Sie haben vielleicht gehört, dass der Himmel gefallen ist und die Sicherheitsapokalypse aufgrund von zwei neuen Angriffen stattgefunden hat Meltdown und Spectre. Wenn Sie in der IT oder einem anderen Bereich der großen Computerinfrastruktur arbeiten, haben Sie wahrscheinlich auch das Gefühl, dass dies der Fall ist, und freuen sich bereits auf Ihre Urlaubstage 2018.
Die Medien hörten zum ersten Mal Ende 2017 Gerüchte über diese Mutter aller Heldentaten, und die jüngsten Berichte waren äußerst spekulativ und zwangen Unternehmen wie Microsoft, Amazonasund Google (dessen Das Project Zero-Team hat das Ganze entdeckt) mit Details zu antworten. Diese Details haben zu einer interessanten Lektüre geführt, wenn Sie an solchen Dingen interessiert sind.
Aber für alle anderen, egal welches Telefon oder welchen Computer Sie verwenden, klingt vieles, was Sie lesen oder hören, möglicherweise in einer anderen Sprache. Das liegt daran, dass es so ist, und wenn Sie nicht fließend Cyber-Geek-Sicherheitstechnologie sprechen, müssen Sie es möglicherweise durch einen Übersetzer laufen lassen.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Gute Nachrichten! Sie haben diesen Übersetzer gefunden, und hier ist was Sie Sie müssen über Meltdown und Spectre Bescheid wissen und wissen, was Sie dagegen tun müssen.
Was sie sind
Meltdown und Spectre sind zwei verschiedene Dinge, aber da sie gleichzeitig enthüllt wurden und sich beide mit der Mikroprozessorarchitektur auf Hardwareebene befassen, werden sie gemeinsam besprochen. Das Telefon, das Sie gerade verwenden, ist mit ziemlicher Sicherheit vom Spectre-Exploit betroffen, aber noch hat niemand einen Weg gefunden, es zu verwenden.
Der Prozessor in Ihrem Telefon bestimmt, wie anfällig es für diese Art von Exploits ist. Es ist jedoch sicherer anzunehmen, dass sie Sie alle betreffen, wenn Sie sich nicht sicher sind. Und da sie keinen Fehler ausnutzen und stattdessen einen Prozess verwenden, der das ist soll Ohne ein Software-Update gibt es keine einfache Lösung.
Schau auf das Telefon in deinen Händen. es ist anfällig für etwas dieser Angriffe.
Computer (dazu gehören auch Telefone und andere kleine Computer) sind auf das angewiesen, was genannt wird Speicherisolation für die Sicherheit zwischen Anwendungen. Nicht der Speicher, in dem Daten langfristig gespeichert werden, sondern der Speicher, der von Hardware und Software verwendet wird, während alles in Echtzeit arbeitet. Prozesse speichern Daten getrennt von anderen Prozessen, sodass kein anderer Prozess weiß, wo oder wann sie geschrieben oder gelesen werden.
Die Apps und Dienste, die auf Ihrem Telefon ausgeführt werden, möchten, dass der Prozessor einige Arbeiten ausführt, und geben ihm ständig eine Liste der Dinge, die berechnet werden müssen. Der Prozessor erledigt diese Aufgaben nicht in der Reihenfolge, in der sie empfangen werden - das würde einige Teile der Die CPU ist im Leerlauf und wartet darauf, dass andere Teile fertig sind. Schritt zwei kann also nach Schritt eins ausgeführt werden fertig. Stattdessen kann der Prozessor mit Schritt drei oder Schritt vier fortfahren und diese vorzeitig ausführen. Das nennt man Out-of-Order-Ausführung und alle modernen CPUs arbeiten auf diese Weise.
Meltdown und Spectre nutzen keinen Fehler aus - sie greifen die Art und Weise an, wie ein Prozessor Daten berechnet.
Da eine CPU schneller ist als jede andere Software, wird auch ein wenig geraten. Spekulative Ausführung Wenn die CPU eine Berechnung durchführt, wurde sie aufgrund vorheriger Berechnungen noch nicht dazu aufgefordert war gebeten, durchzuführen. Ein Teil der Optimierung der Software für eine bessere CPU-Leistung besteht darin, einige Regeln und Anweisungen zu befolgen. Dies bedeutet, dass die meiste Zeit ein normaler Workflow befolgt wird und eine CPU vorwärts springen kann, um Daten bereit zu halten, wenn die Software dies anfordert. Und weil sie so schnell sind, werden die Daten, wenn sie doch nicht benötigt wurden, beiseite geworfen. Dies ist immer noch schneller als das Warten auf die Anforderung, eine Berechnung durchzuführen.
Diese spekulative Ausführung ermöglicht es sowohl Meltdown als auch Spectre, auf Daten zuzugreifen, auf die sie sonst nicht zugreifen könnten, obwohl sie dies auf unterschiedliche Weise tun.
Kernschmelze
Intel-Prozessoren, Apples neuere Prozessoren der A-Serie und andere ARM-SoCs, die den neuen A75-Kern verwenden (im Moment ist dies nur der Qualcomm Snapdragon 845), sind für den Meltdown-Exploit anfällig.
Meltdown nutzt einen sogenannten "Eskalationsfehler für Berechtigungen", der einer Anwendung Zugriff auf den Kernelspeicher gewährt. Dies bedeutet jeden Code, der Zugriff auf diesen Speicherbereich erhalten kann - wo die Kommunikation zwischen dem Kernel und die CPU passiert - hat im Wesentlichen Zugriff auf alles, was es braucht, um Code auf dem auszuführen System. Wenn Sie einen beliebigen Code ausführen können, haben Sie Zugriff auf alle Daten.
Gespenst
Spectre betrifft fast jeden modernen Prozessor, einschließlich des auf Ihrem Telefon.
Spectre muss keinen Weg finden, um Code auf Ihrem Computer auszuführen, da es den Prozessor dazu verleiten kann, Anweisungen für ihn auszuführen und dann Zugriff auf die Daten anderer Anwendungen zu gewähren. Dies bedeutet, dass ein Exploit sehen kann, was andere Apps tun, und die von ihnen gespeicherten Daten lesen kann. Die Art und Weise, wie eine CPU Anweisungen in Zweigen außer Betrieb verarbeitet, ist der Ort, an dem Spectre angreift.
Sowohl Meltdown als auch Spectre können Daten verfügbar machen, die in einer Sandbox gespeichert werden sollen. Sie tun dies auf Hardwareebene, damit Ihr Betriebssystem Sie nicht immun macht - Apple, Google, Microsoft und alle Arten von Open-Source-Unix- und Linux-Betriebssystemen sind gleichermaßen betroffen.
Wegen einer Technik, die als bekannt ist dynamische Planung Damit Daten während der Datenverarbeitung gelesen werden können, anstatt dass sie zuerst gespeichert werden müssen, befinden sich im RAM viele vertrauliche Informationen, die von einem Angriff gelesen werden können. Wenn Sie an so etwas interessiert sind, lesen Sie die Whitepapers von Technische Universität Graz sind faszinierende Lesungen. Aber Sie müssen sie nicht lesen oder verstehen, um sich zu schützen.
Bin ich betroffen
Ja. Zumindest warst du es. Grundsätzlich waren alle betroffen, bis Unternehmen begannen, ihre Software gegen diese Angriffe zu patchen.
Die zu aktualisierende Software befindet sich im Betriebssystem. Sie benötigen also einen Patch von Apple, Google oder Microsoft. (Wenn Sie einen Computer verwenden, auf dem Linux ausgeführt wird und der sich nicht mit Infosec befasst, haben Sie den Patch auch bereits. Verwenden Sie Ihren Software-Updater, um ihn zu installieren, oder bitten Sie einen Freund, der sich für Infosec interessiert, Sie durch die Aktualisierung Ihres Kernels zu führen. Die großartige Nachricht ist, dass Apple, Google und Microsoft Patches für unterstützte Versionen entweder bereits bereitgestellt haben oder in naher Zukunft auf dem Weg sind.
Die Besonderheiten
- Intel-Prozessoren seit 1995 außer für die Itanium- und ATOM-Plattform vor 2013 sind sowohl Meltdown als auch Spectre betroffen.
- Alle modernen AMD-Prozessoren sind vom Spectre-Angriff betroffen. AMD PRO- und AMD FX-CPUs (AMD 9600 R7 und AMD FX-8320 wurden als Proof-of-Concept verwendet) in a Nicht standardmäßige Konfiguration (Kernel BPF JIT aktiviert) sind von Meltdown betroffen. Es wird erwartet, dass ein ähnlicher Angriff gegen das Lesen des Seitenkanalspeichers möglich ist alle 64-Bit-CPUs einschließlich AMD-Prozessoren.
- ARM-Prozessoren Mit Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 und A75 sind Kerne für Spectre-Angriffe verdächtig. Prozessoren mit Cortex A75 (der Löwenmaul 845) Kerne sind anfällig für Meltdown-Angriffe. Es wird erwartet, dass Chips, die Varianten dieser Kerne verwenden, wie Qualcomms Snapdragon-Linie oder Samsung Exynos Linie, wird auch ähnliche oder die gleichen Schwachstellen haben. Qualcomm arbeitet direkt mit ARM zusammen und hat folgende Erklärung zu folgenden Themen:
Qualcomm Technologies, Inc. ist sich der Sicherheitsforschung zu branchenweiten Prozessorschwachstellen bewusst, die gemeldet wurden. Die Bereitstellung von Technologien, die robuste Sicherheit und Datenschutz unterstützen, hat für Qualcomm und as Priorität Daher haben wir mit Arm und anderen zusammengearbeitet, um die Auswirkungen zu bewerten und Abschwächungen für unsere zu entwickeln Kunden. Wir integrieren und setzen aktiv Abhilfemaßnahmen gegen die Schwachstellen unserer betroffenen Produkte ein und arbeiten weiter daran, diese so weit wie möglich zu stärken. Wir sind dabei, diese Maßnahmen für unsere Kunden bereitzustellen, und ermutigen die Benutzer, ihre Geräte zu aktualisieren, sobald Patches verfügbar sind.
NVIDIA hat festgestellt dass diese Exploits (oder andere ähnliche Exploits, die auftreten können) keine Auswirkungen auf das GPU-Computing haben, sodass ihre Hardware größtenteils immun ist. Sie werden mit anderen Unternehmen zusammenarbeiten, um Gerätetreiber zu aktualisieren, um Probleme mit der CPU-Leistung zu verringern, und sie bewerten ihre ARM-basierten SoCs (Tegra).
WebkitDie Leute hinter der Browser-Rendering-Engine von Safari und der Vorläufer der Blink-Engine von Google wissen genau, wie sich diese Angriffe auf ihren Code auswirken können. Vieles davon würde für jeden Interpreter oder Compiler gelten und es ist eine erstaunliche Lektüre. Sehen Sie, wie sie daran arbeiten, das Problem zu beheben, und verhindern Sie, dass es beim nächsten Mal passiert.
Im Klartext bedeutet dies, dass Sie sich ohne ein Update des Betriebssystems als verwundbar betrachten sollten, es sei denn, Sie verwenden noch ein sehr altes Telefon, Tablet oder Computer. Hier ist was wir wissen bisher an dieser Front:
- Google hat Android im Dezember 2017 gegen Spectre- und Meltdown-Angriffe gepatcht Januar 2018 Patches.
- Google hat Chromebooks mit den Versionen 3.18 und 4.4 des Kernels gepatcht Dezember 2017 mit OS 63. Geräte mit anderen Versionen des Kernels (schau hier, um deine zu finden) wird bald gepatcht. In reinem Englisch: Das Toshiba Chromebook, das Acer C720, das Dell Chromebook 13 und die Chromebook-Pixel aus den Jahren 2013 und 2015 (und einige Namen, von denen Sie wahrscheinlich noch nie gehört haben) sind noch nicht gepatcht, werden aber bald verfügbar sein. Die meisten Chromeboxen, Chromebases und Chromebits sind nicht gepatcht, wird aber bald sein.
- Für Chrome OS-Geräte, die nicht gepatcht sind, wird eine neue Sicherheitsfunktion aufgerufen Standortisolierung wird alle Probleme aus diesen Angriffen abmildern.
- Microsoft hat beide Exploits ab Januar 2018 gepatcht.
- Apple hat ab dem Dezember-Update macOS und iOS gegen Meltdown gepatcht. Die erste Runde der Spectre-Updates wurde Anfang Januar veröffentlicht. Schauen Sie sich iMore an für alles, was Sie wissen müssen Informationen zu diesen CPU-Fehlern und deren Auswirkungen auf Ihren Mac, Ihr iPad und Ihr iPhone.
- Patches wurden an alle unterstützten Versionen des Linux-Kernels gesendet, und Betriebssysteme wie Ubuntu oder Red Hat können über die Software-Update-Anwendung aktualisiert werden.
Für Android-Besonderheiten bietet die Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, und Pixel 2 XL wurden gepatcht und Sie sollten bald ein Update sehen, wenn Sie es noch nicht erhalten haben. Sie können diese Geräte auch manuell aktualisieren, wenn Sie möchten. Das Android Open Source-Projekt (der Code, der zum Erstellen des Betriebssystems für jedes Android-Telefon verwendet wird) wurde ebenfalls gepatcht und von Drittanbietern wie LineageOS kann aktualisiert werden.
So aktualisieren Sie Ihr Pixel oder Nexus manuell
Samsung, LG, Motorolaund andere Android-Anbieter (Unternehmen, die Telefone, Tablets und Fernseher herstellen) werden ihre Produkte mit dem Update vom Januar 2018 patchen. Einige, wie die Anmerkung 8 oder Galaxy S8, wird das vor anderen sehen, aber Google hat den Patch für verfügbar gemacht alle Geräte. Wir erwarten weitere Neuigkeiten von allen Partnern, um uns mitzuteilen, was wann zu erwarten ist.
Was kann ich machen?
Wenn Sie ein Produkt haben, das anfällig ist, ist es leicht, in den Hype zu geraten, aber Sie sollten es nicht tun. Sowohl Spectre als auch Meltdown passieren nicht einfach und hängen davon ab Sie Installation von Malware, die diese nutzt. Wenn Sie einige sichere Methoden befolgen, sind Sie immun gegen Exploits auf Computerhardware.
- Installieren Sie Software, der Sie vertrauen, nur von einem Ort, dem Sie vertrauen. Dies ist immer eine gute Idee, besonders wenn Sie auf einen Patch warten.
- Sichern Sie Ihre Geräte mit einem guten Sperrbildschirm und Verschlüsselung. Dies ist mehr als nur eine andere Person fernzuhalten, da Anwendungen nichts tun können, während Ihr Telefon ohne Ihre Erlaubnis gesperrt ist.
- Lesen und verstehen die Berechtigungen für alles, was Sie auf Ihrem Telefon ausführen oder installieren. Haben Sie keine Angst, hier um Hilfe zu bitten!
- Verwenden Sie einen Webbrowser, der Malware blockiert. Wir können Chrome oder Firefox empfehlen, und andere Browser schützen Sie möglicherweise auch vor webbasierter Malware. Fragen Sie die Leute, die sie herstellen und vertreiben, wenn Sie sich nicht sicher sind. Der mit Ihrem Telefon gelieferte Webbrowser ist hier möglicherweise nicht die beste Option, insbesondere wenn Sie ein älteres Modell haben. Edge und Safari werden auch für Windows-, MacOS- und iOS-Geräte als vertrauenswürdig eingestuft.
- Öffnen Sie keine Links in sozialen Medien, in einer E-Mail oder in einer Nachricht von jemandem, den Sie nicht kennen. Auch wenn sie von Personen stammen, die Sie kennen, stellen Sie sicher, dass Sie Ihrem Webbrowser vertrauen, bevor Sie auf klicken oder tippen. Dies gilt doppelt für Weiterleitungslinks, die eine Site-URL maskieren. Wir verwenden diese Art von Links ziemlich oft und es besteht die Möglichkeit, dass viele von Ihnen gelesene Online-Medien dies auch tun. Achtung.
- Sei nicht dumm. Sie wissen, was das für Sie bedeutet. Vertrauen Sie Ihrem Urteil und gehen Sie vorsichtig vor.
Die gute Nachricht ist, dass die Art und Weise, wie diese Seitenkanal-Exploits gepatcht werden, gepatcht ist ist nicht wird die enormen Verlangsamungen bringen, die hochgespielt wurden, bevor Updates veröffentlicht wurden. So funktioniert das Web, und wenn Sie lesen, wie Ihr Telefon oder Computer nach der Korrektur 30% langsamer werden würde, dann deshalb, weil sich Sensationslust verkauft. Benutzer, die aktualisierte Software ausführen (und bereits getestet haben), sehen diese einfach nicht.
Der Patch hat nicht die Auswirkungen auf die Leistung, von denen einige behaupteten, er würde ihn bringen, und das ist eine großartige Sache.
Dies alles geschah, weil diese Angriffe präzise Zeitintervalle messen und die anfänglichen Patches die Genauigkeit einiger Timing-Quellen über Software ändern oder deaktivieren. Weniger präzise bedeutet langsamer beim Rechnen und die Auswirkungen waren übertrieben viel größer als sie sind. Selbst die leichten Leistungseinbußen, die auf die Patches zurückzuführen sind, werden von anderen Unternehmen gemildert, und wir sehen NVIDIA aktualisiert die Art und Weise, wie ihre GPUs Zahlen knacken, oder Mozilla arbeitet an der Art und Weise, wie sie Daten berechnen, um sie gleichmäßig zu machen schneller. Mit dem Patch vom Januar 2018 wird Ihr Telefon nicht langsamer und Ihr Computer wird es auch nicht tun, es sei denn, er ist sehr alt, zumindest nicht in irgendeiner Weise.
Machen Sie sich keine Sorgen mehr und tun Sie stattdessen alles, um Ihre Daten zu schützen.
Was man von allem wegnehmen kann
Sicherheitsängste haben immer echte Auswirkungen. Niemand hat gesehen, dass Meltdown oder Spectre in freier Wildbahn verwendet werden, und da die meisten Geräte, die wir täglich verwenden, aktualisiert werden oder sehr bald verfügbar sein werden, werden Berichte wahrscheinlich so bleiben. Dies bedeutet jedoch nicht, dass sie ignoriert werden sollten.
Nehmen Sie solche Sicherheitsbedrohungen ernst, aber fallen Sie nicht auf den ganzen Hype herein. informiert werden!
Diese Nebenkanal-Exploits hatten das Potenzial, dass große, ernsthafte, bahnbrechende Ereignisse die Menschen in Bezug auf Cybersicherheit beunruhigen. Jeder Exploit, der sich auf die Hardware auswirkt, ist schwerwiegend, und wenn er etwas angreift, das absichtlich anstelle eines Fehlers ausgeführt wird, wird er noch schwerwiegender. Zum Glück konnten Forscher und Entwickler Meltdown und Spectre abfangen, eindämmen und patchen, bevor es zu einer weit verbreiteten Verwendung kam.
Was hier wirklich wichtig ist, ist, dass Sie die richtigen Informationen erhalten, damit Sie jedes Mal wissen, was zu tun ist, wenn Sie von einer neuen Cyberthreat hören, die all Ihre digitalen Inhalte benötigt. Es gibt normalerweise eine rationale Möglichkeit, schwerwiegende Auswirkungen zu mildern, wenn Sie alle Schlagzeilen überwunden haben.
Bleib sicher!
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Sichern Sie Ihr Zuhause mit diesen SmartThings Türklingeln und Schlössern.
Eines der besten Dinge an SmartThings ist, dass Sie eine Reihe anderer Geräte von Drittanbietern auf Ihrem System verwenden können, einschließlich Türklingeln und Schlössern. Da sie alle im Wesentlichen dieselbe SmartThings-Unterstützung haben, haben wir uns darauf konzentriert, welche Geräte die besten Spezifikationen und Tricks haben, um das Hinzufügen zu Ihrem SmartThings-Arsenal zu rechtfertigen.