Mellékleteink: HUP | Gamekapocs
Keres
>> Hibrid felhőtől a konténereken át, egészen a kvantumprogramozásig - 6 klassz téma a HWSW május 21-i nagy Microsoft Azure meetupján. <<

Visszatekintés: 2018 legnagyobb bukásai

Apple, Microsoft, Intel, Facebook, avagy lássuk a HWSW hagyományos év végi bukáslistáját!

Az Apple és az új MacBook Pro

Lassan nem pöröghet le 12 naptári hónap komolyabb Apple mellényúlás nélkül. Míg tavaly leginkább a cég operációs rendszereinek, vagyis az iOS és macOS problémáitól zengett a média, addig idén leginkább egy hardver, a júliusban bemutatott új csúcs MacBook Pro borzolta a kedélyeket. Az akár bruttó bő 1 milliós forintos árcédulával is elérhető 15 hüvelykes modell az első tesztekben csúnyán elvérzett, a vékony notebook hűtése ugyanis képtelen volt kezelni a borsos felárért kérhető Intel Core i9 processzor hőtermelését. Az elégtelen hűtés miatt az alumíniumház huzamos terhelés mellett 40 Celsius fölé forrósodik, ezt követően pedig bekapcsol a hatmagos processzor hővédelme, amely alaposan megvágja az órajelet, illetve ezzel együtt a rendszer teljesítményét.

mbp_15

A szaksajtó további vizsgálódása hamar kiderítette, hogy vélhetően szoftveres baki áll a háttérben, az Apple ugyanis nemes egyszerűséggel nem aktiválta az Intel processzorainak disszipáció limitereit, amely miatt a processzor villámgyorsan túlmelegedett. A Notebookcheck nyomozása kiderítette, hogy nem a macOS volt a ludas, mivel az érintett gépeknél Windows 10 mellett is hasonló mértékben jelentkezett a túlmelegedés, illetve a leszabályzás.

Az Apple-nek nagyjából két hétre volt szüksége a hiba javításához, amelyet a macOS High Sierra egy alverziójába csomagolva juttatott el az érintett gépekre. A vállalat állítása szerint a kellemetlenséget egy apró, ám annál kínosabb malőr okozta, a notebookok firmware-éből ugyanis kihagytak egy digitális kulcsot, amely miatt az energiamenedzsment nem működött megfelelően. Bár a reakcióidő és bűnbánó közlemény méltányolandó volt, néhány hónapon belül ez már a sokadik bosszantó hiba az Apple-től, mely alapján fundamentális problémák lehetnek (vagy lehettek) a tavaly átadott gigantikus kampusz megtévesztő üvegfalain belül.

Dicstelen véget ér a konzumer Google+

Az hagyján, hogy a Google+-nak 2011 óta egyáltalán nem sikerült elterjedni a konzumer felhasználók körében, és a cég adatai szerint az oldalt meglátogató felhasználók is átlagban csak 5 másodpercet töltenek az oldalon, de még az utolsó hónapokat biztonsági problémák is "koronázták". Októberben a vállalat bejelentette, hogy még tavasszal 438 alkalmazás számára potenciálisan 500 ezer Google+ fióktulajdonos adata lehetett API-n keresztül illetéktelenül is elérhető. Féléven keresztül azonban a cég tudatosan nem értesítette a felhasználóit, és mivel csak két hétig tartja meg az API-k naplóadatait, ezért kideríteni sem tudja, hogy valójában mely felhasználók adatai voltak veszélyben. 

Részlet egy 2015-ös, a Google+ végét előrejelző cikkünkből

Nem sokkal azután, hogy a biztonsági rés kapcsán a vállalat bejelentette a konzumer Google+ bezárását, újabb adatszivárgásról kellett beszámolnia. Egy novemberben kiadott frissítéssel újabb bug is került a rendszerbe, amellyel az alkalmazások a Google+ API-n keresztül engedélyt kaptak a nem publikusra állított információk megtekintésére. Nem mellesleg azok a privátban megosztott adatok is elérhetővé váltak a profiladatok birtokában, amelyet másik fél privátban osztott meg az adott felhasználóval. Erről a cég már gyorsabban értesítette az érintett felhasználókat, és bevallása szerint nem talált bizonyítékot a rés kihasználására. Azonban a Google+ a hír kapcsán a szolgáltatás bezárásának előrehozásáról számolt be. A Google+ API-k jövő augusztus helyett három hónapon belül bezárnak, a közösségi oldal konzumer változata pedig csak 2019 áprilisig marad már velünk - ettől függetlenül viszont a vállalati verzió továbbra is elérhető marad, és a Google támogatásában is részesül.

Windows 10 October 2018 Update

Jókora fejfájást okozott a Microsoftnak és felhasználóinak a Windows 10 renitens October 2018 Update. A 1809-es verziójú frissítést a cég eredetileg szeptemberre tervezte, majd októberre halasztotta, az egy hónapos késéssel kiadott új verzió pedig súlyos bugokkal rajtolt. A legfájdalmasabb hiba számos felhasználónál kiterjedt adatvesztést okozott, teljes dokumentum-mappájukat törölte - ráadásul a rendszer IoT Core és vállalati Enterprise LTSC verzióit is érintette. A cég 48 órán belül visszavonta a frissítést, ekkorra azonban már sokan szenvedtek az adatvesztés miatt. Az ügyet csak súlyosbítja, hogy nem teljesen ismeretlen problémáról volt szó, annak kapcsán a Windows Insider tesztprogram visszajelzéseit gyűjtő oldalon, a Feedback Hubon már három hónappal ezelőtt érkeztek hibajelentések.

adatveszt1

A frissítés ezután tovább csúszott, a javított rendszerverziót a Microsoft még megfuttatta az Insider Preview tesztelők körén is, így a 1809-es Windows 10 kiadás végül csak november közepén látott napvilágot. Ezzel ugyanakkor nem ért véget teljesen a redmondi óriás vesszőfutása, bizonyos felhasználóknál a cég több alkalommal is blokkolni kényszerült a frissítést, egyebek mellett a windowsos iCloud alkalmazás hibái, illetve egyes Intel kijelző-driverek kompatibilitási problémái miatt. A Windwos 10 October 2018 Update göröngyös útja tehát végigkísértette az őszt, a vállalat csak az év végéhez közeledve tudott annak végére pontot tenni.

Az Intel és a problémakezelés

Bár a pénzügyi eredmények erről szinte mit sem árulnak el, az Intel számos komoly bakit vétett 2018-ban. A chipgyártó mindjárt az év legelején szembenézhetett felbőszült vásárlóinak egy nagyobb seregével, köszönhetően a januárban kirobbant Spectre/Meltdown sebezhetőségi botránynak. (Ez bár számos gyártó több termékcsaládját érinti, már pusztán a piaci részesedése miatt is az Intel a problémák legnagyobb elszenvedője.) A Google biztonsági kutatói által felfedezett, a processzorok spekulatív végrehajtásán alapuló támadhatóságok látszólag derült égből villámcsapásként érték az Intelt, holott azt már hónapokkal korábban tájékoztatták a sebezhetőségekről.

A chipgyártótól első körben csupán némi bagatellizálásra futotta. Első közleményéből csupán annyi derül ki, hogy a sebezhetőségek nem használhatóak adatok "megmásítására, módosítására vagy törlésére", illetve a cég igyekezett hangsúlyozni, hogy más processzorgyártók is érintettek. A cég azt is hangsúlyozta, hogy a javítás okozta teljesítményvesztés számítási feladattól függ és "nem kellene jelentős legyen" és idővel csökken majd. A cég közleménye sok szót nem vesztegetett a felhasználók informálására, látszólag nem volt a vállalatnak hivatalos becslése a teljesítményvesztésre, és azt is csak hallgatólagosan ismerte el, hogy a hiba igenis lehetőséget ad az adatok kiolvasására.

Az első hivatalos közleményhez hasonló fércmunka volt a Spectre/Meltdown hibák javítására kiadott első patch, amelyet többek között egy soron kívüli Windows frissítéssel kellett kiiktatni. Akkor a Microsoft azt állította, hogy az Intel által kiadott mikrokód-frissítés komoly hibákat tartalmaz, mely véletlenszerű újraindulásokat és potenciális adatvesztést okozhatott. A felhasználói panaszáradat közepette az Intel beismerte azt, hogy az általa első körben kiadott javítás komoly problémákat hordoz, instabillá, kiszámíthatatlanná teheti a rendszer működését és váratlan újraindulásokat produkál. Egyúttal a vállalat megkérte a PC-gyártókat, hogy a mikrokód-frissítést tartalmazó új BIOS/UEFI-verziókat vonják vissza ideiglenesen, amíg a megfelelően tesztelt kiadás meg nem érkezik.

A szerencsétlenkedést már Linus Torvalds sem hagyhatta szó nélkül. A Linux kernel szókimondó atyja szerint a processzorgyártó ügyben érintett szakembereinek egyszerűen elment az eszük, az általuk készített javítás pedig nemes egyszerűséggel egy hulladék. Torvalds január végén még azt mondta, hogy az Intel processzorait túlságosan visszavetné, ha az összes érintett termék tisztességes javítást kapna. Ezért a gyártó csak tűzoltást végez, biztonsági javítás helyett sokkal inkább egy új, opcionálisan bekapcsolható védelmi funkcióként kezeli a Spectre 2-re adott megoldást.

inteli

Ez még csak a kezdet volt, pár hónappal később ugyanis kiderült, hogy a tavaly nagy dérrel-dúrral beharangozott 10 nanométeres gyártástechnológia még tovább csúszik. A vállalat azóta lapátra tett elnök-vezérigazgatója, Brian Krzanich egy áprilisi megszólalásában bevallotta, hogy túllőttek a célon a technológia specifikációval, az eljáráshoz párosított elvárások túl agresszívnek bizonyultak, melyeket a fejlesztőcsapat végül képtelen volt teljesíteni. A rekord mértékű skálázódás várhatóan már nem valósul meg, iparági pletykák ugyanis szerint a cég végül inkább lazított a specifikációkon, így kerülhetnek majd piacra értékelhető minőségű és mennyiségű 10 nanométeres Intel processzorok, valamikor jövőre.

Ugyancsak nem kerül majd be a kirakatba a vállalat kapacitásproblémája, amely számos esetben eredményezett készlethiányt és/vagy komoly áremelkedést. Elsőként szeptemberben látott napvilágot, hogy az Intel nemes egyszerűséggel kifutott 14 nanométeres gyártókapacitásából. Ennek oka, hogy nagyjából egy időben nőtt meg minden fronton a 14 nanométeres lapkák iránti igény, miközben az említett, immár négy éve futtatott gyártástechnológia tehermentesítésére (is) hivatott 10 nanométer kihozatala a vártnál csak sokkal lassabban javult. A termékpalettát szemlélve nem meglepő, hogy csúcsra vannak járatva a gyártósorok, a vállalatnak ugyanis szinte az összes processzorát, az új generációs lapkakészletek egy részét, valamint az iPhone-ok rádiós modemeit is 14 nanométeren kell termelnie, ez utóbbit több tízmilliós darabszámban. A kapacitásprobléma miatt a vállalat nem tudta maradéktalanul kiszolgálni a piac igényeit, illetve maximalizálni forgalmát, amelyből végül többek között a konkurens AMD tudott profitálni.

Biztonsági balhékat halmozott a Facebook

Az idei bukások összefoglalójából képtelenség lenne kihagyni a Facebookot, amely rendszeres biztonsági balhéival került a cikkek középpontjába. Még ki sem hűlt a 2016-os amerikai választásokat követő, álhírekről, orosz hirdetésekről és szűrőbuborékokról szóló problémakör, mikor idén márciusban a Cambridge Analytica nevéhez kötődő biztonsági balhé hatalmas felfordulást okozott. Kiderült, hogy több mint 87 millió felhasználó személyes adatait használhatta engedély nélkül a Cambridge Analytica. Egy látszólag ártalmatlannak tűnő app adatait a cég pszichografikus profilozásra, és így a 2016-os amerikai választások befolyásolására vetette be. Az ügy kapcsán fény derült rá, hogy a Facebook egyáltalán nem ellenőrizte, hogy a felhasználói adatait a fejlesztők kinek adják át, hanem csak a szabályzatra hagyatkozott. Ehhez hasonlóan a Facebook partnerei kapcsán is kiderült, hogy azokra a vállalat "saját maga kiterjesztéseként tekintett", ezért kiterjedt hozzáférést biztosított számukra a felhasználók adataihoz.

Így csökken a Facebook népszerűsége az amerikai fiatalok körében (Forrás: Piper Jaffray)

Bár a közösségi óriás vezérigazgatója, Mark Zuckerberg fogadkozott idén az amerikai Kongresszus és az Európai Parlament előtt is, hogy nem fordulhatnak többé elő biztonsági botrányok a vállalattal, ezt mégsem sikerült betartani. Előfordult, hogy a cég token-generátorát sikerült hamis tokenek kiadására rávenni, amellyel 50 millió felhasználó adatait tette ki veszélynek a cég. Máskor a Photos API-n belül keletkezett sebezhetőség, amellyel 1500 alkalmazás férhetett hozzá 6,8 millió felhasználó fotóihoz illetéktelenül is. Ráadásul kiderült a vállalatról, hogy a konkurensei hiteltelenítése érdekében az "opposition research" tevékenységéről ismert Definers Public Affairs ügynökséggel is együtt dolgozott. Mindennek ellenére a Facebook eredményei nem annyira rosszak, a bevétel továbbra is nő, és a felhasználók sem hagyták el tömegesen az oldalt, viszont az utóbbi időben a fontosabb régiókban lassult a növekedés, és már lehetetlen a Facebook nevét a biztonsági botrányokkal nem összekapcsolni.

IoT biztonság

Az IoT-biztonság hiányosságai nem csak 2018, de akár az elmúlt 4-5 év nagy bukásai között is gond nélkül megállnák a helyüket. Nem telik el úgy hét, hogy ne bukkanna fel egy újabb routereket vagy más IoT eszközöket támadó botnet, vagy épp ne találnának súlyos biztonsági réseket valamelyik népszerű eszközön amelyeket a gyártó jó eséllyel soha nem foltoz be.

Ilyen volt a novemberben felfedezett UPnP biztonsági rés, amelyet kihasználva egy botnet több mint százezer eszközt fertőzött meg, de nyáron MikroTik routerekből is több százezer vált kriptobányász-zombivá. Nem sokkal korábban a Satori botnet támadott meg egy sor D-Link modellt, egy jó két éve ismert sebezhetőségre támaszkodva, de szintén fájdalmas IoT-fiaskó volt a Tapplock indiegogós okoslakat története is, amely nem csak egyszerűen feltörhető volt, de még el is navigálta magához a potenciális tolvajokat. A népszerű gyerekkövető órák nem létező biztonsága pedig csak hab a tortán, egy novemberi kutatás szerint rengeteg eszköz esetében illetéktelenek is egyszerűen követhetik vagy akár le is hallgathatják a viselőt.

msfss

Szerencsére azért nincs minden remény veszve, egyre több kezdeményezés indul az IoT biztonság gatyába rázására. A Mozilla és a ThingsCon néhány hete jelentett be egy biztonsági tanúsítványt, amellyel a kevéssé szakavatott vásárlók számára átláthatóbb lenne, mely gyártók termékeivel minimalizálható a biztonsági kockázat, Németország pedig már törvényben szabályozza a routerek biztonságát fókuszban a jelszavakkal, illetve az elhanyagolt biztonsági frissítésekkel. Az alapértelmezett jelszavak használatát a routereknél egyébként már Kalifornia állam is tiltja. Ezzel persze még jócskán marad foltozni való a foghíjas IoT-biztonságon, ha a piac szereplői nem kezdenek rohamtempóban dolgozni az eszközök megfelelő és hosszútávú védelmén, jövőre is hasonló rendszerességgel láthatunk majd biztonsági fiaskókat.

6 klassz téma, 6 jó előadó a HWSW május 21-i nagy Microsoft Azure meetupján.