Być może słyszałeś, że niebo spadło, a apokalipsa bezpieczeństwa nastąpiła z powodu dwóch nowych ataków Meltdown i Spectre. Jeśli pracujesz w branży IT lub w jakimkolwiek innym obszarze infrastruktury komputerowej na dużą skalę, prawdopodobnie też czujesz, że tak było i już nie możesz się doczekać wakacji w 2018 roku.
Media po raz pierwszy usłyszały plotki o tej matce wszystkich exploitów pod koniec 2017 roku, a ostatnie doniesienia były szalenie spekulacyjne i ostatecznie wymusiły na firmach, takich jak Microsoft, Amazonkai Google (którego Zespół Project Zero odkrył całą sprawę), aby odpowiedzieć, podając szczegóły. Te szczegóły sprawiły, że jest to interesująca lektura, jeśli jesteś zainteresowany takimi rzeczami.
Ale dla wszystkich innych, niezależnie od używanego telefonu lub komputera, wiele z tego, co czytasz lub słyszysz, może brzmieć tak, jakby było w innym języku. To dlatego, że tak jest i jeśli nie jesteś biegły w cyber-geek-security-techno-speak, być może będziesz musiał przeprowadzić to przez jakiegoś tłumacza.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Dobre wieści! Znalazłeś tego tłumacza i oto co ty musisz wiedzieć o Meltdown i Spectre oraz o tym, co musisz z tym zrobić.
Czym oni są
Meltdown i Spectre to dwie różne rzeczy, ale ponieważ zostały ujawnione w tym samym czasie i obie dotyczą architektury mikroprocesora na poziomie sprzętowym, rozmawia się o nich razem. Na telefon, którego teraz używasz, prawie na pewno ma wpływ exploit Spectre, ale nikt nie znalazł sposobu, aby go użyć - jeszcze.
Procesor w telefonie określa, jak podatny jest na tego typu exploity, ale bezpieczniej jest założyć, że wszystkie mają na Ciebie wpływ, jeśli nie jesteś pewien. A ponieważ nie wykorzystują błędu, a zamiast tego używają procesu, który jest domniemany nie ma łatwego rozwiązania bez aktualizacji oprogramowania.
Spójrz na telefon w swoich rękach; jest podatny na trochę tych ataków.
Komputery (w tym telefony i inne małe komputery) korzystają z tego, co się nazywa izolacja pamięci dla bezpieczeństwa między aplikacjami. Nie pamięć używana do długoterminowego przechowywania danych, ale pamięć używana przez sprzęt i oprogramowanie, gdy wszystko działa w czasie rzeczywistym. Procesy przechowują dane oddzielnie od innych procesów, więc żaden inny proces nie wie, gdzie i kiedy są zapisywane lub odczytywane.
Wszystkie aplikacje i usługi działające w telefonie wymagają, aby procesor wykonał jakąś pracę i stale podaje mu listę rzeczy, które muszą zostać obliczone. Procesor nie wykonuje tych zadań w kolejności, w jakiej zostały odebrane - oznaczałoby to, że niektóre części pliku Procesor jest bezczynny i czeka na zakończenie innych części, więc krok drugi można wykonać po kroku pierwszym skończone. Zamiast tego procesor może przejść do kroku trzeciego lub kroku czwartego i wykonać je z wyprzedzeniem. To się nazywa wykonanie poza kolejnością i wszystkie nowoczesne procesory działają w ten sposób.
Meltdown i Spectre nie wykorzystują błędu - atakują sposób, w jaki procesor oblicza dane.
Ponieważ procesor jest szybszy niż jakiekolwiek oprogramowanie, może też trochę zgadywać. Egzekucja spekulacyjna jest wtedy, gdy procesor wykonuje obliczenia, o które nie został jeszcze poproszony na podstawie poprzednich obliczeń był poproszony o wykonanie. Częścią optymalizacji oprogramowania pod kątem lepszej wydajności procesora jest przestrzeganie kilku zasad i instrukcji. Oznacza to, że przez większość czasu istnieje normalny przepływ pracy, który będzie przestrzegany, a procesor może przeskoczyć do przodu, aby przygotować dane, gdy oprogramowanie o to poprosi. A ponieważ są tak szybkie, jeśli mimo wszystko dane nie były potrzebne, zostają odrzucone. Jest to nadal szybsze niż oczekiwanie na żądanie wykonania obliczenia.
To spekulatywne wykonanie umożliwia Meltdown i Spectre dostęp do danych, do których w innym przypadku nie byliby w stanie uzyskać, chociaż robią to na różne sposoby.
Meltdown
Procesory Intel, nowsze procesory Apple z serii A i inne układy SoC ARM wykorzystujące nowy rdzeń A75 (na razie jest to tylko Qualcomm Snapdragon 845) są podatne na exploit Meltdown.
Meltdown wykorzystuje tzw. „Lukę eskalacji uprawnień”, która daje aplikacji dostęp do pamięci jądra. Oznacza to dowolny kod, który może uzyskać dostęp do tego obszaru pamięci - gdzie komunikacja między zdarza się jądro i procesor - zasadniczo ma dostęp do wszystkiego, czego potrzebuje, aby wykonać dowolny kod w system. Kiedy możesz uruchomić dowolny kod, masz dostęp do wszystkich danych.
Widmo
Spectre wpływa na prawie każdy nowoczesny procesor, w tym ten w telefonie.
Spectre nie musi szukać sposobu na wykonanie kodu na twoim komputerze, ponieważ może "oszukać" procesor, aby wykonał dla niego instrukcje, a następnie przyznał dostęp do danych z innych aplikacji. Oznacza to, że exploit może zobaczyć, co robią inne aplikacje i odczytać przechowywane przez nie dane. Spectre atakuje sposób, w jaki procesor przetwarza instrukcje w nieprawidłowej kolejności w gałęziach.
Zarówno Meltdown, jak i Spectre są w stanie ujawnić dane, które powinny zostać umieszczone w piaskownicy. Robią to na poziomie sprzętu, więc twój system operacyjny nie czyni cię odpornym - w równym stopniu dotyczy to Apple, Google, Microsoft i wszelkiego rodzaju systemów operacyjnych Unix i Linux typu open source.
Z powodu techniki znanej jako dynamiczne planowanie który pozwala na odczyt danych w trakcie przetwarzania zamiast konieczności ich przechowywania w pierwszej kolejności, w pamięci RAM jest mnóstwo poufnych informacji, które można odczytać podczas ataku. Jeśli jesteś zainteresowany tego typu rzeczami, zapoznaj się z oficjalnymi dokumentami opublikowanymi przez Politechnika w Grazu są fascynującymi lekturami. Ale nie musisz ich czytać ani rozumieć, aby się chronić.
Czy to mnie dotyczy?
Tak. A przynajmniej byłeś. Zasadniczo dotyczyło to wszystkich, dopóki firmy nie zaczęły poprawiać oprogramowania przed tymi atakami.
Oprogramowanie, które wymaga aktualizacji, znajduje się w systemie operacyjnym, co oznacza, że potrzebujesz poprawki od Apple, Google lub Microsoft. (Jeśli używasz komputera z systemem Linux i nie korzystasz z infosec, masz już łatkę. Użyj swojego narzędzia do aktualizacji oprogramowania, aby go zainstalować, lub poproś znajomego, który zajmuje się infosec, aby przeprowadził Cię przez proces aktualizacji jądra). Niesamowitą wiadomością jest to, że Apple, Google i Microsoft mają już wdrożone lub będą w najbliższej przyszłości łatki dla obsługiwanych wersji.
Specyfika
- Procesory Intel od 1995 z wyjątkiem na platformę Itanium i ATOM sprzed 2013 r. mają wpływ zarówno Meltdown, jak i Spectre.
- Atak Spectre dotyczy wszystkich nowoczesnych procesorów AMD. Procesory AMD PRO i AMD FX (AMD 9600 R7 i AMD FX-8320 zostały użyte jako dowód słuszności koncepcji) w niestandardowa konfiguracja (włączone JIT jądra BPF) są dotknięte przez Meltdown. Oczekuje się, że podobny atak na odczyt pamięci w kanale bocznym jest możliwy przeciwko wszystkie procesory 64-bitowe w tym procesory AMD.
- Procesory ARM z rdzeniami Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 i A75 są podejrzane o ataki Spectre. Procesory z rdzeniem Cortex A75 ( Lwia paszcza 845) są podatne na ataki typu Meltdown. Oczekuje się, że chipy wykorzystujące warianty tych rdzeni, takie jak Linia Snapdragon firmy Qualcomm lub Linia Samsunga Exynos, będzie mieć również podobne lub takie same luki w zabezpieczeniach. Qualcomm współpracuje bezpośrednio z ARM i ma następujące oświadczenie dotyczące problemów:
Qualcomm Technologies, Inc. zdaje sobie sprawę z badań bezpieczeństwa dotyczących luk w zabezpieczeniach procesorów w całej branży, które zostały zgłoszone. Zapewnienie technologii obsługujących solidne zabezpieczenia i prywatność jest priorytetem dla Qualcomm i as takie, współpracowaliśmy z firmą Arm i innymi, aby ocenić wpływ i opracować środki zaradcze dla naszych klienci. Aktywnie włączamy i wdrażamy środki zaradcze przeciwko lukom w naszych produktach, których to dotyczy, i nadal pracujemy nad ich wzmocnieniem. Jesteśmy w trakcie wdrażania tych środków zaradczych u naszych klientów i zachęcamy ludzi do aktualizowania ich urządzeń, gdy będą dostępne poprawki.
NVIDIA zdecydowała że te exploity (lub inne podobne, które mogą się pojawić) nie wpływają na obliczenia GPU, więc ich sprzęt jest w większości odporny. Będą współpracować z innymi firmami, aby zaktualizować sterowniki urządzeń, aby pomóc złagodzić wszelkie problemy z wydajnością procesora, i oceniają ich SoC oparte na ARM (Tegra).
Webkit, ludzie stojący za silnikiem renderowania przeglądarki Safari i prekursorem silnika Blink firmy Google, doskonale wiedzą, jak te ataki mogą wpłynąć na ich kod. Wiele z nich dotyczy każdego interpretera lub kompilatora i jest to niesamowita lektura. Zobacz, jak pracują, aby to naprawić i zapobiec następnym razem.
Mówiąc prostym językiem, oznacza to, że jeśli nadal nie używasz bardzo starego telefonu, tabletu lub komputera, powinieneś uważać się za podatnego na ataki bez aktualizacji systemu operacyjnego. Tutaj jest co wiemy jak dotąd na tym froncie:
- Google poprawił Androida przed atakami Spectre i Meltdown w grudniu 2017 i Styczeń 2018 łaty.
- Firma Google załatała Chromebooki przy użyciu wersji jądra 3.18 i 4.4 w Grudzień 2017 z OS 63. Urządzenia z innymi wersjami jądra (spójrz tutaj, aby znaleźć swój) zostanie wkrótce załatany. W prostym angielskim: Chromebook Toshiba, Acer C720, Dell Chromebook 13 i Chromebook Pixels z 2013 i 2015 roku (i niektóre nazwy, o których prawdopodobnie nigdy nie słyszałeś) nie są jeszcze poprawione, ale wkrótce będą. Większość Chromeboksów, Chromebase i Chromebitów to nie załatane, ale wkrótce.
- W przypadku urządzeń z systemem operacyjnym Chrome, które nie są poprawione, nowa funkcja zabezpieczeń o nazwie Izolacja witryny złagodzi wszelkie problemy wynikające z tych ataków.
- Microsoft załatał oba exploity od stycznia 2018 r.
- Apple załatał macOS i iOS przeciwko Meltdown, począwszy od grudniowej aktualizacji. Pierwsza runda aktualizacji Spectre została wypuszczona na początku stycznia. Sprawdź iMore dla wszystko co musisz wiedzieć o tych wadach procesora i ich wpływie na komputer Mac, iPad i iPhone.
- Poprawki zostały wysłane do wszystkich obsługiwanych wersji jądra systemu Linux, a systemy operacyjne, takie jak Ubuntu czy Red Hat, można aktualizować za pośrednictwem aplikacji do aktualizacji oprogramowania.
Aby uzyskać szczegółowe informacje na temat Androida, plik Nexus 5X, Nexus 6P, Piksel, Pixel XL, Pixel 2, i Pixel 2 XL zostały załatane i wkrótce powinieneś zobaczyć aktualizację, jeśli jeszcze jej nie otrzymałeś. Jeśli chcesz, możesz również ręcznie zaktualizować te urządzenia. Projekt Android Open Source (kod używany do tworzenia systemu operacyjnego dla każdego telefonu z Androidem) również został poprawiony, a dystrybucje stron trzecich, takie jak LineageOS można zaktualizować.
Jak ręcznie zaktualizować Pixela lub Nexusa
Samsung, LG, Motorola, a inni dostawcy Androida (firmy produkujące telefony, tablety i telewizory) zaktualizują swoje produkty w aktualizacji ze stycznia 2018 roku. Niektórzy, jak Uwaga 8 lub Galaxy S8, zobaczy to przed innymi, ale Google udostępniło poprawkę dla wszystko urządzenia. Oczekujemy, że zobaczymy więcej wiadomości od wszystkich partnerów, abyśmy wiedzieli, czego się spodziewać i kiedy.
Co mogę zrobić?
Jeśli masz produkt, który jest wrażliwy, łatwo dać się wciągnąć w szum, ale nie powinieneś. Zarówno Spectre, jak i Meltdown nie „po prostu się zdarzają” i zależą od ty instalowanie złośliwego oprogramowania, które je wykorzystuje. Przestrzeganie kilku bezpiecznych praktyk uchroni Cię przed atakami na dowolnym sprzęcie komputerowym.
- Instaluj tylko zaufane oprogramowanie z zaufanego miejsca. To zawsze dobry pomysł, ale szczególnie jeśli czekasz na łatkę.
- Zabezpiecz swoje urządzenia dobrym ekranem blokady i szyfrowaniem. To coś więcej niż tylko powstrzymanie innych osób, ponieważ aplikacje nie mogą nic zrobić, gdy telefon jest zablokowany bez Twojej zgody.
- Przeczytaj i zrozum uprawnienia do wszystkiego, co uruchamiasz lub instalujesz w telefonie. Nie bój się prosić tutaj o pomoc!
- Użyj przeglądarki internetowej, która blokuje złośliwe oprogramowanie. Możemy polecić Chrome lub Firefox, a inne przeglądarki mogą również chronić Cię przed złośliwym oprogramowaniem internetowym. Jeśli nie masz pewności, zapytaj ludzi, którzy je wytwarzają i rozpowszechniają. Przeglądarka internetowa dostarczona z telefonem może nie być najlepszą opcją, zwłaszcza jeśli masz starszy model. Edge i Safari są również zaufane w przypadku urządzeń z systemem Windows lub MacOS i iOS.
- Nie otwieraj linków w mediach społecznościowych, w wiadomościach e-mail ani w wiadomościach od nieznanej osoby. Nawet jeśli pochodzą od osób, które znasz, upewnij się, że ufasz swojej przeglądarce internetowej, zanim klikniesz lub stukniesz. Działa to podwójnie w przypadku linków przekierowujących, które maskują adres URL witryny. Używamy tego rodzaju linków dość często i jest duże prawdopodobieństwo, że czytasz też wiele mediów online. Bądź ostrożny.
- Nie bądź głupi. Wiesz, co to dla ciebie znaczy. Zaufaj swojemu osądowi i zachowaj ostrożność.
Dobra wiadomość jest taka, że sposób, w jaki te exploity kanału bocznego są załatane nie jest przyniesie ogromne spowolnienia, które były zgłaszane przed wydaniem jakichkolwiek aktualizacji. Tak właśnie działa sieć i jeśli czytasz o tym, jak Twój telefon lub komputer będzie działał o 30% wolniej po zastosowaniu jakiejkolwiek poprawki, to dlatego, że sprzedaje się sensacyjność. Użytkownicy, którzy używają zaktualizowanego oprogramowania (i byli w trakcie testów), po prostu go nie widzą.
Łatka nie ma wpływu na wydajność, jak twierdzili niektórzy, i to jest świetna rzecz.
Wszystko to wynikło z tego, że ataki te mierzą dokładne interwały czasowe, a początkowe poprawki zmieniają lub wyłączają precyzję niektórych źródeł synchronizacji za pośrednictwem oprogramowania. Mniej dokładny oznacza wolniejszy podczas obliczania, a wpływ był przesadzony, aby był znacznie większy niż jest. Nawet niewielkie spadki wydajności, które są wynikiem wprowadzenia poprawek, są łagodzone przez inne firmy i widzimy NVIDIA aktualizuje sposób, w jaki ich układy GPU przetwarzają liczby lub Mozilla pracuje nad sposobem obliczania danych, aby to wyrównać szybciej. Twój telefon nie będzie wolniejszy w aktualizacji ze stycznia 2018 Twój komputer też nie będzie, chyba że jest bardzo stary, a przynajmniej nie w żaden zauważalny sposób.
Przestań się tym martwić i zrób wszystko, co w Twojej mocy, aby zapewnić bezpieczeństwo danych.
Co z tego wszystkiego zabrać
Strach przed bezpieczeństwem zawsze ma realny wpływ. Nikt nie widział żadnych przypadków użycia Meltdown lub Spectre na wolności, a ponieważ większość urządzeń, których używamy na co dzień, jest aktualizowanych lub będzie wkrótce, raporty prawdopodobnie pozostaną takie. Ale to nie znaczy, że należy je ignorować.
Traktuj poważnie zagrożenia bezpieczeństwa, ale nie daj się nabrać na cały ten szum; być poinformowanym!
Te exploity z kanału bocznego mogły stać się wielkim, poważnym wydarzeniem, o które ludzie martwią się, jeśli chodzi o cyberbezpieczeństwo. Każdy exploit, który wpływa na sprzęt, jest poważny, a kiedy atakuje coś celowego zamiast błędu, staje się jeszcze poważniejszy. Na szczęście badacze i programiści byli w stanie złapać, zabezpieczyć i załatać Meltdown i Spectre, zanim doszło do powszechnego użycia.
Naprawdę ważne jest, aby uzyskać odpowiednie informacje, aby wiedzieć, co robić za każdym razem, gdy słyszysz o nowym cyberzagrożeniu, które potrzebuje wszystkich Twoich cyfrowych zasobów. Zwykle istnieje racjonalny sposób na złagodzenie wszelkich poważnych skutków, gdy przekroczysz wszystkie nagłówki.
Bądź bezpieczny!
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie mają tę samą obsługę SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.