Võib-olla olete kuulnud, et taevas on langenud ja turvaapokalüpsis aset leidnud kahe uue nime saanud rünnaku tõttu Meltdown ja Spectre. Kui töötate IT-alal või mõnes muus suuremahulise arvuti infrastruktuuri valdkonnas, tunnete tõenäoliselt, et ka see on nii, ja ootate juba oma 2018. aasta puhkusepäevi.
Meediaväljaanded kuulsid esmakordselt kuulujutte sellest kõigi vägivallatsejate emast 2017. aasta lõpus ning hiljutised teated olid metsikult spekulatiivsed ja lõpuks sundisid ettevõtteid Microsoft, Amazonja Google (kelle Project Zero meeskond avastas kogu asja), et vastata üksikasjadega. Kui olete huvitatud sellistest asjadest, on neid üksikasju huvitav lugeda.
Kuid kõigi teiste jaoks, olenemata sellest, millist telefoni või arvutit te kasutate, võib paljud sellest, mida loete või kuulete, kõlada teises keeles. Seda sellepärast, et see on nii, ja kui te ei valda küber-geeki-turvalisust-tehnot-keelt, peate selle võib-olla käima mingisuguse tõlgi kaudu.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Head uudised! Leidsite selle tõlgi ja siin on mis sina peate teadma Meltdowni ja Spectre'i kohta ning mida peate sellega seoses tegema.
Mis need on
Meltdown ja Spectre on kaks erinevat asja, kuid kuna need ilmutati samaaegselt ja mõlemad tegelevad mikroprotsessori arhitektuuriga riistvaratasandil, räägitakse neist koos. Spectre'i ekspluateerimine mõjutab peaaegu kindlasti teie praegu kasutatavat telefoni, kuid keegi pole veel leidnud viisi selle kasutamiseks.
Teie telefoni protsessor määrab, kui haavatav see seda tüüpi ekspluateerimise suhtes on, kuid kindlam on eeldada, et need kõik mõjutavad teid, kui te pole selles kindel. Ja kuna nad ei kasuta viga ära, vaid kasutavad seda protsessi peaks juhtumiseks pole ilma tarkvaravärskenduseta lihtsat lahendust.
Vaadake telefoni oma kätes; see on haavatav mõned neist rünnakutest.
Arvutid (ka telefonid ja muud pisikesed arvutid) toetuvad sellele, mida nimetatakse mälu isoleerimine rakenduste vahelise turvalisuse tagamiseks. Mitte mälu, mida kasutatakse andmete pikaajaliseks salvestamiseks, vaid riistvara ja tarkvara kasutatav mälu, kui kõik töötab reaalajas. Töötleb andmeid teistest protsessidest eraldi, nii et ükski teine protsess ei tea, kuhu ja millal need kirjutatakse või loetakse.
Kõik teie telefonis töötavad rakendused ja teenused soovivad, et protsessor teeks natuke tööd ja esitavad talle pidevalt loetelu asjadest, mida nad peavad arvutama. Protsessor ei tee neid toiminguid vastuvõetud järjekorras - see tähendaks mõne osa Protsessorid on jõude ja ootavad teiste osade lõpuleviimist, nii et teise sammu võiks teha pärast esimese sammu lõppu valmis. Selle asemel võib protsessor liikuda edasi kolmanda või nelja sammu juurde ja teha neid enne tähtaega. Seda nimetatakse tellimuseta täitmine ja kõik tänapäevased protsessorid töötavad sel viisil.
Meltdown ja Spectre ei kasuta viga ära - nad ründavad viisi, kuidas protsessor andmeid arvutab.
Kuna protsessor on kiirem kui mis tahes tarkvara võiks olla, teeb see ka natuke aimamist. Spekulatiivne hukkamine on siis, kui protsessor sooritab arvutuse, mida seda eelmiste arvutuste põhjal veel ei palutud oli paluti esineda. Osa protsessori parema jõudluse tagamiseks tarkvara optimeerimisest on mõne reegli ja juhise järgimine. See tähendab, et enamasti on tavapärane töövoog, mida järgitakse, ja protsessor võib andmete ettevalmistamiseks hüpata, kui tarkvara seda küsib. Ja kuna need on nii kiired, visatakse need siis kõrvale, kui andmeid siiski vaja ei läinud. See on ikkagi kiirem kui arvutuse sooritamise taotluse ootamine.
See spekulatiivne käivitamine võimaldab nii Meltdowni kui ka Spectre'i juurde pääseda andmetele, kuhu nad muidu ei pääseks, ehkki nad teevad seda erineval viisil.
Sulatamine
Inteli protsessorid, Apple'i uuemad A-seeria protsessorid ja muud ARM SoC-d, mis kasutavad uut A75 tuuma (praegu on see lihtsalt Qualcomm Snapdragon 845), on Meltdowni ekspluateerimise suhtes haavatavad.
Meltdown kasutab nn privileegi eskaleerimise viga, mis annab rakendusele juurdepääsu tuuma mälule. See tähendab mis tahes koodi, mis pääseb juurde sellele mälupiirkonnale - kus suhtlus kernel ja juhtub protsessor - tal on juurdepääs kõigele, mis on vajalik mis tahes koodi käivitamiseks süsteemi. Kui saate käitada mis tahes koodi, on teil juurdepääs kõigile andmetele.
Spectre
Spectre mõjutab peaaegu kõiki tänapäevaseid protsessoreid, ka telefoni.
Spectre ei pea leidma viisi, kuidas teie arvutis koodi käivitada, sest see võib protsessori "petta" selle juhtnööre täitma, andes seejärel juurdepääsu teiste rakenduste andmetele. See tähendab, et ekspluateerimine võib näha, mida muud rakendused teevad, ja lugeda nende salvestatud andmeid. Spectre ründab seda, kuidas protsessor protsessoreid harudes järjekorras töötleb.
Nii Meltdown kui ka Spectre suudavad paljastada andmeid, mis tuleks liivakasti panna. Nad teevad seda riistvaratasandil, nii et teie operatsioonisüsteem ei muuda teid immuunseks - Apple, Google, Microsoft ja kõikvõimalikud avatud lähtekoodiga Unixi ja Linuxi operatsioonisüsteemid mõjutavad seda võrdselt.
Tehnika tõttu, mis on tuntud kui dünaamiline ajastamine mis võimaldab andmeid lugeda, kuna see on arvutus, selle asemel, et neid oleks vaja kõigepealt salvestada, on RAM-is palju tundlikku teavet rünnaku lugemiseks. Kui olete huvitatud sellistest asjadest, siis Grazi tehnikaülikool on põnev lugemine. Enda kaitsmiseks pole aga vaja neid lugeda ega mõista.
Kas ma olen mõjutatud?
Jah. Vähemalt sa olid. Põhimõtteliselt puudutas see kõiki, kuni ettevõtted hakkasid nende rünnakute vastu oma tarkvara lappima.
Uuendamist vajav tarkvara on opsüsteemis, see tähendab, et vajate Apple'i, Google'i või Microsofti plaastrit. (Kui kasutate arvutit, mis käitab Linuxi ja pole infosek, siis on teil ka plaaster juba olemas. Selle installimiseks kasutage tarkvarauuendajat või paluge infosecis oleval sõbral teid kerneli värskendamise kaudu tutvustada). Äge uudis on see, et Apple'il, Google'il ja Microsoftil on toetatud versioonide jaoks plaastrid kas juba kasutusel või lähiajal.
Spetsiifika
- Inteli protsessorid alates 1995. aastast välja arvatud Itaniumi ja enne 2013. aastat ATOM-i platvormi mõjutavad nii Meltdown kui ka Spectre.
- Spectre rünnak mõjutab kõiki kaasaegseid AMD protsessoreid. AMD PRO ja AMD FX (kontseptsioonikindlana kasutati AMD 9600 R7 ja AMD FX-8320) protsessorid mittestandardne konfiguratsioon (tuuma BPF JIT on lubatud) mõjutab Meltdown. Eeldatavasti on võimalik sarnane rünnak külgkanali mälu lugemise vastu kõik 64-bitised protsessorid sealhulgas AMD protsessorid.
- ARM-protsessorid Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 ja A75 südamikega on Spectre'i rünnakute puhul kahtlustatav. Protsessorid koos Cortex A75-ga ( Snapdragon 845) südamikud on Meltdowni rünnakute suhtes haavatavad. Eeldatakse, et nende tuumade variante kasutavad kiibid meeldivad Qualcommi Snapdragoni liin või Samsungi Exynose liin, on ka sarnased või samad haavatavused. Qualcomm töötab otse ARM-iga ja tal on see avaldus järgmistes küsimustes:
Qualcomm Technologies, Inc. on teadlik turu-uuringutest kogu tööstusharu protsessori haavatavuste kohta, millest on teatatud. Tugevat turvalisust ja privaatsust toetavate tehnoloogiate pakkumine on Qualcommi ja muu prioriteet näiteks oleme töötanud koos Armiga ja teistega, et hinnata mõju ja välja töötada meie leevendused klientidele. Oleme aktiivselt kaasanud ja juurutanud oma mõjutatud toodete nõrkade kohtade leevendusi ning jätkame nende tugevdamist. Rakendame neid leevendusi klientidele ja julgustame inimesi oma seadmeid värskendama, kui plaastrid on saadaval.
NVIDIA on kindlaks teinud et need ärakasutamised (või muud sarnased võimalikud ärakasutamised) ei mõjuta GPU arvutamist, seega on nende riistvara enamasti immuunne. Nad töötavad koos teiste ettevõtetega seadmete draiverite värskendamiseks, et aidata leevendada mis tahes protsessori jõudlusega seotud probleeme, ning nad hindavad oma ARM-põhiseid SoC-sid (Tegra).
Veebikomplekt, Safari brauseri renderdamismootori taga olevad inimesed ja Google'i Blinki mootori eelkäijad, saavad suurepärase ülevaate sellest, kuidas need rünnakud nende koodi mõjutavad. Suur osa sellest kehtiks mis tahes tõlgi või kompilaatori kohta ja see on hämmastav lugemine. Vaadake, kuidas nad töötavad selle parandamise nimel ja hoiavad seda järgmisel korral juhtumata.
Selges inglise keeles tähendab see seda, et kui te ei kasuta endiselt väga vana telefoni, tahvelarvutit või arvutit, peaksite end ilma operatsioonisüsteemi värskendusteta haavatavaks pidama. Siin on mida me teame seni sellel rindel:
- Google on lappinud Androidi nii Spectre kui ka Meltdowni rünnakute vastu 2017. aasta detsembris ja Jaanuar 2018 plaastrid.
- Google on lappinud Chromebookid, kasutades rakenduse tuuma versioone 3.18 ja 4.4 Detsember 2017 OS 63-ga. Seadmed koos teiste kerneli versioonidega (vaata siit, et leida oma) lappitakse varsti. Selges inglise keeles: Toshiba Chromebook, Acer C720, Dell Chromebook 13 ja Chromebook Pixels aastatest 2013 ja 2015 (ja mõned nimed, millest te pole ilmselt kunagi kuulnud) pole veel plaasterdatud, kuid on varsti saadaval. Enamik Chromeboxe, Chromebaseese ja Chromebite on mitte plaasterdatud, kuid varsti saab.
- Paigutamata Chrome OS-i seadmete jaoks kutsuti uus turvafunktsioon Saidi eraldamine leevendab nende rünnakutega seotud probleeme.
- Microsoft on alates 2018. aasta jaanuarist lappinud mõlemad ekspluateerimised.
- Apple on alates detsembri värskendusest lappinud MacOS-i ja iOS-i Meltdowni vastu. Spectre'i värskenduste esimene voor lükati välja jaanuari alguses. Vaadake iMore'i kõik, mida peate teadma nende protsessori vigade kohta ja selle kohta, kuidas need teie Maci, iPadi ja iPhone'i mõjutavad.
- Paigad on saadetud kõikidele Linuxi tuuma toetatud versioonidele ja opsüsteeme, nagu Ubuntu või Red Hat, saab värskendada tarkvaravärskendusrakenduse kaudu.
Androidi eripära jaoks Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2ja Pixel 2 XL on paigatud ja peaksite varsti värskendust nägema, kui te pole seda veel saanud. Soovi korral saate neid seadmeid käsitsi värskendada. Samuti on lappitud Androidi avatud lähtekoodiga projekt (kood, mida kasutatakse iga Android-telefoni jaoks operatsioonisüsteemi loomiseks) ja kolmandate osapoolte levitused nagu LineageOS saab uuendada.
Pixeli või Nexuse käsitsi värskendamine
Samsung, LG, Motorolaja teised Androidi müüjad (ettevõtted, kes valmistavad telefone, tahvelarvuteid ja telereid) lappivad oma tooteid 2018. aasta jaanuari värskendusega. Mõned, näiteks Märkus 8 või Galaxy S8näeb seda enne teisi, kuid Google on teinud plaastri kättesaadavaks domeenile kõik seadmeid. Eeldame, et näeme rohkem uudiseid kõigilt partneritelt, et anda meile teada, mida ja millal oodata.
Mida ma teha saan?
Kui teil on mõni toode, mis on haavatav, on see hõlpsasti haaratud, kuid te ei peaks seda tegema. Nii Spectre kui ka Meltdown ei "lihtsalt juhtu" ja sõltuvad sina mingisuguse pahavara installimine, mis neid võimendab. Mõne ohutu tava järgimine hoiab teid immuunsena mis tahes arvutiriistvara kasutamisel.
- Usaldusväärset tarkvara installige ainult usaldusväärsest kohast. See on hea mõte alati, kuid eriti siis, kui ootate plaastrit.
- Kindlustage oma seadmed hea lukustuskuva ja krüptimisega. See teeb midagi enamat kui lihtsalt teise inimese eemal hoidmine, kuna rakendused ei saa teie telefoni lukustamata ilma teie loata midagi teha.
- Lugege ja mõistke õigused kõigele, mida telefonis käitate või installite. Ärge kartke siin abi küsida!
- Kasutage pahavara blokeerivat veebibrauserit. Võime soovitada Chrome'i või Firefoxi ning muud brauserid võivad teid kaitsta ka veebipõhise pahavara eest. Küsige inimestelt, kes neid valmistavad ja levitavad, kui te pole kindel. Telefoniga kaasas olnud veebibrauser ei pruugi siin olla parim valik, eriti kui teil on vanem mudel. Edge ja Safari on usaldusväärsed ka Windowsi või MacOSi ja iOS-i seadmete jaoks.
- Ärge avage linke sotsiaalmeedias, e-kirjas ega sõnumites kelleltki, keda te ei tunne. Isegi kui need on tuttavate inimeste päralt, veenduge enne klõpsamist või puudutamist, et usaldate oma veebibrauserit. Saidi URL-i maskeerivate ümbersuunamislinkide puhul on see topelt. Me kasutame selliseid linke üsna tihti ja on tõenäoline, et ka teie lugenud veebimeedia teeb palju. Ole ettevaatlik.
- Ära ole rumal. Sa tead, mida see sinu jaoks tähendab. Usaldage oma otsust ja eksige ettevaatusega.
Hea uudis on see, et nende kõrvalkanalite ärakasutamise viis on lappitud ei ole toovad kaasa tohutud aeglustused, mis olid enne uute värskenduste väljaandmist kohandatud. Nii töötab veeb lihtsalt ja kui loete, kuidas teie telefon või arvuti on pärast paranduse rakendamist 30% aeglasem, siis seepärast, et sensatsioonilisus müüb. Kasutajad, kes käitavad värskendatud tarkvara (ja on testimise ajal olnud), lihtsalt ei näe seda.
Plaaster ei mõjuta jõudlust, mida mõned väitsid, et see tooks, ja see on suurepärane asi.
See kõik sündis seetõttu, et need rünnakud mõõdavad täpseid ajaintervalle ja esialgsed plaastrid muudavad või keelavad tarkvara kaudu mõnede ajaallikate täpsuse. Vähem täpne tähendab arvutamise ajal aeglasemat aega ja mõju liialdati palju suuremaks kui see on. Isegi vähesed jõudluse langused, mis on tingitud plaastritest, on teiste ettevõtete poolt leevendatud ja me näeme NVIDIA värskendab seda, kuidas nende GPU-d numbreid purustavad, või Mozilla töötab andmete arvutamise viisil, et need oleksid ühtlased kiiremini. Teie telefon ei ole 2018. aasta jaanuari plaastri abil aeglasem ja ka teie arvuti, kui see pole väga vana, vähemalt mitte kuidagi märgatavalt.
Lõpeta selle pärast muretsemine ja tee selle asemel kindlasti kõik, et oma andmeid kaitsta.
Mida sellest kõigest ära võtta
Turvalisushirmudel on alati mingisugune reaalne mõju. Keegi pole näinud ühtegi Meltdowni või Spectre'i looduses kasutamist ja kuna enamik seadmeid, mida me igapäevaselt kasutame, värskendatakse või on need varsti saadaval, jäävad aruanded tõenäoliselt selliseks. Kuid see ei tähenda, et neid tuleks ignoreerida.
Võtke selliseid turvaohtusid tõsiselt, kuid ärge langege kogu hoogu; ole informeeritud!
Need kõrvalkanalite ekspluateerimised võisid olla sellised, et suured ja tõsised mänge muutvad sündmused inimesed küberturvalisuse pärast muretsevad. Iga riistvara mõjutav ärakasutamine on tõsine ja kui see ründab vea asemel midagi meelega tehtud asja, muutub see veelgi tõsisemaks. Õnneks suutsid teadlased ja arendajad Meltdowni ja Spectre'i tabada, neid ohjeldada ja plaasterdada enne laialdast kasutamist.
Siin on tegelikult oluline see, et saate õiget teavet, et teaksite, mida teha iga kord, kui kuulete uuest küberohust, mis soovib kogu teie digitaalset kraami. Kui olete kõigist pealkirjadest mööda kaevanud, on tõsiste tagajärgede leevendamiseks tavaliselt ratsionaalne viis.
Ole turvaline!
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate iga hinnaga osta!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja mahuvad kergesti taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Kinnitage oma kodu nende SmartThingsi uksekellade ja lukkude abil.
Üks parimatest asjadest SmartThingsis on see, et saate oma süsteemis kasutada hulgaliselt muid kolmanda osapoole seadmeid, kaasa arvatud uksekellad ja lukud. Kuna neil kõigil on sisuliselt sama SmartThingsi tugi, oleme keskendunud sellele, millistel seadmetel on parimad tehnilised andmed ja nipid, et õigustada nende lisamist teie SmartThingsi arsenali.