Her şeyimizi biliyor olabilirler: Meltdown ve Spectre krizinin tüm boyutları
Tüm bilgilerimizi düzenli bir şekilde ve kendimizden emin olarak emanet ettiğimiz kişisel bilgisayarlarımız, akıllı telefon ve tabletlerimiz… Tüm bu temel bilgisayar sistemlerinin sahip olduğu iki büyük güvenlik açığı son zamanlarda yüksek sesle dillendirilmeye başlandı. Peki ağızlardan düşmeyen “Meltdown” ve “Spectre” nedir?
Dijital dünya ile insan arasındaki ilişki gün geçtikçe daha kuvvetli bir hal alırken elektronik aletlere olan bağlılığımız da bu ölçüde artıyor. Herhangi bir bilgisayar sisteminin içerisine adapte olmayan kişi sayısının oldukça az olduğu günümüzde, dijital bakış hayatımızın her alanına sirayet etmiş durumda. Bu konudaki beceri ve ilgi seviyesi farklı noktalarda olsa da insanların büyük bir bölümü kişisel bilgilerini hatırlamaktan çok uzak. Durum böyleyken birçok şahsi verinin hatırlanması görevi de bilgisayar sistemlerine kalmış oluyor…
Hatalar işlemcideki devre elemanlarına dayanıyor
Güvenlik sistemleriyle alakalı araştırmada bulunan görevliler, hemen hemen bütün modern işlemcilerde bulunan iki çok önemli kusura birer takma isim verdi: “Meltdown” ve “Spectre”. Oldukça yoğun mesailerin ardından detayları yavaş yavaş netleşen bu hatalar hakkında ortaya çıkan bilgiler hataların türünü de ortaya koymak konusunda etkili oldu. Bu hatalar, işlemcilerde yer alan fiziksel bir sorun ya da Word veya Chrome gibi popüler yazılımların içinde bulunan bir hata değiller. İşlemcilerdeki en önemli devre elemanı transistörlerle ilgili denilebilir.
Meltdown ve Spectre ile tüm veriler açığa çıkıyor
Modern işlemci olarak tanımlanan mimarilerin büyük bir kısmında, çekirdek ismi verilen merkezi bir yazılım birimi yer alır. Bu birim, sistem içerisinde yer alan bilgilerin korunması, şifreli bir hale getirilmesi ve doğru işlemler karşılığına denk gelmesini kolaylaştırır. Meltdown ve Spectre adı verilmiş olan bu hatalar, bilgisayarın içinde bulunan ve bu sayede onlar tarafından işlenmiş durumda bulunan tüm verilerin açığa çıkmasına neden oluyor.
Dünyanın en köklü işletim sistemi üreticisi olan Intel’in ürünlerinde yer alan güvenlik duvarları bu hatalarla birlikte kolaylıkla aşılabiliyor. Meltdown açığı tek başına bu sürecin baştan sona güvenilmez bir hale gelmesine yol açıyor. Spectre ise Meltdown’dan biraz daha farklı. Spectre; Intel, AMD ve ARM işlemcilerine tesir eden en büyük ikinci açık olarak nitelendiriliyor. Cep telefonları içinde yer alan ve esasında işlemci ile çalışan tüm elektronik cihazları etkisi altına alıyor. Akıllı termostatlardan bebek monitörlerine kadar hemen tüm ürünlerde Spectre ile karşılaşmak mümkün. Uygulamaların içinde bulunan verilerin ve bellek alanların ifşa edilmesini sağlayan Spectre, mobil cihazlarda bulunan yeni nesil işlemcilerde yer aldığı için düzeltilmesi epey zor olacak.
Açıklardan tüm kullanıcılar etkileniyor!
Tüm cihaz kullanıcılarının hayatında en az bir adet işlemcilerden güç alarak çalışan elektronik cihazlar bulunuyor. Meltdown ve Spectre isimli iki hata da her elektronik cihazı kapsadığı için herkesin başını ağrıtabileceği söylenebilir. Meltdown ve Spectre mimari düzeyde meydana gelen kusurlar olduğu için bir bilgisayarın veya cihazın Windows, iOS, Android veya başka bir işletim sistemiyle çalışıp çalışmadığı önemli değil: Tüm yazılım platformlarının eşit derecede savunmasız olduğunu söylemek mümkün.
Bu açıklar kapatılabiliyor mu?
Meltdown ve Spectre probleminin çözümünün kısa süre içerisinde gerçekleşmesi mümkün görünmüyor. Sorunlar için çeşitli çalışmalar başlatılsa da geçiş döneminin bir hayli sancılı olacağı ve zaman gerektireceği söylenebilir. Bu durumun nedeniyse bu açığın bulunduğu tüm modern işlemcilerin “kullanılamaz” hale gelmesi olarak gösteriliyor. Intel, AMD, ARM ve diğer üreticileri, ağ güvenlik sistemlerinin ve yazılımsal önlemlerin geçici olduklarını söylüyorlar. Meltdown için gündemde olan düzeltme ise Intel yongalarının performansını yüzde 5'ten yüzde 30'a kadar düşürebilir.
Meltdown’ın durumu için yavaşlık söz konusuyken Spectre için daha da karamsar bir yorum yapılmak zorunda. Spectre, yakın bir zaman içerisinde çözüme ulaştırılamayacak. Zira günümüz işlemcilerinde belirli bir kod yapısının güvenli olup olmadığını tespit etmenin herhangi bir yöntemi bulunmuyor. Amazon, Microsoft ve diğer devler bu açıklara karşı ilk güncellemelerini yayınlamaya başladılar. Muhtemelen uzun bir zaman boyunca sürekli güncellemeler yayınlanacak ve bir şekilde durum kurtarılmaya çalışılacak. Daha kalıcı bir düzeltme, devre kartları üzerinde önemli değişiklikler gerektiriyor. Bu nedenle şu an kullanımda olan işlemcilerle, fiziksel önlem alınmış yeni nesil işlemcinin yer değişmesi gerekiyor. Milyarlarca cihazın değişmesi ve insanların yeni cihazlara ihtiyaç duymaları ciddi manada zaman alıyor.