אולי שמעתם שהשמיים נפלו ואפוקליפסה הביטחונית קרתה בגלל שתי התקפות חדשות בשם התכה וספקטרום. אם אתה עובד בתחום ה- IT או בכל תחום אחר של תשתית מחשבים רחבת היקף, אתה בטח מרגיש שיש לו גם כן, וכבר מצפה לימי החופשה שלך ב- 2018.
כלי תקשורת שמעו לראשונה שמועות על אם הכל-מעלה הזו בסוף 2017, והדיווחים האחרונים היו ספקולטיביים מאוד ובסופו של דבר אילצו חברות כמו מיקרוסופט, אֲמָזוֹנָהו- Google (של מי צוות פרויקט אפס גילה את כל העניין) להגיב עם פרטים. הפרטים הללו יצרו קריאה מעניינת אם אתה מעוניין בסוג כזה.
אבל עבור כל האחרים, לא משנה באיזה טלפון או מחשב אתה משתמש, הרבה ממה שאתה קורא או שומע אולי נשמע כאילו זה בשפה אחרת. זה בגלל שזה, ואלא אם אתה שולט בקיאות-סייבר-חנון-אבטחה-טכנו, ייתכן שיהיה עליך להריץ אותו דרך מתרגם כלשהו.
ורייזון מציעה את פיקסל 4a במחיר של 10 דולר לחודש בלבד בקווים חדשים ללא הגבלה
חדשות טובות! מצאת את המתרגם הזה, והנה מה אתה צריך לדעת על Meltdown ו- Spectre, ומה אתה צריך לעשות בקשר לזה.
מה שהם
Meltdown ו- Spectre הם שני דברים שונים, אך מכיוון שהם נחשפו באותו זמן ושניהם עוסקים בארכיטקטורת המעבדים ברמת החומרה, מדברים עליהם יחד. הטלפון שבו אתה משתמש כרגע מושפע כמעט מהנצל של ספקטר, אך איש עדיין לא מצא דרך להשתמש בו.
המעבד שבתוך הטלפון שלך קובע עד כמה הוא פגיע לסוגי מעללים אלה, אך בטוח יותר להניח שכולם משפיעים עליך אם אינך בטוח. ומכיוון שהם לא מנצלים באג ובמקוםם משתמשים בתהליך שהוא אמור כדי לקרות, אין תיקון קל ללא עדכון תוכנה.
הסתכל בטלפון שבידיך; זה פגיע ל כמה מהתקפות אלה.
מחשבים (זה כולל גם טלפונים ומחשבים זעירים אחרים) מסתמכים על מה שמכונה בידוד זיכרון לאבטחה בין יישומים. לא הזיכרון המשמש לאחסון נתונים לטווח הארוך, אלא הזיכרון המשמש חומרה ותוכנה בזמן שהכל עובד בזמן אמת. תהליכים מאחסנים נתונים בנפרד מתהליכים אחרים, כך שאף תהליך אחר אינו יודע היכן ומתי הוא נכתב או נקרא.
האפליקציות והשירותים הפועלים בטלפון שלך רוצים שהמעבד יבצע עבודה כלשהי ומעניקים לו כל הזמן רשימה של דברים שהם צריכים להיות מחושבים. המעבד אינו מבצע את המשימות האלה לפי סדר קבלתן - המשמעות היא חלקים מסוימים של ה- המעבד אינו פעיל ומחכה לחלקים אחרים שיסיימו, כך שלב שני יכול להיעשות לאחר שלב ראשון גָמוּר. במקום זאת, המעבד יכול להתקדם לשלב שלוש או שלב רביעי ולעשות אותם מבעוד מועד. זה נקרא ביצוע שלא לפי הסדר וכל המעבדים המודרניים עובדים ככה.
התכה וספקטר אינם מנצלים באג - הם תוקפים את האופן שבו מעבד מחשב נתונים.
מכיוון שמעבד מהיר יותר מכל תוכנה שיכולה להיות, הוא גם מנחש קצת. ביצוע ספקולטיבי זה כאשר המעבד מבצע חישוב שהוא עדיין לא התבקש לעשות על סמך חישובים קודמים היה ביקש להופיע. חלק מאופטימיזציה של תוכנה לביצועי CPU טובים יותר הוא ביצוע כמה כללים והוראות. המשמעות היא שלרוב יש זרימת עבודה רגילה שתעקוב אחריה ומעבד יכול לדלג קדימה כדי שיהיו נתונים מוכנים כאשר התוכנה מבקשת זאת. ומכיוון שהם כל כך מהירים, אם בכל זאת לא היה צורך בנתונים, הם נזרקים הצידה. זה עדיין מהיר יותר מאשר לחכות לבקשה לביצוע חישוב.
ביצוע ספקולטיבי זה הוא המאפשר גם להתמוסס וגם לספקטר גישה לנתונים שאם לא כן לא היו יכולים להגיע אליהם, אם כי הם עושים זאת בדרכים שונות.
התכה
מעבדי אינטל, מעבדי סדרת A החדשים יותר של אפל ושאר ה- ARM SoC המשתמשים בליבת A75 החדשה (בינתיים זה רק ה- Snapdragon 845 של קוואלקום) פגיעים לניצול Meltdown.
Meltdown ממנף את מה שמכונה "פגם בהסלמת הרשאות" המעניק ליישום גישה לזיכרון הליבה. המשמעות היא כל קוד שיכול לקבל גישה לאזור הזיכרון הזה - שם התקשורת בין הליבה והמעבד קורה - למעשה יש לו גישה לכל מה שהוא צריך כדי לבצע קוד כלשהו ב- מערכת. כאשר אתה יכול להפעיל כל קוד, יש לך גישה לכל הנתונים.
רוּחַ
ספקטר משפיע כמעט על כל מעבד מודרני, כולל על הטלפון שלך.
ספקטר לא צריך למצוא דרך לבצע קוד במחשב שלך מכיוון שהוא יכול "להערים" על המעבד לבצע הוראות עבורו, ואז להעניק גישה לנתונים מיישומים אחרים. המשמעות היא ש- exploit יכול לראות מה אפליקציות אחרות עושות ולקרוא את הנתונים שאחסנו. הדרך בה מעבד מעבד הוראות בסדר בסניפים הם המקום בו ספקטר תוקף.
גם Meltdown וגם Specter מסוגלים לחשוף נתונים שצריכים להיות בארגז חול. הם עושים זאת ברמת החומרה, כך שמערכת ההפעלה שלך לא הופכת אותך לחסין - אפל, גוגל, מיקרוסופט וכל מיני מערכות הפעלה של קוד פתוח של יוניקס ושל לינוקס מושפעות באותה מידה.
בגלל טכניקה המכונה תזמון דינמי המאפשר לקרוא נתונים תוך כדי המחשוב במקום שיהיה צורך לאחסן אותם קודם, יש הרבה מידע רגיש ב- RAM לקריאה של התקפה. אם אתה מעוניין בסוג כזה, העיתונים הלבנים שפורסמו על ידי האוניברסיטה הטכנולוגית של גרץ הם קריאות מרתקות. אבל אתה לא צריך לקרוא או להבין אותם כדי להגן על עצמך.
האם אני מושפע?
כן. לפחות, היית. בעיקרון, כולם הושפעו עד שהחברות החלו לתקן את התוכנה שלהן נגד התקפות אלה.
התוכנה שזקוקה לעדכון נמצאת במערכת ההפעלה, אז זה אומר שאתה צריך תיקון של אפל, גוגל או מיקרוסופט. (אם אתה משתמש במחשב שמריץ לינוקס ואינו משתמש ב- infosec, יש לך כבר את התיקון. השתמש במעדכן התוכנה שלך כדי להתקין אותה או בקש מחבר העוסק ב- infosec שיעזור לך לעדכן את הליבה שלך). החדשות המדהימות הן שלאפל, גוגל ומיקרוסופט יש תיקונים שנפרסו כבר או בדרכם בעתיד המיידי לגרסאות נתמכות.
הפרטים
- מעבדי אינטל מאז 1995 מלבד עבור פלטפורמת ה- ATOM של Itanium ושלפני 2013 מושפעים הן מ- Meltdown והן מ- Spectre.
- כל מעבדי AMD המודרניים מושפעים מהתקפת ספקטר. מעבדי AMD PRO ו- AMD FX (AMD 9600 R7 ו- AMD FX-8320 שימשו כהוכחה למושג) תצורה לא סטנדרטית (הליבה BPF JIT מופעלת) מושפעים מ- Meltdown. זה צפוי שמתקפה דומה נגד קריאת זיכרון בערוץ צדדי אפשרית נגד כל המעבדים 64 סיביות כולל מעבדי AMD.
- מעבדי ARM עם ליבות Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 ו- A75 ניתן לחשוד להתקפות ספקטר. מעבדים עם קורטקס A75 ( לוע הארי 845ליבות פגיעות להתקפות התכה. זה צפוי כי שבבים המשתמשים בגרסאות של ליבות אלה, כמו קו ה- Snapdragon של קוואלקום אוֹ קו האקסינוס של סמסונג, יהיו גם בעלי נקודות תורפה דומות או זהות. קוואלקום עובדת ישירות עם ARM ויש לה הצהרה זו בנושאים:
Qualcomm Technologies, Inc. מודע למחקר האבטחה בנושא פגיעות מעבדים ברחבי התעשייה שדווחו. אספקת טכנולוגיות התומכות באבטחה ופרטיות חזקים היא בראש סדר העדיפויות של קוואלקום וכ- כאלו, עבדנו עם זרוע ואחרים על מנת להעריך את ההשפעה ולפתח הפחתות עבורנו לקוחות. אנו משלבים ופורסים פעיל הפחתות נגד הפגיעות עבור המוצרים המושפעים שלנו, ואנו ממשיכים לפעול לחיזוקם ככל האפשר. אנו נמצאים בתהליך פריסת הפחתות אלו ללקוחותינו ומעודדים אנשים לעדכן את המכשירים שלהם כאשר התיקונים יהיו זמינים.
חברת NVIDIA קבעה שמעללים אלה (או מעללים דומים אחרים שעשויים להתעורר) אינם משפיעים על מחשוב GPU, ולכן החומרה שלהם חסינת לרוב. הם יעבדו עם חברות אחרות כדי לעדכן את מנהלי ההתקנים שיעזרו למתן בעיות בביצועי המעבד, והם מעריכים את SoCs מבוססי ARM שלהם (טגרה).
ערכת רשת, האנשים שעומדים מאחורי מנוע העיבוד של הדפדפן של Safari והקדמה למנוע ה- Blink של גוגל, יש פירוט מצוין בדיוק כיצד התקפות אלה יכולות להשפיע על הקוד שלהם. הרבה מזה יחול על כל מתורגמן או מהדר וזה קריאה מדהימה. ראה כיצד הם פועלים כדי לתקן זאת ולמנוע מכך שזה יקרה בפעם הבאה.
באנגלית רגילה, פירוש הדבר כי אלא אם כן אתה עדיין משתמש בטלפון, טאבלט או מחשב ישנים מאוד, עליך לראות עצמך פגיע ללא עדכון למערכת ההפעלה. הנה מה שאנחנו יודעים עד כה בחזית ההיא:
- גוגל תוקנה את אנדרואיד כנגד התקפות Spectre ו- Meltdown עם דצמבר 2017 ו- ינואר 2018 טלאים.
- גוגל תוקנה מחשבי Chromebook באמצעות הגרסאות 3.18 ו- 4.4 של הליבה ב- דצמבר 2017 עם מערכת ההפעלה 63. התקנים עם גרסאות אחרות של הליבה (חפש כאן כדי למצוא את שלך) יתוקן בקרוב. באנגלית פשוטה: ה- Chromebook של טושיבה, ה- Acer C720, ה- Chromebook 13 של Dell ו- Chromebook Pixels מ -2013 ו- 2015 (וכמה שמות שכנראה מעולם לא שמעתם עליהם) עדיין לא מתוקנים אבל יהיו בקרוב. רוב מכשירי Chromebox, Chromebases ו- Chromebits הם לֹא תוקנו אבל יהיה בקרוב.
- למכשירי מערכת ההפעלה של Chrome שאינם מתוקנים, נקראת תכונת אבטחה חדשה בידוד אתרים ימתן את הבעיות מהתקפות אלה.
- מיקרוסופט תיקנה את שני המנצלים החל מינואר 2018.
- אפל תיקנה את MacOS ו- iOS כנגד Meltdown החל מהעדכון בדצמבר. הסיבוב הראשון של עדכוני ספקטר נדחק בתחילת ינואר. בדוק את iMore עבור כל מה שאתה צריך לדעת על פגמים אלה במעבד וכיצד הם משפיעים על המק, האייפד והאייפון שלך.
- תיקונים נשלחו לכל הגרסאות הנתמכות של ליבת לינוקס, וניתן לעדכן מערכות הפעלה כמו אובונטו או רד האט באמצעות יישום עדכון התוכנה.
לפרטים ספציפיים ל- Android, נקסוס 5X, נקסוס 6P, פיקסל, פיקסל XL, פיקסל 2, ו פיקסל 2 XL תוקנו ועליך לראות עדכון בקרוב אם עדיין לא קיבלת אותו. אתה יכול גם לעדכן ידנית את המכשירים האלה אם תרצה בכך. פרויקט קוד הפתוח של Android (הקוד המשמש לבניית מערכת ההפעלה לכל טלפון אנדרואיד) תוקן גם והפצות צד שלישי כמו LineageOS ניתן לעדכן.
כיצד לעדכן ידנית את ה- Pixel או את Nexus
סמסונג, LG, מוטורולהוספקי אנדרואיד אחרים (חברות שמייצרות טלפונים וטאבלטים וטלוויזיות) יתקנו את המוצרים שלהם עם עדכון ינואר 2018. חלקם, כמו ה- הערה 8 אוֹ גלקסי S8, יראה את זה לפני אחרים, אך גוגל הפכה את התיקון לזמין עבור את כל מכשירים. אנו מצפים לראות חדשות נוספות מכל השותפים כדי להודיע לנו למה לצפות ומתי.
מה אני יכול לעשות?
אם יש לך מוצר פגיע, קל להיתפס להייפ, אבל אתה לא צריך. גם ספקטר וגם התכה אינם "פשוט קורים" ותלויים בכך אתה התקנת תוכנה זדונית כלשהי שממנפת אותם. ביצוע כמה שיטות עבודה בטוחות ישמור על חסינות מפני ניצול כלשהו בחומרת מחשב כלשהי.
- התקן רק תוכנה שאתה סומך עליה ממקום שאתה סומך עליו. זה תמיד רעיון טוב, אבל במיוחד אם אתה מחכה לתיקון.
- אבטח את המכשירים שלך עם מסך נעילה טוב והצפנה. זה עושה יותר מסתם להרחיק אדם אחר, מכיוון שאפליקציות לא יכולות לעשות שום דבר בזמן שהטלפון שלך נעול ללא רשותך.
- לקרוא ולהבין ההרשאות לכל מה שאתה מפעיל או מתקין בטלפון שלך. אל תפחד לבקש כאן עזרה!
- השתמש בדפדפן אינטרנט החוסם תוכנות זדוניות. אנו יכולים להמליץ על Chrome או Firefox, ודפדפנים אחרים עשויים גם להגן עליך מפני תוכנות זדוניות מבוססות אינטרנט. שאל את האנשים שמייצרים אותם ומפיצים אותם אם אתה לא בטוח. ייתכן שדפדפן האינטרנט שהגיע עם הטלפון שלך אינו האפשרות הטובה ביותר כאן, במיוחד אם יש לך דגם ישן יותר. Edge ו- Safari מהימנים גם עבור מכשירי Windows או MacOS ו- iOS.
- אל תפתח קישורים ברשתות החברתיות, באימייל או בשום הודעה של מישהו שאתה לא מכיר. גם אם הם מאנשים שאתה מכיר, ודא שאתה סומך על דפדפן האינטרנט שלך לפני שאתה לוחץ או מקיש. זה כפול עבור קישורי הפניה מחדש שמסווים כתובת אתר לאתר. אנו משתמשים בקישורים מסוג זה לעתים קרובות למדי ורוב הסיכויים שגם הרבה מדיה מקוונת שקראתם עושה. הזהר.
- אל תהיה טיפש. אתה יודע מה זה אומר עבורך. סמך על שיקול דעתך וטעה בצד הזהירות.
החדשות הטובות הן שהאופן שבו מתועלים הערוצים הצדדיים הללו לא הולכת להביא את ההאטות העצומות שהיו לפני כל עדכון. זה בדיוק איך שהאינטרנט עובד, ואם אתה קורא איך הטלפון או המחשב שלך יהיו איטיים ב -30% לאחר תיקון כלשהו, זה בגלל שהסנסציוניזם מוכר. משתמשים שמריצים תוכנה מעודכנת (והיו במהלך הבדיקה) פשוט לא רואים אותה.
לתיקון אין את השפעת הביצועים שחלקם טענו שהוא יביא, וזה דבר נהדר.
כל זה קרה מכיוון שהתקפות אלה מודדות מרווחי זמן מדויקים והתיקונים הראשוניים משנים או משביתים את הדיוק של מקורות תזמון מסוימים באמצעות תוכנה. פחות מדויק פירושו איטי יותר בעת מחשוב וההשפעה הייתה מוגזמת להיות גדולה בהרבה ממה שהיא. אפילו ירידות ביצועים קלות הנובעות מהתיקונים ממתנות על ידי חברות אחרות ואנחנו רואים NVIDIA מעדכנת את האופן שבו גרפי ה- GPU שלהם מחבירים את המספרים או את Mozilla עובדים על דרך חישוב הנתונים כדי להפוך אותם לאחידים מהר יותר. הטלפון שלך לא יהיה איטי יותר בתיקון ינואר 2018 וגם המחשב שלך לא יהיה אלא אם כן ישן מאוד, לפחות לא באופן מורגש.
הפסק לדאוג לכך ובמקום זאת הקפד לעשות כל שביכולתך כדי לשמור על אבטחת הנתונים שלך.
מה לקחת מכל זה
לפחדי אבטחה תמיד יש איזושהי השפעה אמיתית. איש לא ראה מקרים של Meltdown או Spectre בשימוש בטבע, ומכיוון שרוב המכשירים בהם אנו משתמשים מדי יום מתעדכנים או יהיו בקרוב מאוד, כנראה שהדיווחים יישארו כך. אבל זה לא אומר שיש להתעלם מהם.
התייחס ברצינות לאיומי אבטחה כאלו אך אל תיפול מכל ההייפ; להיות מיודע!
למנצלים אלה של ערוצים צדדיים היה פוטנציאל להיות אותו אירוע גדול ורציני שמשנה את המשחק, שאנשים דואגים לו בכל הנוגע לאבטחת סייבר. כל ניצול שמשפיע על חומרה הוא רציני, וכאשר הוא תוקף משהו שנעשה בכוונה במקום באג הוא הופך לחמור עוד יותר. למרבה המזל, חוקרים ומפתחים הצליחו לתפוס, להכיל ולתקן את Meltdown ו- Specter לפני שקרה כל שימוש נרחב.
מה שחשוב כאן באמת הוא שתקבל את המידע הנכון כדי שתדע מה לעשות בכל פעם שאתה שומע על אימת סייבר חדשה שרוצה את כל הדברים הדיגיטליים שלך. בדרך כלל יש דרך רציונלית למתן את ההשפעות החמורות ברגע שאתה חופר מעבר לכל הכותרות.
להישאר בטוח!
האם האזנת לפודקאסט אנדרואיד המרכזי השבוע?
מדי שבוע ה- Podcast המרכזי של Android מביא לכם את החדשות הטכנולוגיות האחרונות, ניתוחים וצילומים חמים, עם מארחים משותפים מוכרים ואורחים מיוחדים.
- הירשם כמלה בכיס: שֶׁמַע
- הירשם ב- Spotify: שֶׁמַע
- הירשם ב- iTunes: שֶׁמַע
אנו עשויים להרוויח עמלה על רכישות באמצעות הקישורים שלנו. למד עוד.
אלה האוזניות האלחוטיות הטובות ביותר שאתה יכול לקנות בכל מחיר!
האוזניות האלחוטיות הטובות ביותר נוחות, נשמעות נהדר, לא עולות יותר מדי ונכנסות בקלות לכיס.
כל מה שאתה צריך לדעת על PS5: תאריך פרסום, מחיר ועוד.
סוני אישרה רשמית שהיא עובדת על פלייסטיישן 5. הנה כל מה שאנחנו יודעים עליו עד כה.
נוקיה משיקה שני מכשירי אנדרואיד One בתקציב חדש, הנמוך מ- $ 200.
נוקיה 2.4 ונוקיה 3.4 הן התוספות האחרונות למערך הסמארטפונים התקציביים של HMD Global. מכיוון ששניהם מכשירי Android One, מובטח שהם יקבלו שני עדכוני מערכת הפעלה מרכזיים ועדכוני אבטחה קבועים עד שלוש שנים.
אבטח את הבית באמצעות פעמוני הדלת והמנעולים של SmartThings.
אחד הדברים הטובים ביותר ב- SmartThings הוא שתוכל להשתמש במגוון מכשירי צד שלישי אחרים במערכת שלך, כולל פעמוני דלתות ומנעולים. מכיוון שכולם חולקים למעשה את אותה תמיכה ב- SmartThings, התמקדנו באילו מכשירים יש את המפרט והטריקים הטובים ביותר כדי להצדיק הוספתם לארסנל ה- SmartThings שלך.