WordPress ve Web üzerine makaleler yazan ve "yazılımcıyım" diye ortada dolanan bir deli :) Birkaç ay içinde taze baba :D

Bir Cevap Yazın