Во всех процессорах нашли спящую 20 лет уязвимость. Можем ли мы быть спокойными за биометрические данные?

06.01.2018

Финтех-привет, читатель! Начинаем потихоньку просыпаться, хотя, не скроем, лежать под елочкой в куртуазной позе было крайне приятно.

Год начался с обнаружения целой грозди уязвимостей в пользовательских процессорах. Сначала прошла информация, что проблемы только у Intel, но очень скоро выяснилось, что те же трудность у AMD, ARM и даже Apple. Уязвимости, к счастью, не позволяют удалить или изменить данные, но при определенной ловкости дают возможность на них посмотреть. Прямо какой-то аппаратный блокчейн.

Интересно, что и уязвимостью-то данные особенности процессоров назвать нельзя. Это не классические “дырки”, а корневые особенности подхода к вычислениям. Современные процессоры так быстры в том числе и потому, что в свободное время “предсказывают” – какие вычисления захотят делать программы, и совершают их на всякий случай. Если запрос на вычисление и правда поступит, приложение получит уже готовый результат. Если нет – ничего страшного, ненужный расчет просто исчезнет. Но пока он сидит в памяти, на него может посмотреть злоумышленник. Теоретически, но может.

Данной проблеме в процессорах с архитектурой х86 уже, страшно сказать, больше 20 лет, но заметили ее только сейчас. Вроде бы пока никто не пострадал. По крайней мере, победами никто не хвастался. Уже вышли патчи, частично блокирующие уязвимости (их там две, и если первая, Meltdown, лечится легко и просто, то вторая, Spectre, является слишком важной частью современных подходов к вычислениям на CPU, и потому требует более тонкого подхода. Обидно, что именно последняя присутствует на всех архитектурах, независимо от производителя.

К чему мы это рассказываем?

А к тому, что наступивший год определенно станет годом биометрии. Уже известно, что подходом Apple к распознаванию лица владельца смартфона вдохновилась Huawei. И совсем скоро сделает такой апппарат. Samsung гордо утверждает, что сканирование сетчатки ничем не хуже, однако нет сомнений в том, что и корейцы начнут сканировать лицо целиком.

Также легализуется голосовая идентификация. Как мы помним, она станет у нас частью удаленной идентификации клиентов банков уже летом 2018 года.

Конечно же, все эти данные обещают хранить за семью замками. Apple не передает модель лица за пределы смартфона, как раньше поступала и с отпечатками. Huawei, надо думать, пообещает то же самое. И все остальные тоже. Голосовые образцы зашифруют и спрячут в самое укромное место.

Но все это, в общем, на уровне джентельменского подхода к игре в покер. Да, все вокруг серьезные люди. Если что-то говорят – хочется верить, и неудобно проверять.

Но что если обнаружится еще одна архитектурная особенность, скажем, накопителей, через которую можно будет тихонечко стянуть заветный образец? Накопители ведь сейчас переживают настоящую революцию – погуглите, например, технологию Intel Optane. И что если некая фича, существенно ускоряющая работу, тоже окажется с сюрпризом?

Ведь процессор, в конце концов, можно поменять. Пароль – тем более. А отпечатки пальцев, лицо и голос трудно. Без скальпеля вообще никак.

Что если очередной троян будет не шифровать данные на компьютерах и серверах, а тихонько собирать базу биометрических данных по всему миру? Что если это происходит уже сейчас?

Возможно, надо готовить детей к карьере пластических хирургов, а вовсе не программистов…

С новым годом, читатель!

Не забудьте подписаться на Sandbox!