Baru-baru ini, dunia teknologi digemparkan dengan dua penemuan baru kelemahan sekuriti yang dijumpai pada unit pemprosesan maklumat (CPU) komputer . Nama kod yang diberi kepada dua kelemahan ini ialah Meltdown dan Spectre.
Meltdown dan Spectre merupakan kelemahan sekuriti dari keluarga yang sama yang terdapat dalam hampir semua unit pemprosesan maklumat (CPU) moden yang dikeluarkan Intel dan Advanced Micro Devices (AMD). Mengikut laporan, unit pemprosesan maklumat jenis ARM juga turut mengalami masalah yang sama. Penemuan kelemahan sekuriti ini mungkin penemuan yang paling dahsyat dan mengejutkan pada abad ini.
Mengapa Saya Perlu Kisah?
Meltdown dan Spectre merupakan dua jenis exploitasi yang membolehkan penggodam memperdayakan sebuah komputer untuk memberikan mereka data-data sensitif seperti maklumat kredit kad dan kata laluan. Bayangkan jika seorang penggodam mampu menggunakan kelemahan ini untuk mendapat maklumat yang disimpan di server yang menyediakan perkhidmatan hosting anda.
Kebocoran maklumat seperti kata laluan akan membolehkan penggodam tersebut memperoleh akses penuh kepada server anda, lantas membolehkannya mengawal semua aplikasi yang terdapat di server tersebut. Dari perspektif ini, Meltdown dan Spectre tidak banyak bezanya dengan antivirus atau malware yang lain, namun, ia menjadi masalah besar kerana ia terdapat pada semua CPU-CPU moden yang digunakan pada hari ini. Ini bermaksud, anda juga sangat berkemungkinan terjejas kerananya. Tambah pula, ia disebabkan oleh rekabentuk dan fizikal CPU itu sendiri, bukannya dari pengaruh luar.
Penemuan kelemahan ini didahului beberapa insiden-insiden yang sangat memusykilkan para penggiat teknologi. Beberapa bulan sebelum berita mengenainya didedahkan, kumpulan penyelidik tersebut telahpun memberitahu pihak Intel mengenainya. Namun, kerana kelemahan ini bersifat asasi dan sangat sukar untuk membuat pembetulan secara holistik, kebanyakan syarikat-syarikat besar yang bergiat dalam bidang unit pemprosesan maklumat (CPU) seperti Intel dan AMD seolah-olah terkesima.
Ketua pegawai eksekutif Intel, Brian Krzanich dikhabarkan telah menjual stok Intel sebanyak 24 juta USD setelah menyedari kelemahan ini secara senyap-senyap. Hal ini menggambarkan betapa besarnya masalah yang dibawa oleh Meltdown dan Spectre ini. Setelah pendedahannya, stok Intel jatuh mendadak. Dunia teknologi mengecam tindakan Brian yang mementingkan diri ini, kerana syarikat beliau sudah mengetahui akan masalah ini sebelum pendedahannya kepada awam.
Syarikat-syarikat lain seperti AMD, Microsoft dan Linux Foundation dalam keadaan lintang pukang menyediakan tampalan (patch) untuk menutup kelemahan ini melalui sistem pengendalian komputer (Operating System) yang mereka keluarkan. Namun, beberapa jenis exploitasi dari Spectre masih belum mampu dipulihkan hingga ke ketika ini, dek kerana cara fungsi CPU dan kelicikan Spectre yang terlalu kompleks. Pemulihan kepada Spectre memerlukan perekaan semula CPU untuk generasi yang akan datang.
Bagaimana Ia Berfungsi
Untuk memahami mengapa ini ialah suatu masalah yang sangat besar dalam industri komputer, adalah wajar untuk memahami serba sedikit punca dan mekanisme yang menyebabkan kelemahan ini wujud. Unit pemprosesan maklumat (CPU) ialah bahagian komputer yang bertanggungjawab memproses arahan-arahan yang dikompil oleh pengkompil program-program yang ditulis oleh manusia.
Setiap kod dalam aplikasi atau program akan diterjemah kepada sebuah set arahan-arahan yang bersifat lebih simplistik dan mudah, seperti operasi tambahan, tolakan, daraban ataupun pergerakan ke sebuah alamat memori yang berbeza.
Ketika unit pemprosesan maklumat dicipta, jurutera-jurutera di syarikat-syarikat pengeluar peranti ini berusaha keras untuk memastikan rekabentuk mikro peranti ini mampu memproses arahan-arahan tadi dengan masa yang paling singkat. Dahulunya, siapa yang mampu memproses paling banyak arahan dalam sesuatu tempoh masa, dialah yang mampu memperoleh paling banyak keuntungan kerana semakin pantas proses ini, semakin laju aplikasi-aplikasi yang dijalankan dalam komputer.
Namun, penyelidik-penyelidik ini telah menemui limitasi silikon yang mengehadkan kelajuan ini, yang disebabkan sifat kimia dan fizikal silikon yang menjadi bahan buatan CPU. Lalu mereka mencipta idea ‘pipelining’ ataupun pemprosesan paip talian. Proses ini menggunakan konsep keselarian (parallelism) dimana setiap arahan dipecahkan kepada unit-unit yang lebih kecil dan diagihkan kepada setiap bahagian CPU ketika mana ia sedia digunakan dan boleh diproses.
Sungguhpun begitu, cara ini juga menemui kebuntuan kerana terdapat beberapa arahan-arahan CPU yang masih mengambil masa terlalu lama untuk diproses dan menjejaskan kelajuan CPU secara keseluruhannya. Antara arahan yang melambatkan yang diproses cpu ialah pencabangan (branching). Melalui arahan ini, sebuah CPU mampu mengetahui alamat sesuatu pembolehubah atau lokasi arahan seterusnya yang perlu ia proses (juga dikenali sebagai nilai resolusi).
Arahan pencabangan ialah sejenis arahan yang sangat melambatkan CPU kerana ia bergantung kepada kandungan pembolehubah yang tidak tentu nilainya. Untuk mengelak masalah ‘lambat’ ini, pereka CPU telah memperkenalkan konsep pelaksanaan spekulasi (speculative execution), yang membuatkan CPU memproses arahan yang tidak perlu terlebih dahulu sebelum ia dicapai, dengan menghiraukan kandungan pembolehubah yang akan menentukan alamat resolusi arahan pencabangan tersebut.
Sebagai contoh mudah, jika nilai A ialah 0, maka laksanakan B. Jika nilai A ialah 1, laksanakan C. Pelaksanaan spekulasi menyebabkan CPU melaksanakan B dan C sebelum mengetahui nilai A, kerana jika ditunggu nilai resolusi A, ia akan mengambil masa yang lama dan menyebabkan CPU menjadi lambat.
Beberapa kumpulan penyelidik di Graz University of Technology, Austria telah menjumpai kelemahan dalam teknik ini, kerana arahan pencabangan ini meninggalkan kesan dalam cache CPU dan pengetahuan ini boleh digunakan bagi sesiapa yang berniat jahat untuk menyebabkan CPU memproses arahan-arahan yang tidak sepatutnya diakses. Jika arahan B dalam contoh diatas merupakan arahan yang membaca maklumat sensitif seperti kata laluan pengguna, sungguhpun A mempunyai nilai 1, CPU tetap akan melaksanakan (secara spekulasi) arahan B, disamping melaksanakan arahan C.
Apabila CPU boleh ‘ditipu’ untuk memproses bahagian-bahgian memori yang tidak sepatutnya ia capai, ia membolehkan penggodam menggunakannya untuk melaksanakan arahan-arahan jahat seperti membaca data sensitif, merosakkan komputer dan sebagainya. Cara exploitasi ini dilakukan agak kompleks dan cerdik. Ia memerlukan sesorang yang mempunyai latarbelakang komputer untuk memahaminya dengan baik.
Namun, adalah penting untuk memahami bahawa exploitasi ini mengambil kesempatan atas cara CPU berfungsi dan disusun, yang berakar umbi dari langkah ‘inovatif’ pereka-pereka dan penyelidik-penyelidik silikon CPU lebih kurang 20 tahun dahulu.
Apa Yang Perlu Saya Lakukan?
Kebanyakan pengeluar peranti pintar dan komputer telah mengeluarkan kemas kini sistem (updates) untuk menutup kelemahan ini. Jika anda bergiat didalam bidang kritikal yang menggunakan dan beroperasi dengan data-data sensitif, anda perlu peka terhadap kemas kini yang dihantar syarikat pengeluar peranti dan mesin-mesin yang anda gunakan, agar kelemahan ini boleh ditutup. Bagi pengguna biasa seperti peranti Android dan iPhone, mengemaskini sistem pengendalian peranti sudah memadai.
Namun, anda perlu maklum bahawa kemas kini ini akan menyebabkan kelambatan pada prestasi serta operasi peranti anda, kerana ia menghalang pengkompil dari membuat langkah-langkah pengoptimuman ke atas program atau aplikasi-aplikasi yang anda gunakan. Sungguhpun begitu, tidak semua aplikasi yang digunakan akan mengalami kemerosotan.
Dalam dunia teknologi, terdapat banyak kisah-kisah penemuan-penemuan kelemahan-kelemahan yang dijumpai setelah bertahun-tahun suatu inovasi dilakukan. Ketika Data Encyption Standarad (DES), suatu teknik enkripsi diperkenalkan, penggiat teknologi sekuriti menganggapnya sebagai senjata ampuh untuk menentang korupsi dan ubahan data dari pihak yang tidak bertanggungjawab.
Kini, DES telah digantikan dengan Advances Encryption Standard (AES) setelah penyelidik dalam bidang sekuriti lain menemui cara untuk mengalahkan sistem enkripsi dan matematik kriptologi DES. Meltdown dan Spectre hanyalah salah satu dari beberapa contoh yang mirip kepada kesah DES-AES ini. Ketika teknik spekulasi ini diperkenalkan dalam akademia mahupun industri, tiada siapa yang ternampak akan kelemahannya.
Malah, para penggiat industri silikon pada waktu itu sangat gembira akan pencapaian mereka kerana mereka mampu meningkatkan kelajuan CPU melalui teknik ini. Siapa sangka hari ini suatu yang dianggap merupakan jalan keluar kepada masalah kelajuan CPU menjadi kelemahannya yang paling membimbangkan. Perombakan semula rekabentuk ialah suatu hal yang sangat besar, kerana mereka CPU yang berkesan serta efisien mengambil berpuluh-puluh tahun lamanya.
Apa pendapat anda mengenai malapetaka teknologi kali ini? Kongsikan besama kami!
Saya panik.