Оглавление:
Возможно, вы слышали, что небо упало, и произошел апокалипсис безопасности из-за двух новых атак, названных Meltdown и Spectre. Если вы работаете в сфере ИТ или в любой другой области крупномасштабной компьютерной инфраструктуры, вы, вероятно, чувствуете, что она тоже, и уже с нетерпением ждете ваших каникул 2018 года.
Средства массовой информации впервые услышали слухи об этой матерью подвигов в конце 2017 года, а недавние сообщения были чрезвычайно спекулятивными и в конечном итоге вынудили такие компании, как Microsoft, Amazon и Google (чья команда Project Zero обнаружила все это) ответить подробностями. Эти детали сделали для интересного чтения, если вы заинтересованы в такого рода вещи.
Но для всех остальных, независимо от того, каким телефоном или компьютером вы пользуетесь, многое из того, что вы читаете или слышите, может звучать так, будто это на другом языке. Это потому, что так и есть, и если вы не владеете техникой кибер-гиков-безопасности, вам, возможно, придется провести ее через своего рода переводчик.
Хорошие новости! Вы нашли этого переводчика, и вот что вам нужно знать о Meltdown и Spectre, и что вам нужно с этим делать.
Что они
Meltdown и Spectre - две разные вещи, но, поскольку они были раскрыты одновременно и обе имеют дело с микропроцессорной архитектурой на аппаратном уровне, они обсуждаются вместе. Телефон, которым вы пользуетесь сейчас, почти наверняка подвержен эксплойту Spectre, но никто не нашел способа его использовать - пока.
Процессор внутри вашего телефона определяет, насколько он уязвим для этих типов эксплойтов, но безопаснее предположить, что все они влияют на вас, если вы не уверены. А поскольку они не используют ошибку и вместо этого используют процесс, который должен был произойти, без обновления программного обеспечения нет простого решения.
Посмотрите на телефон в ваших руках; это уязвимо для некоторых из этих атак.
Компьютеры (включая телефоны и другие крошечные компьютеры тоже) полагаются на то, что называется изоляцией памяти для обеспечения безопасности между приложениями. Не память, которая используется для долгосрочного хранения данных, а память, используемая аппаратным и программным обеспечением, когда все работает в режиме реального времени. Процессы хранят данные отдельно от других процессов, поэтому ни один другой процесс не знает, где и когда он будет записан или прочитан.
Все приложения и службы, работающие на вашем телефоне, хотят, чтобы процессор выполнял некоторую работу, и постоянно предоставляют ему список вещей, которые необходимо вычислить. Процессор не выполняет эти задачи в порядке их получения - это означает, что некоторые части ЦП не работают и ожидают завершения других частей, поэтому второй шаг может быть выполнен после завершения первого шага. Вместо этого процессор может перейти к третьему или четвертому шагу и выполнить их раньше времени. Это называется выполнением вне порядка, и все современные процессоры работают таким образом.
Meltdown и Spectre не используют ошибку - они атакуют способ, которым процессор вычисляет данные.
Поскольку процессор работает быстрее, чем любое программное обеспечение, он также немного угадывает. Спекулятивное выполнение - это когда процессор выполняет вычисление, которое ему еще не было предложено, основываясь на предыдущих вычислениях, которые ему было поручено выполнить. Частью оптимизации программного обеспечения для повышения производительности процессора является следование нескольким правилам и инструкциям. Это означает, что большую часть времени будет соблюдаться нормальный рабочий процесс, и ЦП может пропустить его, чтобы подготовить данные, когда об этом попросит программное обеспечение. А поскольку они настолько быстрые, что если данные все-таки не нужны, их отбрасывают в сторону. Это все еще быстрее, чем ожидание запроса на выполнение расчета.
Это умозрительное выполнение - это то, что позволяет и Meltdown, и Spectre получать доступ к данным, к которым они иначе не смогли бы получить, хотя они делают это по-разному.
расплавление
Процессоры Intel, новые процессоры Apple серии A и другие SoC ARM, использующие новое ядро A75 (на данный момент это всего лишь Qualcomm Snapdragon 845), уязвимы для эксплойта Meltdown.
Расплавление использует так называемый «недостаток повышения привилегий», который дает приложению доступ к памяти ядра. Это означает, что любой код, который может получить доступ к этой области памяти - где происходит связь между ядром и процессором - по существу имеет доступ ко всему, что ему нужно для выполнения любого кода в системе. Когда вы можете запустить любой код, у вас есть доступ ко всем данным.
привидение
Spectre влияет практически на все современные процессоры, в том числе и на вашем телефоне.
Spectre не нужно искать способ выполнения кода на вашем компьютере, потому что он может «обмануть» процессор, выполняя инструкции для него, а затем предоставляя доступ к данным из других приложений. Это означает, что эксплойт может видеть, что делают другие приложения, и читать данные, которые они хранят. То, как процессор обрабатывает инструкции в порядке в ветвях, - это то, где Spectre атакует.
И Meltdown, и Spectre могут предоставлять данные, которые должны быть помещены в «песочницу». Они делают это на аппаратном уровне, поэтому ваша операционная система не делает вас невосприимчивым - Apple, Google, Microsoft и все виды операционных систем Unix и Linux с открытым исходным кодом одинаково затронуты.
Из-за технологии, известной как динамическое планирование, которая позволяет считывать данные в процессе вычислений, а не сохранять их в первую очередь, в оперативной памяти имеется много конфиденциальной информации для чтения атакой. Если вы заинтересованы в подобных вещах, публикуемые Белым технологическим университетом технические документы являются увлекательным чтением. Но вам не нужно читать или понимать их, чтобы защитить себя.
Я затронут?
Да. По крайней мере, вы были. В основном все были затронуты, пока компании не начали устанавливать свои программы против этих атак.
Программное обеспечение, которое нуждается в обновлении, находится в операционной системе, поэтому вам нужен патч от Apple, Google или Microsoft. (Если вы используете компьютер с операционной системой Linux и не используете infosec, у вас уже есть патч. Используйте его для обновления программного обеспечения, чтобы установить его, или попросите друга, который работает в infosec, помочь вам с обновлением ядра). Удивительная новость заключается в том, что Apple, Google и Microsoft уже выпустили исправления или уже в ближайшем будущем для поддерживаемых версий.
Специфика
- Процессоры Intel с 1995 года, за исключением Itanium и платформы ATOM до 2013 года, подвержены влиянию Meltdown и Spectre.
- Все современные процессоры AMD подвержены атакам Spectre. Процессоры AMD PRO и AMD FX (AMD 9600 R7 и AMD FX-8320 использовались в качестве проверочных концепций) на процессорах нестандартной конфигурации (ядро BPF JIT включено) подвержены влиянию Meltdown. Ожидается, что аналогичная атака на чтение памяти по побочным каналам возможна для всех 64-битных процессоров, включая процессоры AMD.
- Процессоры ARM с ядрами Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75 подвержены атакам Spectre. Процессоры с ядрами Cortex A75 (Snapdragon 845) уязвимы для атак Meltdown. Ожидается, что чипы, использующие варианты этих ядер, такие как линейка Snapdragon Qualcomm или линейка Exynos от Samsung, также будут иметь схожие или те же уязвимости. Qualcomm работает напрямую с ARM и делает следующее заявление по следующим вопросам:
Компания Qualcomm Technologies, Inc. знает об исследованиях в области безопасности для отраслевых уязвимостей процессора, о которых сообщалось. Предоставление технологий, поддерживающих надежную безопасность и конфиденциальность, является приоритетом для Qualcomm, и поэтому мы работаем с Arm и другими с целью оценки воздействия и разработки мер по смягчению последствий для наших клиентов. Мы активно внедряем и внедряем средства защиты от уязвимостей для наших уязвимых продуктов, и мы продолжаем работать над их усилением, насколько это возможно. Мы находимся в процессе развертывания этих мер по смягчению для наших клиентов и призываем людей обновлять свои устройства, когда исправления становятся доступными.
-
NVIDIA определила, что эти эксплойты (или другие подобные эксплойты, которые могут возникнуть) не влияют на вычисления на GPU, поэтому их оборудование в основном защищено. Они будут работать с другими компаниями над обновлением драйверов устройств, чтобы помочь уменьшить любые проблемы с производительностью процессора, и они будут оценивать свои SoC на основе ARM (Tegra).
-
Webkit, создатель движка рендеринга браузеров Safari и предшественник движка Google Blink, отлично разбирается в том, как эти атаки могут повлиять на их код. Многое из этого применимо к любому интерпретатору или компилятору, и это потрясающее чтение. Посмотрите, как они работают, чтобы исправить это и не допустить этого в следующий раз.
Говоря простым языком, это означает, что если вы все еще не используете очень старый телефон, планшет или компьютер, вы должны считать себя уязвимым без обновления операционной системы. Вот что мы знаем на этом фронте:
- Google исправила Android против атак Spectre и Meltdown с помощью исправлений декабря 2017 и января 2018 года.
- Google установил исправления для Chromebook с использованием версий ядра 3.18 и 4.4 в декабре 2017 года с ОС 63. Скоро будут исправлены устройства с другими версиями ядра (см. Здесь, чтобы найти свою). Говоря простым языком: Chromebook Toshiba, Acer C720, Dell Chromebook 13 и Chromebook Pixels 2013 и 2015 годов (и некоторые имена, о которых вы, вероятно, никогда не слышали), еще не исправлены, но скоро будут. Большинство Chromeboxes, Chromebases и Chromebits не исправлены, но скоро будут.
- Для устройств Chrome OS, которые не были исправлены, новая функция безопасности, названная Site Isolation, позволит смягчить любые проблемы от этих атак.
- Microsoft исправила оба эксплойта по состоянию на январь 2018 года.
- Apple обновила MacOS и iOS против Meltdown, начиная с декабрьского обновления. Первый раунд обновлений Spectre был перенесен в начале января. Проверьте iMore для всего, что вам нужно знать об этих недостатках процессора и как они влияют на ваш Mac, iPad и iPhone.
- Патчи были отправлены всем поддерживаемым версиям ядра Linux, и операционные системы, такие как Ubuntu или Red Hat, могут быть обновлены через приложение обновления программного обеспечения.
Для особенностей Android были исправлены Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 и Pixel 2 XL, и вы должны увидеть обновление в ближайшее время, если вы его еще не получили. Вы также можете вручную обновить эти устройства, если хотите. Android Open Source проект (код, используемый для сборки ОС для каждого телефона Android) также был исправлен, и сторонние дистрибутивы, такие как LineageOS, могут быть обновлены.
Как вручную обновить ваш Pixel или Nexus
Samsung, LG, Motorola и другие производители Android (компании, производящие телефоны, планшеты и телевизоры) обновят свои продукты обновлением от января 2018 года. Некоторые, такие как Note 8 или Galaxy S8, увидят это раньше других, но Google сделал этот патч доступным для всех устройств. Мы ожидаем увидеть больше новостей от всех партнеров, чтобы сообщить нам, что ожидать и когда.
Что я могу сделать?
Если у вас есть продукт, который уязвим, его легко обмануть, но не стоит. И Spectre, и Meltdown не «просто случаются» и зависят от того, устанавливаете ли вы вредоносные программы, которые их используют. Следование нескольким безопасным методам защитит вас от использования любого компьютерного оборудования.
- Устанавливайте программное обеспечение, которому вы доверяете, только из места, которому вы доверяете. Это хорошая идея всегда, но особенно если вы ждете патча.
- Защитите свои устройства с хорошим экраном блокировки и шифрованием. Это больше, чем просто не пускать другого человека, поскольку приложения ничего не могут сделать, пока ваш телефон заблокирован без вашего разрешения.
- Прочитайте и поймите разрешения для всего, что вы запускаете или устанавливаете на свой телефон. Не бойтесь просить о помощи здесь!
- Используйте веб-браузер, который блокирует вредоносные программы. Мы можем порекомендовать Chrome или Firefox, и другие браузеры также могут защитить вас от вредоносного программного обеспечения в Интернете. Спросите людей, которые делают и распространяют их, если вы не уверены. Веб-браузер, который поставляется с вашим телефоном, может быть не лучшим вариантом, особенно если у вас более старая модель. Edge и Safari также являются доверенными для устройств под управлением Windows или MacOS и iOS.
- Не открывайте ссылки в социальных сетях, по электронной почте или в сообщениях от кого-то, кого вы не знаете. Даже если они принадлежат знакомым вам людям, убедитесь, что вы доверяете своему веб-браузеру, прежде чем нажимать или нажимать. Это удваивается для перенаправленных ссылок, которые маскируют URL сайта. Мы используем такие ссылки довольно часто, и есть вероятность, что вы также читаете много онлайн-медиа. Быть осторожен.
- Не будь глупым. Вы знаете, что это значит для вас. Доверяйте своему суждению и ошибайтесь на стороне предостережения.
Хорошая новость заключается в том, что исправление этих уязвимостей побочных каналов не приведет к огромным замедлениям, которые были раскручены до выпуска каких-либо обновлений. Именно так работает сеть, и если вы читали о том, что ваш телефон или компьютер будет работать на 30% медленнее после применения какого-либо исправления, это произошло потому, что сенсация продается. Пользователи, которые запускают обновленное программное обеспечение (и были во время тестирования), просто не видят его.
Патч не влияет на производительность, как утверждают некоторые, и это здорово.
Все это произошло потому, что эти атаки измеряют точные интервалы времени, а первоначальные исправления изменяют или отключают точность некоторых источников синхронизации с помощью программного обеспечения. Менее точное означает медленнее, когда вы вычисляете, и влияние было преувеличено, чтобы быть намного больше, чем это. Даже незначительное снижение производительности, вызванное исправлениями, смягчается другими компаниями, и мы видим, что NVIDIA обновляет методы обработки своих графических процессоров, или Mozilla работает над тем, как они вычисляют данные, чтобы сделать их еще быстрее. Ваш телефон не будет медленнее в обновлении от января 2018 года, равно как и ваш компьютер, если он не очень старый, по крайней мере, каким-либо заметным образом.
Перестаньте беспокоиться об этом и сделайте все возможное, чтобы ваши данные были в безопасности.
Что от этого все отнять
Опасения безопасности всегда оказывают какое-то реальное влияние. Никто не видел случаев использования Meltdown или Spectre в дикой природе, и, поскольку большинство устройств, которые мы используем каждый день, обновляются или будут очень скоро, отчеты, вероятно, останутся такими. Но это не значит, что их следует игнорировать.
Относитесь к таким угрозам безопасности серьезно, но не поддавайтесь на всю шумиху; быть информированным!
Эти атаки на побочные каналы потенциально могли стать тем серьезным, меняющим игру событием, о котором беспокоятся люди, когда речь заходит о кибербезопасности. Любой эксплойт, затрагивающий оборудование, серьезен, и когда он нападает на что-то, сделанное специально, вместо ошибки, он становится еще более серьезным. К счастью, исследователи и разработчики смогли поймать, локализовать и исправить патч Meltdown и Spectre, прежде чем произошло какое-либо широкое использование.
Здесь действительно важно то, что вы получаете правильную информацию, чтобы знать, что делать каждый раз, когда вы слышите о новом киберугрозе, который требует всех ваших цифровых вещей. Обычно существует рациональный способ смягчить любые серьезные последствия, когда вы перебираете все заголовки.
Оставайтесь в безопасности!
Мы можем заработать комиссию за покупки, используя наши ссылки. Учить больше.
