Може да сте чували, че небето е паднало и апокалипсисът на сигурността се е случил заради две нови атаки с име Топене и призрак. Ако работите в ИТ или която и да е друга област на мащабна компютърна инфраструктура, вероятно се чувствате така, както и вече, и вече очаквате с нетърпение вашите почивни дни през 2018 г.
Медиите за пръв път чуха слухове за тази майка на всички експлойти в края на 2017 г., а последните съобщения бяха диво спекулативни и накрая принудени компании като Microsoft, Amazonи Google (чийто Екипът на Project Zero откри цялата работа), за да отговорите с подробности. Тези подробности направиха интересно четиво, ако се интересувате от такива неща.
Но за всички останали, без значение какъв телефон или компютър използвате, голяма част от това, което четете или чувате, може да звучи така, сякаш е на различен език. Това е така, защото е така и освен ако не владеете свободно кибер-гийк-сигурност-техно-говор, може да се наложи да го стартирате чрез някакъв преводач.
Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
Добри новини! Намерихте този преводач и ето какво Вие трябва да знаете за Meltdown и Spectre и какво трябва да направите по въпроса.
Какво са те
Meltdown и Spectre са две различни неща, но тъй като те бяха разкрити едновременно и двете се занимават с микропроцесорна архитектура на хардуерно ниво, за тях се говори заедно. Телефонът, който използвате в момента, е почти сигурно засегнат от експлоата на Spectre, но никой все още не е намерил начин да го използва.
Процесорът във вашия телефон определя колко е уязвим за тези видове експлойти, но е по-безопасно да се предположи, че всички те ви засягат, ако не сте сигурни. И тъй като те не използват грешка и вместо това използват процес, който е предполагаем да се случи, няма лесно решение без актуализация на софтуера.
Погледнете телефона в ръцете си; това е уязвимо за някои от тези атаки.
Компютрите (това включва телефони и други малки компютри също) разчитат на това, което се нарича изолиране на паметта за сигурност между приложенията. Не паметта, която се използва за съхранение на данни в дългосрочен план, а паметта, използвана от хардуера и софтуера, докато всичко работи в реално време. Процесите съхраняват данни отделно от други процеси, така че никой друг процес не знае къде и кога се записва или чете.
Всички приложения и услуги, работещи на телефона ви, искат процесорът да свърши някаква работа и постоянно му предоставят списък с нещата, които трябва да бъдат изчислени. Процесорът не изпълнява тези задачи в реда, в който са получени - това би означавало някои части на Процесорът не работи и чака други части да приключат, така че стъпка втора може да се направи след стъпка първа завършен. Вместо това процесорът може да премине напред към стъпка 3 или стъпка 4 и да ги направи преди време. Това се казва изпълнение извън поръчката и всички съвременни процесори работят по този начин.
Meltdown и Spectre не използват грешка - те атакуват начина, по който процесорът изчислява данни.
Тъй като процесорът е по-бърз, отколкото би могъл да бъде всеки софтуер, той също малко предполага. Спекулативно изпълнение е когато CPU извършва изчисление, което все още не е било поискано да се направи въз основа на предишни изчисления беше поиска да изпълни. Част от оптимизирането на софтуера за по-добра производителност на процесора спазва няколко правила и инструкции. Това означава, че през повечето време има нормален работен процес, който ще се следва и процесорът може да пропусне напред, за да има данни в готовност, когато софтуерът ги поиска. И тъй като те са толкова бързи, ако данните все пак не са били необходими, те се изхвърлят настрана. Това все пак е по-бързо от изчакването на заявката за извършване на изчисление.
Това спекулативно изпълнение е това, което позволява на Meltdown и Spectre да имат достъп до данни, до които иначе не биха могли да получат, въпреки че го правят по различни начини.
Топене
Процесорите на Intel, по-новите процесори от серията A на Apple и други ARM SoC, използващи новото ядро A75 (засега това е само Qualcomm Snapdragon 845), са уязвими за експлоатацията на Meltdown.
Meltdown използва така наречения "недостатък на ескалацията на привилегии", който дава на приложението достъп до паметта на ядрото. Това означава всеки код, който може да получи достъп до тази област на паметта - където комуникацията между ядрото и процесорът се случва - по същество има достъп до всичко, което му е необходимо за изпълнение на който и да е код на система. Когато можете да стартирате произволен код, имате достъп до всички данни.
Призракът
Призракът засяга почти всеки съвременен процесор, включително този на вашия телефон.
Spectre не трябва да намира начин да изпълнява код на вашия компютър, защото може да „подведе“ процесора да изпълни инструкции за него, след което да предостави достъп до данните от други приложения. Това означава, че експлойтът може да види какво правят другите приложения и да прочете данните, които са съхранили. Начинът, по който процесорът обработва инструкции в ред в клонове, е мястото, където Spectre атакува.
Както Meltdown, така и Spectre могат да изложат данни, които трябва да бъдат изолирани. Те правят това на хардуерно ниво, така че вашата операционна система не ви прави имунизирани - Apple, Google, Microsoft и всякакви операционни системи Unix и Linux с отворен код са еднакво засегнати.
Заради техника, която е известна като динамично планиране което позволява данните да се четат, тъй като се изчисляват, вместо първо да се съхраняват, в RAM има много чувствителна информация, която атаката да може да прочете. Ако се интересувате от подобен род неща, публикуваните от Технически университет в Грац са очарователни четения. Но не е нужно да ги четете или разбирате, за да се предпазите.
Засегнат ли съм?
Да. Ти поне беше. По принцип всички бяха засегнати, докато компаниите започнаха да поправят софтуера си срещу тези атаки.
Софтуерът, който се нуждае от актуализация, е в операционната система, така че това означава, че имате нужда от корекция от Apple, Google или Microsoft. (Ако използвате компютър, който работи с Linux и не се занимавате с infosec, вече имате и кръпката. Използвайте вашия софтуер за актуализация, за да го инсталирате или помолете приятел, който е в infosec, да ви преведе през актуализирането на ядрото ви). Страхотната новина е, че Apple, Google и Microsoft имат корекции или вече внедрени, или в близко бъдеще за поддържани версии.
Спецификата
- Intel процесори от 1995г с изключение за платформата Itanium и ATOM преди 2013 г. са засегнати от Meltdown и Spectre.
- Всички съвременни AMD процесори са засегнати от атаката на Spectre. AMD PRO и AMD FX (AMD 9600 R7 и AMD FX-8320 бяха използвани като доказателство за концепция) процесори в нестандартна конфигурация (активиран е BPF JIT на ядрото) са засегнати от Meltdown. Очаква се, че подобна атака срещу четене на памет от страничния канал е възможна срещу всички 64-битови процесори включително AMD процесори.
- ARM процесори с Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75 ядра са предполагаеми за Spectre атаки. Процесори с Cortex A75 ( Snapdragon 845) ядрата са уязвими към атаки на Meltdown. Очаква се чиповете, използващи варианти на тези ядра, като Линията Snapdragon на Qualcomm или Линията Exynos на Samsung, също ще има подобни или същите уязвимости. Qualcomm работи директно с ARM и има това изявление по въпросите:
Qualcomm Technologies, Inc. е запознат с проучванията за сигурност на уязвимостите на процесорите в цялата индустрия, които са докладвани. Предоставянето на технологии, които поддържат стабилна сигурност и поверителност, е приоритет за Qualcomm, както и като такива, ние сме работили с Arm и други, за да оценим въздействието и да разработим смекчаващи мерки за нашите клиенти. Ние активно включваме и прилагаме смекчаващи мерки срещу уязвимостите на нашите засегнати продукти и продължаваме да работим за тяхното укрепване, доколкото е възможно. Ние сме в процес на внедряване на тези смекчаващи мерки за нашите клиенти и насърчаваме хората да актуализират своите устройства, когато станат налични корекции.
NVIDIA определи че тези експлойти (или други подобни експлойти, които могат да възникнат) не засягат GPU изчисленията, така че техният хардуер е предимно имунизиран. Те ще работят с други компании, за да актуализират драйвери на устройства, за да помогнат за смекчаване на всички проблеми с производителността на процесора, и те оценяват своите базирани на ARM SoCs (Tegra).
Webkit, хората зад механизма за рендиране на браузъра на Safari и предшественика на двигателя на Google Blink имат отлична разбивка как точно тези атаки могат да повлияят на техния код. Голяма част от това ще се отнася за всеки преводач или компилатор и това е невероятно четиво. Вижте как работят, за да го поправят и да не се случва следващия път.
На обикновен английски това означава, че освен ако все още не използвате много стар телефон, таблет или компютър, трябва да се смятате за уязвим без актуализация на операционната система. Ето какво знаем дотук на този фронт:
- Google е закърпил Android срещу атаките на Spectre и Meltdown с декември 2017 г. и Януари 2018 г. лепенки.
- Google е закърпил Chromebook, използвайки версиите на ядрото 3.18 и 4.4 Декември 2017 г. с OS 63. Устройства с други версии на ядрото (погледнете тук, за да намерите своя) ще бъде закърпено скоро. На обикновен английски: Chromebook Toshiba, Acer C720, Dell Chromebook 13 и Chromebook Pixels от 2013 и 2015 г. (и някои имена, за които вероятно никога не сте чували) все още не са закърпени, но ще бъдат скоро. Повечето Chromebox, Chromebases и Chromebits са не закърпено, но скоро ще бъде.
- За устройства с Chrome OS, които не са закърпени, се нарича нова функция за защита Изолация на сайта ще смекчи всички проблеми от тези атаки.
- Microsoft е закърпила и двата експлоата от януари 2018 г..
- Apple е закърпила macOS и iOS срещу Meltdown, започвайки с актуализацията през декември. Първият кръг от актуализации на Spectre беше изтласкан в началото на януари. Вижте iMore за всичко, което трябва да знаете за тези недостатъци на процесора и как те влияят на вашите Mac, iPad и iPhone.
- Пачовете са изпратени до всички поддържани версии на ядрото на Linux и операционни системи като Ubuntu или Red Hat могат да бъдат актуализирани чрез приложението за актуализация на софтуера.
За спецификите на Android, Nexus 5X, Nexus 6P, Пиксел, Pixel XL, Pixel 2, и Pixel 2 XL са били закърпени и скоро трябва да видите актуализация, ако още не сте я получили. Можете също така да актуализирате ръчно тези устройства, ако искате. Проектът за Android с отворен код (кодът, използван за изграждане на операционната система за всеки телефон с Android) също е закърпен и дистрибуции на трети страни като LineageOS може да се актуализира.
Как да актуализирате ръчно своя Pixel или Nexus
Samsung, LG, Motorolaи други доставчици на Android (компании, които произвеждат телефони и таблети и телевизори) ще закърпят своите продукти с актуализацията от януари 2018 г. Някои, като Забележка 8 или Galaxy S8, ще види това преди други, но Google направи пластира достъпен за всичко устройства. Очакваме да видим повече новини от всички партньори, за да ни уведомите какво да очакваме и кога.
Какво мога да направя?
Ако имате продукт, който е уязвим, е лесно да се хванете в ажиотажа, но не бива. И Spectre, и Meltdown не се "случват просто" и зависят от това Вие инсталиране на някакъв вид злонамерен софтуер, който ги използва. Следването на няколко безопасни практики ще ви предпази от експлоатация на какъвто и да е компютърен хардуер.
- Инсталирайте софтуер, на който имате доверие, само от място, на което имате доверие. Това е добра идея винаги, но особено ако чакате пластир.
- Защитете устройствата си с добър заключен екран и криптиране. Това прави повече от това просто да задържи друго лице, тъй като приложенията не могат да направят нищо, докато телефонът ви е заключен без ваше разрешение.
- Прочетете и разберете разрешенията за всичко, което стартирате или инсталирате на телефона си. Не се страхувайте да помолите за помощ тук!
- Използвайте уеб браузър, който блокира злонамерен софтуер. Можем да препоръчаме Chrome или Firefox, а други браузъри също могат да ви защитят от уеб-базиран злонамерен софтуер. Попитайте хората, които ги правят и разпространяват, ако не сте сигурни. Уеб браузърът, доставен с телефона ви, може да не е най-добрият вариант тук, особено ако имате по-стар модел. Edge и Safari също са надеждни за Windows или MacOS и iOS устройства.
- Не отваряйте връзки в социалните медии, в имейл или в съобщение от някой, когото не познавате. Дори да са от хора, които познавате, уверете се, че имате доверие на вашия уеб браузър, преди да щракнете или докоснете. Това се удвоява за пренасочващи връзки, които маскират URL адреса на сайта. Ние използваме такива връзки доста често и шансовете са много онлайн медии, които четете, също. Бъди внимателен.
- Не бъди глупав. Знаете какво означава това за вас. Доверете се на преценката си и грешете от страна на предпазливостта.
Добрата новина е, че начинът на експлоатация на тези странични канали е закърпен не е ще доведе до огромни забавяния, които са били свръх преди да бъдат пуснати каквито и да е актуализации. Точно така работи мрежата и ако прочетете как телефонът или компютърът ви ще бъдат с 30% по-бавни след прилагането на някакво поправяне, това е така, защото сензацията се продава. Потребителите, които използват актуализиран софтуер (и са били по време на тестване), просто не го виждат.
Пачът няма въздействие върху производителността, според някои, че ще донесе, и това е страхотно нещо.
Всичко това се случи, защото тези атаки измерват точни интервали от време и първоначалните кръпки променят или деактивират прецизността на някои източници на синхронизация чрез софтуер. По-малко прецизно означава по-бавно, когато работите, а въздействието е преувеличено, за да бъде много по-голямо, отколкото е. Дори лекото намаляване на производителността, което е резултат от корекциите, се смекчават от други компании и ние виждаме NVIDIA актуализира начина, по който техните графични процесори крият номера или Mozilla работи по начина, по който изчисляват данните, за да ги направи равномерни по-бързо. Вашият телефон няма да бъде по-бавен по време на корекцията от януари 2018 г. както и вашият компютър, освен ако не е много стар, поне не по някакъв забележим начин.
Спрете да се притеснявате за това и вместо това направете всичко възможно, за да запазите данните си в безопасност.
Какво да отнеме от всичко това
Страховете за сигурност винаги имат някакво реално въздействие. Никой не е виждал случаи на Meltdown или Spectre да се използват в дивата природа и тъй като повечето устройства, които използваме всеки ден, се актуализират или ще бъдат много скоро, докладите вероятно ще останат такива. Но това не означава, че те трябва да бъдат игнорирани.
Приемайте сериозно заплахите за сигурността като тази, но не си падайте по цялата реклама; Бъди информиран!
Тези подвизи на страничните канали имаха потенциала да бъдат онова голямо, сериозно събитие, което променя играта, за което хората се притесняват, когато става въпрос за киберсигурност. Всеки експлойт, който засяга хардуера, е сериозен и когато атакува нещо, направено нарочно, вместо грешка, става още по-сериозен. За щастие изследователите и разработчиците успяха да уловят, сдържат и закърпят Meltdown и Spectre, преди да се случи някакво широко разпространение.
Това, което е наистина важно тук е, че получавате точната информация, за да знаете какво да правите всеки път, когато чуете за нова киберзаплаха, която иска всички ваши цифрови неща. Обикновено има рационален начин за смекчаване на всякакви сериозни ефекти, след като прескочите всички заглавия.
Пази се!
Слушали ли сте Android Central Podcast тази седмица?
Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.
- Абонирайте се за Pocket Casts: Аудио
- Абонирайте се в Spotify: Аудио
- Абонирайте се в iTunes: Аудио
Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Защитете дома си с тези звънци и брави SmartThings.
Едно от най-добрите неща за SmartThings е, че можете да използвате множество други устройства на трети страни на вашата система, включени звънци и брави. Тъй като всички те по същество споделят една и съща поддръжка на SmartThings, ние се фокусирахме върху това кои устройства имат най-добрите спецификации и трикове, за да оправдаят добавянето им към вашия арсенал SmartThings.