Pages

Saturday, January 13, 2018

Tishio la usalama wa vifaa vya kompyuta: Inamhusu kila mtumiaji wa desktop, laptop, tablets, smartphone, na vingine.

Utangulizi
Takribani siku kumi zilizopita, wataalamu bingwa wa usalama wa kompyuta walichapisha utatifi ulionesha tatizo kubwa la kiusalama linalozikabili karibu aina zote za vidubwasha vya kompyuta duniani (desktops, laptops, tables, smartphones, and some servers) ambalo halikuwahi kujulikana kabla. Ukubwa wa tatizo hili ni ukweli kwamba linahusika hasa na uwezekano ulio dhahiri wa kompyuta yoyote unayotumia kuweza kudukuliwa taarifa za siri kama nywila (passwords), emails na documents. Utafiti huu (umepewa jina la Meltdown and Spectre Vulnerabilities) ni wa ngazi ya juu katika uhandisi wa kompyuta na nimekosa lugha nyepesi ya kuelezea hasa kwa wasio na utaalamu husika. Hata hivyo, kutokana na umuhim na uzito wake, na kwa kuwa hadi sasa sijasoma popote ulipoelezewa kwa lugha nyepesi katika vyombo vya habari na mitandao ya hapa nchini, ngoja nijaribu kufanya hivyo kwa manufaa ya watakaosoma.

Meltdown and Spectre Vulnerabilities: Source here
Nini cha kuelewa kwanza kuhusu kifaa chako?
1.    Kifaa chochote cha kielekroniki kinakamilika kuwa kompyuta kwa vitu vikubwa vinne: (1) Hardware (yaani kasha la nje na sehemu zingine za ndani ya kompyuta. Huu ni mwili wa kompyuta ambao bila kuwa na uhai ndani yake ni mfu na hauna kazi); (2) Operating system (Hii ni nafsi hai au uhai wa kompyuta – ambao lazima uwe ndani ya mwili (hardware) ili uonekane na kuufanya mwili kuwa na matumizi); (3) Application software (yaani maarifa au ujuzi (skills) unazoiwezesha kompyuta hai kufanya kazi  mbalimbali na mahususi); na (4) Processor (hii ni moja ya ya hardware ambayo ndio yenye intelligence au ndio ubongo wa kuratibu kila kinachoendelea kwenye kompyuta - bila processor kompyuta ni inakua zaidi ya zezeta/ jinga/ zombie/ nk kwani haitakua na uwezo wa kuwa hai).

2.    Hakuna kidubwasha chochote cha kompyuta unachotumia kisichotegemea processor (au microprocessor). Hadi sasa kuna aina kubwa tatu za microprocessors zinazotumika na vifaa vingi na kutegemea aina ya kompyuta unayotumia. Nazo ni Integrated and electronics (Intel) microprocessor; Advanced Micro Devices (AMD) microprocessor na Advanced RISC Machine (ARM) microprocessors.

3.  Kwa kompyuta kubwa kama servers zinazohitaji processing power kubwa zaidi, zinatumia aina nyingine ya processors hasa za International Business Machines (IBM) cooperation zijulikanazo kama "POWER series high performance microprocessors".

4.  Kama nilivyosema awali, processors ni hardware na sio software. Hata hivyo inafanya kazi zake kwa kutumia software maalumu. Hivyo bila kujali kompyuta yako inatumia operating system gani (Apple/Mac, windows, android, Linux, nk), inaweza kuwa inatumia aina mojawapo ya processors yoyote kati ya nilizotaja kulingana na chaguo la mtengezaji wa kifaa husika. Hadi sasa vidubwasha vingi vinatumia Intel kutokana na ubora na sababu zingine za kiuchumi na kibiashara (competitive advantage).
Intel Microprocessor : source here
Tatizo liko wapi?
Kile tunachokifurahia kwa kuwa na vifaa/vidubwasha vya kielekroniki vyenye uwezo mkubwa wa kufanya vitu vingi kama simu za mikononi, laptops na vingine, inatokana na ubunifu wa wahandisi wa microprocessors. Hata hivyo ubunifu huo unatumika kwa gharama kwani umepelekea tatizo la kiusalama. Kwa nini? Kuna mambo mawili:


1.   Microprocessors zinazotumika sasa zinatumia teknolojia ambayo inaziruhusu kua na uwezo mkubwa wa kufanya kazi (high processing power) bila kujali ukubwa wake wa nje . Moja ya mbinu inayotumika kwenye utengenezaji wa microprocessors hizi, ni kutenganisha operating system na application software unazotumia wewe mtumiaji wa kawaida (kama internet browser, MS word, MS Excel, whatsapp, nk). Hata hivyo operation systems inafanya kazi chini ya uongozi wa processor na huku yenyewe inaratibu ufanyaji kazi wa application software. Hivyo kwa kutenganisha utendaji kazi wa operating system (OS) na application programmes (AP), mfumo wa kompyuta unaweka ukuta wa kuzuia AP zisiguse software inayotumika uvunguni kwenye processor (yaani arbitrary system memory). Mpangilio/muundo huu ndio unakusaidia unapopata shida na kompyuta yako kama vile mashambulizi ya virusi, hata kama itaharibika AP na OS, bado hardware inabaki salama na unaweza kuweka OS nyingine ikaendelea kufanya kazi. Sasa katika kuzifanya hizi processors ziwe na nguvu na kuongeza ufanisi wa OS na AP, microprocessors za kisasa zinafanya kitu kinaitwa out-of-order execution katika utendaji kazi wake ambapo kwa kifupi ni kitendo cha kuruhusu AP kuwasiliana moja kwa moja na microprocessor.

2.   Hali kadhalika, microprocessors za kisasa, katika bidii hiyohiyo ya kuzifanya kuwa na nguvu kubwa ya kompyuta, inafanya kitu kinaitwa speculative execution ambayo kwa kifupi ni kuruhusu mfumo unaobebea taarifa zinazoratibu kompyuta (CPU), OS na hata AP kutumia free/available memory popote ilipo ikiwa ni pamoja na ile iliyo kwenye microprocessor (yaani system memory). Zoezi hili la kutafuta free memory na kutiumia liinafanywa kwa kubahatisha (speculating) na lengo ni kuharakisha utendaji kazi wa kifaa chako

Microprocessor: source here 
Nini kimegundulika sasa?
1. Meltdown vulnerability problem -- Utafiti huu mpya (tazama rejea mwishoni) umegundua kwamba kinachofanyika katika out-of-order execution ili kuongeza nguvu ya micrioprocessor, kinaondoa ulinzi uliowekwa katika kutenganisha operations/ kazi za machine/hardware/processor na zile za OS na AP. Hivyo, software ya kidukuzi ambayo kwa asili ni application software (unaweza kuiita kirusi), inaweza kuwasiliana moja kwa moja na processors na hiyo kunyakua/kudukua siri (secrets) ambazo zinashikiliwa mule ikiwa ni pamoja na nywila/passwords, emails, na taarifa nyingine muhim zinazohakikisha usalama wa kompyuta unayotumia… hence, melting down of security walls.

2. Spectre vulnerability problem – utafiti huu (tazama rejea mwishoni) umegundua kwamba speculative executions zilizoruhusiwa kwenye microprocessors za kisasa, zinaruhusu software za kidukuzi (unaweza kuita virusi) kuwasiliana moja kwa moja na processors na hivyo kuwa na uwezo wa kunyakua taarifa zote za siri kwenye kompyuta ya mtumiaji. 

Kwa kifupi, Meltdown and Spectre vulnerabilities problems ni matatizo yanayotokana na udhaifu uliopo kwenye muundo microprocessors za vifaa karibu vyote vya kielekroniki ambapo uliachwa kwa makusudi na wagunduzi/watengenezaji wake ili kuzifanya kuwa na uwezo mkubwa zaidi wa kufanya kazi hasa katika kuratibu kazi/functions mbalimbali kwenye kompyuta na Kuhakikisha matumizi mazuri ya memory (optimizing memory usage). Kwenye uchumi wa kompyuta eneo linahusika na kuweka/kutunza na kutumia kumbukumbu (memory) ndio bidhaa adimu na ghali kuliko zote. Pamoja na kuibiwa taarifa za siri (nyeti), udukuzi unaochungulia had ndani kwenye processor kama huu, unaweza kuua kabisa kifaa kilichovamiwa kwa maana ya hardware.
Different operating systems: source here
Nani ni mwathirika zaidi?
Kila mtu anayetumia kidubwasha chochote cha kompyuta (desktop, simu, laptops, tablets, PC, ect) yuko kwenye hatari ya kukumbwa na matatizo haya mawili. Kwa kifupu, "Meltdown and Spectre vulnerabilities problems" haijawahi na haitawahi kumwacha mtumiaji yoyote wa vifaa vya kompyuta salama kama hajapata tiba.  Kitu kimoja cha kukumbuka ni kwamba, tofauti na udukuzi wa virusi tuliouzoea ambao unavamia operating systems au applications software tunazotumia na hivyo kuweza kujua unapokua umevamiwa, tatizo hili jipya linatokea bila wewe mtumiaji kugungua chochote kinachoendelea kwa kuwa uharibifui unafanyika kwenye chumba cha siri au uvunguni mwa kompyuta yako .. yaani kwenye processor.

Nini cha kufanya?
Tangu utafiti huu ulipochapishwa tarehe 03/01/2018, makampuni yote yanayotengeneza microprocessors yametengeneza na yameanza kutoa patches (viraka) vya kukarabari processors zao ili kuzikinga na madhara husika. Hivyo ni jukumu la kila mtumiaji wa kifaa cha kompyuta kuhakikisha kifaa chake kimepata the most current critical updates ambazo zimejumuisha viraka husika. Baadhi ya aina za kompyuta (mfano Dell, HP, Lenovo, Acer, Toshiba, nk), watumiaji wakiwa makini, wataona notifications za mtengenezaji  zikiwaambia wanatakiwa waruhusu system updates kuingia kwenye kompyuta zao (installing updates). Watengenezaji wameziachia moja kwa moja bila wewe kuzitafuta, hivyo kifaa chako kikiwa kwenye internet mfumo wa kampuni iliyokitengeza inakiona na kukitaka kubandika viraka husika kuimarisha usalama. Ukiona notifications hizo zipe umuhim mkubwa (inaweza kuja kama pop-ups juu ya applications zingine wakati unatumia kompyuta au ujumbe chini mkono wa kulia wa kompyuta yako). Ukiziona, hakikisha kifaa chako kimechomekwa kwenye umeme, funga kila kitu, na ruhusu kifaa kijipakulie hizo updates. Kwa watumiaji wa simu, pia hakikisha simu yako imepata updates za karibuni kabisa.

Wapi upate msaada?
Kwa kifupi tatizo hili ni kubwa na sio watalamu wote wa kompyuta wamelielewa vema kutokana na kwamba wengi wao hawana uelewa wa kutosha wa jinsi systems software and hardware zinavyofanya kazi. Wengi tumefundishwa na kujifunza kufanya kazi kwenye ngazi ya operating systems na applications software pekee bila kugusa machine software na hardware yenyewe. Hivyo inawezekana kabisa mtaalamu wa TEHAMA kazini kwako au yeyote yule unayemtegemea asiwe na msaada kwa kuwa huenda hana uelewa wa tatizo hili. Hata hivyo watalamu wa TEHAMA wako kwenye nafasi nzuri zaidi ya kukusaidia kwani wakijipa  kazi na muda wa kusoma, ni rahisi kuelewa nini cha kufanya. Pia unwaweza kutembelea websites za karibu makampuni yote ya computer hardware and systems software na kujisomea kuhusu tatizo hili na kujua nini cha kufanya kwa usalama wako na kifaa chako.

Chukua taadhari mapema kabla ya kupata hasara.

Rejea:
Lipp, M., Schwarz, M., Gruss, D., Prescher, T., Haas, W., Mangard, S., ... & Hamburg, M. (2018). MeltdownarXiv preprint arXiv:1801.01207. Read the article: https://meltdownattack.com/meltdown.pdf

Kocher, P., Genkin, D., Gruss, D., Haas, W., Hamburg, M., Lipp, M., ... & Yarom, Y. (2018). Spectre Attacks: Exploiting Speculative ExecutionarXiv preprint arXiv:1801.01203. Read the article: https://spectreattack.com/spectre.pdf

 Mathew Mndeme (Mwalimu MM)


No comments:

Post a Comment