Hiljattain havaitut tietokoneen prosessoreiden Meltdown- ja Spectre-haavoittuvuudet eivät aiheuta ongelmaa tavalliselle käyttäjälle, mutta ne saattavat haitata esimerkiksi pilvipalveluympäristöissä, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen.
Muun muassa Guardian ja New York Times ovat kirjoittaneet maailmanlaajuisesta haavoittuvuusongelmasta tietokoneissa. Suomessa asiasta on kirjoittanut Helsingin Sanomat.
Erosen tietojen mukaan parin viime vuosikymmenen aikana valmistetuissa koneissa saattaa olla prosessori, joka sisältää haavoittuvuuden.
– Se liittyy prosessoreihin, eli tietokoneen sisällä oleviin piisiruihin, joita on valmistettu satoja miljoonia tai miljardeja kappaleita.
PC-, Linux- ja Mac-koneissa kaikissa saattaa siis olla kyseisen haavoittuvuuden sisältävä siru.
Merkityksellinen tämä on esimerkiksi Netflixille, joka käyttää Amazonin pilvipalvelualustaa.
Jussi Eronen, johtava asiantuntija, Kyberturvallisuuskeskus
– Prosessoreiden haavoittuvuudet liittyvät niiden ennakoivaan komentojen suorittamiseen, kertoo Eronen. Hänen mukaansa tapauksia Kyberturvallisuuskeskukselle ei kuitenkaan ole raportoitu.
– Merkityksellinen tämä on esimerkiksi Netflixille, joka käyttää Amazonin pilvipalvelualustaa.
Erosen mukaan haavoittuvuuden avulla joku toinen käyttäjä olisi voinut yrittää hyökätä esimerkiksi Netflixin kimppuun alustan välityksellä.
– Joku hyökkääjä olisi voinut esimerkiksi vuokrata palvelimen Amazonista ja pyrkiä selvittämään, keiden muiden palvelimia on samalla prosessorilla ajossa. Hyökkääjä olisi sitten voinut yrittää hakea näiltä muilta palvelimilta esimerkiksi salasanoja tai muita rahanarvoisia tietoja.
Erosen mukaan Amazon on kuitenkin tiedottanut jo päivittäneensä järjestelmänsä.
Pidä käyttöjärjestelmät ja ohjelmistot ajan tasalla
Kyberturvallisuukeskuksen mukaan haavoittuvuuksilta voi suojautua kotioloissa pitämällä käyttöjärjestelmät ja ohjelmistot ajan tasalla. Ohjelmisto- ja laitevalmistajat pyrkivät tekemään parannuksia, joilla haavoittuvuudet tulevat korjatuksi, Eronen sanoo.
Kyberturvallisuuskeskus seuraa asiaa.
– Seuraamme, ilmeneekö haavoittuvuuksiin uusia hyökkäystapoja tai muita yksityiskohtia. Seuraamme myös siruntekijöiden (AMD, Intel ja ARM) lausuntoja ja muiden osapuolten päivityksiä.
Haavoittuvuuksilla on kaksi nimeä muun muassa siksi, koska niitä havainneita ryhmiä on useita.
– Itse olisin taipuvainen ajattelemaan, että tässä on yksi hyökkäys. Meltdown on yksi tapa hyödyntää sitä, ja Spectressä on kaksi eri tapaa toteuttaa hyökkäys, arvelee Eronen.