En hackares värld - Meltdown och Spectre

oliver-shou-342399.jpg

I början av detta år, 2018, uppdagades det att i stort sett alla världens datorer hade inbyggda svagheter i sin hårdvara som gör att hackare kan komma åt känslig information utan att man som användare märker det eller kan spåra vad som hänt. Dessa två brister döptes till Meltdown och Spectre och världens operativsystemutvecklare fick under en mycket kort period släppa uppdateringar i skydd mot hackare som skulle kunna utnyttja dessa brister. Men innan vi pratar om Meltdown och Spectre så måste vi ställa frågan…

Vad är en hackare?

När man säger ordet hackare så brukar det allt som oftast handla om en person som bryter sig in i mjukvarusystem genom att utnyttja svagheter. Det finns flera olika typer av hackare och den första man brukar tänka på är de olagliga hackarna som bryter sig in i system som de inte har rätt till och stjäl information, tar bort information eller lägger ner systemet så att de slutar fungera. Men det finns faktiskt fler hackare än dem som går in för att stjäla information eller förstöra ett system.

Man kan t.ex. vara en olaglig hackare som bryter sig in i system endast för att se om man klarar av det, för att det är häftigt och kul, eller som någon snedvriden samhällstjänst. Dessa hackare brukar ta sig in i systemen och sedan antingen inte göra något, lämna spår efter sig medvetet så att dem som övervakar systemet ska se att någon lyckats ta sig in alternativt inte göra något med systemet men lägga ut hur dem tog sig in på internet.

Den sista sortens hackare och den enda lagliga sortens hackare är dem som är anställda av dem som äger systemen för att precis som en olaglig hackare försöka bryta sig in i systemet. Skillnaden är att dessa lagliga hackare sedan rapporterar systemets brister så att de eller andra kan fixa till säkerhetsluckan. Men då kommer vi till frågan…

Hur gör hackare?

Att vara en hackare innebär i de flesta fall att man måste ha extremt god kännedom om hur datorer fungerar ner till den minsta beståndsdelen både hårdvaru- och mjukvarumässigt. Man måste dessutom göra mycket research om systemet, till exempel om hur det är strukturerat, hur man använder det och vilka språk som det är skrivet på. Det man som hackare sedan försöker göra är att förvirra systemet så att det släpper ifrån sig information som egentligen inte ska ges ut, t.ex. kan denna information vara i form av användarnamn och lösenord vilket i sin tur gör att man kan få tillgång till hela systemet eller andra system genom en godkänd användares inloggningsuppgifter. De största svagheterna som hackare ofta brukar utnyttja ligger i systemets interaktion med användarna, t.ex. så kan formulär på hemsidor som är kopplade till en databas vara svaga mot så kallade kodinjektions-angrepp. Kodinjektion innebär att man istället för att t.ex. skriva sin email-adress i ett fält skriver in kod som ber databasen att plocka fram data, detta kan förvirra systemet som då tolkar och kör denna kod trots att den kommer utifrån och från ett ställe där den inte ska få in annat än text.

meltdown.png
spectre.png

Vem hittade Meltdown och Spectre?

Många människor var involverade i finnandet av bristerna och dem återfanns även av flera olika team samtidigt. Dock var både Google Zero samt Graz tekniska universitet med i finnandet av båda bristerna som de då rapporterade så att detta kunde uppmärksammas.

Hur kan hackare utnyttja dem?

Bristerna som dessa människor fann ligger i datorers processorer där data som används av en dator medan den är igång kan stjälas. Meltdown och Spectre gör att man kan komma åt hemlig information som används av ett program med hjälp av ett annat program vilket till exempel gör att lösenord som lagras i en lösenordshanterare i en webbläsare kan stjälas från ett annat program. Problemet är att detta även gäller för alla moln-tjänster som använder denna typ av processorer vilket betyder att man i vissa fall skulle kunna komma åt data från andra molnanvändare.  

För att skydda sig allmänt från hackare så får man därför inte missa att uppdatera sin mjukvara då skaparna hela tiden sitter i en katt och råtta lek där de försöker hitta bristerna innan hackarna hinner utnyttja dem för att skydda sina användare. Ett annat mer involverat sätt kan vara att veta hur brandväggarna man har i ett system fungerar, se till att ha säkra lösenord som man byter ibland samt jobbar med moderna system.

Vill du veta mer? Titta på denna video: 

Källor: meltdownattack, SciShow