Bir kaç yıl önce aldığım “Side-channel attack” dersinin bugün işime yarayacağını ve bir felaket tellalığı yapacağım aklıma gelmezdi. Meltdown ve Spectre ismi verilen iki saldırı yöntemi sayesinde işlemcinizde olan biten herşeyi görebilmenin mümkün olduğu ortaya çıktı.

Nedir?

Öncelikle belirtmemiz lazım olan en önemli husus bulunan açıklar tamamen donanımsal hatalardan kaynaklanıyor. Bunun üzerine bir iyi bir de kötü haber vereyim:

  • Bu açıkları yazılım güncellemesiyle engellemek mümkün olacak
  • Yapılacak yazılım güncellemeleriyle tüm işlemcilerin %5-%30 arasında yavaşlayacağı tahmin ediliyor.

Bulunan açıklar ve üzerlerine geliştirilen iki saldırı yöntemi ile işlemci üzerinde o sırada işlenmekte olan tüm veri okunabiliyor. Normalde çalışan programlar birbirlerinin verilerini okuyamamalı, ancak meltdown ve spectre ile birlikte herhangi aktif olan bir program tüm verilere hakim olabilir. Örneğin şifrelerinizi yönettiğiniz programlardan birisi açıksa tüm şifreleriniz ve kredi kartlarınıza ait bilgileri kaptırdınız demektir.

Her iki saldırı bilgisayarlar, mobil cihazlar ve hatta bulutta da çalışıp bilgi çalabiliyor. Ayrıca bulut sistemin yapısına bağlı olarak farklı kullanıcıların da bilgilerini çalması mümkün.

Meltdown: Donanımsal olarak konulduğu düşünülen güvenlik duvarlarını erittiği için bu isim uygun görülmüş.
Spectre: Yazılımları kandırıp bilgilerini çalabildiği ve spekülatif bir çalışması olduğu için bu isim uygun görülmüş.

Detaylı Bilgi Var mı?

Her iki saldırı da siber güvenlik alanında çalışan önemli kişiler ve ekipleri tarafından bulunmuş ve akademik olarak da kanıtlanmıştır. Meltdown ile ilgili daha detaylı bilgi için akademik makalesini veya bu blog yazısını okuyabilirsiniz. Aynı şekilde Spectre için de bu akademik makaleyi ve Google Project Zero blog yazısını okuyabilirsiniz.

İşletim sisteminiz ve kullandığınız işlemcilere göre yapılan duyurular ve güvenlik uyarılarını okumak için bu linki takip edebilirsiniz.

Barış Altop
Barış Altop
Matematik tutkusunu yazılım sanatına dönüştürmeyi hedef seçmiş, bilgisayar mühendisliği doktora öğrencisi. Biraz Apple tutkunu, ama teknoloji düşkünü yazılımcı.