זה רק השבוע הראשון של 2018, ואנחנו כבר שומעים על אחד הפגמים הביטחוניים הגדולים בהיסטוריה.


חדשות עלו על שני מעלולים - Spectre ו- Meltdown - המשפיעים על כמעט כל מחשב על כדור הארץ. הפגיעויות שנחשפו לאחרונה הרסניות מכיוון שהן משפיעות על הרוב המכריע של יחידות העיבוד המרכזיות (CPU). אלה כוללים לא רק מעבדים המיוצרים על ידי אינטל - יצרנית המעבדים הגדולה ביותר בעולם - אלא גם רוב יצרני המעבדים.

אופיו של פגם האבטחה פירושו שניתן לנצל סמארטפונים וטאבלטים אנדרואיד, אייפודים ואייפונים, מחשבי אפל מק, מחשבי Windows - ואפילו מכונות לינוקס באמצעות הפגמים. על ידי פושעי סייבר ניתן למנף פגמים במעבד כדי לגנוב נתונים אישיים כמו כניסות, סיסמאות, פרטי כרטיסי אשראי ועוד סוגים רבים אחרים של מידע רגיש..

פגמי האבטחה הפראיים התגלו על ידי חוקרים העובדים ב- Project Zero של גוגל. הניתוח החיוני נערך בשיתוף פעולה עם מומחים אקדמיים ותעשייתיים מרחבי העולם. מאמר שפרסם החוקרים השבוע מסביר בפירוט את שני ליקויי האבטחה:

Meltdown ו- Specter מנצלים פגיעויות קריטיות במעבדים מודרניים. באגי חומרה אלה מאפשרים לתוכניות לגנוב נתונים המעובדים כעת במחשב. אמנם בדרך כלל אסור לתכניות לקרוא נתונים מתוכניות אחרות, תוכנית זדונית יכולה לנצל את ה- Meltdown ו- Specter כדי להשיג סודות המאוחסנים בזיכרון של תוכניות אחרות הפועלות..

"זה עשוי לכלול את הסיסמאות שלך המאוחסנות במנהל סיסמאות או בדפדפן, את התמונות האישיות שלך, דוא"ל, הודעות מיידיות ואפילו מסמכים קריטיים עסקיים..

"Meltdown ו- Specter עובדים על מחשבים אישיים, מכשירים ניידים וענן. תלוי בתשתית של ספק הענן, יתכן שאפשר יהיה לגנוב נתונים מלקוחות אחרים. "

פגיעות רחבה

פגמי האבטחה משפיעים על מעבדים המיוצרים על ידי אינטל, AMD ו- ARM. משמעות הדבר היא שהם משפיעים כמעט על כל מכונה שנמצאת כעת במחזור. מה שכן, אופי הליקויים אומר שאין דרך לדעת אם הם מנוצלים או מנוצלים. כדי להחמיר את המצב, גלאי אנטי-וירוס ותוכנות זדוניות אינם מיועדים להעלות על אותם סוגים של עלילות. "שלא כמו תוכנות זדוניות רגילות, Meltdown וספקטר קשה להבדיל מיישומים שפירים רגילים", מעיר בפוסט בבלוג.

אפל מק הודיעה להודות שמחשבים שולחניים ומחשבים ניידים של Mac OS X, מכשירי אייפון, אייפד ואפילו מכשירי AppleTV פגיעים. החברה כבר הוציאה טלאים להמסה. עם זאת, ספקטר קשה יותר להקל נגדו ועדיין לא טופלו כראוי. למרבה המזל, מאמינים כי ספקטר הוא יעד קשה יותר לניצול.

אפל טוענת כי לא התגלו מעלולים שתקפו את מכשיריהם בטבע. עם זאת, אופי הפגיעויות מקשה לאשר זאת באופן סופי. כל מה שאנחנו יודעים כרגע הוא שהפגמים קיימים וניתן לנצל אותם אלא אם כן הם טופלים. מהעיתון:

"מחשבים שולחניים, מחשבים ניידים וענן עשויים להיות מושפעים ממטלטאון. יותר מבחינה טכנית, כל מעבד אינטל שמיישם ביצוע שאינו בהזמנה מושפע פוטנציאלית, שהוא למעשה כל מעבד מאז 1995 (למעט Intel Itanium ו- Intel Atom לפני 2013). בדקנו בהצלחה את ה- Meltdown על דורות המעבדים של אינטל שיצאו כבר בשנת 2011. נכון לעכשיו, יש לנו רק לאמת את Meltdown על מעבדי Intel. כרגע לא ברור אם מעבדי ARM ו- AMD מושפעים גם ממלטדאון. "

"כמעט כל מערכת מושפעת על ידי ספקטר: מחשבים שולחניים, מחשבים ניידים, שרתי ענן וכן טלפונים חכמים. ליתר דיוק, כל המעבדים המודרניים המסוגלים לשמור הוראות רבות בטיסה חשופים לפגיעות. בפרט, אימתנו את ספקטרום במעבדי אינטל, AMD ו- ARM. "

פגם של אינטל

מחשבים איטיים יותר?

גם הסיוט לא נגמר שם. תיקוני אבטחה המונפקים כדי להגן על מכונות מפני ניצולים אפשריים צפויים להאט את המכונות. לא ברור מה יכולה להיות הפחתת הביצועים, אך מדווחים שזה יכול להיות כל דבר עד ירידה של 30% מהמהירות הנוכחית. ראיין סמית מ- Anandtech.com מסביר:

"בהמשך לנקודה בנושא הפחתת התכה, לא ברור מה תהיה השפעת הביצוע המלאה של זה. פעולות ועומסי עבודה פרטניים עשויים להיות כלפי מעלה באיטיות של 30%, אך הדבר תלוי במידה רבה בתדירות שבה משימה עוברת הקשר לגרעין. אני מצפה שההשפעה הממוצעת בעולם האמיתי תהיה פחות, במיוחד עבור משתמשי שולחן העבודה. עם זאת, משתמשי השרת ועומסי העבודה הייחודיים-אך-ממוקדים שלהם עלולים להיות מושפעים הרבה יותר אם הם חסרי מזל במיוחד.

בינתיים, השפעת הביצועים של הקלות בספקטר מובן עוד פחות, בין היתר מכיוון שמאמצים להקל על ספקטר נמשכים. על סמך מה שפרסמו ספקי החומרה, ההשפעה צריכה להיות מינימלית. אך מלבד הצורך בבדיקה אמפירית, הדבר עשוי להשתנות אם ספקטר דורש מאמצי הפחתה דרמטיים יותר."

מכיוון שנקודות תורפה אלה משפיעות על כמעט כל מעבד שנמכר בעשר השנים האחרונות, נראה שהפתרון היחיד הוא: קבל את הפחתה במהירויות המחשוב או כבה את המעבד הישן למצב חדש. עבור מרבית האנשים - כולל חברות שיש להם מאות אם לא אלפי מכונות - מעבדים חדשים לא יהיו אפשרות מיידית. זה הופך את הסבירות לכך שכמעט כולם אפשר לצפות ללהיט ביצועים כזה או אחר.

לדברי אינטל, האטות כלשהן יהיו "תלויות בעומס עבודה". במונחים של הדיוט פירוש הדבר שבעצם, מערכות שבבים חדשות יותר המבוססות על סקיילק או ארכיטקטורה חדשה יותר ככל הנראה לא יסבלו מאובדן מהירות יתר. לעומת זאת, מעבדים ישנים יותר, לעומת זאת, ייפגעו קשה יותר על ידי צורך להפעיל את הקושחה הנוספת.

מחשב איטי

איך זה עובד?

פגמי החומרה שנחשפו לאחרונה מאפשרים לאפליקציות ותוכניות לגלות את התוכן של אזורי זיכרון גרעינים מוגנים. המשמעות היא שהאקרים יכולים לשטות באפליקציות להיפרד ממידע סודי. ניתן להשתמש בפגמים גם לתקיפת מכונות וירטואליות, שכאשר הם חודרים מאפשרים להאקרים לקבל גישה לזיכרון הפיזי של המכונה המארחת..

הפגמים הקריטיים עשויים גם לאפשר להאקרים לגנוב מפתחות הצפנה, אשר מאוחסנים גם בזיכרון. המשמעות היא ששירותים המיועדים לשמור על אבטחת נתונים ושירותי העברת הודעות מאבטחים עלולים להיפגע. המשמעות היא גם שמפתחות הצפנה המוחזקים על ידי מנהלי הסיסמאות עלולים להפוך לנגישים בזמן שהתוכנית פתוחה והמפתחות מאוחסנים ב- RAM זמני.

למעשה, רשימת הפגיעויות האפשריות הנובעות מפגמים אלה - אם לא נבדקת - כמעט אינסופית. כמעט כל תוכנה הפועלת על מכונות עם שבבי מעבד פגומים עלולה להיפגע. רק אפליקציות שאינן שומרות מפתחות וסיסמאות בחלקי הזיכרון המושפעים הן מאובטחות. מסיבה זו חשוב כל כך לתקן את הפגמים במהירות.

למרות שאינטל, AMD ואפל מיהרו לטעון כי אין ניצולים שנמצאים כעת במחזור, נראה כי סביר להניח שהאקרים ילמדו במהירות לנצל. דן גידו, המנכ"ל של חברת ביטחון הרשת Trail of Bits, משוכנע שזה לא ייקח הרבה זמן:

"ניצולים לבאגים אלה יתווספו לערכות הכלים הסטנדרטיות של האקרים."

האקטר ספקטר

עדכוני גוגל

Chrome הוא רק דוגמא אחת לתוכנה שניתן לתקוף באמצעות פגמים מחרידים אלה. פוסט בבלוג של Chromium מסביר מדוע גוגל תפרסם עדכון ל- Chrome ב -23 בינואר. בינתיים, המשתמשים יכולים להגן על עצמם באמצעות תכונה ניסיונית בשם בידוד אתרים:

"למחקר זה יש השלכות על מוצרים ושירותים שמבצעים קוד שסופק באופן חיצוני, כולל Chrome ודפדפנים אחרים עם תמיכה ב- JavaScript ו- WebAssemble. מידע נוסף על מוצרים ושירותים אחרים של גוגל, כולל מערכת ההפעלה של Chrome, זמין בבלוג האבטחה המקוון של גוגל.

Chrome מאפשר למשתמשים להפעיל תכונה אופציונלית בשם בידוד אתרים, אשר מקלה על ניצול פגיעויות אלה. עם הפעלת בידוד אתרים, הנתונים שנחשפים לתקיפות ערוצי צדדי ספקולטיביות מצטמצמים ככל ש- Chrome מעניק תוכן לכל אתר פתוח בתהליך נפרד. קרא עוד על בידוד אתרים, כולל כמה בעיות ידועות, וכיצד לאפשר זאת באמצעות מדיניות ארגונית או באמצעות דגלי chrome: //. "

האם אני מושפע?

האם אני מושפע??

התשובה לשאלה זו היא כמעט בהחלט כן. מרבית המכשירים מושפעים, כך שתצטרך לקבל את תיקוני האבטחה המתאימים ברגע שהם יהיו זמינים. מסיבה זו, סביר להניח שתצטרך לקבל עדכונים מ- Intel, AMD או ARM, תלוי באילו שבבים יש במכשירים שלך. אנשים ועסקים כאחד מומלץ לפנות לייעוץ מיצרן מערכת ההפעלה שלהם. לקוחות Windows Server VM צריכים לבדוק את העצות שפרסמה מיקרוסופט כאן.

מה לעשות

תלוי באילו מכשירים יש לך, עליך לוודא שאתה מקבל את כל עדכוני התוכנה האחרונים. יצרני המעבדים נמצאים בתהליך של שחרור עדכוני קושחה, כך שכאמור עליכם להיות בטוחים לקבל אותם ברגע שתוכלו.

על משתמשי אנדרואיד לעדכן את המכשירים שלהם. החדשות הטובות הן שמכשירי אנדרואיד עם עדכון האבטחה האחרון מוגנים. עם זאת, סביר להניח שיהיה צורך בעדכונים נוספים: לכן לפקוח עין על תיקונים וקבל אותם ברגע שהם יהיו זמינים..

אם התקנת את גרסת ה- iOS העדכנית ביותר של iOS 11.2, עליך להיות מוגן. ל- OS X היו טלאים ל- Meltdown ועוד עבור ספקטר צפויות בקרוב. בנוסף, אפל הודיעה אתמול כי: "בימים הקרובים אנו מתכננים לשחרר הקלות בספארי כדי לסייע בהגנה נגד ספקטר ".

עדכון

מוזילה כבר פרסמה שני תיקונים לטווח הקרוב עבור Firefox והיא צפויה לשחרר טלאים נוספים בהמשך חודש ינואר. משתמשי Windows 10 יכולים לצפות לעדכונים אוטומטיים היום (5 בינואר), כאשר חלונות 7 ו- 8 צפויים לקבל עדכונים ביום שלישי הבא. עדיין לא ברור אם משתמשי Windows XP יקבלו תיקון (כפי שהיה במקרה של פרוץ מיראי בשנה שעברה).

לבסוף, מכיוון שהניצולים קשורים לגישה ברמת הליבה, ייתכן שמפתחי תוכנות אנטי-וירוס ותוכנות זדוניות יצטרכו גם לעדכן את הספריות שלהם כדי לעבוד לצד המדבקות החדשות. מסיבה זו יתכן שתצטרך גם לעדכן את תוכנת האנטי-וירוס שלך.

זכור: חדשות זה רק הוכרז, כך שהדבר הטוב ביותר לעשות הוא להתעדכן ככל שיתפרסמו יותר פרטים על הפלטפורמה הספציפית שלכם. אם יש ספק, פנה ליצרן שלך או לנקודת המכירה של המכשירים הספציפיים שלך.

קרדיט לתמונת כותרת: מהבלוג Specter ו- Meltdown.

נקודות זכות: ouh_desire / Shutterstock.com, Nor Gal / Shuttestock.com, Kite_rin / Shutterstock.com, welcomia / Shutterstock.com, yavyav / Shutterstock.com, Pavel Ignatov / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me