Software ပိုင်းမှာပဲဖြစ်ဖြစ်၊ Hardware ပိုင်းမှာပဲဖြစ်ဖြစ် မတူညီတဲ့ Security Flaw အမျိုးအစား အများကြီးရှိတယ် ဆိုပေမယ့် Hardware ပိုင်းမှာ အဓိကအကျဆုံးဖြစ်တဲ့ Processor မှာ Security Flaw ဒါမှမဟုတ် Bug တစ်ခု ရှိနေပြီ ဆိုလို့ကတော့ ဖြစ်လာမယ့် အကျိုးဆက်တွေက တော်တော်လေး များသွားမှာပါ။ အခုလောလောဆယ်မှာ အနောက်တိုင်းက နည်းပညာကုမ္ပဏီကြီးတွေနဲ့ နည်းပညာ ကျွမ်းကျင်သူတွေ ကြောက်နေကြတဲ့ Processor Security Flaw နှစ်ခု ရှိပါတယ်။ 

                ဒီ Processor Security Flaw နှစ်ခုကို Spectre နဲ့ Meltdown လို့ နာမည်ပေးထားကြပြီး Intel, AMD နဲ့ ARM Processor တွေမှာ ရှိနေတာဖြစ်ပါတယ်။ Processor Security Flaw မို့လို့ OS နဲ့တော့ မဆိုင်ဘူး မထင်ပါနဲ့။ Processor မှာ ဖြစ်နေတဲ့အတွက် ဘယ် OS ပဲ သုံးသုံး၊ ဘယ် Device ပဲသုံးသုံး ပြေးလို့လွတ်မှာ မဟုတ်ပါဘူး။ OS ပိုင်းမှာဆိုရင် Windows, Chrome OS, macOS အပြင် Linux လည်း မကျန်ပါဘူး။ Device တွေဆိုရင်လည်း Laptop, PC, Tablet နဲ့ Smartphone တွေအပြင် Cloud Computing System တွေမှာလည်း အကျိုးသက်ရောက်မှု ရှိမှာပါ။

                ဒါကြောင့်လည်း နည်းပညာ ကျွမ်းကျင်သူတွေက Spectre နဲ့ Meltdown ကို လက်ရှိမှာ ကြောက်စရာအကောင်းဆုံးနဲ့ အစိုးရိမ်ရဆုံး Processor Security Flaw နှစ်ခုအဖြစ် သတ်မှတ်ထားကြတာ ဖြစ်ပါတယ်။ ဒီဆောင်းပါးထဲမှာတော့ Spectre နဲ့ Meltdown လို့ နာမည်ပေးထားတဲ့ Processor Security Flaw တွေရဲ့အကြောင်းကို ပြောသွားမှာပါ။

Meltdown

                Meltdown ဆိုတာကတော့ Memory Access ပေးပစ်လိုက်တဲ့ Security Flaw ပါ။ Memory ထဲမှာ ရှိသမျှ Data ကတော့ အကုန်ပါမှာပါပဲ။ အခုလောလောဆယ်မှာတော့ Meltdown က Intel Processor တွေမှာပဲ တွေ့ရသေးတယ်လို့ သိရပါတယ်။ ၁၉၉၅ ခုနှစ်ထုတ် Intel Processor တွေကစလို့ အခုလက်ရှိ Intel Processor မျိုးဆက်တွေကိုပါ Meltdown နဲ့ တိုက်ခိုက်လို့ ရမယ်လို့ သိရပါတယ်။

Spectre

                Spectre ကတော့ Intel, AMD နဲ့ ARM Processor တွေမှာ ရှိနေတာဖြစ်ပါတယ်။ Spectre Flaw ကို အသုံးချပြီး User Data ကို ဦးတည်ချက်ထားပြီး တိုက်ခိုက်နိုင်မယ့် Application တွေကို စက်ထဲမှာ ထည့်လိုက်နိုင်တယ်လို့ သိရပါတယ်။ 

                လက်ရှိကတော့ Meltdown နဲ့ Spectre အကြောင်းက ဒီလောက်ပဲ သိရပါသေးတယ်။ ဒါပေမယ့် Intel နဲ့ Google ကတော့ လာမယ့် ဇန်နဝါရီ ၉ ရက်နေ့မှာ Detail ထုတ်ပေးသွားဖို့ အစီအစဉ် ရှိတယ်လို့ ဆိုပါတယ်။ ဒီကကျွမ်းကျင်သူတွေ အနေနဲ့ လောလောဆယ် အသေးစိတ် သိချင်တယ် ဆိုရင်တော့ meltdownattack.com နဲ့ spectreattack.com မှာ Meltdown နဲ့ တိုက်ခိုက်ထားတဲ့ Video တွေကို ကြည့်ရှုနိုင်သလို Code Illustration တွေကိုလည်း ကြည့်ရှုနိုင်ဦးမှာပါ။

ဘယ်သူစတွေ့ခဲ့တာလဲ?

                စတင်တွေ့ရှိခဲ့သူကတော့ Google ရဲ့ Project Zero က Security Researcher တွေနဲ့ နိုင်ငံတကာက Security ပိုင်း ကျွမ်းကျင်သူတွေ ပူးပေါင်းပြီး ရှာဖွေတွေ့ရှိခဲ့တာပါ။ တွေ့ရှိလျှင် တွေ့ရှိခြင်းပဲ Google က Intel, AMD နဲ့ ARM တို့ကို ဇွန်လ ၁ ရက်နေ့ ၂၀၁၇  ကတည်းက Spectre Flaw ရဲ့အကြောင်းကို အသိပေးခဲ့တာဖြစ်ပြီး ဇူလိုင်လ ၂၈ ရက်နေ့ ၂၀၁၇ မှာတော့ Meltdown Flaw ရဲ့ အကြောင်းကို အသိပေးခဲ့တယ်လို့ သိရပါတယ်။

                ရှာဖွေတွေ့ရှိခဲ့သူတွေထဲက တစ်ယောက်ဖြစ်တဲ့ Daniel Gruss ကတော့

                “Meltdown ကတော့ အဆိုးရွားဆုံး CPU Bug တွေထဲမှာ တစ်ခုအပါအဝင်ပါပဲ”

လို့ ပြောခဲ့ပါတယ်။

တိုက်ခိုက်မှုတွေ ရှိနေပြီလား?

                လက်ရှိအချိန်မှာတော့ တိုက်ခိုက်မှုတွေ မတွေ့ရသေးဘူးလို့ သိရပါတယ်။ မတွေ့ရသေးဘူးဆိုလို့ တိုက်ခိုက်မှုတွေ ရှိလာရင်ရော သိနိုင်ပါ့မလား? ဆိုတော့လည်း Log Files တွေထဲမှာတောင် ဘာမှကျန်ခဲ့မှာ မဟုတ်တဲ့အတွက် မသိနိုင်ပါဘူး။ ဆိုတော့ကား Meltdown နဲ့ Spectre က တော်တော်လေး ကြောက်ဖို့ကောင်းတယ်ဆိုတာ ဒီတစ်ချက်နဲ့တင် လုံလောက်သွားပြီလို့ သုံးသပ်နိုင်ပါတယ်။

                Cypersecurity ကျွမ်းကျင်သူ Dan Guido ကတော့ 

                “အခု Processor Security Flaw နှစ်ခုဟာ Black Hat တွေ အတွက်ကတော့ ကစားစရာတွေ ထပ်ရသွားသလိုပါပဲ”

လို့ ပြောကြားထားပါတယ်။

ဘယ်လို ကာကွယ်နိုင်မလဲ?

                Meltdown ကို ကာကွယ်နိုင်ဖို့အတွက် OS တွေနဲ့ Memory နဲ့ကြားက အလုပ်လုပ်တဲ့အပိုင်းမှာ Fix လုပ်ပေးရင် ရသွားမယ်လို့ သိရပြီး Spectre ကတော့ အခုလောလောဆယ်မှာ Hack ဖို့လည်း မလွယ်သလို Fix ထုတ်ပေးဖို့လည်း ခက်ခဲမယ်လို့ သိရပါတယ်။ 

                “Spectre က ရေရှည်မှာ အဆိုးရွားဆုံး Security Flaw တစ်ခု ဖြစ်လာနိုင်တယ်” 

လို့လည်း Gruss က ပြောခဲ့ပါသေးတယ်။

                အခုလောလောဆယ်မှာ Intel နဲ့ AMD ကတော့ Processor ရဲ့ Design ပိုင်း မှားယွင်းမှုကြောင့် မဟုတ်ပေမယ့် Security Patch တွေကိုတော့ Update လုပ်ပေးဖို့လိုမယ်လို့ ပြောသွားပါတယ်။ ဒါပေမယ့် Meltdown အတွက် Fix ကတော့ အသုံးပြုသူတွေအတွက် ကသိကအောက် နိုင်စေမှာပါ။ Memory ပိုင်းမှာ သွားပြီး Fix လုပ်ပေးရမှာ ဖြစ်တဲ့အတွက် Device ရဲ့ Performance ကတော့ ၃၀ ရာခိုင်နှုန်းလောက် ကျဆင်းသွားမယ်လို့ တွေ့ရှိသူတွေက သုံးသပ်ထားပေမယ့် Intel ကတော့ 

                “Intel အနေနဲ့ ဒီ Processor Security Flaw တွေကို ကာကွယ်နိုင်မယ့် Software နဲ့ Firmware Update တွေကို စတင်ထုတ်ပေးနေပြီ ဖြစ်ပါတယ်။ Performance နဲ့ ပက်သက်လို့ကတော့ Workload နဲ့ပဲ ဆိုင်ပါလိမ့်မယ်။ သာမန်အသုံးပြုသူတွေ အတွက်ကတော့ သိသာမှာမဟုတ်ပါဘူး”

လို့ ငြင်းဆန်သွားပါတယ်။ 

                Apple ကလည်း

                “iOS Device တွေနဲ့ Mac တွေမှာ Meltdown နဲ့ Spectre ဆိုတဲ့ Processor Security Flaw တွေ ရှိနေပါတယ်။ ဒါပေမယ့် အခုလောလောဆယ်မှာ Apple ပရိတ်တွေ အတိုက်ခိုက် ခံနေရပြီလို့တော့ သတင်းမကြားသေးပါဘူး။ လက်ရှိအချိန်မှာ အသုံးပြုသူတွေကို အကြံပေးချင်တာကတော့ မယုံကြည်ရတဲ့ Source တွေကဆီက App တွေကို Install မလုပ်ကြဖို့နဲ့ OS ကိုလည်း Update မှန်မှန်လုပ်ပေးကြဖို့ အကြံပေးချင်ပါတယ်”

လို့ ပြောသွားပါတယ်။

                AMD ကတော့ ပြောင်ပြောင်ပါပဲ။

                “AMD Product တွေမှာ အခုလက်ရှိကတော့ Risk လုံးဝ မရှိဘူးလို့”

ပြောသွားပါတယ်။ 

                ARM ကတော့ Security Patch တွေ ထုတ်ပေးပြီးသွားပြီလို့ သိရပါတယ်။ Cloud Service တွေလည်း အတိုက်ခိုက် ခံရနိုင်တဲ့အတွက် Google ကလည်း G Suite နဲ့ အခြား Google Cloud Service တွေကို Update လုပ်ပြီးသွားပြီလို့ သိရပါတယ်။

                တစ်ဖက်မှာလည်း ကျွမ်းကျင်သူအချို့ကတော့ ကြာလာရင် Processor အသစ်လဲပေးရမယ့် အခြေအနေတောင်ရှိတယ်လို့ ခန့်မှန်းထားကြပါတယ်။ Processor အသစ်လဲပေးရတော့မယ့် အခြေအနေရောက်သွားပြီဆိုရင် ဘယ်လောက်ထိအောင် ဆုံးရှုံးမှုတွေ ရှိလာမလဲဆိုတာကို မသိရသေးပေမယ့် Intel ရဲ့ Stock ကတော့ အရင်တစ်ပါတ် ဗုဒ္ဓဟူးနေ့တုန်းက ၃.၄ ရာခိုင်နှုန်းအထိ ပြုတ်ကျသွားတယ်လို့ သိရပါတယ်။

နိဂုံး

                ဒီဆောင်းပါးကို ဖတ်ပြီးပြီ ဆိုရင်တော့ Meltdown နဲ့ Spectre က ဘယ်လောက် ကြောက်စရာကောင်းလဲ ဆိုတာကို သိသွားကြမယ်လို့ မျှော်လင့်ပါတယ်။ ဒီကြားထဲမှာ မယုံကြည်ရဘူးလို့ ထင်တဲ့ App တွေကို မသုံးကြဖို့နဲ့ OS Update တွေ၊ Software Update တွေ၊ Firmware Update တွေ မှန်မှန်လေး လုပ်ကြဖို့ တိုက်တွန်းလိုက်ရပါတယ်။