Как сделать

Ошибка Meltdown Hack и Spectre: как она влияет на пользователей Android и Chrome

Возможно, вы слышали, что небо упало, и произошел апокалипсис безопасности из-за двух новых атак, названных Meltdown и Spectre . Если вы работаете в сфере ИТ или в любой другой области крупномасштабной компьютерной инфраструктуры, вы, вероятно, чувствуете, что она тоже, и уже с нетерпением ждете ваших каникул 2018 года.

Средства массовой информации впервые услышали слухи об этой матерью подвигов в конце 2017 года, а последние сообщения были крайне спекулятивными и в конечном итоге вынудили такие компании, как Microsoft , Amazon и Google (чья команда Project Zero обнаружила все это ) ответить подробностями. Эти детали сделали для интересного чтения, если вы заинтересованы в такого рода вещи.

Но для всех остальных, независимо от того, каким телефоном или компьютером вы пользуетесь, многое из того, что вы читаете или слышите, может звучать так, будто это на другом языке. Это потому, что так и есть, и если вы не владеете техникой кибер-гиков-безопасности, вам, возможно, придется провести ее через своего рода переводчик.

Хорошие новости! Вы нашли этого переводчика, и вот что вам нужно знать о Meltdown и Spectre, и что вам нужно с этим делать.

Что они

Meltdown и Spectre — две разные вещи, но, поскольку они были раскрыты одновременно и обе имеют дело с микропроцессорной архитектурой на аппаратном уровне, они обсуждаются вместе. Телефон, которым вы пользуетесь сейчас, почти наверняка подвержен эксплойту Spectre, но никто не нашел способа его использовать — пока.

Процессор внутри вашего телефона определяет, насколько он уязвим для этих типов эксплойтов, но безопаснее предположить, что все они влияют на вас, если вы не уверены. А поскольку они не используют ошибку и вместо этого используют процесс, который должен был произойти, без обновления программного обеспечения нет простого решения.

Посмотрите на телефон в ваших руках; это уязвимо для некоторых из этих атак.

Компьютеры (включая телефоны и другие крошечные компьютеры тоже) полагаются на то, что называется изоляцией памяти для обеспечения безопасности между приложениями. Не память, которая используется для долгосрочного хранения данных, а память, используемая аппаратными и программными средствами, когда все работает в режиме реального времени. Процессы хранят данные отдельно от других процессов, поэтому ни один другой процесс не знает, где и когда он будет записан или прочитан.

Все приложения и службы, работающие на вашем телефоне, хотят, чтобы процессор выполнял какую-то работу, и постоянно предоставляют ему список вещей, которые необходимо вычислить. Процессор не выполняет эти задачи в порядке их получения — это означает, что некоторые части процессора находятся в режиме ожидания и ожидают завершения других частей, поэтому второй шаг может быть выполнен после завершения первого шага. Вместо этого процессор может перейти к третьему или четвертому шагу и выполнить их раньше времени. Это называется выполнением вне порядка, и все современные процессоры работают таким образом.

Meltdown и Spectre не используют ошибку — они атакуют способ, которым процессор вычисляет данные.

Поскольку процессор работает быстрее, чем любое программное обеспечение, он также немного угадывает. Спекулятивное выполнение — это когда процессор выполняет вычисления, которые ему еще не предлагалось, основываясь на предыдущих вычислениях, которые ему предлагалось выполнить. Частью оптимизации программного обеспечения для повышения производительности процессора является следование нескольким правилам и инструкциям. Это означает, что большую часть времени будет соблюдаться нормальный рабочий процесс, и ЦП может пропустить его, чтобы подготовить данные, когда об этом попросит программное обеспечение. А поскольку они настолько быстрые, что если данные все-таки не нужны, их отбрасывают в сторону. Это все еще быстрее, чем ожидание запроса на выполнение расчета.

Это умозрительное выполнение — то, что позволяет и Meltdown, и Spectre получать доступ к данным, к которым они иначе не смогли бы получить, хотя они делают это по-разному.

расплавление

Процессоры Intel, новые процессоры Apple серии A и другие SoC ARM, использующие новое ядро ​​A75 (на данный момент это всего лишь Qualcomm Snapdragon 845), уязвимы для эксплойта Meltdown.

Meltdown использует так называемый «недостаток повышения привилегий», который дает приложению доступ к памяти ядра. Это означает, что любой код, который может получить доступ к этой области памяти — где происходит связь между ядром и процессором — по существу имеет доступ ко всему, что ему нужно для выполнения любого кода в системе. Когда вы можете запустить любой код, у вас есть доступ ко всем данным.

привидение

Spectre влияет практически на все современные процессоры, в том числе и на вашем телефоне.

Spectre не нужно искать способ выполнения кода на вашем компьютере, потому что он может «обмануть» процессор, выполняя инструкции для него, а затем предоставляя доступ к данным из других приложений. Это означает, что эксплойт может видеть, что делают другие приложения, и читать данные, которые они хранят. То, как процессор обрабатывает инструкции в порядке в ветвях, — это то, где Spectre атакует.

И Meltdown, и Spectre могут предоставлять данные, которые должны быть помещены в «песочницу». Они делают это на аппаратном уровне, поэтому ваша операционная система не делает вас невосприимчивым — Apple, Google, Microsoft и все виды операционных систем Unix и Linux с открытым исходным кодом одинаково затронуты.

Из-за технологии, известной как динамическое планирование, которая позволяет считывать данные в процессе их вычислений, а не сохранять их в первую очередь, в оперативной памяти имеется много конфиденциальной информации для чтения атакой. Если вы заинтересованы в подобных вещах, публикуемые Белым технологическим университетом технические документы являются увлекательным чтением. Но вам не нужно читать или понимать их, чтобы защитить себя.

Я затронут?

Да. По крайней мере, вы были. В основном все были затронуты, пока компании не начали устанавливать свои программы против этих атак.

Программное обеспечение, которое нуждается в обновлении, находится в операционной системе, поэтому вам нужен патч от Apple, Google или Microsoft. (Если вы используете компьютер с операционной системой Linux и не используете infosec, у вас уже есть патч. Используйте его для обновления программного обеспечения, чтобы установить его, или попросите друга, который работает в infosec, помочь вам с обновлением ядра). Удивительная новость заключается в том, что Apple, Google и Microsoft уже выпустили исправления или уже в ближайшем будущем для поддерживаемых версий.

Специфика

  • Процессоры Intel с 1995 года, за исключением Itanium и платформы ATOM до 2013 года, подвержены влиянию Meltdown и Spectre.
  • Все современные процессоры AMD подвержены атаке Spectre. Процессоры AMD PRO и AMD FX (AMD 9600 R7 и AMD FX-8320 использовались в качестве проверочных концепций) на процессорах нестандартной конфигурации (ядро BPF JIT включено) подвержены влиянию Meltdown. Ожидается, что аналогичная атака на чтение памяти по побочным каналам возможна для всех 64-битных процессоров, включая процессоры AMD.
  • Процессоры ARM с ядрами Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75 подвержены атакам Spectre. Процессоры с ядрами Cortex A75 ( Snapdragon 845 ) уязвимы для атак Meltdown. Ожидается, что чипы, использующие варианты этих ядер, такие как линейка Qualcomm Snapdragon или линейка Samsung Exynos , также будут иметь аналогичные или те же уязвимости. Qualcomm работает напрямую с ARM и делает следующее заявление по следующим вопросам:

Компания Qualcomm Technologies, Inc. знает об исследованиях в области безопасности для отраслевых уязвимостей процессора, о которых сообщалось. Предоставление технологий, обеспечивающих надежную безопасность и конфиденциальность, является приоритетом для Qualcomm, и поэтому мы работаем с Arm и другими с целью оценки воздействия и разработки мер по смягчению последствий для наших клиентов. Мы активно внедряем и внедряем средства защиты от уязвимостей для наших уязвимых продуктов, и мы продолжаем работать над их усилением, насколько это возможно. Мы находимся в процессе развертывания этих мер по смягчению для наших клиентов и призываем людей обновлять свои устройства, когда исправления становятся доступными.

  • NVIDIA определила, что эти эксплойты (или другие подобные эксплойты, которые могут возникнуть) не влияют на вычисления на GPU, поэтому их оборудование в основном защищено. Они будут работать с другими компаниями над обновлением драйверов устройств, чтобы помочь уменьшить любые проблемы с производительностью процессора, и они будут оценивать свои SoC на основе ARM (Tegra).

  • Webkit , создатель движка рендеринга браузеров Safari и предшественник движка Google Blink, прекрасно разбирается, как эти атаки могут повлиять на их код. Многое из этого применимо к любому интерпретатору или компилятору, и это потрясающее чтение. Посмотрите, как они работают, чтобы исправить это и не допустить, чтобы это произошло в следующий раз.

Говоря простым языком, это означает, что если вы все еще не используете очень старый телефон, планшет или компьютер, вы должны считать себя уязвимым без обновления операционной системы. Вот что мы знаем на этом фронте:

  • Google исправила Android против атак Spectre и Meltdown с помощью исправлений в декабре 2017 и январе 2018 года .
  • Google установил исправления для Chromebook с версиями ядра 3.18 и 4.4 в декабре 2017 года с ОС 63 . Устройства с другими версиями ядра ( смотрите здесь, чтобы найти свою ) будут скоро исправлены. Говоря простым языком : Chromebook Toshiba, Acer C720, Dell Chromebook 13 и Chromebook Pixels 2013 и 2015 годов (и некоторые имена, о которых вы, вероятно, никогда не слышали) еще не исправлены, но скоро будут. Большинство Chromeboxes, Chromebases и Chromebits не исправлены, но скоро будут.
  • Для устройств Chrome OS, которые не были исправлены, новая функция безопасности, названная Site Isolation, позволит смягчить любые проблемы от этих атак.
  • Microsoft исправила оба эксплойта по состоянию на январь 2018 года .
  • Apple обновила MacOS и iOS против Meltdown, начиная с декабрьского обновления. Первый раунд обновлений Spectre был перенесен в начале января . Проверьте iMore для всего, что вам нужно знать об этих недостатках процессора и как они влияют на ваш Mac, iPad и iPhone.
  • Патчи были отправлены всем поддерживаемым версиям ядра Linux, и операционные системы, такие как Ubuntu или Red Hat, могут быть обновлены через приложение обновления программного обеспечения.

Для особенностей Android были исправлены Nexus 5X , Nexus 6P , Pixel , Pixel XL , Pixel 2 и Pixel 2 XL , и вы должны скоро увидеть обновление, если вы его еще не получили. Вы также можете вручную обновить эти устройства, если хотите. Android Open Source проект (код, используемый для сборки ОС для каждого телефона Android) также был исправлен, и сторонние дистрибутивы, такие как LineageOS, могут быть обновлены.

Как вручную обновить ваш Pixel или Nexus

Samsung , LG , Motorola и другие поставщики Android (компании, производящие телефоны, планшеты и телевизоры) обновят свои продукты в январе 2018 года. Некоторые, как Note 8 или Galaxy S8 , увидят это раньше других, но Google сделал этот патч доступным для всех устройств. Мы ожидаем увидеть больше новостей от всех партнеров, чтобы сообщить нам, что ожидать и когда.

Что я могу сделать?

Если у вас есть продукт, который уязвим, его легко обмануть, но не стоит. И Spectre, и Meltdown не «просто случаются» и зависят от того, устанавливаете ли вы вредоносные программы, которые их используют. Следование нескольким безопасным методам защитит вас от использования любого компьютерного оборудования.

  • Устанавливайте программное обеспечение, которому вы доверяете, только из места, которому вы доверяете. Это хорошая идея всегда, но особенно если вы ждете патча.
  • Защитите свои устройства с хорошим экраном блокировки и шифрованием. Это больше, чем просто не пускать другого человека, поскольку приложения ничего не могут сделать, пока ваш телефон заблокирован без вашего разрешения.
  • Прочитайте и поймите разрешения для всего, что вы запускаете или устанавливаете на свой телефон. Не бойтесь просить о помощи здесь!
  • Используйте веб-браузер, который блокирует вредоносные программы. Мы можем порекомендовать Chrome или Firefox, и другие браузеры также могут защитить вас от веб-вредоносных программ. Спросите людей, которые делают и распространяют их, если вы не уверены. Веб-браузер, который поставляется с вашим телефоном, может быть не лучшим вариантом, особенно если у вас более старая модель. Edge и Safari также являются доверенными для устройств Windows или MacOS и iOS.
  • Не открывайте ссылки в социальных сетях, в электронной почте или в сообщениях от кого-то, кого вы не знаете . Даже если они принадлежат знакомым вам людям, убедитесь, что вы доверяете своему веб-браузеру, прежде чем нажимать или нажимать. Это удваивается для перенаправленных ссылок, которые маскируют URL сайта. Мы используем такие ссылки довольно часто, и есть вероятность, что вы читаете много онлайн-материалов. Быть осторожен.
  • Не будь глупым. Вы знаете, что это значит для вас. Доверяйте своему суждению и ошибайтесь на стороне предостережения.

Хорошая новость заключается в том, что исправление этих уязвимостей побочных каналов не приведет к огромным замедлениям, которые были раскручены до выпуска каких-либо обновлений. Именно так работает сеть, и если вы читали о том, что ваш телефон или компьютер будет работать на 30% медленнее после применения какого-либо исправления, то это потому, что сенсация продается. Пользователи, которые запускают обновленное программное обеспечение (и были во время тестирования), просто не видят его.

Патч не влияет на производительность, как утверждают некоторые, и это здорово.

Все это произошло потому, что эти атаки измеряют точные интервалы времени, а первоначальные исправления изменяют или отключают точность некоторых источников синхронизации с помощью программного обеспечения. Менее точное означает медленнее, когда вы вычисляете, и влияние было преувеличено, чтобы быть намного больше, чем это. Даже незначительное снижение производительности, которое является результатом исправлений, смягчается другими компаниями, и мы видим, что NVIDIA обновляет методы обработки своих графических процессоров, или Mozilla работает над тем, как они вычисляют данные, чтобы сделать их еще быстрее. Ваш телефон не будет медленнее в обновлении от января 2018 года, равно как и ваш компьютер, если он не очень старый, по крайней мере, каким-либо заметным образом.

Перестаньте беспокоиться об этом и сделайте все возможное, чтобы ваши данные были в безопасности.

Что от этого все отнять

Опасения по поводу безопасности всегда оказывают какое-то реальное влияние. Никто не видел случаев использования Meltdown или Spectre в дикой природе, и поскольку большинство устройств, которые мы используем каждый день, обновляются или появятся очень скоро, отчеты, вероятно, останутся такими. Но это не значит, что их следует игнорировать.

Относитесь к таким угрозам безопасности серьезно, но не поддавайтесь на всю шумиху; быть информированным!

Эти атаки на побочные каналы потенциально могли стать тем серьезным событием, меняющим игру, о котором люди беспокоятся, когда речь заходит о кибербезопасности. Любой эксплойт, затрагивающий оборудование, серьезен, и когда он нападает на что-то, сделанное специально, а не на ошибку, он становится еще более серьезным. К счастью, исследователи и разработчики смогли поймать, локализовать и исправить Meltdown и Spectre, прежде чем произошло какое-либо широкое использование.

Здесь действительно важно то, что вы получаете правильную информацию, чтобы знать, что делать каждый раз, когда вы слышите о новом киберугрозе, который требует всех ваших цифровых вещей. Обычно существует рациональный способ смягчить любые серьезные последствия, когда вы перебираете все заголовки.

Оставайтесь в безопасности!

Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше

Похожие посты
Как сделать

Как получить возмещение за покупки в iTunes или App Store

Как сделать

Поверхностное перо не работает? Вот как это исправить

Как сделать

Как настроить и использовать Fire TV Recast

Как сделать

Как изменить рингтон по умолчанию на вашем iPhone