Olet ehkä kuullut, että taivas on pudonnut ja turvallisuusapokalypsi on tapahtunut kahden uuden nimetyn hyökkäyksen takia Sulaminen ja Spectre. Jos työskentelet IT-alueella tai muulla laajamittaisen tietokoneinfrastruktuurin alueella, sinusta tuntuu siltä, että sillä on myös, ja odotat jo innolla vuoden 2018 lomapäiviäsi.
Tiedotusvälineet kuulivat ensimmäisen kerran huhut tästä kaikkien hyväksikäyttäjien äidistä vuoden 2017 lopulla, ja viimeisimmät raportit olivat kiihkeästi spekulatiivisia ja pakottivat lopulta yrityksiä kuten Microsoft, Amazonja Google (joiden Project Zero -tiimi löysi koko asian) vastaamaan yksityiskohdilla. Nämä yksityiskohdat ovat luoneet mielenkiintoisen lukemisen, jos olet kiinnostunut tällaisista asioista.
Mutta kaikille muille, riippumatta siitä, mitä puhelinta tai tietokonetta käytät, suuri osa lukemastasi tai kuulostasi saattaa kuulostaa olevan eri kielellä. Tämä johtuu siitä, että se on, ja jos et osaa sujuvasti cyber-geek-security-techno-speak-puhetta, saatat joutua suorittamaan sen jonkinlaisen kääntäjän kautta.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Hyviä uutisia! Löysit tuon kääntäjän, ja tässä mitä sinä täytyy tietää Meltdownista ja Spectrestä ja siitä, mitä sinun on tehtävä niiden suhteen.
Mitä he ovat
Meltdown ja Spectre ovat kaksi erilaista asiaa, mutta koska ne paljastettiin samanaikaisesti ja molemmat käsittelevät mikroprosessoriarkkitehtuuria laitteistotasolla, niistä puhutaan yhdessä. Spectre-hyväksikäyttö vaikuttaa melkein varmasti käyttämääsi puhelimeen, mutta kukaan ei ole vielä löytänyt tapaa käyttää sitä.
Puhelimesi prosessori määrittää, kuinka haavoittuvainen se on tämän tyyppisille hyökkäyksille, mutta on turvallisempaa olettaa, että ne kaikki vaikuttavat sinuun, jos et ole varma. Ja koska he eivät hyödynnä virhettä ja käyttävät sen sijaan prosessia oletettu ei tapahdu helppoa korjausta ilman ohjelmistopäivitystä.
Katso puhelinta käsissänne; se on haavoittuva jonkin verran näistä hyökkäyksistä.
Tietokoneet (myös puhelimet ja muut pienet tietokoneet) luottavat siihen, mitä kutsutaan muistin eristäminen turvallisuutta sovellusten välillä. Ei muistia, jota käytetään tietojen tallentamiseen pitkällä aikavälillä, vaan laitteiston ja ohjelmistojen käyttämä muisti, kun kaikki toimii reaaliajassa. Prosessit tallentavat dataa erillään muista prosesseista, joten mikään muu prosessi ei tiedä, missä tai milloin se kirjoitetaan tai luetaan.
Puhelimessasi toimivat sovellukset ja palvelut haluavat prosessorin tekemään jonkin verran työtä ja antavat sille jatkuvasti luettelon asioista, jotka heidän on laskettava. Suoritin ei tee näitä tehtäviä siinä järjestyksessä kuin ne vastaanotetaan - se tarkoittaisi joitakin tehtäviä Suorittimet ovat käyttämättömiä ja odottavat muiden osien päättymistä, joten toinen vaihe voidaan tehdä vaiheen 1 jälkeen valmis. Sen sijaan prosessori voi siirtyä eteenpäin vaiheeseen kolme tai vaihe neljä ja tehdä ne etuajassa. Tätä kutsutaan tilauksen ulkopuolinen toteutus ja kaikki modernit suorittimet toimivat tällä tavalla.
Meltdown ja Spectre eivät hyödynnä virhettä - ne hyökkäävät tapaan, jolla prosessori laskee tietoja.
Koska CPU on nopeampi kuin mikään ohjelmisto voisi olla, se arvaa myös vähän. Spekulatiivinen toteutus on kun CPU suorittaa laskutoimituksen, jota sitä ei vielä pyydetty aikaisempien laskelmien perusteella oli pyydettiin esiintymään. Osa ohjelmistojen optimoinnista suorittimen paremman suorituskyvyn saavuttamiseksi on muutamien sääntöjen ja ohjeiden noudattaminen. Tämä tarkoittaa suurimman osan ajasta, että noudatetaan normaalia työnkulkua ja CPU voi hypätä eteenpäin saadakseen tiedot valmiiksi, kun ohjelmisto sitä pyytää. Ja koska ne ovat niin nopeita, jos tietoja ei loppujen lopuksi tarvittu, ne heitetään sivuun. Tämä on edelleen nopeampi kuin odottaa laskutoimituksen pyyntöä.
Tämä spekulatiivinen toteutus antaa sekä Meltdownille että Spectrelle pääsyn tietoihin, joihin he muuten eivät pääse, vaikka he tekisivät sen eri tavoin.
Sulaminen
Intel-prosessorit, Applen uudemmat A-sarjan prosessorit ja muut uutta A75-ydintä (toistaiseksi vain Qualcomm Snapdragon 845) käyttävät ARM SoC -laitteet ovat alttiita Meltdown-hyödyntämiselle.
Sulatus hyödyntää niin kutsuttua "etuoikeuden eskalointivirhettä", joka antaa sovellukselle pääsyn ytimen muistiin. Tämä tarkoittaa mitä tahansa koodia, joka voi päästä käsiksi tälle muistialueelle - missä tiedonsiirto ydin ja suoritin tapahtuu - sillä on pääsääntöisesti kaikki tarvitsemansa minkä tahansa koodin suorittamiseen järjestelmään. Kun voit suorittaa minkä tahansa koodin, sinulla on pääsy kaikkiin tietoihin.
Peikko
Spectre vaikuttaa melkein kaikkiin moderneihin prosessoreihin, myös puhelimellesi.
Spectren ei tarvitse etsiä tapaa suorittaa koodia tietokoneellasi, koska se voi "huijata" prosessorin suorittamaan sille ohjeet ja myöntämään pääsyn muihin sovelluksiin. Tämä tarkoittaa, että hyväksikäyttö voi nähdä, mitä muut sovellukset tekevät, ja lukea tallentamansa tiedot. Spectre hyökkää tapaan, jolla keskusyksikkö käsittelee käskyjä epäkunnossa haaroissa.
Sekä Meltdown että Spectre pystyvät paljastamaan tietoja, jotka on hiekkalaatikko. He tekevät tämän laitteistotasolla, joten käyttöjärjestelmäsi ei tee sinusta immuuni - Apple, Google, Microsoft ja kaikenlaiset avoimen lähdekoodin Unix- ja Linux-käyttöjärjestelmät vaikuttavat samalla tavalla.
Koska tekniikka tunnetaan nimellä dynaaminen ajoitus jonka avulla tiedot voidaan lukea tietojenkäsittelyssä sen sijaan, että ne olisi ensin varastoitava, RAM-muistissa on paljon arkaluontoisia tietoja hyökkäyksen lukemiseksi. Jos olet kiinnostunut tällaisista asioista, Grazin teknillinen yliopisto ovat kiehtovia lukuja. Mutta sinun ei tarvitse lukea tai ymmärtää niitä suojellaksesi itseäsi.
Koskeeko minua?
Joo. Ainakin olit. Pohjimmiltaan tämä vaikutti kaikkiin, kunnes yritykset alkoivat korjata ohjelmistojaan näitä hyökkäyksiä vastaan.
Päivitettävä ohjelmisto on käyttöjärjestelmässä, joten se tarkoittaa, että tarvitset korjaustiedoston Applelta, Googlelta tai Microsoftilta. (Jos käytät tietokonetta, joka käyttää Linuxia, etkä ole tietoturvatiedoissa, sinulla on jo myös korjaustiedosto. Asenna se ohjelmistopäivityksen avulla tai pyydä infosec-palvelussa olevaa ystävää opastamaan sinua ytimen päivittämisessä). Mahtava uutinen on, että Applella, Googlella ja Microsoftilla on joko jo asennettuja tai lähitulevaisuudessa korjaustiedostoja tuetuille versioille.
Yksityiskohdat
- Intel-prosessorit vuodesta 1995 paitsi Itanium- ja ennen vuotta 2013 ATOM -alustaan vaikuttavat sekä Meltdown että Spectre.
- Spectre-hyökkäys vaikuttaa kaikkiin moderneihin AMD-prosessoreihin. AMD PRO ja AMD FX (AMD 9600 R7 ja AMD FX-8320 käytettiin todistuskäsitteenä) prosessorit epätyypillinen kokoonpano (ytimen BPF JIT käytössä) Meltdown vaikuttaa. On odotettavissa, että vastaava hyökkäys sivukanavan muistin lukemista vastaan on mahdollista kaikki 64-bittiset suorittimet mukaan lukien AMD-prosessorit.
- ARM-prosessorit Cortex R7-, R8-, A8-, A9-, A15-, A17-, A57-, A72-, A73- ja A75-ytimillä voidaan epäillä Spectre-hyökkäyksiä. Suorittimet, joissa on Cortex A75 ( Snapdragon 845) ytimet ovat alttiita Meltdown-iskuille. On odotettavissa, että sirut, jotka käyttävät näiden ytimien muunnelmia, kuten Qualcommin Snapdragon-sarja tai Samsungin Exynos-sarja, on myös samanlaisia tai samoja haavoittuvuuksia. Qualcomm työskentelee suoraan ARM: n kanssa, ja hänellä on tämä lausunto asioista:
Qualcomm Technologies, Inc. on tietoinen tietoturvatutkimuksista, jotka koskevat alanlaajuisia prosessorihaavoittuvuuksia. Vakaata tietoturvaa ja yksityisyyttä tukevien tekniikoiden tarjoaminen on Qualcommin ja muun prioriteetti sellaisena olemme työskennelleet Armin ja muiden kanssa arvioidaksemme vaikutuksia ja kehittääkseen lieventämiämme Asiakkaat. Sisällytämme ja otamme aktiivisesti käyttöön vaikutusten alaisena olevien tuotteidemme haavoittuvuuksien torjuntaa ja jatkamme niiden vahvistamista. Otamme parhaillaan käyttöön näitä lieventämisiä asiakkaillemme ja kannustamme ihmisiä päivittämään laitteitaan, kun korjaustiedostoja tulee saataville.
NVIDIA on määrittänyt että nämä hyödyntämiset (tai muut vastaavat mahdolliset hyödyntämiset) eivät vaikuta GPU-tietojenkäsittelyyn, joten niiden laitteisto on enimmäkseen immuuni. He työskentelevät yhdessä muiden yritysten kanssa päivittääkseen laiteajurit auttaakseen lieventämään mahdollisia suorittimen suorituskykyongelmia, ja he arvioivat ARM-pohjaisia SoC: itaan (Tegra).
Verkkosarja, Safarin selaimen renderointimoottorin takana olevilla ihmisillä ja Googlen Blink-moottorin edeltäjällä on erinomainen kuvaus siitä, miten nämä hyökkäykset voivat vaikuttaa heidän koodiinsa. Suuri osa siitä koskisi mitä tahansa tulkkia tai kääntäjää, ja se on hämmästyttävä luku. Katso, miten he työskentelevät sen korjaamiseksi ja estävät sen tapahtumasta seuraavalla kerralla.
Selkeästi englanniksi tämä tarkoittaa, että ellet käytä vielä hyvin vanhaa puhelinta, tablettia tai tietokonetta, sinun pitäisi pitää itseäsi haavoittuvana ilman käyttöjärjestelmän päivitystä. Tässä mitä tiedämme toistaiseksi tällä rintamalla:
- Google on paikannut Androidia sekä Spectre- että Meltdown-hyökkäyksille joulukuun 2017 ja Tammikuu 2018 laastarit.
- Google on paikannut Chromebookeja käyttäen ytimen versioita 3.18 ja 4.4 Joulukuu 2017, käyttöjärjestelmä 63. Laitteet, joissa on muita ytimen versioita (katso täältä löytääksesi sinun) korjataan pian. Yksinkertaisesti englanniksi: Toshiba Chromebookia, Acer C720, Dell Chromebook 13 ja Chromebook Pixels vuosina 2013 ja 2015 (ja joitain nimiä, joista et todennäköisesti ole koskaan kuullut) ei ole vielä korjattu, mutta ne tulevat pian. Useimmat Chromeboxit, Chromebases ja Chromebits ovat ei korjaustiedosto, mutta pian.
- Chrome OS -laitteille, joita ei ole korjattu, kutsutaan uusi suojausominaisuus Sivuston eristäminen lieventää näiden hyökkäysten aiheuttamia ongelmia.
- Microsoft on paikannut molemmat hyödyntämiset tammikuusta 2018 lähtien.
- Apple on paikannut macOS: n ja iOS: n Meltdownia vastaan joulukuun päivityksestä alkaen. Spectre-päivitysten ensimmäinen kierros työnnettiin pois tammikuun alussa. Katso iMore for kaikki mitä sinun tarvitsee tietää näistä suorittimen virheistä ja siitä, miten ne vaikuttavat Maciin, iPadiin ja iPhoneen.
- Korjaustiedostot on lähetetty kaikkiin tuettuihin Linux-ytimen versioihin, ja käyttöjärjestelmät, kuten Ubuntu tai Red Hat, voidaan päivittää ohjelmistopäivityksen kautta.
Android-ominaisuuksien osalta Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2ja Pixel 2 XL on korjattu ja sinun pitäisi nähdä päivitys pian, jos et ole vielä saanut sitä. Voit myös päivittää nämä laitteet manuaalisesti, jos haluat. Android Open Source -projekti (koodi, jota käytetään jokaisen Android-puhelimen käyttöjärjestelmän rakentamiseen) on myös korjattu ja kolmannen osapuolen jakelut, kuten LineageOS voidaan päivittää.
Kuinka päivittää Pixel tai Nexus manuaalisesti
Samsung, LG, Motorolaja muut Android-toimittajat (yritykset, jotka valmistavat puhelimia, tabletteja ja televisiota) korjaavat tuotteitaan tammikuun 2018 päivityksellä. Jotkut, kuten Huomautus 8 tai Galaxy S8, näkee sen ennen muita, mutta Google on toimittanut korjaustiedoston verkkotunnukselle kaikki laitteet. Odotamme näkevämme lisää uutisia kaikilta kumppaneilta, jotta voimme ilmoittaa meille, mitä odottaa ja milloin.
Mitä voin tehdä?
Jos sinulla on haavoittuva tuote, hyppyyn on helppo tarttua, mutta sinun ei pitäisi. Sekä Spectre että Meltdown eivät "vain tapahdu" ja riippuvat sinä asentamalla jonkinlainen haittaohjelma, joka hyödyntää niitä. Muutaman turvallisen käytännön noudattaminen pitää sinut immuunina jossakin tietokonelaitteistossa.
- Asenna luotettavia ohjelmistoja vain luotettavasta paikasta. Tämä on hyvä idea aina, mutta varsinkin jos odotat laastaria.
- Suojaa laitteesi hyvällä lukitusnäytöllä ja salauksella. Tämä tekee muutakin kuin pitää toisen henkilön poissa, koska sovellukset eivät voi tehdä mitään, kun puhelin on lukittu ilman lupaa.
- Lue ja ymmärrä kaiken puhelimeesi suorittamasi tai asentamasi käyttöoikeudet. Älä pelkää pyytää apua täältä!
- Käytä verkkoselainta, joka estää haittaohjelmat. Voimme suositella Chromea tai Firefoxia, ja muut selaimet voivat myös suojata sinua verkkopohjaisilta haittaohjelmilta. Kysy ihmisiltä, jotka valmistavat ja jakavat niitä, jos et ole varma. Puhelimesi mukana tullut selain ei ehkä ole paras vaihtoehto tässä, varsinkin jos sinulla on vanhempi malli. Edge ja Safari ovat luotettavia myös Windows- tai MacOS- ja iOS-laitteille.
- Älä avaa linkkejä sosiaalisessa mediassa, sähköpostissa tai missään tuntemattoman henkilön viestissä. Vaikka he olisivat tuntemiltasi ihmisiltä, varmista, että luotat verkkoselaimeen, ennen kuin napsautat tai napautat. Tämä on kaksinkertainen uudelleenohjauslinkeille, jotka peittävät sivuston URL-osoitteen. Käytämme tällaisia linkkejä melko usein ja on todennäköistä, että myös lukemasi online-media käyttää. Ole varovainen.
- Älä ole tyhmä. Tiedät mitä tämä tarkoittaa sinulle. Luota päätökseesi ja erehdy varoituksen puolella.
Hyvä uutinen on, että tapa, jolla nämä sivukanavan hyödyntämistoimenpiteet on korjattu ei ole tuo valtavat hidastumiset, joita hypyttiin ennen päivitysten julkaisua. Näin verkko toimii, ja jos luet siitä, miten puhelimesi tai tietokoneesi tulee olemaan 30% hitaampi korjauksen jälkeen, se johtui siitä, että sensaatiot myyvät. Käyttäjät, joilla on päivitetty ohjelmisto (ja jotka ovat olleet testauksen aikana), eivät vain näe sitä.
Laastarilla ei ole suorituskykyyn liittyviä vaikutuksia, joiden mukaan jotkut väittivät sen tuovan, ja se on hieno asia.
Kaikki tapahtui, koska nämä hyökkäykset mittaavat tarkkoja aikavälejä ja alkuperäiset korjaustiedostot muuttavat tai estävät joidenkin ajoituslähteiden tarkkuutta ohjelmiston avulla. Vähemmän tarkka tarkoittaa hitaampaa, kun olet laskennassa, ja vaikutusta liioitettiin olevan paljon suurempi kuin se on. Jopa pienet suorituskyvyn heikkenemiset, jotka ovat seurausta korjaustiedostoista, lieventävät muut yritykset, ja näemme NVIDIA päivittää tapaa, jolla GPU: t puristavat numeroita, tai Mozilla työskentelee tapalla, jolla he laskevat tietoja tasoittamiseksi nopeammin. Puhelimesi ei ole hitaampi tammikuun 2018 päivityksessä eikä tietokoneesi, ellei se ole hyvin vanha, ainakaan millään havaittavalla tavalla.
Lopeta murehtiminen siitä ja tee sen sijaan kaikki mahdollinen, jotta tietosi pysyvät turvassa.
Mitä ottaa pois kaikesta
Turvallisuuspeloilla on aina jonkinlainen todellinen vaikutus. Kukaan ei ole nähnyt Meltdown- tai Spectre-tapausten käyttöä luonnossa, ja koska useimmat päivittäin käyttämämme laitteet päivitetään tai tulevat pian, raportit todennäköisesti pysyvät tällä tavalla. Mutta tämä ei tarkoita, että ne tulisi jättää huomiotta.
Suhtaudu tällaisiin turvallisuusuhkiin vakavasti, mutta älä laske kaikkia hypejä; ilmoitettava!
Näillä sivukanavan hyödyntämistoimilla oli potentiaalia olla, että suuret, vakavat pelinvaihtotapahtumat ihmiset huolehtivat kyberturvallisuudesta. Jokainen laitteistoon vaikuttava hyödyntäminen on vakavaa, ja kun se hyökkää jotain tarkoituksella tehtyä virheen sijaan, se tulee vielä vakavammaksi. Onneksi tutkijat ja kehittäjät saivat kiinni, hillitsemään ja korjaamaan Meltdownia ja Spectreä ennen laajaa käyttöä.
Tärkeää on tässä, että saat oikeat tiedot, jotta tiedät mitä tehdä aina, kun kuulet uudesta verkkouhasta, joka haluaa kaikki digitaaliset asiat. Yleensä on järkevä tapa lieventää vakavia vaikutuksia, kun kaivaa kaikki otsikot ohi.
Pysy turvassa!
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta alle 200 dollarilla.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.