Tek je prvi tjedan 2018. godine, a već čujemo za jedan od najvećih sigurnosnih propusta u povijesti.


Objavljene su vijesti o dva podviga - Spectre i Meltdown - koji utječu na gotovo svako računalo na zemlji. Novootkrivene ranjivosti razorne su jer utječu na veliku većinu centralnih procesnih jedinica (CPU-a). Tu spadaju ne samo procesori koje je napravio Intel - najveći proizvođač CPU-a na zemlji - već i većina proizvođača CPU-a.

Priroda sigurnosnog propusta znači da se Android pametnim telefonima i tabletima, iPadima i iPhoneima, Apple Mac računalima, Windows osobnim računalima - pa čak i Linux strojevima - može iskorištavati pomoću nedostataka. Pogreške CPU-a mogu se ublažiti cyber-kriminalcima kako bi ukrali osobne podatke kao što su prijave, lozinke, detalji kreditne kartice i mnoge druge osjetljive podatke..

Čudesne sigurnosne nedostatke otkrili su istraživači koji su radili na Googleovom Projektu Zero. Vitalne analize provedene su u suradnji s akademskim i industrijskim stručnjacima iz cijelog svijeta. Rad koji su ovi istraživači objavili ovog tjedna, detaljno objašnjava obje sigurnosne nedostatke:

"Meltdown i Spectre iskorištavaju kritične ranjivosti u modernim procesorima. Ove softverske greške omogućavaju programima krađu podataka koji se trenutno obrađuju na računalu. Iako programi obično ne smiju čitati podatke iz drugih programa, zlonamjerni program može iskoristiti Meltdown i Spectre kako bi dobili tajne pohranjene u memoriji drugih pokrenutih programa.

"To može uključivati ​​vaše lozinke pohranjene u upravitelju lozinki ili pregledniku, vaše osobne fotografije, e-poruke, trenutne poruke, pa čak i dokumente kritične za poslovanje..

"Meltdown i Spectre rade na osobnim računalima, mobilnim uređajima i u oblaku. Ovisno o infrastrukturi dobavljača oblaka, moguće je ukrasti podatke od drugih kupaca. "

Raširena ranjivost

Nedostaci sigurnosti utječu na procesore koje proizvode Intel, AMD i ARM. To znači da utječu na gotovo svaki stroj koji je trenutno u prometu. Nadalje, priroda nedostataka znači da nema načina da se utvrdi jesu li ih iskorištavali ili su bili iskorišteni. Da stvar bude još gora, antivirusni i detektor zlonamjernog softvera nisu osmišljeni da prikupe takve vrste iskorištavanja. "Za razliku od uobičajenog zlonamjernog softvera, Meltdown i Spectre teško je razlikovati od uobičajenih benignih aplikacija", komentari na blogu.

Apple Mac iznio je priznanje da su ranjiva računala i prijenosna računala Mac OS X ranjiva, iPhone, iPad, pa čak i AppleTV uređaji. Firma je već izdala zakrpe za Meltdown. Spectre je, međutim, teže ublažiti i još uvijek nije zakrpljen na odgovarajući način. Srećom, vjeruje se da je Spectre teži cilj za iskorištavanje.

Apple tvrdi da nisu otkriveni eksploati koji napadaju njihove uređaje u divljini. Međutim, priroda ranjivosti to teško definitivno potvrđuje. Sve što u ovom trenutku znamo jest da nedostaci postoje i mogu ih se iskoristiti ako se ne zakrpe. Iz papira:

"Meltdown može utjecati na stolna, prijenosna i računalna računala u oblaku. Tehnički gledano, potencijalno utječe svaki Intelov procesor koji izvršava izvan narudžbe, što je učinkovito svaki procesor od 1995. (osim Intel Itanium i Intel Atom prije 2013.). Uspješno smo testirali Meltdown na Intelovim generacijama procesora objavljenih već 2011. Trenutno smo Meltdown verificirali samo na Intelovim procesorima. Trenutno je nejasno je li Meltdown pogođen i ARM i AMD procesorima. "

"Spectre utječu na gotovo svaki sustav: Računala, prijenosna računala, Cloud poslužitelji kao i pametni telefoni. Točnije, svi moderni procesori koji su sposobni držati mnoge upute u letu mogu biti ranjivi. Konkretno, potvrdili smo Spectre na procesorima Intel, AMD i ARM. "

Intel Flaw

Sporija računala?

Ni noćna mora ne završava. Očekuje se da će sigurnosne zakrpe za zaštitu strojeva od mogućih eksplozija usporiti strojeve. Nejasno je što bi točno moglo biti smanjenje performansi, ali navodi se da bi moglo biti bilo čega do 30% smanjenja od trenutačnih brzina. Ryan Smith iz Anandtech.com objašnjava:

"Slijedom toga o ublažavanju Meltdown-a, nije jasno kakav će puni učinak imati učinak. Pojedinačne operacije i radna opterećenja mogu potencijalno biti viši za 30%, ali to uvelike ovisi o tome koliko je zadatak kontekstualno prebacivanje na kernel. Očekujem da će prosječni učinak u stvarnom svijetu biti manji, posebno za korisnike desktop računala. Međutim, korisnici poslužitelja i njihova jedinstvena, ali usko usredotočena opterećenja mogu biti mnogo pogođeniji ako nisu posebno sretni.

U međuvremenu, utjecaj ublažavanja Spectra na izvedbu još se manje razumije, dijelom i zbog toga što su u tijeku napori za ublažavanje Spectra. Na temelju onoga što su objavili dobavljači hardvera, utjecaj bi trebao biti minimalan. No, osim potrebe za empirijskim testiranjem, to bi se moglo promijeniti ako Spectre zahtijevaju dramatičnije napore za ublažavanje."

Kako ove ranjivosti utječu na gotovo svaki CPU prodan u posljednjih 10 godina, izgleda da je jedino rješenje: prihvatiti smanjenje računalne brzine ili isključiti stari CPU za novi. Za većinu ljudi - uključujući tvrtke koje imaju stotine ako ne i tisuće strojeva - novi CPU neće biti neposredna opcija. Zbog toga se vjerojatno može očekivati ​​da će skoro svatko očekivati ​​hit uspješnosti.

Prema Intel-u, svako usporavanje ovisit će o radnom opterećenju. U osnovi, to laički znači da noviji čipseti koji se temelje na Skylakeu ili novija arhitektura vjerojatno neće pretrpjeti previše gubitka brzine. S druge strane, stariji CPU-i vjerojatno će biti teže pogođeni pokretanjem dodatnog softvera.

Sporo računalo

Kako radi?

Novootkriveni nedostaci hardvera omogućuju aplikacijama i programima otkrivanje sadržaja zaštićenih područja memorije kernela. To znači da hakeri mogu prevariti aplikacije da se dijele s tajnim informacijama. Nedostaci se mogu koristiti i za napad na virtualne strojeve koji prilikom prodiranja omogućuju hakerima pristup fizičkoj memoriji računala računala.

Kritični nedostaci mogli bi dopustiti i hakerima da ukradu šifrirane ključeve, koji se također pohranjuju u memoriju. To znači da bi usluge namijenjene zaštiti podataka i uslugama sigurnih poruka mogle postati ugrožene. To također znači da bi ključevi za šifriranje koje drže upravitelji lozinki mogli postati dostupni dok je program otvoren a ključevi su pohranjeni u privremenoj RAM-u.

Zapravo je popis mogućih ranjivosti proizišao iz tih mana - ako se ne provjeri - gotovo je beskrajan. Gotovo svaki softver koji radi na strojevima s oštećenim skupovima procesora može biti ugrožen. Sigurne su samo aplikacije koje ne spremaju ključeve i lozinke u pogođene dijelove memorije. Upravo iz tog razloga je tako važno brzo otkloniti nedostatke.

Iako su Intel, AMD i Apple ubrzano tvrdili da trenutno nema eksplozija u opticaju, čini se više nego vjerovatno da će hakeri brzo naučiti iskoristiti prednost. Dan Guido, izvršni direktor tvrtke za cyber-sigurnost Trail of Bits, uvjeren je da neće proći dugo:

"Iskorištavanja ovih bugova bit će dodana standardnim alatima hakera."

Spectre Hacker

Google Ažuriranja

Chrome je samo jedan primjer softvera koji se može napasti pomoću ovih strašnih nedostataka. Chromiumov blog objavljuje objavu zašto će Google objaviti ažuriranje za Chrome 23. siječnja. U međuvremenu, korisnici se mogu zaštititi eksperimentalnom značajkom nazvanom Site Isolation:

"Ovo istraživanje ima implikacije na proizvode i usluge koji izvršavaju vanjski kôd, uključujući Chrome i druge preglednike s podrškom za JavaScript i WebAssembly. Daljnje informacije o ostalim Googleovim proizvodima i uslugama, uključujući OS Chrome dostupne su na blogu Google Online Security.

Chrome korisnicima omogućuje omogućavanje izborne značajke pod nazivom Isolation Site koja ublažava iskorištavanje tih ranjivosti. Ako je omogućena izolacija web mjesta, podaci izloženi špekulativnim napadima bočnih kanala smanjuju se dok Chrome prikazuje sadržaj za svaku otvorenu web lokaciju u zasebnom postupku. Pročitajte više o izolaciji web mjesta, uključujući neke poznate poteškoće i kako to omogućiti putem poslovnih pravila ili putem chrome: // zastave. "

Jesam li pogođen

Jesam li pogođen?

Odgovor na ovo pitanje gotovo je da. Na većinu uređaja utječe pa ćete morati dobiti odgovarajuće sigurnosne zakrpe čim postanu dostupne. Iz tog razloga vjerojatno ćete trebati dobiti ažuriranja od Intel-a, AMD-a ili ARM-a, ovisno o tome koji su čipovi u vašim uređajima. Pojedincima i tvrtkama preporučuje se da potraže savjet od svog proizvođača operativnog sustava. Kupci Windows Server VM trebali bi potražiti savjet koji je ovdje objavio Microsoft.

Što učiniti

Ovisno o uređajima koje imate, morat ćete osigurati najnovija ažuriranja softvera. Proizvođači CPU-a u tijeku su puštanja ažuriranja firmvera, tako da, kao što je spomenuto, morate biti sigurni da ih nabavite čim možete.

Korisnici Androida moraju ažurirati svoje uređaje. Dobra vijest je da su uređaji sa sustavom Android s najnovijim sigurnosnim ažuriranjem zaštićeni. No vjerojatno je da će biti potrebna daljnja ažuriranja: stoga držite otvorene oči za zakrpe i prihvatite ih čim budu dostupne..

Ako ste instalirali najnoviju verziju iOS-a 11.2, tada biste trebali biti zaštićeni. OS X je također imao zakrpe za Meltdown, a uskoro se očekuje još više za Spectre. Osim toga, Apple je jučer objavio da: "u narednim danima planiramo osloboditi ublažavanja u Safariju kako bismo pomogli u obrani od Spectra. ".

Ažuriraj

Mozilla je već objavila dva kratkoročna ispravka za Firefox, a daljnje zakrpe očekuje se da će objaviti kasnije u siječnju. Korisnici sustava Windows 10 mogu očekivati ​​automatska ažuriranja danas (5. siječnja), a očekuje se da će Windows 7 i 8 primati ažuriranja idućeg utorka. Još nije jasno hoće li korisnici sustava Windows XP dobiti zakrpu (kao što je to bio slučaj tijekom prošlogodišnje epidemije Miraija).

Konačno, budući da su iskorištavanja povezana s pristupom na razini kernela, programeri antivirusnih i zlonamjernih softvera možda će morati ažurirati svoje biblioteke kako bi radile zajedno sa novim zakrpama. Iz tog razloga možda ćete trebati i ažurirati svoj antivirusni softver.

Zapamtite: ove vijesti su tek objavljene, tako da je najbolje učiniti informirati se o više detalja o vašoj konkretnoj platformi. Ako imate dvojbe, obratite se proizvođaču ili prodajnom mjestu za vaše određene uređaje.

Kreditna slika naslova: S bloga Spectre i Meltdown.

Krediti za slike: ouh_desire / Shutterstock.com, Nor Gal / Shuttestock.com, Kite_rin / Shutterstock.com, welcomeia / Shutterstock.com, yavyav / Shutterstock.com, Pavel Ignatov / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me