Возможно, вы слышали, что небо упало и произошел апокалипсис безопасности из-за двух новых атак, названных Meltdown и Spectre. Если вы работаете в ИТ или в любой другой области крупномасштабной компьютерной инфраструктуры, вы, вероятно, чувствуете, что это так, и уже с нетерпением ждете своих отпускных дней в 2018 году.
СМИ впервые услышали слухи об этой чудовищной уловке в конце 2017 года, а недавние сообщения были дико спекулятивными и, наконец, вынудили такие компании, как Microsoft, Amazon, и Google (чьи Команда Project Zero обнаружила все), чтобы сообщить подробности. Эти подробности будут интересны тем, кто вас интересует.
Но для всех остальных, независимо от того, какой телефон или компьютер вы используете, многое из того, что вы читаете или слышите, может звучать так, как будто написано на другом языке. Это потому, что это так, и, если вы не говорите свободно на языке кибер-компьютерщиков, безопасности и техно, вам, возможно, придется запустить это через какой-то переводчик.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Хорошие новости! Вы нашли этого переводчика, и вот что ты нужно знать о Meltdown и Spectre и что с этим делать.
Что они
Meltdown и Spectre - это две разные вещи, но, поскольку они были раскрыты одновременно и оба имеют дело с архитектурой микропроцессора на аппаратном уровне, о них говорят вместе. Телефон, который вы используете сейчас, почти наверняка затронут эксплойтом Spectre, но никто не нашел способа его использовать - пока.
Процессор внутри вашего телефона определяет, насколько он уязвим для этих типов эксплойтов, но безопаснее предположить, что все они влияют на вас, если вы не уверены. И поскольку они не используют ошибку, а вместо этого используют процесс, предполагаемый Чтобы случиться, нет простого решения без обновления программного обеспечения.
Посмотрите на телефон в руках; это уязвимо для некоторые этих атак.
Компьютеры (включая телефоны и другие крошечные компьютеры) полагаются на то, что называется изоляция памяти для безопасности между приложениями. Не память, которая используется для долговременного хранения данных, а память, используемая оборудованием и программным обеспечением, пока все работает в реальном времени. Процессы хранят данные отдельно от других процессов, поэтому ни один другой процесс не знает, где и когда они записываются или читаются.
Все приложения и службы, работающие на вашем телефоне, хотят, чтобы процессор выполнял определенную работу, и постоянно предоставляют ему список вещей, которые им необходимо вычислить. Процессор не выполняет эти задачи в том порядке, в котором они были получены - это означало бы, что некоторые части ЦП простаивает и ожидает завершения других частей, поэтому второй шаг может быть выполнен после первого шага. законченный. Вместо этого процессор может перейти к третьему или четвертому шагу и выполнить их заранее. Это называется вне очереди исполнения и все современные процессоры работают так.
Meltdown и Spectre не используют ошибку - они атакуют способ вычисления данных процессором.
Поскольку ЦП быстрее, чем могло бы быть любое программное обеспечение, он также делает некоторые предположения. Спекулятивное исполнение когда ЦП выполняет вычисление, о котором его еще не просили, на основе предыдущих вычислений, был попросили выполнить. Часть оптимизации программного обеспечения для повышения производительности процессора заключается в соблюдении нескольких правил и инструкций. Это означает, что большую часть времени будет выполняться нормальный рабочий процесс, и ЦП может пропустить вперед, чтобы подготовить данные, когда об этом попросит программное обеспечение. И поскольку они такие быстрые, если данные в конце концов не нужны, их отбрасывают. Это все равно быстрее, чем ждать запроса на выполнение расчета.
Это спекулятивное выполнение позволяет как Meltdown, так и Spectre получить доступ к данным, которые в противном случае они не смогли бы получить, хотя они делают это по-разному.
Meltdown
Процессоры Intel, новые процессоры Apple серии A и другие процессоры ARM, использующие новое ядро A75 (на данный момент это только Qualcomm Snapdragon 845), уязвимы для эксплойта Meltdown.
Meltdown использует так называемый «недостаток повышения привилегий», который дает приложению доступ к памяти ядра. Это означает, что любой код, который может получить доступ к этой области памяти, где происходит связь между ядро и процессор - по сути, имеет доступ ко всему, что ему нужно для выполнения любого кода на система. Когда вы можете запустить любой код, у вас есть доступ ко всем данным.
Призрак
Spectre поражает практически все современные процессоры, в том числе и ваш телефон.
Spectre не нужно искать способ выполнить код на вашем компьютере, потому что он может «обмануть» процессор, заставить его выполнить инструкции для него, а затем предоставить доступ к данным из других приложений. Это означает, что эксплойт может видеть, что делают другие приложения, и читать хранящиеся в них данные. Спектр атакует то, как ЦП обрабатывает инструкции в неправильном порядке в ветвях.
И Meltdown, и Spectre могут предоставлять данные, которые следует изолировать. Они делают это на аппаратном уровне, поэтому ваша операционная система не делает вас невосприимчивым - Apple, Google, Microsoft и все виды операционных систем Unix и Linux с открытым исходным кодом страдают одинаково.
Из-за техники, известной как динамическое планирование это позволяет считывать данные во время вычислений вместо того, чтобы их нужно было сначала сохранить, в ОЗУ есть много конфиденциальной информации, которую может прочитать атака. Если вас интересуют такие вещи, официальные документы, опубликованные Технологический университет Граца увлекательные чтения. Но вам не нужно их читать или понимать, чтобы защитить себя.
Я пострадал?
Да. По крайней мере, был. В основном пострадали все, пока компании не начали исправлять свои программы для защиты от этих атак.
Программное обеспечение, которое требует обновления, находится в операционной системе, поэтому вам нужен патч от Apple, Google или Microsoft. (Если вы используете компьютер под управлением Linux и не используете информационную систему, патч у вас тоже уже есть. Используйте программу обновления программного обеспечения, чтобы установить ее, или попросите друга, который занимается информационной безопасностью, провести вас через обновление ядра). Замечательная новость заключается в том, что у Apple, Google и Microsoft есть исправления, которые либо уже развернуты, либо появятся в ближайшее время для поддерживаемых версий.
Специфика
- Процессоры Intel с 1995 Кроме для платформ Itanium и ATOM, выпущенных до 2013 г., подвержены влиянию Meltdown и Spectre.
- Атаке Spectre подвержены все современные процессоры AMD. AMD PRO и AMD FX (AMD 9600 R7 и AMD FX-8320 использовались в качестве прототипа) процессоров в нестандартная конфигурация (ядро BPF JIT включено) подвержены Meltdown. Ожидается, что аналогичная атака против чтения памяти побочного канала возможна против все 64-битные процессоры в том числе процессоры AMD.
- ARM процессоры с ядрами Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75 подозреваются к атакам Spectre. Процессоры с Cortex A75 ( Львиный зев 845) ядра уязвимы для атак Meltdown. Ожидается, что чипы, использующие варианты этих ядер, например Линия Qualcomm Snapdragon или Линия Samsung Exynos, также будут иметь похожие или одинаковые уязвимости. Qualcomm работает напрямую с ARM и имеет следующее заявление по вопросам:
Qualcomm Technologies, Inc. осведомлен об исследованиях безопасности, посвященных обнаруженным в отрасли уязвимостям процессоров. Предоставление технологий, поддерживающих надежную безопасность и конфиденциальность, является приоритетом для Qualcomm, а также поэтому мы работаем с Arm и другими над оценкой воздействия и разработкой мер по смягчению последствий для наших клиентов. Мы активно внедряем и внедряем меры по устранению уязвимостей для наших уязвимых продуктов и продолжаем работать над их усилением, насколько это возможно. Мы находимся в процессе развертывания этих средств защиты для наших клиентов и призываем людей обновлять свои устройства, когда становятся доступны исправления.
NVIDIA определила что эти эксплойты (или другие подобные эксплойты, которые могут возникнуть) не влияют на вычисления на GPU, поэтому их оборудование в основном невосприимчиво. Они будут работать с другими компаниями над обновлением драйверов устройств, чтобы помочь смягчить любые проблемы с производительностью ЦП, и они оценивают свои SoC на базе ARM (Tegra).
Webkit, люди, стоящие за движком рендеринга браузера Safari и предшественником движка Google Blink, имеют прекрасное представление о том, как именно эти атаки могут повлиять на их код. Многое из этого применимо к любому интерпретатору или компилятору, и это потрясающее чтение. Посмотрите, как они работают, чтобы это исправить, и не допустите, чтобы это случилось в следующий раз.
Проще говоря, это означает, что если вы все еще не используете очень старый телефон, планшет или компьютер, вы должны считать себя уязвимыми без обновления операционной системы. Вот что мы знаем пока что на этом фронте:
- Google исправил Android против атак Spectre и Meltdown в декабре 2017 г. и Январь 2018 патчи.
- Google исправил Chromebook с использованием версий ядра 3.18 и 4.4 в Декабрь 2017 г. с OS 63. Устройства с другими версиями ядра (посмотрите здесь, чтобы найти свой) скоро будет исправлен. На простом английском: Toshiba Chromebook, Acer C720, Dell Chromebook 13 и Chromebook Pixels 2013 и 2015 годов (и некоторые имена, о которых вы, вероятно, никогда не слышали) еще не исправлены, но скоро будут. Большинство Chromebox, Chromebase и Chromebits не исправлен, но скоро будет.
- Для устройств с Chrome OS, на которые не установлены патчи, появилась новая функция безопасности под названием Изоляция сайта смягчит любые проблемы, связанные с этими атаками.
- Microsoft исправила оба эксплойта по состоянию на январь 2018 г..
- Apple внесла исправления в macOS и iOS для защиты от Meltdown, начиная с декабрьского обновления. Первый раунд обновлений Spectre был выпущен в начале января.. Проверьте iMore для Все, что Вам нужно знать об этих недостатках ЦП и о том, как они влияют на ваш Mac, iPad и iPhone.
- Патчи были отправлены для всех поддерживаемых версий ядра Linux, а операционные системы, такие как Ubuntu или Red Hat, можно обновить с помощью приложения для обновления программного обеспечения.
Для специфики Android Nexus 5X, Nexus 6P, Пиксель, Pixel XL, Пиксель 2, а также Pixel 2 XL были исправлены, и вы скоро увидите обновление, если еще не получили его. Вы также можете вручную обновить эти устройства, если хотите. Проект Android с открытым исходным кодом (код, используемый для создания ОС для каждого телефона Android) также был исправлен, и сторонние дистрибутивы, такие как LineageOS можно обновлять.
Как вручную обновить Pixel или Nexus
Samsung, LG, Motorola, и другие поставщики Android (компании, производящие телефоны, планшеты и телевизоры) исправят свои продукты с помощью обновления за январь 2018 года. Некоторые, как Примечание 8 или Galaxy S8, увидят это раньше других, но Google сделал патч доступным для все устройств. Мы ожидаем увидеть больше новостей от всех партнеров, чтобы мы знали, чего ожидать и когда.
Что я могу сделать?
Если у вас есть уязвимый продукт, легко увлечься ажиотажем, но не стоит. И Spectre, и Meltdown не происходят «просто так» и зависят от ты установка какого-либо вредоносного ПО, которое их использует. Следование нескольким безопасным методикам защитит вас от эксплойтов на любом компьютерном оборудовании.
- Устанавливайте программное обеспечение, которому вы доверяете, только из надежного места. Это всегда хорошая идея, но особенно если вы ждете патча.
- Защитите свои устройства с помощью хорошего экрана блокировки и шифрования. Это больше, чем просто отпугивает другого человека, поскольку приложения ничего не могут делать, пока ваш телефон заблокирован без вашего разрешения.
- Прочтите и поймите разрешения на все, что вы запускаете или устанавливаете на свой телефон. Не бойтесь обращаться за помощью!
- Используйте веб-браузер, блокирующий вредоносное ПО. Мы можем порекомендовать Chrome или Firefox, а другие браузеры также могут защитить вас от вредоносных программ в Интернете. Если вы не уверены, спросите людей, которые их производят и распространяют. Веб-браузер, поставляемый с телефоном, может быть здесь не лучшим вариантом, особенно если у вас более старая модель. Edge и Safari также заслуживают доверия для устройств Windows, MacOS и iOS.
- Не открывайте ссылки в социальных сетях, в электронных письмах или сообщениях от людей, которых вы не знаете.. Даже если они от людей, которых вы знаете, убедитесь, что вы доверяете своему веб-браузеру, прежде чем нажимать или нажимать. Это происходит вдвойне для ссылок перенаправления, которые маскируют URL-адрес сайта. Мы довольно часто используем такие ссылки, и, вероятно, многие онлайн-СМИ, которые вы читаете, тоже делают. Быть осторожен.
- Не будь дураком. Вы знаете, что это значит для вас. Доверяйте своему суждению и проявляйте осторожность.
Хорошая новость заключается в том, что способы исправления уязвимостей сторонних каналов не является собирается привести к огромному замедлению работы, о котором шла речь перед выпуском каких-либо обновлений. Именно так работает Интернет, и если вы читали о том, что ваш телефон или компьютер будет на 30% медленнее после применения любого исправления, то это потому, что сенсационность продается. Пользователи, которые используют обновленное программное обеспечение (и были во время тестирования), просто не видят его.
Патч не влияет на производительность, как утверждали некоторые, и это здорово.
Все это произошло из-за того, что эти атаки измеряют точные временные интервалы, а начальные исправления изменяют или отключают точность некоторых источников синхронизации с помощью программного обеспечения. Менее точный означает более медленный, когда вы вычисляете, и влияние было преувеличено, чтобы быть намного большим, чем оно есть на самом деле. Даже небольшое снижение производительности, которое является результатом исправлений, смягчается другими компаниями, и мы видим NVIDIA обновляет способ обработки чисел в своих графических процессорах или Mozilla работает над способом вычисления данных, чтобы сделать их равными Быстрее. Ваш телефон не будет медленнее с патчем от января 2018 года как и ваш компьютер, если он не очень старый, по крайней мере, незаметно.
Не беспокойтесь об этом, а вместо этого сделайте все возможное, чтобы ваши данные были в безопасности.
Что от всего этого забрать
Страхи безопасности всегда имеют какое-то реальное влияние. Никто не видел каких-либо примеров использования Meltdown или Spectre в дикой природе, и поскольку большинство устройств, которые мы используем каждый день, обновляются или будут обновлены очень скоро, отчеты, вероятно, останутся такими. Но это не значит, что их следует игнорировать.
Относитесь серьезно к подобным угрозам безопасности, но не поддавайтесь всей этой шумихе; быть информированным!
Эти эксплойты побочного канала потенциально могут стать тем большим, серьезным событием, которое изменит правила игры, о котором люди беспокоятся, когда дело касается кибербезопасности. Любой эксплойт, затрагивающий оборудование, является серьезным, и когда он атакует что-то намеренное, а не ошибку, он становится еще более серьезным. К счастью, исследователи и разработчики смогли отловить, сдержать и исправить Meltdown и Spectre до того, как произошло какое-либо широкое использование.
Что действительно важно, так это то, что вы получаете правильную информацию, чтобы знать, что делать каждый раз, когда вы слышите о новой киберугрозе, которая требует от вас всех ваших цифровых данных. Обычно есть рациональный способ смягчить любые серьезные последствия, если вы откажетесь от всех заголовков.
Оставайтесь в безопасности!
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими комментариями с участием знакомых соведущих и специальных гостей.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Защитите свой дом с помощью дверных звонков и замков SmartThings.
Одна из лучших особенностей SmartThings заключается в том, что вы можете использовать множество других сторонних устройств в своей системе, включая дверные звонки и замки. Поскольку все они, по сути, имеют одинаковую поддержку SmartThings, мы сосредоточились на том, какие устройства имеют лучшие характеристики и приемы, чтобы оправдать добавление их в ваш арсенал SmartThings.