Du har kanskje hørt at himmelen har falt og sikkerhetsapokalypsen har skjedd på grunn av to nye angrep Meltdown og Spectre. Hvis du jobber innen IT eller et hvilket som helst annet område med storskala datamaskininfrastruktur, føler du sannsynligvis at det har gjort det, og gleder deg allerede til feriedagene dine i 2018.
Mediekanaler hørte først rykter om denne mor-av-alle-utnyttelser i slutten av 2017, og nylige rapporter var veldig spekulative og til slutt tvunget selskaper som Microsoft, Amazonog Google (hvis Project Zero team oppdaget det hele) for å svare med detaljer. Disse detaljene har gjort det interessant å lese hvis du er interessert i denne typen ting.
Men for alle andre, uansett hvilken telefon eller datamaskin du bruker, kan mye av det du leser eller hører høres ut som om det er på et annet språk. Det er fordi det er det, og med mindre du er flytende i cyber-geek-security-techno-speak, må du kanskje kjøre det gjennom en oversetter av noe slag.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Gode nyheter! Du fant den oversetteren, og her er hva du trenger å vite om Meltdown og Spectre, og hva du trenger å gjøre med det.
Hva de er
Meltdown og Spectre er to forskjellige ting, men siden de ble avslørt samtidig og begge tar for seg mikroprosessorarkitektur på maskinvarenivå, blir de snakket om sammen. Telefonen du bruker akkurat nå påvirkes nesten helt sikkert av Spectre-utnyttelsen, men ingen har funnet en måte å bruke den på - ennå.
Prosessoren inne i telefonen din bestemmer hvor sårbar den er for disse typer utnyttelser, men det er tryggere å anta at de alle påvirker deg hvis du er usikker. Og siden de ikke utnytter en feil og i stedet bruker en prosess som er antatt for å skje, er det ingen enkel løsning uten programvareoppdatering.
Se på telefonen i hendene; det er sårbart for noen av disse angrepene.
Datamaskiner (dette inkluderer også telefoner og andre små datamaskiner) er avhengige av hva som heter minne isolasjon for sikkerhet mellom applikasjoner. Ikke minnet som brukes til å lagre data på lang sikt, men minnet som brukes av maskinvare og programvare mens alt fungerer i sanntid. Prosesser lagrer data separat fra andre prosesser, slik at ingen andre prosesser vet hvor eller når de blir skrevet eller lest.
Appene og tjenestene som kjører på telefonen din, vil at prosessoren skal gjøre noe, og gir den hele tiden en liste over ting de trenger å beregne. Prosessoren gjør ikke disse oppgavene i den rekkefølgen de mottas - det vil bety noen deler av CPU er inaktiv og venter på at andre deler skal fullføres, så trinn to kan gjøres etter at trinn ett er ferdig. I stedet kan prosessoren gå videre til trinn tre eller trinn fire og gjøre dem på forhånd. Dette kalles utføring av ordre og alle moderne CPUer fungerer på denne måten.
Meltdown og Spectre utnytter ikke en feil - de angriper måten prosessoren beregner data på.
Fordi en CPU er raskere enn noe programvare kan være, gjetter den også litt. Spekulativ utførelse når CPU utfører en beregning, ble den ennå ikke bedt om å gjøre basert på tidligere beregninger var bedt om å opptre. En del av å optimalisere programvare for bedre CPU-ytelse følger noen få regler og instruksjoner. Dette betyr at det meste av tiden er en normal arbeidsflyt som vil bli fulgt, og en CPU kan hoppe fremover for å ha data klar når programvaren ber om det. Og fordi de ikke er nødvendig, blir de kastet til side fordi de er så raske. Dette er fortsatt raskere enn å vente på forespørselen om å utføre en beregning.
Denne spekulative utførelsen er det som gjør at både Meltdown og Spectre får tilgang til data de ellers ikke ville være i stand til, selv om de gjør det på forskjellige måter.
Nedsmelting
Intel-prosessorer, Apples nyere A-serieprosessorer og andre ARM SoC-er som bruker den nye A75-kjernen (for nå er det bare Qualcomm Snapdragon 845) er sårbare for Meltdown-utnyttelsen.
Meltdown utnytter det som kalles en "privilegium eskalering feil" som gir et program tilgang til kjerneminne. Dette betyr hvilken som helst kode som kan få tilgang til dette minneområdet - der kommunikasjonen mellom kjerne og CPU skjer - har i hovedsak tilgang til alt den trenger for å utføre hvilken som helst kode på system. Når du kan kjøre hvilken som helst kode, har du tilgang til alle data.
Spekter
Spectre påvirker nesten alle moderne prosessorer, inkludert den på telefonen din.
Spectre trenger ikke finne en måte å utføre kode på datamaskinen din fordi den kan "lure" prosessoren til å utføre instruksjoner for den, og deretter gi tilgang til dataene fra andre applikasjoner. Dette betyr at en utnyttelse kan se hva andre apper gjør og lese dataene de har lagret. Måten en CPU behandler instruksjoner ute av drift i grener, er der Spectre angriper.
Både Meltdown og Spectre er i stand til å avsløre data som skal sandkasseres. De gjør dette på maskinvarenivå, slik at operativsystemet ditt ikke gjør deg immun - Apple, Google, Microsoft og alle slags Unix- og Linux-operativsystemer med åpen kildekode er like berørt.
På grunn av en teknikk som er kjent som dynamisk planlegging som gjør at data kan leses når de beregner data i stedet for at de først må lagres, det er rikelig med sensitiv informasjon i RAM for et angrep å lese. Hvis du er interessert i denne typen ting, vil papirene publisert av Graz University of Technology er fascinerende lesninger. Men du trenger ikke å lese eller forstå dem for å beskytte deg selv.
Er jeg berørt?
Ja. I det minste var du det. I utgangspunktet ble alle berørt til selskaper begynte å lappe programvaren mot disse angrepene.
Programvaren som trenger oppdatering finnes i operativsystemet, så det betyr at du trenger en oppdatering fra Apple, Google eller Microsoft. (Hvis du bruker en datamaskin som kjører Linux og ikke er interessert i infosec, har du allerede oppdateringen. Bruk programvareoppdatereren til å installere den, eller be en venn som er interessert i infosec om å lede deg gjennom oppdateringen av kjernen din). Den fantastiske nyheten er at Apple, Google og Microsoft har oppdateringer som allerede er distribuert eller er på vei i umiddelbar fremtid for støttede versjoner.
Det spesifikke
- Intel-prosessorer siden 1995 unntatt for Itanium og ATOM-plattformen før 2013 påvirkes av både Meltdown og Spectre.
- Alle moderne AMD-prosessorer er berørt av Spectre-angrepet. AMD PRO og AMD FX (AMD 9600 R7 og AMD FX-8320 ble brukt som proof-of-concept) CPUer i en ikke-standard konfigurasjon (kjernen BPF JIT aktivert) påvirkes av Meltdown. Det forventes at et tilsvarende angrep mot sidekanalminnelesing er mulig mot alle 64-biters CPUer inkludert AMD-prosessorer.
- ARM-prosessorer med Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 og A75 kjerner er mistenkelige for Spectre-angrep. Prosessorer med Cortex A75 (den Snapdragon 845) kjerner er sårbare for Meltdown-angrep. Det forventes at chips som bruker varianter av disse kjernene, som Qualcomms Snapdragon-linje eller Samsungs Exynos-linje, vil også ha lignende eller samme sårbarheter. Qualcomm jobber direkte med ARM, og har denne uttalelsen om problemene:
Qualcomm Technologies, Inc. er klar over sikkerhetsforskningen om bransjeprosessorer som er rapportert. Å tilby teknologier som støtter robust sikkerhet og personvern er en prioritet for Qualcomm, og som Slikt har vi jobbet med Arm og andre for å vurdere innvirkningen og utvikle avbøtende forhold for oss kunder. Vi inkorporerer og distribuerer aktivt avbøtende forhold mot sårbarhetene for våre berørte produkter, og vi fortsetter å jobbe for å styrke dem som mulig. Vi er i ferd med å distribuere disse begrensningene til kundene våre og oppfordrer folk til å oppdatere enhetene sine når oppdateringer blir tilgjengelige.
NVIDIA har bestemt at disse utnyttelsene (eller andre lignende utnyttelser som kan oppstå) ikke påvirker GPU-databehandling, så maskinvaren deres er for det meste immun. De vil samarbeide med andre selskaper for å oppdatere enhetsdrivere for å redusere eventuelle CPU-ytelsesproblemer, og de evaluerer sine ARM-baserte SoCer (Tegra).
Webkit, menneskene bak nettlesergjengemotoren til Safari og forløperen til Googles Blink-motor, har en utmerket oversikt over nøyaktig hvordan disse angrepene kan påvirke koden deres. Mye av det vil gjelde enhver tolk eller kompilator, og det er en fantastisk lesning. Se hvordan de jobber med å fikse det og forhindre at det skjer neste gang.
På vanlig engelsk betyr dette at med mindre du fortsatt bruker en veldig gammel telefon, nettbrett eller datamaskin, bør du betrakte deg som sårbar uten oppdatering av operativsystemet. Her er det vi vet så langt på den fronten:
- Google har patchet Android mot både Spectre og Meltdown-angrep med desember 2017 og Januar 2018 lapper.
- Google har patched Chromebooks ved hjelp av 3.18- og 4.4-versjonene av kjernen i Desember 2017 med OS 63. Enheter med andre versjoner av kjernen (se her for å finne din) blir lappet snart. På vanlig engelsk: Toshiba Chromebook, Acer C720, Dell Chromebook 13 og Chromebook Pixels fra 2013 og 2015 (og noen navn du sannsynligvis aldri har hørt om) er ikke lappet ennå, men kommer snart. De fleste Chromeboxes, Chromebases og Chromebits er det ikke lappet, men blir snart.
- For Chrome OS-enheter som ikke er lappet, kalles en ny sikkerhetsfunksjon Nettstedsisolasjon vil redusere eventuelle problemer fra disse angrepene.
- Microsoft har lappet begge utnyttelsene fra januar 2018.
- Apple har lappet macOS og iOS mot Meltdown fra og med desemberoppdateringen. Den første runden med Spectre-oppdateringer ble presset ut tidlig i januar. Ta en titt på iMore for alt du trenger å vite om disse CPU-feilene og hvordan de påvirker Mac, iPad og iPhone.
- Oppdateringer er sendt til alle støttede versjoner av Linux-kjernen, og operativsystemer som Ubuntu eller Red Hat kan oppdateres gjennom programvareoppdateringsprogrammet.
For Android-spesifikasjoner, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, og Pixel 2 XL har blitt lappet, og du bør se en oppdatering snart hvis du ikke allerede har mottatt den. Du kan også oppdatere disse enhetene manuelt hvis du vil. Android Open Source-prosjektet (koden som ble brukt til å bygge operativsystemet for hver Android-telefon) har også blitt lappet og tredjeparts distribusjoner som LineageOS kan oppdateres.
Slik oppdaterer du Pixel eller Nexus manuelt
Samsung, LG, Motorola, og andre Android-leverandører (selskaper som lager telefoner og nettbrett og TV-er) vil lappe produktene sine med oppdateringen fra januar 2018. Noen, som Merknad 8 eller Galaxy S8, vil se det før andre, men Google har gjort oppdateringen tilgjengelig for alle enheter. Vi forventer å se flere nyheter fra alle partnere for å fortelle oss hva vi kan forvente og når.
Hva kan jeg gjøre?
Hvis du har et produkt som er sårbart, er det lett å bli fanget i sprøytenarkomanen, men du bør ikke. Både Spectre og Meltdown skjer ikke "bare" og er avhengige av du installere skadelig programvare av noe slag som utnytter dem. Å følge noen få sikre fremgangsmåter vil holde deg immun mot enten utnyttelse av datamaskinens maskinvare.
- Installer bare programvare du stoler på fra et sted du stoler på. Dette er alltid en god ide, men spesielt hvis du venter på en oppdatering.
- Sikre enhetene dine med en god låseskjerm og kryptering. Dette gjør mer enn bare å holde en annen person utenfor, da applikasjoner ikke kan gjøre noe mens telefonen er låst uten din tillatelse.
- Les og forstå tillatelsene til alt du kjører eller installerer på telefonen din. Ikke vær redd for å be om hjelp her!
- Bruk en nettleser som blokkerer skadelig programvare. Vi kan anbefale Chrome eller Firefox, og andre nettlesere kan også beskytte deg mot nettbasert skadelig programvare. Spør menneskene som lager og distribuerer dem hvis du er usikker. Nettleseren som fulgte med telefonen din, er kanskje ikke det beste alternativet her, spesielt hvis du har en eldre modell. Edge og Safari er også klarert for Windows- eller MacOS- og iOS-enheter.
- Ikke åpne lenker på sosiale medier, i en e-post eller i noen melding fra noen du ikke kjenner. Selv om de kommer fra folk du kjenner, må du stole på nettleseren din før du klikker eller trykker på. Dette blir dobbelt for omdirigeringskoblinger som maskerer en nettadresse. Vi bruker den slags lenker ganske ofte, og sjansen er at mange nettmedier du leser også gjør. Vær forsiktig.
- Ikke vær dum. Du vet hva dette betyr for deg. Stol på din dømmekraft og ta feil på siden av forsiktighet.
Den gode nyheten er at måten disse sidekanalutnyttelsene blir lappet på er ikke kommer til å bringe de enorme avmatningene som ble hypet før noen oppdateringer ble utgitt. Det er bare slik nettet fungerer, og hvis du leser om hvordan telefonen eller datamaskinen din skulle være 30% tregere etter at en løsning ble brukt, var det fordi sensasjonellisme selger. Brukere som kjører oppdatert programvare (og har vært under testing) ser det bare ikke.
Oppdateringen har ikke ytelsespåvirkningen noen hevdet at den ville bringe, og det er en flott ting.
Alt dette skjedde fordi disse angrepene måler presise tidsintervaller og de første oppdateringene endrer eller deaktiverer presisjonen til noen timingkilder gjennom programvare. Mindre presis betyr langsommere når du beregner, og effekten ble overdrevet til å være mye større enn den er. Selv den svake ytelsen synker som er et resultat av lappene, blir dempet av andre selskaper, og vi ser det NVIDIA oppdaterer måten GPUene deres knuser tall eller Mozilla jobber på måten de beregner data for å gjøre det jevnt raskere. Telefonen din vil ikke gå tregere på oppdateringen fra januar 2018 og heller ikke datamaskinen din med mindre den er veldig gammel, i det minste ikke på noen merkbar måte.
Slutt å bekymre deg for det, og sørg i stedet for å gjøre alt du kan for å holde dataene dine trygge.
Hva du skal ta bort fra det hele
Sikkerhetsskrekk har alltid en slags reell innvirkning. Ingen har sett noen forekomster av Meltdown eller Spectre som er brukt i naturen, og fordi de fleste enheter som vi bruker hver dag er oppdatert eller vil være veldig snart, vil rapporter sannsynligvis forbli slik. Men dette betyr ikke at de skal ignoreres.
Ta sikkerhetstrusler som dette på alvor, men ikke fall for all sprøytenarkomanen; være informert!
Disse sidekanalutnyttelsene hadde potensialet til å være den store, seriøse spillendrende hendelsen folk bekymrer seg for når det gjelder cybersikkerhet. Enhver utnyttelse som påvirker maskinvare er alvorlig, og når den angriper noe som er gjort med vilje i stedet for en feil, blir det enda mer alvorlig. Heldigvis klarte forskere og utviklere å fange, inneholde og lappe Meltdown og Spectre før noen utbredt bruk skjedde.
Det som er veldig viktig her er at du får riktig informasjon slik at du vet hva du skal gjøre hver gang du hører om en ny cybertrussel som vil ha alle dine digitale ting. Det er vanligvis en rasjonell måte å redusere alvorlige effekter når du graver forbi alle overskriftene.
Vær trygg!
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings-dørklokkene og låsene.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.