S-ar putea să fi auzit că cerul a căzut și că apocalipsa securității s-a întâmplat din cauza a două noi atacuri numite Meltdown și Spectre. Dacă lucrați în domeniul IT sau în orice altă zonă a infrastructurii de calcul pe scară largă, probabil că simțiți că a făcut-o și că așteptați cu nerăbdare zilele de vacanță din 2018.
Mass-media au auzit pentru prima dată zvonuri despre această exploatare a mamei tuturor la sfârșitul anului 2017, iar rapoartele recente au fost extrem de speculative și în cele din urmă au forțat companiile ca Microsoft, Amazonși Google (al cărui fișier Echipa Project Zero a descoperit totul) pentru a răspunde cu detalii. Aceste detalii au făcut o lectură interesantă dacă vă interesează acest gen de lucruri.
Dar pentru toți ceilalți, indiferent de telefonul sau computerul pe care îl folosiți, o mulțime din ceea ce citiți sau auziți poate suna ca și cum ar fi într-o altă limbă. Asta pentru că este așa și, cu excepția cazului în care vorbești fluent în domeniul cyber-geek-security-techno-speak, s-ar putea să fie nevoie să-l rulezi printr-un fel de traducător.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Vești bune! Ai găsit acel traducător și iată ce tu trebuie să știți despre Meltdown și Spectre și ce trebuie să faceți în acest sens.
Ce sunt ei
Meltdown și Spectre sunt două lucruri diferite, dar din moment ce au fost dezvăluite în același timp și ambele se ocupă de arhitectura microprocesorului la nivel hardware, se vorbește despre ele împreună. Telefonul pe care îl utilizați acum este aproape sigur afectat de exploit-ul Spectre, dar nimeni nu a găsit o modalitate de a-l utiliza - încă.
Procesorul din telefonul dvs. determină cât de vulnerabil este la aceste tipuri de exploatări, dar este mai sigur să presupuneți că toate vă afectează dacă nu sunteți sigur. Și din moment ce nu exploatează un bug și folosesc în schimb un proces care este presupus pentru a se întâmpla, nu există o soluție ușoară fără o actualizare de software.
Uită-te la telefonul din mâinile tale; este vulnerabil la niste dintre aceste atacuri.
Computerele (inclusiv telefoanele și alte computere mici) se bazează pe ceea ce se numește izolarea memoriei pentru securitate între aplicații. Nu memoria utilizată pentru stocarea datelor pe termen lung, ci memoria utilizată de hardware și software în timp ce totul funcționează în timp real. Procesele stochează datele separat de alte procese, astfel încât niciun alt proces nu știe unde sau când este scris sau citit.
Aplicațiile și serviciile care rulează pe telefonul dvs. doresc ca procesorul să lucreze și îi oferă în mod constant o listă de lucruri pe care trebuie să le calculeze. Procesorul nu face aceste sarcini în ordinea în care sunt primite - asta ar însemna unele părți ale Procesorul este inactiv și așteaptă finalizarea altor părți, așa că pasul doi ar putea fi făcut după ce primul pas este terminat. În schimb, procesorul poate avansa la pasul trei sau la pasul patru și le poate face înainte. Aceasta se numește neexecutat-din-ordin și toate procesoarele moderne funcționează în acest fel.
Meltdown și Spectre nu exploatează un bug - atacă modul în care un procesor calculează datele.
Deoarece un procesor este mai rapid decât ar putea fi orice software, face și un pic de ghicit. Executie speculativa este atunci când CPU efectuează un calcul pe care încă nu i s-a cerut să-l facă pe baza calculelor anterioare a fost cerut să efectueze. O parte a software-ului de optimizare pentru o performanță mai bună a procesorului este respectarea câtorva reguli și instrucțiuni. Aceasta înseamnă că de cele mai multe ori există un flux de lucru normal care va fi urmărit și un procesor poate sări înainte pentru a avea datele pregătite atunci când software-ul le cere. Și pentru că sunt atât de rapide, dacă datele nu au fost necesare până la urmă, sunt aruncate deoparte. Acest lucru este încă mai rapid decât așteptarea solicitării pentru efectuarea unui calcul.
Această execuție speculativă este cea care permite atât Meltdown, cât și Spectre să acceseze date pe care altfel nu le-ar putea accesa, deși o fac în moduri diferite.
Topire
Procesoarele Intel, cele mai noi procesoare din seria A ale Apple și alte SoC ARM care utilizează noul nucleu A75 (deocamdată este doar Qualcomm Snapdragon 845) sunt vulnerabile la exploatarea Meltdown.
Meltdown valorifică ceea ce se numește o „eroare de creștere a privilegiilor” care oferă unei aplicații acces la memoria kernel. Aceasta înseamnă orice cod care poate avea acces la această zonă a memoriei - în cazul în care comunicarea dintre kernel și CPU se întâmplă - are în esență acces la tot ce are nevoie pentru a executa orice cod pe sistem. Când puteți rula orice cod, aveți acces la toate datele.
Spectru
Spectre afectează aproape fiecare procesor modern, inclusiv cel de pe telefon.
Spectre nu trebuie să găsească o modalitate de a executa cod pe computerul dvs., deoarece poate „păcăli” procesorul în executarea instrucțiunilor pentru acesta, acordând apoi acces la datele din alte aplicații. Aceasta înseamnă că un exploit poate vedea ce fac alte aplicații și poate citi datele pe care le-au stocat. Modul în care un procesor procesează instrucțiunile în ordine în ramuri este locul în care Spectre atacă.
Atât Meltdown, cât și Spectre sunt capabili să expună date care ar trebui să fie sandbox. Acestea fac acest lucru la nivel hardware, astfel încât sistemul dvs. de operare nu vă face imuni - Apple, Google, Microsoft și tot felul de sisteme de operare open source Unix și Linux sunt la fel de afectate.
Din cauza unei tehnici cunoscută sub numele de programare dinamică care permite citirea datelor pe măsură ce calculează în loc să fie stocate mai întâi, există o mulțime de informații sensibile în RAM pentru a citi un atac. Dacă sunteți interesat de acest tip de lucruri, hârtiile albe publicate de Universitatea de Tehnologie din Graz sunt citiri fascinante. Dar nu este nevoie să le citiți sau să le înțelegeți pentru a vă proteja.
Sunt afectat?
Da. Cel puțin, ai fost. Practic, toată lumea a fost afectată până când companiile au început să corecte software-ul împotriva acestor atacuri.
Software-ul care trebuie actualizat se află în sistemul de operare, deci înseamnă că aveți nevoie de un patch de la Apple, Google sau Microsoft. (Dacă utilizați un computer care rulează Linux și care nu sunt în infosec, aveți și patch-ul deja. Utilizați programul de actualizare a software-ului pentru a-l instala sau rugați un prieten care este în infosec să vă ghideze prin actualizarea nucleului dvs.). Vestea minunată este că Apple, Google și Microsoft au patch-uri fie deja implementate, fie pe drum în viitorul imediat pentru versiunile acceptate.
Specificul
- Procesoare Intel din 1995 cu exceptia pentru platforma Itanium și platforma ATOM pre-2013 sunt afectate atât de Meltdown, cât și de Spectre.
- Toate procesoarele AMD moderne sunt afectate de atacul Spectre. CPU AMD PRO și AMD FX (AMD 9600 R7 și AMD FX-8320 au fost utilizate ca dovadă de concept) CPU într-un configurație non-standard (Kernel BPF JIT activat) sunt afectate de Meltdown. Se așteaptă ca un atac similar împotriva citirii memoriei pe canalul lateral să fie posibil toate procesoarele pe 64 de biți inclusiv procesoare AMD.
- Procesoare ARM cu Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 și A75 nucleele sunt suspectate de atacurile Spectre. Procesoare cu Cortex A75 ( Snapdragon 845) nucleele sunt vulnerabile la atacurile Meltdown. Se așteaptă ca jetoanele care folosesc variante ale acestor nuclee, cum ar fi Linia Snapdragon a lui Qualcomm sau Linia Samsung Exynos, va avea, de asemenea, vulnerabilități similare sau aceleași. Qualcomm lucrează direct cu ARM și are această afirmație privind problemele:
Qualcomm Technologies, Inc. este conștient de cercetările de securitate privind vulnerabilitățile procesorului la nivel de industrie care au fost raportate. Furnizarea de tehnologii care să susțină securitatea și confidențialitatea robuste este o prioritate pentru Qualcomm și, de asemenea, astfel, am lucrat cu Arm și alții pentru a evalua impactul și a dezvolta atenuări pentru noi Clienți. Încorporăm și implementăm în mod activ atenuări împotriva vulnerabilităților pentru produsele noastre afectate și continuăm să lucrăm pentru a le consolida cât mai mult posibil. Suntem în proces de implementare a acestor atenuări către clienții noștri și încurajăm oamenii să își actualizeze dispozitivele atunci când patch-urile devin disponibile.
NVIDIA a stabilit că aceste exploit-uri (sau alte exploatări similare care pot apărea) nu afectează calculul GPU, astfel încât hardware-ul lor este în mare parte imun. Vor colabora cu alte companii pentru a actualiza driverele de dispozitiv pentru a ajuta la atenuarea oricăror probleme de performanță ale procesorului și își evaluează SoC-urile bazate pe ARM (Tegra).
Webkit, oamenii din spatele motorului de redare a browserului Safari și precursorul motorului Blink de la Google, au o defalcare excelentă a modului în care aceste atacuri pot afecta codul lor. O mare parte din acestea s-ar aplica oricărui interpret sau compilator și este o lectură uimitoare. Vedeți cum funcționează pentru a remedia problema și pentru a nu se întâmpla data viitoare.
În engleză simplă, aceasta înseamnă că, cu excepția cazului în care utilizați încă un telefon, o tabletă sau un computer foarte vechi, ar trebui să vă considerați vulnerabili fără o actualizare a sistemului de operare. Iată ce știm până acum pe acel front:
- Google a corelat Android împotriva atacurilor Spectre și Meltdown cu decembrie 2017 și Ianuarie 2018 plasturi.
- Google a corecționat Chromebookurile folosind versiunile 3.18 și 4.4 ale nucleului din Decembrie 2017 cu OS 63. Dispozitive cu alte versiuni ale nucleului (uită-te aici să-l găsești pe al tău) va fi reparat în curând. În engleză simplă: Chromebookul Toshiba, Acer C720, Dell Chromebook 13 și Chromebook Pixels din 2013 și 2015 (și unele nume despre care probabil nu ați auzit niciodată) nu sunt încă corecți, dar vor fi în curând. Cele mai multe Chromebox-uri, Chromebases și Chromebits sunt nu reparat, dar va fi în curând.
- Pentru dispozitivele Chrome OS care nu sunt corecționate, se numește o nouă funcție de securitate Izolarea site-ului va atenua orice probleme din aceste atacuri.
- Microsoft a reparat ambele exploatări începând cu ianuarie 2018.
- Apple a corecționat macOS și iOS împotriva Meltdown începând cu actualizarea din decembrie. Prima rundă de actualizări Spectre a fost eliminată la începutul lunii ianuarie. Verificați iMore pentru tot ce trebuie să știi despre aceste defecte ale procesorului și despre modul în care acestea vă afectează Mac-ul, iPad-ul și iPhone-ul.
- Patch-urile au fost trimise către toate versiunile acceptate ale kernel-ului Linux, iar sistemele de operare precum Ubuntu sau Red Hat pot fi actualizate prin intermediul aplicației de actualizare software.
Pentru detalii Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, și Pixel 2 XL au fost reparate și ar trebui să vedeți o actualizare în curând dacă nu ați primit-o deja. De asemenea, puteți actualiza manual aceste dispozitive, dacă doriți. Proiectul Android Open Source (codul utilizat pentru a construi sistemul de operare pentru fiecare telefon Android) a fost, de asemenea, reparat și distribuții de la terți, cum ar fi LineageOS poate fi actualizat.
Cum să vă actualizați manual Pixel sau Nexus
Samsung, LG, Motorola, și alți furnizori de Android (companii care produc telefoane, tablete și televizoare) își vor corela produsele cu actualizarea din ianuarie 2018. Unii, cum ar fi Nota 8 sau Galaxy S8, vor vedea asta înainte de alții, dar Google a pus patch-ul la dispoziție pentru toate dispozitive. Ne așteptăm să vedem mai multe știri de la toți partenerii pentru a ne anunța la ce să ne așteptăm și când.
Ce pot sa fac?
Dacă aveți un produs vulnerabil, este ușor să vă lăsați prins de hype, dar nu ar trebui. Atât Spectre, cât și Meltdown nu „se întâmplă” și depind de tu instalarea unor programe malware care să le folosească. Dacă urmați câteva practici sigure, vă veți menține imuni la exploatarea oricărui hardware al computerului.
- Instalați software-ul în care aveți încredere numai dintr-un loc în care aveți încredere. Aceasta este o idee bună întotdeauna, dar mai ales dacă așteptați un patch.
- Asigurați-vă dispozitivele cu un ecran de blocare și criptare bune. Acest lucru face mai mult decât să țină o altă persoană afară, deoarece aplicațiile nu pot face nimic în timp ce telefonul dvs. este blocat fără permisiunea dvs.
- Citiți și înțelegeți permisiunile pentru tot ceea ce rulați sau instalați pe telefon. Nu vă fie teamă să cereți ajutor aici!
- Folosiți un browser web care blochează malware-ul. Vă putem recomanda Chrome sau Firefox, iar alte browsere vă pot proteja și împotriva programelor malware bazate pe web. Întrebați oamenii care le realizează și le distribuie dacă nu sunteți sigur. Este posibil ca browserul web livrat împreună cu telefonul dvs. să nu fie cea mai bună opțiune aici, mai ales dacă aveți un model mai vechi. Edge și Safari sunt de asemenea de încredere pentru dispozitivele Windows sau MacOS și iOS.
- Nu deschideți linkuri pe rețelele de socializare, într-un e-mail sau în orice mesaj de la cineva pe care nu îl cunoașteți. Chiar dacă provin de la oameni pe care îi cunoașteți, asigurați-vă că aveți încredere în browserul dvs. web înainte de a da clic sau atingeți. Acest lucru este dublu pentru linkurile de redirecționare care maschează adresa URL a unui site. Folosim acest tip de linkuri destul de des și este posibil să existe și o mulțime de materiale online pe care le citiți. Ai grija.
- Nu fi prost. Știi ce înseamnă asta pentru tine. Ai încredere în judecata ta și greșește din partea prudenței.
Vestea bună este că felul în care sunt exploatate aceste exploatări ale canalelor laterale nu este o să aducă încetinirile uriașe care au fost premiate înainte de lansarea oricărei actualizări. Așa funcționează webul și, dacă citiți despre modul în care telefonul sau computerul dvs. va fi cu 30% mai lent, după aplicarea oricărei remedieri, a fost din cauză că senzaționalismul se vinde. Utilizatorii care rulează software actualizat (și care au fost în timpul testării) pur și simplu nu îl văd.
Patch-ul nu are impactul asupra performanței pe care unii l-au susținut că ar aduce și acesta este un lucru grozav.
Totul a apărut deoarece aceste atacuri măsoară intervale de timp precise și patch-urile inițiale modifică sau dezactivează precizia unor surse de sincronizare prin intermediul software-ului. Mai puțin precis înseamnă mai lent atunci când calculezi și impactul a fost exagerat pentru a fi mult mai mare decât este. Chiar și scăderile ușoare ale performanței care sunt rezultatul patch-urilor sunt atenuate de alte companii și vedem NVIDIA actualizează modul în care GPU-urile lor scot numere sau Mozilla lucrează la modul în care calculează datele pentru a le uniformiza mai repede. Telefonul dvs. nu va fi mai lent pe patch-ul din ianuarie 2018 și nici computerul dvs. nu va fi decât dacă este foarte vechi, cel puțin nu într-un mod vizibil.
Nu vă mai faceți griji și asigurați-vă că faceți tot ce puteți pentru a vă păstra datele în siguranță.
Ce să scoți din toate
Fricii de securitate au întotdeauna un fel de impact real. Nimeni nu a văzut nicio situație de Meltdown sau Spectre folosită în sălbăticie și, deoarece majoritatea dispozitivelor pe care le folosim în fiecare zi sunt actualizate sau vor fi foarte curând, rapoartele vor rămâne probabil așa. Dar asta nu înseamnă că trebuie ignorate.
Luați în serios amenințările de securitate de acest gen, dar nu vă îndrăgostiți; să fie informat!
Aceste exploatări ale canalelor laterale au potențialul de a fi acel eveniment mare și serios care schimbă jocul de care oamenii își fac griji atunci când vine vorba de securitatea cibernetică. Orice exploit care afectează hardware-ul este serios și, atunci când atacă ceva făcut intenționat în loc de un bug, devine și mai grav. Din fericire, cercetătorii și dezvoltatorii au reușit să prindă, să conțină și să aplice Meltdown și Spectre înainte ca orice utilizare pe scară largă să se întâmple.
Ceea ce este cu adevărat important aici este că obțineți informațiile corecte, astfel încât să știți ce să faceți de fiecare dată când auziți despre o nouă amenințare cibernetică care vrea toate lucrurile dvs. digitale. De obicei, există o modalitate rațională de a atenua orice efecte grave odată ce ați trecut peste toate titlurile.
Stai in siguranta!
Ai ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii la cald, cu co-gazde familiare și invitați speciali.
- Abonați-vă în Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai noi adăugiri la gama bugetară de smartphone-uri HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Asigurați-vă casa cu aceste sonerii și încuietori SmartThings.
Unul dintre cele mai bune lucruri despre SmartThings este că puteți utiliza o serie de alte dispozitive terțe pe sistemul dvs., sonerii și încuietori incluse. Întrucât toți au în comun același suport SmartThings, ne-am concentrat asupra dispozitivelor care au cele mai bune specificații și trucuri pentru a justifica adăugarea lor la arsenalul dvs. SmartThings.