Je hebt misschien gehoord dat de lucht is gevallen en dat de veiligheidsapocalyps heeft plaatsgevonden vanwege twee nieuwe genoemde aanvallen Meltdown en Spectre. Als je in de IT of een ander gebied van grootschalige computerinfrastructuur werkt, heb je waarschijnlijk het gevoel dat dat ook zo is, en kijk je al uit naar je vakantiedagen in 2018.
Mediakanalen hoorden voor het eerst geruchten over deze moeder-van-alle-exploits eind 2017, en recente rapporten waren enorm speculatief en dwongen uiteindelijk bedrijven zoals Microsoft, Amazon, en Google (wiens Het Project Zero-team heeft het hele ding ontdekt) om met details te reageren. Die details hebben voor een interessant boek gezorgd als je in dit soort dingen geïnteresseerd bent.
Maar voor alle anderen, ongeacht welke telefoon of computer u gebruikt, kan veel van wat u leest of hoort, klinken alsof het in een andere taal is. Dat komt omdat het zo is, en tenzij je vloeiend bent in cyber-geek-security-techno-speak, moet je het misschien door een soort vertaler halen.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Goed nieuws! Je hebt die vertaler gevonden, en hier is wat u moet weten over Meltdown en Spectre, en wat u eraan moet doen.
Wat zij zijn
Meltdown en Spectre zijn twee verschillende dingen, maar aangezien ze tegelijkertijd werden onthuld en beide te maken hebben met microprocessorarchitectuur op hardwareniveau, wordt er samen over gesproken. De telefoon die u nu gebruikt, wordt vrijwel zeker beïnvloed door de Spectre-exploit, maar niemand heeft een manier gevonden om deze te gebruiken - tot nu toe.
De processor in uw telefoon bepaalt hoe kwetsbaar deze is voor dit soort exploits, maar het is veiliger om aan te nemen dat ze allemaal van invloed zijn op u als u het niet zeker weet. En aangezien ze geen bug uitbuiten en in plaats daarvan een proces gebruiken dat verondersteld gebeurt, is er geen gemakkelijke oplossing zonder een software-update.
Kijk naar de telefoon in je handen; het is kwetsbaar voor sommige van deze aanvallen.
Computers (dit omvat ook telefoons en andere kleine computers) vertrouwen op wat wordt genoemd geheugenisolatie voor beveiliging tussen applicaties. Niet het geheugen dat wordt gebruikt om gegevens op lange termijn op te slaan, maar het geheugen dat wordt gebruikt door hardware en software terwijl alles in realtime werkt. Processen slaan gegevens gescheiden van andere processen op, zodat geen enkel ander proces weet waar of wanneer het wordt geschreven of gelezen.
De apps en services die op uw telefoon worden uitgevoerd, willen allemaal dat de processor wat werk doet en geven hem constant een lijst met dingen die ze moeten berekenen. De processor voert deze taken niet uit in de volgorde waarin ze zijn ontvangen - dat zou betekenen dat sommige delen van het De CPU is inactief en wacht tot andere onderdelen zijn voltooid, dus stap twee kan worden gedaan nadat stap één is voltooid afgewerkt. In plaats daarvan kan de processor doorgaan naar stap drie of stap vier en ze van tevoren doen. Dit heet out-of-order-uitvoering en alle moderne CPU's werken op deze manier.
Meltdown en Spectre maken geen misbruik van een bug - ze vallen de manier aan waarop een processor gegevens berekent.
Omdat een CPU sneller is dan welke software dan ook, is het ook een beetje gissen. Speculatieve uitvoering is wanneer de CPU een berekening uitvoert waar hij nog niet om gevraagd werd op basis van eerdere berekeningen was gevraagd om op te treden. Een deel van het optimaliseren van software voor betere CPU-prestaties is het volgen van een paar regels en instructies. Dit betekent dat er meestal een normale workflow is die wordt gevolgd en dat een CPU vooruit kan springen om gegevens bij de hand te hebben wanneer de software erom vraagt. En omdat ze zo snel zijn, worden ze opzij gegooid als de gegevens toch niet nodig waren. Dit is nog steeds sneller dan wachten op het verzoek om een berekening uit te voeren.
Door deze speculatieve uitvoering hebben zowel Meltdown als Spectre toegang tot gegevens die ze anders niet zouden kunnen krijgen, hoewel ze het op verschillende manieren doen.
Kernsmelting
Intel-processors, Apple's nieuwere A-serie processors en andere ARM SoC's die de nieuwe A75-kern gebruiken (voorlopig is dat alleen de Qualcomm Snapdragon 845) zijn kwetsbaar voor de Meltdown-exploit.
Meltdown maakt gebruik van een zogenaamde "privilege escalation flaw" die een applicatie toegang geeft tot het kernelgeheugen. Dit betekent elke code die toegang kan krijgen tot dit geheugengebied - waar de communicatie tussen de kernel en de CPU gebeurt - heeft in wezen toegang tot alles wat het nodig heeft om code uit te voeren op het systeem. Als u een willekeurige code kunt uitvoeren, heeft u toegang tot alle gegevens.
Spook
Spectre is van invloed op bijna elke moderne processor, inclusief die op uw telefoon.
Spectre hoeft geen manier te vinden om code op uw computer uit te voeren, omdat het de processor kan "misleiden" om instructies ervoor uit te voeren en vervolgens toegang te verlenen tot de gegevens van andere applicaties. Dit betekent dat een exploit kan zien wat andere apps doen en de gegevens kunnen lezen die ze hebben opgeslagen. De manier waarop een CPU instructies in de verkeerde volgorde verwerkt in filialen, is waar Spectre aanvalt.
Zowel Meltdown als Spectre kunnen gegevens blootleggen die in een sandbox moeten worden geplaatst. Ze doen dit op hardwareniveau, dus je besturingssysteem maakt je niet immuun - Apple, Google, Microsoft en alle soorten open-source Unix- en Linux-besturingssystemen worden in gelijke mate beïnvloed.
Vanwege een techniek die bekend staat als dynamische planning waardoor gegevens kunnen worden gelezen terwijl ze worden berekend in plaats van dat ze eerst moeten worden opgeslagen, er is veel gevoelige informatie in het RAM die een aanval kan lezen. Als u in dit soort dingen geïnteresseerd bent, kunt u de whitepapers van de Technische Universiteit van Graz zijn fascinerende boeken. Maar u hoeft ze niet te lezen of te begrijpen om uzelf te beschermen.
Ben ik getroffen?
Ja. Dat was je tenminste. In feite werd iedereen getroffen totdat bedrijven begonnen met het patchen van hun software tegen deze aanvallen.
De software die moet worden bijgewerkt, zit in het besturingssysteem, dus dat betekent dat je een patch van Apple, Google of Microsoft nodig hebt. (Als je een computer gebruikt waarop Linux draait en niet van infosec houdt, heb je de patch ook al. Gebruik je software-updater om het te installeren of vraag een vriend die van infosec houdt om je te helpen bij het updaten van je kernel). Het geweldige nieuws is dat Apple, Google en Microsoft al patches hebben geïmplementeerd of in de nabije toekomst onderweg zijn voor ondersteunde versies.
De details
- Intel-processors sinds 1995 behalve voor het Itanium en het ATOM-platform van vóór 2013 worden beïnvloed door zowel Meltdown als Spectre.
- Alle moderne AMD-processors worden beïnvloed door de Spectre-aanval. AMD PRO en AMD FX (de AMD 9600 R7 en AMD FX-8320 werden gebruikt als proof-of-concept) CPU's in een niet-standaard configuratie (kernel BPF JIT ingeschakeld) worden beïnvloed door Meltdown. Er wordt verwacht dat een vergelijkbare aanval tegen het lezen van zijkanaalgeheugen mogelijk is alle 64-bits CPU's inclusief AMD-processors.
- ARM-processors met Cortex R7-, R8-, A8-, A9-, A15-, A17-, A57-, A72-, A73- en A75-kernen zijn verdacht van Spectre-aanvallen. Processors met Cortex A75 (de Leeuwenbek 845) kernen zijn kwetsbaar voor Meltdown-aanvallen. Verwacht wordt dat chips die varianten van deze kernen gebruiken, zoals Qualcomm's Snapdragon-lijn of De Exynos-lijn van Samsung, zullen ook vergelijkbare of dezelfde kwetsbaarheden hebben. Qualcomm werkt rechtstreeks samen met ARM en heeft deze verklaring over de problemen:
Qualcomm Technologies, Inc. is op de hoogte van het beveiligingsonderzoek naar gerapporteerde kwetsbaarheden van processors in de hele sector. Het bieden van technologieën die robuuste beveiliging en privacy ondersteunen, is een prioriteit voor Qualcomm, en zoals zo hebben we samengewerkt met Arm en anderen om de impact te beoordelen en mitigerende maatregelen voor ons te ontwikkelen klanten. We zijn actief bezig met het opnemen en implementeren van risicobeperkende maatregelen tegen de kwetsbaarheden voor onze getroffen producten, en we blijven eraan werken om deze zo mogelijk te versterken. We zijn bezig met het implementeren van deze oplossingen voor onze klanten en moedigen mensen aan om hun apparaten bij te werken wanneer er patches beschikbaar komen.
NVIDIA heeft bepaald dat deze exploits (of andere soortgelijke exploits die kunnen optreden) geen invloed hebben op GPU-computing, dus hun hardware is meestal immuun. Ze zullen samenwerken met andere bedrijven om apparaatstuurprogramma's bij te werken om eventuele CPU-prestatieproblemen te helpen verminderen, en ze evalueren hun op ARM gebaseerde SoC's (Tegra).
Webkit, de mensen achter de browserweergave-engine van Safari en de voorloper van Google's Blink-engine, hebben een uitstekende analyse van hoe deze aanvallen hun code precies kunnen beïnvloeden. Veel ervan zou van toepassing zijn op elke tolk of compiler en het is geweldig om te lezen. Kijk hoe ze eraan werken om het probleem op te lossen en te voorkomen dat het de volgende keer gebeurt.
In gewoon Engels betekent dit dat u, tenzij u nog steeds een zeer oude telefoon, tablet of computer gebruikt, uzelf kwetsbaar moet beschouwen zonder een update van het besturingssysteem. Hier is wat we weten tot nu toe op dat front:
- Google heeft Android gepatcht tegen zowel Spectre- als Meltdown-aanvallen met de december 2017 en Januari 2018 pleisters.
- Google heeft Chromebooks gepatcht met de 3.18- en 4.4-versies van de kernel in December 2017 met OS 63. Apparaten met andere versies van de kernel (kijk hier om die van jou te vinden) zal binnenkort worden gepatcht. In gewoon Engels: De Toshiba Chromebook, de Acer C720, Dell Chromebook 13 en de Chromebook Pixels uit 2013 en 2015 (en sommige namen waar je waarschijnlijk nog nooit van hebt gehoord) zijn nog niet gepatcht, maar zullen binnenkort verschijnen. De meeste Chromeboxes, Chromebases en Chromebits zijn niet gepatcht maar zal binnenkort zijn.
- Voor Chrome OS-apparaten die niet zijn gepatcht, wordt een nieuwe beveiligingsfunctie genoemd Site-isolatie zal eventuele problemen van deze aanvallen verminderen.
- Microsoft heeft vanaf januari 2018 beide exploits gepatcht.
- Apple heeft vanaf de update van december macOS en iOS gepatcht tegen Meltdown. De eerste ronde van Spectre-updates werd begin januari gepusht. Bekijk iMore voor alles wat je moet weten over deze CPU-fouten en hoe ze uw Mac, iPad en iPhone beïnvloeden.
- Er zijn patches verzonden naar alle ondersteunde versies van de Linux-kernel en besturingssystemen zoals Ubuntu of Red Hat kunnen worden bijgewerkt via de software-updatetoepassing.
Voor Android-specificaties is het Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, en Pixel 2 XL zijn gepatcht en je zou binnenkort een update moeten zien als je deze nog niet hebt ontvangen. U kunt deze apparaten desgewenst ook handmatig bijwerken. Het Android Open Source-project (de code die wordt gebruikt om het besturingssysteem voor elke Android-telefoon te bouwen) is ook gepatcht en distributies van derden zoals LineageOS kan worden bijgewerkt.
Hoe u uw Pixel of Nexus handmatig kunt bijwerken
Samsung, LG, Motorola, en andere Android-leveranciers (bedrijven die telefoons, tablets en tv's maken) zullen hun producten patchen met de update van januari 2018. Sommige, zoals de Opmerking 8 of Galaxy S8, zullen dat eerder zien dan anderen, maar Google heeft de patch beschikbaar gemaakt voor alle apparaten. We verwachten meer nieuws van alle partners om ons te laten weten wat we kunnen verwachten en wanneer.
Wat kan ik doen?
Als u een product heeft dat kwetsbaar is, raakt u gemakkelijk verstrikt in de hype, maar dat zou u niet moeten doen. Zowel Spectre als Meltdown gebeuren niet "zomaar" en zijn afhankelijk van u het installeren van een soort malware die hiervan gebruikmaakt. Door een paar veilige praktijken te volgen, bent u immuun voor misbruik op alle computerhardware.
- Installeer alleen software die u vertrouwt vanaf een plaats die u vertrouwt. Dit is altijd een goed idee, maar vooral als u op een patch wacht.
- Beveilig uw apparaten met een goed vergrendelingsscherm en codering. Dit doet meer dan alleen een ander buiten de deur houden, aangezien applicaties niets kunnen doen terwijl uw telefoon is vergrendeld zonder uw toestemming.
- Lezen en begrijpen de machtigingen voor alles wat u op uw telefoon uitvoert of installeert. Wees niet bang om hier hulp te vragen!
- Gebruik een webbrowser die malware blokkeert. We kunnen Chrome of Firefox aanbevelen, en andere browsers kunnen u ook beschermen tegen webgebaseerde malware. Vraag het de mensen die ze maken en distribueren als je het niet zeker weet. De webbrowser die bij uw telefoon is geleverd, is hier misschien niet de beste optie, vooral als u een ouder model heeft. Edge en Safari worden ook vertrouwd voor Windows- of MacOS- en iOS-apparaten.
- Open geen links op sociale media, in een e-mail of in een bericht van iemand die u niet kent. Zelfs als ze afkomstig zijn van mensen die u kent, moet u ervoor zorgen dat u uw webbrowser vertrouwt voordat u klikt of tikt. Dit geldt dubbel voor omleidingslinks die een site-URL maskeren. We gebruiken dit soort links vrij vaak en de kans is groot dat veel online media die u leest dat ook doen. Doe voorzichtig.
- Wees niet dom. U weet wat dit voor u betekent. Vertrouw op uw oordeel en wees voorzichtig.
Het goede nieuws is dat de manier waarop deze side channel-exploits worden gepatcht is niet gaat de enorme vertragingen met zich meebrengen die werden gehyped voordat er updates werden uitgebracht. Dat is precies hoe het internet werkt, en als je leest hoe je telefoon of computer 30% langzamer zou zijn nadat een oplossing was toegepast, dan was dat omdat sensatiezucht verkoopt. Gebruikers die bijgewerkte software gebruiken (en tijdens het testen zijn geweest), zien deze gewoon niet.
De patch heeft niet de prestatie-impact die sommigen beweerden te hebben, en dat is iets geweldigs.
Dit kwam allemaal doordat deze aanvallen precieze tijdsintervallen meten en de initiële patches de precisie van sommige timingbronnen via software wijzigen of uitschakelen. Minder nauwkeurig betekent langzamer tijdens het computergebruik en de impact werd overdreven veel groter dan het is. Zelfs de kleine prestatieverlagingen die het gevolg zijn van de patches worden verzacht door andere bedrijven en we zien NVIDIA werkt de manier bij waarop hun GPU's cijfers verwerken of Mozilla werkt aan de manier waarop ze gegevens berekenen om het gelijkmatig te maken sneller. Je telefoon zal niet langzamer zijn met de patch van januari 2018 en uw computer ook niet, tenzij hij erg oud is, althans niet op een merkbare manier.
Maak u geen zorgen meer en zorg ervoor dat u er alles aan doet om uw gegevens veilig te houden.
Wat je er allemaal uit moet halen
Beveiligingsangst heeft altijd een soort van echte impact. Niemand heeft ooit gezien dat Meltdown of Spectre in het wild werd gebruikt, en omdat de meeste apparaten die we dagelijks gebruiken worden bijgewerkt of binnenkort zullen verschijnen, zullen rapporten waarschijnlijk zo blijven. Maar dit betekent niet dat ze moeten worden genegeerd.
Neem beveiligingsbedreigingen als deze serieus, maar val niet voor alle hype; wees geïnformeerd!
Deze buitensporige exploits hadden het potentieel om dat grote, serieuze, baanbrekende evenement te zijn waar mensen zich zorgen over maken als het gaat om cyberbeveiliging. Elke exploit die hardware aantast, is ernstig, en wanneer het iets aanvalt dat met opzet is gedaan in plaats van een bug, wordt het nog ernstiger. Gelukkig waren onderzoekers en ontwikkelaars in staat om Meltdown en Spectre te vangen, in te dammen en te patchen voordat er wijdverbreid gebruik plaatsvond.
Wat hier echt belangrijk is, is dat je de juiste informatie krijgt, zodat je weet wat je moet doen elke keer dat je hoort over een nieuwe cyberdreiging die al je digitale dingen wil. Er is meestal een rationele manier om eventuele ernstige effecten te verzachten als je eenmaal voorbij alle krantenkoppen graaft.
Blijf Veilig!
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Leer meer.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Beveilig uw huis met deze SmartThings deurbellen en sloten.
Een van de beste dingen van SmartThings is dat u een hele reeks andere apparaten van derden op uw systeem kunt gebruiken, inclusief deurbellen en sloten. Omdat ze in wezen allemaal dezelfde SmartThings-ondersteuning delen, hebben we ons gefocust op welke apparaten de beste specificaties en trucs hebben om ze toe te voegen aan je SmartThings-arsenaal.