Meltdown hack and specter bug: jak wpływa na użytkowników Androida i Chrome

Być może słyszałeś, że niebo spadło i nastąpiła apokalipsa bezpieczeństwa z powodu dwóch nowych ataków o nazwie Meltdown i Spectre. Jeśli pracujesz w branży IT lub w innym obszarze wielkoskalowej infrastruktury komputerowej, prawdopodobnie również czujesz, że tak jest i już nie możesz się doczekać dni urlopu w 2018 roku.

Media po raz pierwszy usłyszały pogłoski o tej matce wszystkich exploitów pod koniec 2017 roku, a ostatnie doniesienia były szalenie spekulacyjne i ostatecznie zmusiły firmy takie jak Microsoft, Amazon i Google (których zespół Project Zero odkrył to wszystko), aby odpowiedzieć ze szczegółami. Te szczegóły są ciekawą lekturą, jeśli jesteś zainteresowany tego rodzaju rzeczami.

Ale dla wszystkich innych, bez względu na to, jakiego telefonu lub komputera używasz, wiele z tego, co czytasz lub słyszysz, może brzmieć jak w innym języku. Jest tak, ponieważ tak jest i chyba że biegle władasz cyber-geek-security-techno-speak, być może będziesz musiał uruchomić go przez jakiegoś tłumacza.

Dobre wieści! Znalazłeś tego tłumacza i oto, co musisz wiedzieć o Meltdown i Spectre, i co musisz z tym zrobić.

Czym oni są

Meltdown i Spectre to dwie różne rzeczy, ale ponieważ zostały ujawnione w tym samym czasie i oba dotyczą architektury mikroprocesorów na poziomie sprzętowym, rozmawia się o nich razem. Eksperyment Spectre prawie na pewno wpływa na telefon, którego używasz, ale nikt jeszcze nie znalazł sposobu, aby go użyć.

Procesor w twoim telefonie określa stopień podatności na tego rodzaju exploity, ale bezpieczniej jest założyć, że wszystkie one na ciebie wpływają, jeśli nie masz pewności. A ponieważ nie wykorzystują błędu, a zamiast tego korzystają z procesu, który powinien się wydarzyć, nie ma łatwej poprawki bez aktualizacji oprogramowania.

Spójrz na telefon w twoich rękach; jest podatny na niektóre z tych ataków.

Komputery (w tym również telefony i inne małe komputery) polegają na tak zwanej izolacji pamięci w celu zapewnienia bezpieczeństwa między aplikacjami. Nie pamięć używana do przechowywania danych przez długi czas, ale pamięć używana przez sprzęt i oprogramowanie, gdy wszystko działa w czasie rzeczywistym. Procesy przechowują dane oddzielnie od innych procesów, więc żaden inny proces nie wie, gdzie i kiedy zostanie zapisany lub odczytany.

Wszystkie aplikacje i usługi działające na twoim telefonie chcą, aby procesor wykonał pewną pracę i stale podaje mu listę rzeczy, które muszą być obliczone. Procesor nie wykonuje tych zadań w kolejności, w jakiej zostały odebrane - oznaczałoby to, że niektóre części procesora są bezczynne i czekają na zakończenie innych części, więc krok drugi można wykonać po zakończeniu kroku pierwszego. Zamiast tego procesor może przejść do kroku trzeciego lub czwartego i zrobić to z wyprzedzeniem. Nazywa się to wykonywaniem poza kolejnością i wszystkie nowoczesne procesory działają w ten sposób.

Meltdown i Spectre nie wykorzystują błędu - atakują sposób, w jaki procesor oblicza dane.

Ponieważ procesor jest szybszy niż jakiekolwiek oprogramowanie, może także zgadywać. Wykonanie spekulatywne ma miejsce, gdy procesor wykonuje obliczenia, o które nie został jeszcze poproszony w oparciu o wcześniejsze obliczenia, o które został poproszony. Oprogramowanie do optymalizacji wydajności procesora jest zgodne z kilkoma zasadami i instrukcjami. Oznacza to, że przez większość czasu zachodzi normalny przepływ pracy, a procesor może przeskoczyć do przodu, aby przygotować dane, gdy poprosi o to oprogramowanie. A ponieważ są one tak szybkie, jeśli dane nie były w końcu potrzebne, są odrzucane. Jest to nadal szybsze niż oczekiwanie na żądanie wykonania obliczeń.

To spekulatywne wykonanie pozwala zarówno Meltdown, jak i Spectre uzyskać dostęp do danych, do których w innym przypadku nie byliby w stanie uzyskać, chociaż robią to na różne sposoby.

Rozpad

Procesory Intel, nowsze procesory Apple z serii A i inne procesory ARM wykorzystujące nowy rdzeń A75 (na razie to tylko Qualcomm Snapdragon 845) są podatne na exploit Meltdown.

Meltdown wykorzystuje tak zwaną „lukę eskalacji uprawnień”, która daje aplikacji dostęp do pamięci jądra. Oznacza to, że każdy kod, który może uzyskać dostęp do tego obszaru pamięci - gdzie odbywa się komunikacja między jądrem a procesorem - zasadniczo ma dostęp do wszystkiego, czego potrzebuje do wykonania dowolnego kodu w systemie. Kiedy możesz uruchomić dowolny kod, masz dostęp do wszystkich danych.

Widmo

Spectre wpływa na prawie każdy nowoczesny procesor, w tym ten w telefonie.

Spectre nie musi znaleźć sposobu na wykonanie kodu na komputerze, ponieważ może „oszukać” procesor w celu wykonania instrukcji, a następnie udzielić dostępu do danych z innych aplikacji. Oznacza to, że exploit może zobaczyć, co robią inne aplikacje i odczytać przechowywane przez nich dane. Spectre atakuje sposób, w jaki procesor przetwarza instrukcje niedziałające w gałęziach.

Zarówno Meltdown, jak i Spectre są w stanie ujawnić dane, które powinny być piaskownicowane. Robią to na poziomie sprzętowym, więc twój system operacyjny nie daje ci odporności - Apple, Google, Microsoft i wszelkiego rodzaju systemy operacyjne Unix i Linux typu open source są w równym stopniu dotknięte.

Ze względu na technikę zwaną harmonogramem dynamicznym, która pozwala na odczyt danych w trakcie ich obliczeń zamiast konieczności ich przechowywania w pierwszej kolejności, w pamięci RAM znajduje się wiele poufnych informacji umożliwiających odczytanie ataku. Jeśli interesują Cię tego rodzaju rzeczy, oficjalne dokumenty opublikowane przez Politechnikę w Grazu są fascynujące. Ale nie musisz ich czytać ani rozumieć, aby się chronić.

Czy to mnie dotknęło?

Tak. Ty przynajmniej byłeś. Zasadniczo dotyczyło to wszystkich, dopóki firmy nie zaczęły łatać oprogramowania przed tymi atakami.

Oprogramowanie, które wymaga aktualizacji, znajduje się w systemie operacyjnym, więc oznacza to, że potrzebujesz poprawki od Apple, Google lub Microsoft. (Jeśli używasz komputera z systemem Linux i nie jesteś w trybie infosec, masz już łatkę. Użyj aktualizacji oprogramowania, aby ją zainstalować lub poproś znajomego, który jest w infosec, aby pomógł ci zaktualizować jądro). Niesamowitą wiadomością jest to, że Apple, Google i Microsoft mają już zainstalowane łatki lub są w drodze do obsługiwanych wersji.

Specyfika

• Procesory Intel od 1995 r., Z wyjątkiem platformy Itanium i ATOM sprzed 2013 r., Są dotknięte zarówno przez Meltdown, jak i Spectre.
• Wszystkie współczesne procesory AMD podlegają atakowi Spectre. Na procesory AMD PRO i AMD FX (AMD 9600 R7 i AMD FX-8320 zostały użyte jako proof-of-concept) procesory w niestandardowej konfiguracji (włączone BPF JIT w jądrze) mają wpływ Meltdown. Oczekuje się, że podobny atak na boczny odczyt pamięci jest możliwy wobec wszystkich 64-bitowych procesorów, w tym procesorów AMD.
• Procesory ARM z rdzeniami Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 i A75 są podejrzane o ataki Spectre. Procesory z rdzeniami Cortex A75 (Snapdragon 845) są podatne na ataki Meltdown. Oczekuje się, że układy wykorzystujące warianty tych rdzeni, takie jak linia Snapdragon Qualcomma lub linia Exynos Samsunga, będą miały podobne lub takie same podatności. Qualcomm współpracuje bezpośrednio z ARM i ma następujące oświadczenie w następujących kwestiach:

Qualcomm Technologies, Inc. zdaje sobie sprawę z badań bezpieczeństwa dotyczących zgłoszonych luk w branży. Zapewnienie technologii, które wspierają niezawodne bezpieczeństwo i prywatność, jest priorytetem dla Qualcomm i dlatego współpracowaliśmy z Arm i innymi podmiotami w celu oceny wpływu i opracowania rozwiązań łagodzących dla naszych klientów. Aktywnie włączamy i wdrażamy zabezpieczenia przed lukami w zabezpieczeniach dla naszych produktów, których dotyczy problem, i nadal pracujemy nad ich wzmocnieniem. Jesteśmy w trakcie wdrażania tych środków zaradczych u naszych klientów i zachęcamy ludzi do aktualizacji swoich urządzeń, gdy łatki będą dostępne.

• NVIDIA ustaliła, że ​​te exploity (lub inne podobne, które mogą się pojawić) nie wpływają na obliczenia na GPU, więc ich sprzęt jest w większości odporny. Będą współpracować z innymi firmami w celu aktualizacji sterowników urządzeń, aby złagodzić wszelkie problemy z wydajnością procesora, i oceniają swoje SoCs oparte na ARM (Tegra).

• Webkit, ludzie odpowiedzialni za silnik renderowania przeglądarki Safari i prekursor silnika Google Blink, doskonale dzielą się tym, w jaki sposób te ataki mogą wpłynąć na ich kod. Wiele z nich dotyczyłoby każdego tłumacza lub kompilatora i jest to niesamowita lektura. Zobacz, jak pracują, aby to naprawić i zapobiec następnym razem.

Mówiąc wprost, oznacza to, że chyba że nadal używasz bardzo starego telefonu, tabletu lub komputera, powinieneś uważać się za podatnego na atak bez aktualizacji systemu operacyjnego. Oto, co do tej pory wiemy na tym froncie:

• Google załatało Androida na ataki Spectre i Meltdown za pomocą łatek z grudnia 2017 r. I stycznia 2018 r.
• Google załatało Chromebooki za pomocą wersji jądra 3.18 i 4.4 w grudniu 2017 r. W systemie OS 63. Urządzenia z innymi wersjami jądra (zobacz tutaj, aby znaleźć swoją) zostaną wkrótce załatane. Mówiąc wprost: Chromebook Toshiba, Acer C720, Chromebook Dell 13 i Chromebook Pixels z 2013 i 2015 roku (i niektóre nazwy, o których prawdopodobnie nigdy nie słyszałeś) nie zostały jeszcze załatane, ale wkrótce. Większość Chromeboksów, Chromebazów i Chromebitów nie jest załatanych, ale wkrótce.
• W przypadku urządzeń z systemem operacyjnym Chrome, które nie są załatane, nowa funkcja zabezpieczeń o nazwie Site Isolation łagodzi wszelkie problemy związane z tymi atakami.
• Microsoft załatał oba exploity od stycznia 2018 r.
• Apple załatało macOS i iOS przeciwko Meltdown, począwszy od aktualizacji z grudnia. Pierwsza runda aktualizacji Spectre została wyparta na początku stycznia. Sprawdź iMore, aby uzyskać wszystko, co musisz wiedzieć o tych wadach procesora i ich wpływie na komputer Mac, iPad i iPhone.
• Poprawki zostały wysłane do wszystkich obsługiwanych wersji jądra Linux, a systemy operacyjne, takie jak Ubuntu lub Red Hat, można aktualizować za pomocą aplikacji do aktualizacji oprogramowania.

W przypadku systemu Android Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 i Pixel 2 XL zostały załatane i wkrótce powinna pojawić się aktualizacja, jeśli jeszcze jej nie otrzymałeś. Możesz także ręcznie zaktualizować te urządzenia, jeśli chcesz. Projekt Android Open Source (kod używany do budowy systemu operacyjnego dla każdego telefonu z Androidem) również został załatany, a dystrybucje innych firm, takie jak LineageOS, mogą być aktualizowane.

Jak ręcznie zaktualizować Pixel lub Nexus

Samsung, LG, Motorola i inni dostawcy Androida (firmy produkujące telefony, tablety i telewizory) wprowadzą poprawki do swoich produktów dzięki aktualizacji ze stycznia 2018 r. Niektóre, jak Note 8 lub Galaxy S8, zobaczą to wcześniej, ale Google udostępniło łatkę dla wszystkich urządzeń. Oczekujemy, że zobaczymy więcej wiadomości od wszystkich partnerów, aby poinformować nas, czego możemy się spodziewać i kiedy.

Co mogę zrobić?

Jeśli masz produkt, który jest podatny na ataki, łatwo dać się wciągnąć w szum, ale nie powinieneś. Zarówno Specter, jak i Meltdown nie „po prostu się zdarzają” i polegają na tym, że instalujesz złośliwe oprogramowanie, które je wykorzystuje. Przestrzeganie kilku bezpiecznych praktyk ochroni Cię przed atakiem na dowolnym sprzęcie komputerowym.

• Instaluj zaufane oprogramowanie tylko z zaufanego miejsca. To zawsze dobry pomysł, ale zwłaszcza jeśli czekasz na łatkę.
• Zabezpiecz swoje urządzenia za pomocą dobrego ekranu blokady i szyfrowania. To coś więcej niż tylko powstrzymywanie innej osoby, ponieważ aplikacje nie mogą nic zrobić, gdy telefon jest zablokowany bez Twojej zgody.
• Przeczytaj i zrozum uprawnienia na wszystko, co uruchamiasz lub instalujesz na swoim telefonie. Nie bój się prosić o pomoc tutaj!
• Użyj przeglądarki internetowej, która blokuje złośliwe oprogramowanie. Możemy polecić Chrome lub Firefox, a inne przeglądarki mogą również chronić Cię przed złośliwym oprogramowaniem internetowym. Zapytaj ludzi, którzy je tworzą i rozpowszechniają, jeśli nie jesteś pewien. Przeglądarka internetowa dostarczona z telefonem może nie być najlepszą opcją, szczególnie jeśli masz starszy model. Edge i Safari są również zaufane dla urządzeń z systemem Windows lub MacOS i iOS.
• Nie otwieraj linków w mediach społecznościowych, w wiadomości e-mail ani w żadnej wiadomości od osoby, której nie znasz. Nawet jeśli pochodzą od osób, które znasz, upewnij się, że ufasz przeglądarce przed kliknięciem lub dotknięciem. To dwukrotnie zwiększa się w przypadku linków przekierowujących, które maskują adres URL witryny. Często używamy tego rodzaju linków, a także, że czytasz wiele mediów online. Bądź ostrożny.
• Nie bądź głupi. Wiesz, co to dla ciebie znaczy. Zaufaj swojemu osądowi i zachowaj ostrożność.

Dobrą wiadomością jest to, że sposób, w jaki łatki wykorzystują kanały boczne, nie przyniesie ogromnych spowolnień, które pojawiły się przed wydaniem jakichkolwiek aktualizacji. Tak właśnie działa sieć, a jeśli czytasz o tym, jak Twój telefon lub komputer będzie 30% wolniejszy po zastosowaniu jakiejkolwiek poprawki, dzieje się tak dlatego, że sprzedaje się sensacja. Użytkownicy, którzy korzystają z zaktualizowanego oprogramowania (i byli podczas testów), po prostu go nie widzą.

Łata nie ma wpływu na wydajność, jak twierdzili niektórzy, i że to świetna rzecz.

Wszystko to powstało, ponieważ ataki te mierzą precyzyjne interwały czasowe, a wstępne łatki zmieniają lub wyłączają precyzję niektórych źródeł synchronizacji za pomocą oprogramowania. Mniej precyzyjne oznacza wolniejsze, gdy komputer jest przetwarzany, a wpływ był przesadzony, aby był znacznie większy niż jest w rzeczywistości. Nawet niewielkie spadki wydajności, które są wynikiem łatek, są łagodzone przez inne firmy i widzimy, jak NVIDIA aktualizuje sposób, w jaki ich układy GPU chrupią liczby, lub Mozilla pracuje nad sposobem, w jaki obliczają dane, aby uczynić je jeszcze szybszym. Twój telefon nie będzie działał wolniej w styczniu 2018 r., Podobnie jak twój komputer, chyba że jest bardzo stary, a przynajmniej nie w zauważalny sposób.

Przestań się tym martwić, a zamiast tego upewnij się, że zrobisz wszystko, co w Twojej mocy, aby zapewnić bezpieczeństwo danych.

Co zabrać z tego wszystkiego

Przestępstwa związane z bezpieczeństwem zawsze mają jakiś realny wpływ. Nikt nie widział przypadków, w których Meltdown lub Spectre były używane na wolności, a ponieważ większość urządzeń, z których korzystamy na co dzień, jest aktualizowana lub będzie dostępna wkrótce, raporty prawdopodobnie pozostaną takie. Ale to nie znaczy, że należy je zignorować.

Poważnie podchodź do takich zagrożeń bezpieczeństwa, ale nie daj się zwieść hype; być poinformowanym!

Te exploity kanału bocznego mogą potencjalnie być tak dużym, poważnym wydarzeniem zmieniającym grę, że ludzie martwią się, jeśli chodzi o cyberbezpieczeństwo. Każdy exploit, który wpływa na sprzęt, jest poważny, a kiedy atakuje coś zrobionego celowo zamiast błędu, staje się jeszcze poważniejszy. Na szczęście badacze i programiści byli w stanie złapać, zatrzymać i załatać Meltdown i Spectre, zanim nastąpiło jakiekolwiek powszechne użycie.

To, co jest naprawdę ważne, to to, że otrzymujesz odpowiednie informacje, dzięki czemu wiesz, co robić za każdym razem, gdy słyszysz o nowym cyberzagrożeniu, które chce wszystkich twoich treści cyfrowych. Zwykle istnieje racjonalny sposób na złagodzenie poważnych efektów po wykopaniu wszystkich nagłówków.

Bądź bezpieczny!

Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.