Você deve ter ouvido que o céu caiu e o apocalipse da segurança aconteceu por causa de dois novos ataques chamados Meltdown e Spectre. Se você trabalha com TI ou qualquer outra área de infraestrutura de computadores de grande escala, provavelmente sente que também trabalha e já está ansioso para seus dias de férias de 2018.
Os meios de comunicação ouviram rumores sobre essa exploração mãe-de-todas-as-explorações no final de 2017, e relatórios recentes foram extremamente especulativos e, finalmente, forçaram empresas como Microsoft, Amazonas, e Google (cujo A equipe do Projeto Zero descobriu tudo) para responder com detalhes. Esses detalhes são uma leitura interessante se você estiver interessado nesse tipo de coisa.
Mas para todos os outros, não importa o telefone ou computador que você usa, muito do que você está lendo ou ouvindo pode soar como se estivesse em um idioma diferente. Isso é porque é, e a menos que você seja fluente em tecnologia de segurança cibernética, pode ter que passar por algum tipo de tradutor.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Boas notícias! Você encontrou aquele tradutor, e aqui está o que vocês precisa saber sobre Meltdown e Spectre, e o que você precisa fazer a respeito.
O que eles são
Meltdown e Spectre são duas coisas diferentes, mas como foram revelados ao mesmo tempo e ambos lidam com arquitetura de microprocessador no nível de hardware, eles estão sendo discutidos juntos. O telefone que você está usando agora é quase certo afetado pelo exploit Spectre, mas ninguém encontrou uma maneira de usá-lo - ainda.
O processador dentro do seu telefone determina o quão vulnerável ele é a esses tipos de exploits, mas é mais seguro presumir que todos eles afetam você se você não tiver certeza. E já que eles não estão explorando um bug e, em vez disso, estão usando um processo que suposto acontecer, não há solução fácil sem uma atualização de software.
Olhe para o telefone em suas mãos; é vulnerável a alguns desses ataques.
Os computadores (incluindo telefones e outros pequenos computadores também) dependem do que é chamado isolamento de memória para segurança entre aplicativos. Não a memória que é usada para armazenar dados a longo prazo, mas a memória usada por hardware e software enquanto tudo está funcionando em tempo real. Os processos armazenam dados separadamente de outros processos, de modo que nenhum outro processo sabe onde ou quando eles são gravados ou lidos.
Todos os aplicativos e serviços em execução no seu telefone desejam que o processador faça algum trabalho e estão constantemente fornecendo uma lista de coisas que precisam ser calculadas. O processador não faz essas tarefas na ordem em que são recebidas - isso significaria algumas partes do CPU está ociosa e esperando que outras partes terminem, então a etapa dois pode ser realizada após a etapa um ser acabado. Em vez disso, o processador pode avançar para a etapa três ou etapa quatro e executá-los com antecedência. Isso é chamado execução fora de ordem e todas as CPUs modernas funcionam dessa maneira.
Meltdown e Spectre não estão explorando um bug - eles atacam a maneira como um processador calcula os dados.
Como a CPU é mais rápida do que qualquer software poderia ser, ela também adivinha um pouco. Execução especulativa é quando a CPU realiza um cálculo que ainda não foi solicitado a fazer com base em cálculos anteriores. foi pediu para realizar. Parte da otimização do software para melhor desempenho da CPU é seguir algumas regras e instruções. Isso significa que na maioria das vezes há um fluxo de trabalho normal que será seguido e uma CPU pode pular para ter os dados prontos quando o software solicitar. E por serem tão rápidos, se os dados não fossem necessários, eles seriam jogados de lado. Isso ainda é mais rápido do que esperar pela solicitação para realizar um cálculo.
Essa execução especulativa é o que permite que Meltdown e Spectre acessem dados que, de outra forma, não seriam capazes de obter, embora façam isso de maneiras diferentes.
Meltdown
Os processadores Intel, os novos processadores da série A da Apple e outros ARM SoCs usando o novo núcleo A75 (por enquanto, é apenas o Qualcomm Snapdragon 845) são vulneráveis ao exploit Meltdown.
O Meltdown aproveita o que é chamado de "falha de escalonamento de privilégios" que dá a um aplicativo acesso à memória do kernel. Isso significa qualquer código que pode obter acesso a esta área da memória - onde a comunicação entre o kernel e a CPU acontecem - essencialmente tem acesso a tudo o que precisa para executar qualquer código no sistema. Quando você pode executar qualquer código, você tem acesso a todos os dados.
Espectro
O Spectre afeta quase todos os processadores modernos, incluindo o do seu telefone.
O Spectre não precisa encontrar uma maneira de executar o código em seu computador porque pode "enganar" o processador para que ele execute instruções para ele e, em seguida, conceda acesso aos dados de outros aplicativos. Isso significa que um exploit pode ver o que outros aplicativos estão fazendo e ler os dados que eles armazenaram. O modo como a CPU processa as instruções fora de ordem nas ramificações é onde o Espectro ataca.
Tanto o Meltdown quanto o Spectre são capazes de expor dados que devem ser colocados em sandbox. Eles fazem isso no nível do hardware, para que seu sistema operacional não o torne imune - Apple, Google, Microsoft e todos os tipos de sistemas operacionais Unix e Linux de código aberto são igualmente afetados.
Por causa de uma técnica que é conhecida como programação dinâmica que permite que os dados sejam lidos durante a computação, em vez de precisarem ser armazenados primeiro, há uma abundância de informações confidenciais na RAM para um ataque ler. Se você está interessado neste tipo de coisa, os artigos publicados pela Graz University of Technology são leituras fascinantes. Mas você não precisa ler ou entendê-los para se proteger.
Estou afetado?
Sim. Pelo menos, você estava. Basicamente, todos foram afetados até que as empresas começaram a corrigir seus softwares contra esses ataques.
O software que precisa ser atualizado está no sistema operacional, o que significa que você precisa de um patch da Apple, Google ou Microsoft. (Se você usa um computador que roda Linux e não usa infosec, você também já tem o patch. Use o seu atualizador de software para instalá-lo ou peça a um amigo que trabalha com infosec para ajudá-lo a atualizar seu kernel). A notícia incrível é que a Apple, o Google e a Microsoft têm patches já implantados ou a caminho em um futuro imediato para versões com suporte.
As especificidades
- Processadores Intel desde 1995 exceto para o Itanium e a plataforma ATOM pré-2013 são afetados por Meltdown e Spectre.
- Todos os processadores AMD modernos são afetados pelo ataque Spectre. AMD PRO e AMD FX (o AMD 9600 R7 e AMD FX-8320 foram usados como prova de conceito) CPUs em um configuração não padrão (kernel BPF JIT habilitado) são afetados pelo Meltdown. Espera-se que um ataque semelhante contra a leitura de memória do canal lateral seja possível contra todas as CPUs de 64 bits incluindo processadores AMD.
- Processadores ARM com núcleos Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 e A75 são suspeitos de ataques Spectre. Processadores com Cortex A75 (o Snapdragon 845) núcleos são vulneráveis a ataques Meltdown. Espera-se que chips usando variantes desses núcleos, como Linha Snapdragon da Qualcomm ou Linha Exynos da Samsung, também terá vulnerabilidades semelhantes ou iguais. A Qualcomm está trabalhando diretamente com a ARM e tem esta declaração sobre os problemas:
Qualcomm Technologies, Inc. está ciente da pesquisa de segurança sobre vulnerabilidades de processador em todo o setor que foram relatadas. O fornecimento de tecnologias que suportam segurança e privacidade robustas é uma prioridade para a Qualcomm, e como assim, temos trabalhado com a Arm e outros para avaliar o impacto e desenvolver mitigações para nossos clientes. Estamos ativamente incorporando e implantando atenuações contra as vulnerabilidades de nossos produtos afetados e continuamos a trabalhar para fortalecê-los ao máximo. Estamos em processo de implantação dessas mitigações para nossos clientes e incentivamos as pessoas a atualizar seus dispositivos quando os patches estiverem disponíveis.
NVIDIA determinou que essas explorações (ou outras explorações semelhantes que possam surgir) não afetam a computação da GPU, portanto, seu hardware é quase sempre imune. Eles trabalharão com outras empresas para atualizar os drivers de dispositivos para ajudar a mitigar quaisquer problemas de desempenho da CPU e estão avaliando seus SoCs baseados em ARM (Tegra).
Webkit, as pessoas por trás do mecanismo de renderização do navegador Safari e o precursor do mecanismo Blink do Google, têm uma excelente análise de como exatamente esses ataques podem afetar seu código. Muito disso se aplicaria a qualquer interpretador ou compilador e é uma leitura incrível. Veja como eles estão trabalhando para consertar e evitar que aconteça da próxima vez.
Em português claro, isso significa que, a menos que ainda use um telefone, tablet ou computador muito antigo, você deve se considerar vulnerável sem uma atualização do sistema operacional. Aqui está o que nós sabemos até agora nessa frente:
- O Google corrigiu o Android contra ataques Spectre e Meltdown em dezembro de 2017 e Janeiro de 2018 patches.
- O Google corrigiu Chromebooks usando as versões 3.18 e 4.4 do kernel em Dezembro de 2017 com OS 63. Dispositivos com outras versões do kernel (olhe aqui para encontrar o seu) será corrigido em breve. Em inglês simples: O Toshiba Chromebook, o Acer C720, o Dell Chromebook 13 e os Chromebook Pixels de 2013 e 2015 (e alguns nomes dos quais você provavelmente nunca ouviu falar) ainda não foram corrigidos, mas terão em breve. A maioria dos Chromeboxes, Chromebases e Chromebits são não patcheado, mas será em breve.
- Para dispositivos Chrome OS sem patch, um novo recurso de segurança chamado Isolamento de local irá mitigar quaisquer problemas desses ataques.
- A Microsoft corrigiu os dois exploits em janeiro de 2018.
- A Apple corrigiu o macOS e o iOS contra o Meltdown a partir da atualização de dezembro. A primeira rodada de atualizações do Spectre foi lançada no início de janeiro. Confira o iMore para tudo que você precisa saber sobre essas falhas de CPU e como elas afetam seu Mac, iPad e iPhone.
- Patches foram enviados para todas as versões suportadas do kernel Linux, e sistemas operacionais como Ubuntu ou Red Hat podem ser atualizados por meio do aplicativo de atualização de software.
Para especificações do Android, o Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2e Pixel 2 XL foram corrigidos e você deverá ver uma atualização em breve, caso ainda não tenha recebido. Você também pode atualizar manualmente esses dispositivos, se desejar. O projeto Android Open Source (o código usado para construir o sistema operacional para cada telefone Android) também foi corrigido e distribuições de terceiros, como LineageOS pode ser atualizado.
Como atualizar manualmente seu Pixel ou Nexus
Samsung, LG, Motorolae outros fornecedores de Android (empresas que fazem telefones, tablets e TVs) farão o patch de seus produtos com a atualização de janeiro de 2018. Alguns, como o Nota 8 ou Galaxy S8, verá isso antes de outros, mas o Google disponibilizou o patch para tudo dispositivos. Esperamos ver mais notícias de todos os parceiros para nos informar o que esperar e quando.
O que eu posso fazer?
Se você tem um produto vulnerável, é fácil ser pego pelo hype, mas não deveria. Tanto Spectre quanto Meltdown não "simplesmente acontecem" e dependem de vocês instalar malware de algum tipo que os aproveite. Seguir algumas práticas seguras irá mantê-lo imune a qualquer exploração em qualquer hardware de computador.
- Instale apenas softwares em que você confia e de um lugar em que você confia. Esta é sempre uma boa ideia, mas especialmente se você estiver esperando por um patch.
- Proteja seus dispositivos com uma boa tela de bloqueio e criptografia. Isso faz mais do que apenas manter outra pessoa fora, pois os aplicativos não podem fazer nada enquanto o telefone está bloqueado sem sua permissão.
- Leia e compreenda as permissões em tudo o que você executa ou instala em seu telefone. Não tenha medo de pedir ajuda aqui!
- Use um navegador da web que bloqueie malware. Podemos recomendar o Chrome ou Firefox, e outros navegadores também podem protegê-lo contra malware baseado na web. Pergunte às pessoas que os fazem e distribuem se você não tiver certeza. O navegador da web que acompanha o telefone pode não ser a melhor opção aqui, especialmente se você tiver um modelo mais antigo. O Edge e o Safari também são confiáveis para dispositivos Windows ou MacOS e iOS.
- Não abra links nas redes sociais, em um e-mail ou em qualquer mensagem de alguém que você não conhece. Mesmo que sejam de pessoas que você conhece, certifique-se de confiar em seu navegador antes de clicar ou tocar. Isso vale em dobro para links de redirecionamento que mascaram o URL de um site. Usamos esse tipo de link com bastante frequência e é provável que muitas mídias online que você lê também o façam. Seja cuidadoso.
- Não seja estúpido. Você sabe o que isso significa para você. Confie no seu julgamento e erre por excesso de cautela
A boa notícia é que a forma como essas explorações de canal lateral são corrigidas não é vai trazer grandes lentidões que foram anunciadas antes de qualquer atualização ser lançada. É assim que a web funciona, e se você leu sobre como seu telefone ou computador ficaria 30% mais lento depois que qualquer correção fosse aplicada, é porque o sensacionalismo vende. Os usuários que estão executando o software atualizado (e que estiveram durante o teste) simplesmente não o estão vendo.
O patch não tem o impacto de desempenho que alguns alegaram que traria, e isso é ótimo.
Tudo isso aconteceu porque esses ataques medem intervalos de tempo precisos e os patches iniciais mudam ou desativam a precisão de algumas fontes de temporização por meio de software. Menos preciso significa mais lento quando você está computando e o impacto foi exagerado para ser muito maior do que é. Mesmo as ligeiras diminuições de desempenho que são resultado dos patches estão sendo mitigados por outras empresas e vemos NVIDIA atualizando a forma como suas GPUs processam números ou Mozilla trabalhando na forma como calculam dados para torná-los uniformes Mais rápido. Seu telefone não ficará mais lento no patch de janeiro de 2018 e nem o seu computador, a menos que seja muito antigo, pelo menos não de forma perceptível.
Pare de se preocupar com isso e, em vez disso, certifique-se de fazer tudo o que puder para manter seus dados seguros.
O que tirar de tudo
Os sustos de segurança sempre têm algum tipo de impacto real. Ninguém viu nenhuma instância de Meltdown ou Spectre sendo usada em estado selvagem e, como a maioria dos dispositivos que usamos todos os dias são atualizados ou serão atualizados em breve, os relatórios provavelmente permanecerão assim. Mas isso não significa que devam ser ignorados.
Leve ameaças de segurança como essa a sério, mas não se deixe enganar por todo o hype; ser informado!
Esses exploits de canal lateral tinham o potencial de ser aquele grande e sério evento revolucionário com o qual as pessoas se preocupam quando se trata de segurança cibernética. Qualquer exploração que afete o hardware é séria e, quando ataca algo feito propositalmente em vez de um bug, torna-se ainda mais séria. Felizmente, pesquisadores e desenvolvedores foram capazes de capturar, conter e corrigir o Meltdown e o Spectre antes que qualquer uso generalizado acontecesse.
O que é realmente importante aqui é que você obtenha as informações certas para saber o que fazer sempre que ouvir sobre uma nova ameaça cibernética que deseja todas as suas coisas digitais. Geralmente, há uma maneira racional de mitigar quaisquer efeitos sérios, uma vez que você vá além de todas as manchetes.
Fique seguro!
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.