Možno ste počuli, že obloha padla a k bezpečnostnej apokalypse došlo kvôli dvom novým pomenovaným útokom Meltdown a Spectre. Ak pracujete v oblasti IT alebo v akejkoľvek inej oblasti rozsiahlej počítačovej infraštruktúry, pravdepodobne máte tiež pocit, že to tak je, a už sa tešíte na prázdninové dni roku 2018.
Médiá prvýkrát počuli povesti o tomto zneužívaní matky na konci roku 2017 a posledné správy boli špekulatívne špekulatívne a nakoniec prinútili spoločnosti ako Microsoft, Amazona Google (ktorého Celú vec objavil tím Project Zero) odpovedať podrobne. Tieto podrobnosti umožnili zaujímavé čítanie, ak vás zaujíma niečo také.
Ale pre všetkých ostatných, bez ohľadu na to, aký telefón alebo počítač používate, môže veľa z toho, čo čítate alebo počujete, znieť ako v inom jazyku. Je to tak preto, lebo je to tak, a pokiaľ neovládate cyber-geek-security-techno-hovor, možno budete musieť prejsť nejakým prekladateľom.
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Dobré správy! Našli ste tohto prekladateľa a tu je čo
ty potrebujete vedieť o Meltdown a Spectre a o tom, čo s tým musíte urobiť.Čo oni sú
Meltdown a Spectre sú dve odlišné veci, ale keďže boli odhalené súčasne a obe sa zaoberajú architektúrou mikroprocesorov na hardvérovej úrovni, hovorí sa o nich spolu. Telefón, ktorý práve používate, je takmer s istotou ovplyvnený zneužitím Spectra, ale zatiaľ nikto nenašiel spôsob, ako ho používať.
Procesor vo vašom telefóne určuje, ako veľmi je zraniteľný voči týmto typom zneužitia, ale je bezpečnejšie predpokladať, že všetky vás ovplyvnia, ak si nie ste istí. A keďže nevyužívajú chybu a namiesto toho používajú proces, ktorý je predpokladaný bez aktualizácie softvéru nie je ľahká oprava.
Pozerajte sa na telefón vo svojich rukách; je to zraniteľné niektoré týchto útokov.
Počítače (vrátane telefónov a iných malých počítačov) sa spoliehajú na to, čo sa volá izolácia pamäte kvôli bezpečnosti medzi aplikáciami. Nie pamäť, ktorá sa používa na dlhodobé ukladanie údajov, ale pamäť používaná hardvérom a softvérom, zatiaľ čo všetko funguje v reálnom čase. Procesy ukladajú údaje oddelene od ostatných procesov, takže žiadny iný proces nevie, kde a kedy sa zapisujú alebo čítajú.
Všetky aplikácie a služby spustené vo vašom telefóne chcú, aby procesor vykonal určitú prácu, a neustále mu poskytuje zoznam vecí, ktoré je potrebné vypočítať. Procesor nerobí tieto úlohy v poradí, v akom sú prijaté - to by znamenalo niektoré časti CPU sú nečinné a čakajú na dokončenie ďalších častí, takže krok dva by sa dal vykonať po prvom kroku dokončil. Namiesto toho môže procesor prejsť na krok tri alebo krok štyri a urobiť ich s predstihom. Toto sa volá vykonanie mimo objednávky a všetky moderné CPU fungujú týmto spôsobom.
Meltdown a Spectre nevyužívajú chybu - útočia na spôsob, akým procesor počíta dáta.
Pretože CPU je rýchlejší ako akýkoľvek softvér, dá sa trochu hádať. Špekulatívne vykonávanie je, keď CPU vykonáva výpočet, o ktorý ešte nebol požiadaný, na základe jeho predchádzajúcich výpočtov bol požiadal o vystúpenie. Súčasťou optimalizácie softvéru pre lepší výkon procesora je dodržiavanie niekoľkých pravidiel a pokynov. To znamená, že väčšinu času bude nasledovať normálny pracovný tok, ktorý bude nasledovať, a procesor môže preskočiť, aby mal pripravené údaje, keď si ich softvér vyžiada. A pretože sú také rýchle, ak dáta nakoniec neboli potrebné, vyhodia sa nabok. Je to stále rýchlejšie ako čakanie na požiadavku na vykonanie výpočtu.
Toto špekulatívne vykonávanie umožňuje Meltdown aj Spectre prístup k údajom, ku ktorým by sa inak nemohli dostať, aj keď to robia rôznymi spôsobmi.
Meltdown
Procesory Intel, novšie procesory série A od spoločnosti Apple a ďalšie ARM SoC využívajúce nové jadro A75 (zatiaľ len Qualcomm Snapdragon 845) sú zraniteľné voči zneužitiu Meltdown.
Meltdown využíva takzvanú „chybu v eskalácii privilégií“, ktorá aplikácii umožňuje prístup do pamäte jadra. To znamená akýkoľvek kód, ktorý môže získať prístup do tejto oblasti pamäte - kde je komunikácia medzi dôjde k jadru a CPU - má v podstate prístup ku všetkému, čo potrebuje na vykonanie ľubovoľného kódu na serveri systém. Keď môžete spustiť akýkoľvek kód, máte prístup ku všetkým údajom.
Strašidlo
Spectre ovplyvňuje takmer každý moderný procesor vrátane procesora vo vašom telefóne.
Spoločnosť Spectre nemusí hľadať spôsob, ako spustiť kód v počítači, pretože môže procesor „oklamať“, aby vykonal pokyny pre tento príkaz, a potom udelí prístup k údajom z iných aplikácií. To znamená, že exploit mohol vidieť, čo robia iné aplikácie, a čítať údaje, ktoré uložili. Spôsob, akým procesor spracováva pokyny mimo poradia vo vetvách, napadá Spectre.
Aplikácia Meltdown aj Spectre sú schopné vystaviť údaje, ktoré by mali byť v karanténe. Robia to na hardvérovej úrovni, takže váš operačný systém vás neimprimuje - Apple, Google, Microsoft a všetky druhy operačných systémov Unix a Linux s otvoreným zdrojom sú rovnako ovplyvnené.
Kvôli technike známej ako dynamické plánovanie ktorý umožňuje čítať údaje tak, ako sa počítajú, namiesto toho, aby sa museli najskôr ukladať, je v pamäti RAM dostatok citlivých informácií, ktoré umožňujú načítanie útoku. Ak vás niečo také zaujíma, publikácie vydané vydavateľom Technická univerzita v Grazi sú fascinujúce čítania. Aby ste sa chránili, nemusíte ich čítať ani rozumieť.
Som postihnutý?
Áno. Aspoň si bol. V zásade boli postihnutí všetci, kým spoločnosti nezačali opravovať svoj softvér proti týmto útokom.
Softvér, ktorý je potrebné aktualizovať, je v operačnom systéme, čo znamená, že potrebujete opravu od spoločnosti Apple, Google alebo Microsoft. (Ak používate počítač so systémom Linux a nepoužívate informačný systém, opravu už tiež máte. Nainštalujte ho pomocou softvéru na aktualizáciu alebo požiadajte priateľa, ktorý je v informačnom systéme, aby vás prevedol aktualizáciou vášho jadra). Úžasnou správou je, že Apple, Google a Microsoft majú opravy podporovaných verzií buď už nasadené, alebo sú na ceste v blízkej budúcnosti.
Špecifiká
- Procesory Intel od roku 1995 okrem pre platformu Itanium a ATOM spred roku 2013 sú ovplyvnené programami Meltdown aj Spectre.
- Útok Spectre ovplyvňuje všetky moderné procesory AMD. Procesory AMD PRO a AMD FX (AMD 9600 R7 a AMD FX-8320 boli použité ako proof-of-concept) v neštandardná konfigurácia (jadro BPF JIT povolené) sú ovplyvnené Meltdown. Očakáva sa, že podobný útok proti čítaniu pamäte postranným kanálom je možný aj proti všetky 64-bitové procesory vrátane procesorov AMD.
- ARM procesory s jadrami Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 a A75 sú pri útokoch Spectre podozrivé. Procesory s procesorom Cortex A75 (ďalej len Snapdragon 845) jadrá sú zraniteľné voči útokom Meltdown. Očakáva sa, že čipy využívajúce varianty týchto jadier, ako Rada Qualcomm Snapdragon alebo Rad Samsung Exynos, bude mať tiež podobné alebo rovnaké chyby zabezpečenia. Spoločnosť Qualcomm spolupracuje priamo s ARM a má k týmto vyhláseniam toto vyhlásenie:
Qualcomm Technologies, Inc. je si vedomý bezpečnostného výskumu o zraniteľnostiach procesorov v celom priemysle, ktoré boli hlásené. Poskytovanie technológií podporujúcich robustné zabezpečenie a súkromie je prioritou spoločnosti Qualcomm, as napríklad spolupracujeme s firmou Arm a ďalšími na hodnotení dopadu a rozvoji zmierňovacích opatrení pre náš systém zákazníkov. Aktívne začleňujeme a nasadzujeme zmiernenia zraniteľnosti našich ovplyvnených produktov a naďalej pracujeme na ich maximálnom posilnení. Sme v procese zavádzania týchto zmierňovacích opatrení pre našich zákazníkov a povzbudzujeme ľudí, aby aktualizovali svoje zariadenia, keď budú k dispozícii opravy.
NVIDIA určila že tieto exploity (alebo iné podobné exploity, ktoré môžu vzniknúť) neovplyvňujú výpočty GPU, takže ich hardvér je väčšinou imunný. Budú spolupracovať s ostatnými spoločnosťami na aktualizácii ovládačov zariadení, aby pomohli zmierniť akékoľvek problémy s výkonom procesora, a vyhodnocujú svoje SoC založené na ARM (Tegra).
WebkitĽudia, ktorí stoja za vykresľovacím jadrom prehliadača Safari a predchodcom Blink enginu od spoločnosti Google, majú vynikajúci prehľad toho, ako tieto útoky môžu ovplyvniť ich kód. Veľa z toho by sa týkalo každého tlmočníka alebo prekladača a je to úžasné čítanie. Zistite, ako pracujú na tom, aby to napravili a zabránili tomu, aby sa to stalo nabudúce.
V jednoduchej angličtine to znamená, že pokiaľ stále nepoužívate veľmi starý telefón, tablet alebo počítač, mali by ste sa bez aktualizácie operačného systému považovať za zraniteľného. Tu je čo vieme zatiaľ na tejto fronte:
- Google opravil Android na útoky Spectre aj Meltdown od decembra 2017 a Januára 2018 náplasti.
- Google opravil Chromebooky pomocou jadra verzie 3.18 a 4.4 v systéme Windows Decembra 2017 s OS 63. Zariadenia s inými verziami jadra (pozri si tu a nájdi ten svoj) budú čoskoro opravené. V jednoduchej angličtine: Chromebook Toshiba, Acer C720, Dell Chromebook 13 a Chromebook Pixels z rokov 2013 a 2015 (a niektoré mená, o ktorých ste pravdepodobne nikdy nepočuli) ešte nie sú opravené, ale čoskoro budú. Väčšina Chromeboxov, Chromebase a Chromebits je nie opravené, ale bude čoskoro.
- Pre zariadenia so systémom Chrome OS, ktoré nie sú opravené, sa volá nová funkcia zabezpečenia Izolácia stránok zmierni všetky problémy spojené s týmito útokmi.
- Spoločnosť Microsoft opravila obidve zneužitia od januára 2018.
- Spoločnosť Apple od decembra aktualizovala opravy systémov MacOS a iOS proti Meltdown. Prvé kolo aktualizácií Spectre bolo vytlačené začiatkom januára. Vyskúšajte službu iMore všetko, čo potrebujete vedieť o týchto chybách procesora a o tom, ako ovplyvňujú váš Mac, iPad a iPhone.
- Opravy boli odoslané do všetkých podporovaných verzií jadra Linuxu a operačné systémy ako Ubuntu alebo Red Hat je možné aktualizovať prostredníctvom aplikácie na aktualizáciu softvéru.
Pre špecifiká systému Android platí: Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2a Pixel 2 XL boli opravené a čoskoro by ste mali vidieť aktualizáciu, ak ste ju ešte nedostali. Ak chcete, môžete tieto zariadenia tiež manuálne aktualizovať. Opravený bol aj projekt Android Open Source (kód používaný na zostavenie operačného systému pre každý telefón so systémom Android) a distribúcie tretích strán, ako napríklad LineageOS je možné aktualizovať.
Ako ručne aktualizovať Pixel alebo Nexus
Samsung, LG, Motorolaa ďalší predajcovia Androidu (spoločnosti vyrábajúce telefóny, tablety a televízory) opravia svoje produkty aktualizáciou z januára 2018. Niektoré, napríklad Poznámka 8 alebo Galaxy S8, uvidí to skôr ako ostatní, ale Google sprístupnil opravu pre všetko zariadenia. Očakávame, že od všetkých partnerov uvidíme ďalšie novinky, aby sme vedeli, čo a kedy môžeme očakávať.
Čo môžem urobiť?
Ak máte produkt, ktorý je zraniteľný, je ľahké chytiť sa do humbuku, ale nemali by ste. Spectre aj Meltdown sa „len tak nestanú“ a závisia od ty inštalácia nejakého škodlivého softvéru, ktorý ich využíva. Dodržiavanie niekoľkých bezpečných postupov vás ochráni pred zneužitím na akomkoľvek hardvéri počítača.
- Softvér, ktorému dôverujete, inštalujte iba z dôveryhodného miesta. To je dobrý nápad vždy, ale najmä ak čakáte na opravu.
- Zabezpečte svoje zariadenia kvalitnou uzamknutou obrazovkou a šifrovaním. Robí to nielen to, že držíte inú osobu mimo, pretože aplikácie nemôžu robiť nič, kým je váš telefón uzamknutý bez vášho súhlasu.
- Prečítajte si a pochopte povolenia na všetko, čo v telefóne spustíte alebo nainštalujete. Nebojte sa tu požiadať o pomoc!
- Použite webový prehliadač, ktorý blokuje škodlivý softvér. Môžeme vám odporučiť Chrome alebo Firefox a ďalšie prehliadače vás môžu tiež chrániť pred škodlivým softvérom na webe. Ak si nie ste istí, opýtajte sa ľudí, ktorí ich vyrábajú a distribuujú. Webový prehliadač, ktorý sa dodáva s telefónom, tu nemusí byť najlepšou voľbou, najmä ak máte starší model. Edge a Safari sú dôveryhodné aj pre zariadenia so systémom Windows alebo MacOS a iOS.
- Neotvárajte odkazy na sociálnych sieťach, v e-maile ani v žiadnej správe od niekoho, koho nepoznáte. Aj keď sú od ľudí, ktorých poznáte, pred kliknutím alebo klepnutím nezabudnite dôverovať svojmu webovému prehliadaču. U odkazov na presmerovanie, ktoré maskujú adresu URL stránky, sa to zdvojnásobuje. Takéto odkazy používame veľmi často a je pravdepodobné, že aj veľa online médií, ktoré čítate, robí. Buď opatrný.
- Nebuď hlúpy. Viete, čo to pre vás znamená. Verte svojmu úsudku a buďte opatrní.
Dobrou správou je, že spôsob, akým sú tieto funkcie využívané v bočnom kanáli, je opravený nie je prinesie obrovské spomalenia, ktoré boli medializované pred vydaním akýchkoľvek aktualizácií. Takto jednoducho funguje web. Ak si prečítate, ako bude váš telefón alebo počítač o 30% pomalší po vykonaní akejkoľvek opravy, bolo to preto, lebo senzáciachtivosť sa predáva. Používatelia, ktorí používajú aktualizovaný softvér (a boli počas testovania), sa mu práve nezobrazujú.
Oprava nemá vplyv na výkon, ktorý niektorí tvrdili, že prinesie, a to je skvelá vec.
Toto všetko vzniklo preto, lebo tieto útoky merajú presné časové intervaly a počiatočné opravy menia alebo deaktivujú presnosť niektorých zdrojov časovania pomocou softvéru. Menej presné znamená pomalšie, keď pracujete na počítači, a vplyv bol prehnaný, aby bol oveľa väčší ako je. Aj mierne poklesy výkonu, ktoré sú výsledkom opráv, sú inými spoločnosťami zmierňované a vidíme NVIDIA aktualizuje spôsob, akým ich GPU škrípe v číslach, alebo Mozilla pracuje na spôsobe výpočtu dát, aby boli rovnomerné rýchlejšie. Váš telefón nebude v rámci opravy z januára 2018 o nič pomalší a takisto nebude fungovať ani váš počítač, pokiaľ nie je veľmi starý, prinajmenšom nie viditeľným spôsobom.
Prestaňte sa tým trápiť a namiesto toho urobte všetko pre to, aby boli vaše údaje v bezpečí.
Čo všetko si z toho vziať
Bezpečnostné desenia majú vždy nejaký skutočný dopad. Nikto nevidel žiadne prípady použitia Meltdown alebo Spectre vo voľnej prírode a pretože väčšina zariadení, ktoré používame každý deň, je aktualizovaná alebo bude veľmi skoro, správy pravdepodobne zostanú týmto spôsobom. To však neznamená, že by mali byť ignorované.
Berte bezpečnostné hrozby, ako je táto, vážne, ale nepodľahnite všetkému humbuku; Byť informovaný!
Tieto zneužitia postranných kanálov mali potenciál byť tou veľkou a vážnou udalosťou meniacou hru, ktorej sa ľudia obávajú, pokiaľ ide o kybernetickú bezpečnosť. Akékoľvek zneužitie, ktoré ovplyvňuje hardvér, je vážne a keď napadne namiesto zámernej chyby niečo, čo sa stalo zámerne, stane sa ešte vážnejším. Našťastie boli vedci a vývojári schopní zachytiť, zadržať a opraviť Meltdown a Spectre skôr, ako došlo k ich rozšírenému použitiu.
Skutočne dôležité je tu to, že získate správne informácie, aby ste vedeli, čo robiť, kedykoľvek sa dozviete o novom kybernetickom útoku, ktorý vyžaduje všetky vaše digitálne veci. Spravidla existuje racionálny spôsob, ako zmierniť akékoľvek vážne účinky, keď prejdete okolo všetkých nadpisov.
Zostať v bezpečí!
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, skvele znejú, nestoja príliš veľa nákladov a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny s Androidom One do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Zabezpečte si svoj domov pomocou týchto zvončekov a zámkov SmartThings.
Jednou z najlepších vecí na SmartThings je, že vo svojom systéme môžete používať množstvo ďalších zariadení tretích strán, vrátane zvončekov a zámkov. Pretože všetky v zásade zdieľajú rovnakú podporu SmartThings, zamerali sme sa na to, ktoré zariadenia majú najlepšie technické parametre a triky, vďaka ktorým je možné ich pridať do vášho arzenálu SmartThings.