Meltdown хак и призрак бъг: как се отразява на потребителите на android & chrome

Може би сте чували, че небето е паднало и апокалипсисът на сигурността се е случил заради две нови атаки, наречени Meltdown и Spectre. Ако работите в ИТ или друга област на мащабна компютърна инфраструктура, вероятно се чувствате така, както я има, и вече очаквате вашите 2018 ваканционни дни.

Медийните агенции за първи път чуха слухове за тази всеобхватна експлоатация в края на 2017 г., а неотдавнашните доклади бяха бурно спекулативни и накрая принудиха компании като Microsoft, Amazon и Google (чийто екип на Project Zero откри цялата работа) да отговарят с подробности. Тези подробности са направили интересен прочит, ако се интересувате от този вид неща.

Но за всички останали, без значение какъв телефон или компютър използвате, много от това, което четете или чувате, може да звучи така, сякаш е на различен език. Това е така, защото е така и освен ако не владеете кибер-гек-сигурност-техно-говорене, може да се наложи да го изпълните чрез някакъв преводач.

Добри новини! Открихте този преводач и ето какво трябва да знаете за Meltdown и Spectre и какво трябва да направите за него.

Какво са те

Meltdown и Spectre са две различни неща, но тъй като са разкрити едновременно и двете се занимават с микропроцесорна архитектура на хардуерно ниво, за тях се говори. Телефонът, който използвате в момента, почти сигурно е повлиян от експлоатацията на Spectre, но никой не е намерил начин да го използва - все още.

Процесорът във вашия телефон определя колко е уязвим към тези видове подвизи, но е по-безопасно да приемете, че всички те влияят, ако не сте сигурни. И тъй като те не експлоатират грешка и вместо това използват процес, който трябва да се случи, няма лесно поправяне без актуализация на софтуера.

Погледнете телефона в ръцете си; уязвим е към някои от тези атаки.

Компютрите (това включва телефони и други малки компютри също) разчитат на това, което се нарича изолация на паметта за сигурност между приложенията. Не паметта, която се използва за съхраняване на данни в дългосрочен план, а паметта, използвана от хардуер и софтуер, докато всичко работи в реално време. Процесите съхраняват данни отделно от други процеси, така че никой друг процес не знае къде или кога се записва или чете.

Всички приложения и услуги, работещи на вашия телефон, искат процесорът да свърши някаква работа и непрекъснато му дава списък с неща, които трябва да бъдат изчислени. Процесорът не изпълнява тези задачи в реда, в който са получени - това би означавало, че някои части на процесора са неактивни и чакат други части да завършат, така че стъпка втора може да бъде направена след завършване на първа стъпка. Вместо това процесорът може да премине към стъпка три или стъпка четири и да ги направи преди време. Това се нарича изпълнение извън поръчката и всички съвременни процесори работят по този начин.

Meltdown и Spectre не използват грешка - атакуват начина, по който процесорът изчислява данни.

Тъй като процесорът е по-бърз, отколкото всеки софтуер може да бъде, той също прави малко предположения. Спекулативното изпълнение е, когато процесорът извърши изчисление, което все още не е поискано да се направи въз основа на предишни изчисления, които е било помолено да извърши. Част от оптимизирането на софтуера за по-добра производителност на процесора е следването на няколко правила и инструкции. Това означава, че през повечето време има нормален работен процес, който ще се спазва и процесорът може да прескочи напред, за да има готови данни, когато софтуерът го поиска. И тъй като те са толкова бързи, ако в края на краищата данните не са ви необходими, те се отхвърлят. Това все още е по-бързо, отколкото да чакате заявката за извършване на изчисление.

Това спекулативно изпълнение е това, което позволява както на Meltdown, така и на Spectre да имат достъп до данни, до които в противен случай не биха могли да получат, въпреки че го правят по различни начини.

Meltdown

Процесорите на Intel, по-новите процесори от серия A на Apple и други ARM SoC, използващи новото ядро ​​A75 (засега това е само Qualcomm Snapdragon 845), са уязвими от експлоатацията на Meltdown.

Meltdown използва това, което се нарича „недостатък на ескалация на привилегиите“, който дава на приложението достъп до паметта на ядрото. Това означава, че всеки код, който може да получи достъп до тази област на паметта - където се осъществява комуникацията между ядрото и процесора - по същество има достъп до всичко, което е необходимо за изпълнение на който и да е код в системата. Когато можете да стартирате всеки код, имате достъп до всички данни.

призрак

Спектърът засяга почти всеки модерен процесор, включително този на вашия телефон.

Spectre не е необходимо да намира начин за изпълнение на код на вашия компютър, защото може да "измами" процесора в изпълнение на инструкции за него, след което да предостави достъп до данните от други приложения. Това означава, че експлоатацията може да види какво правят другите приложения и да прочете данните, които са съхранили. Начинът, по който процесорът обработва инструкциите извън реда в клоновете, е мястото, където Spectre атакува.

И Meltdown, и Spectre са в състояние да разкрият данни, които трябва да бъдат с пясък. Те правят това на ниво хардуер, така че операционната ви система не ви прави имунизирани - Apple, Google, Microsoft и всички видове операционни системи с отворен код Unix и Linux са еднакво засегнати.

Поради техника, известна като динамично планиране, която позволява да се четат данни, тъй като се изчислява, вместо да е необходимо първо да се съхраняват, в оперативната памет има много чувствителна информация за атака, която да се чете. Ако се интересувате от този вид неща, публикуваните от Технологичния университет в Грац бели текстове са очарователни четива. Но не е нужно да ги четете или разбирате, за да се защитите.

Засегнат ли съм?

Да. Поне ти беше. По принцип всички бяха засегнати, докато компаниите не започнаха да закърпват софтуера си срещу тези атаки.

Софтуерът, който се нуждае от актуализиране, е в операционната система, така че това означава, че имате нужда от пластир от Apple, Google или Microsoft. (Ако използвате компютър, който работи с Linux и не е в infosec, вече имате патча. Използвайте актуализатора на софтуера, за да го инсталирате или помолете приятел, който е в infosec, да ви преведе през актуализирането на вашето ядро). Страхотната новина е, че Apple, Google и Microsoft имат кръпки или вече внедрени, или на път в близко бъдеще за поддържаните версии.

Спецификата

• Процесорите на Intel от 1995 г. с изключение на платформата Itanium и ATOM преди 2013 г. са засегнати както от Meltdown, така и от Spectre.
• Всички съвременни процесори на AMD са засегнати от атаката Spectre. AMD PRO и AMD FX (AMD 9600 R7 и AMD FX-8320 бяха използвани като доказателство за концепцията) CPU в нестандартна конфигурация (разрешено за BPF JIT на ядрото) са засегнати от Meltdown. Очаква се подобна атака срещу отчитане на паметта на страничните канали срещу всички 64-битови процесори, включително AMD процесори.
• ARM процесорите с Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75 ядра са подозрителни за Spectre атаки. Процесорите с ядра Cortex A75 (Snapdragon 845) са уязвими към атаки на Meltdown. Очаква се, че чиповете, използващи варианти на тези ядра, като Snapdragon линия на Qualcomm или линия Exynos на Samsung, също ще имат подобни или същите уязвимости. Qualcomm работи директно с ARM и има това изявление по въпросите:

Qualcomm Technologies, Inc. е запознат с проучванията за сигурност на уязвимостите в цялата индустрия, за които се съобщава. Предоставянето на технологии, които поддържат здрава сигурност и неприкосновеност на личния живот, е приоритет за Qualcomm и като такава, ние работихме с Arm и други, за да оценим въздействието и да развием смекчаване на нашите клиенти. Ние активно включваме и разгръщаме смекчаващи мерки срещу уязвимостите на нашите засегнати продукти и продължаваме да работим за тяхното укрепване. Ние сме в процес на разгръщане на тези смекчаващи мерки за нашите клиенти и насърчаваме хората да актуализират своите устройства, когато лепенките станат достъпни.

• NVIDIA определи, че тези подвизи (или други подобни експлоатации, които могат да възникнат) не влияят на изчисленията на графичния процесор, така че техният хардуер е предимно имунен. Те ще работят с други компании за актуализиране на драйвери на устройства, за да помогнат за смекчаване на всички проблеми с производителността на процесора, и те оценяват своите базирани на ARM SoC (Tegra).

• Webkit, хората, които стоят зад двигателя за показване на браузъра на Safari и предшественика на двигателя на Blink на Google, имат отлична разбивка как точно тези атаки могат да повлияят на техния код. Голяма част от него ще се прилага за всеки преводач или съставител и това е невероятно четиво. Вижте как те работят, за да го поправят и да го предпазят да се случи следващия път.

На обикновен английски език това означава, че ако все още не използвате много стар телефон, таблет или компютър, трябва да се считате за уязвими без актуализация на операционната система. Ето какво знаем досега на този фронт:

• Google кръпна Android срещу както Spectre, така и Meltdown атаки с пачовете от декември 2017 г. и януари 2018 г.
• Google е кръпка Chromebook, използвайки версиите 3.18 и 4.4 на ядрото през декември 2017 г. с OS 63. Устройствата с други версии на ядрото (вижте тук, за да намерите вашите) скоро ще бъдат кръпкани. На обикновен английски език: Toshiba Chromebook, Acer C720, Dell Chromebook 13 и Chromebook Pixels от 2013 и 2015 г. (и някои имена, за които вероятно не сте чували), все още не са лепенки, но скоро ще бъдат. Повечето Chromebox, Chromebases и Chromebits не са кръпка, но скоро ще бъдат.
• За устройства с Chrome OS, които не са кръпка, нова функция за защита, наречена Isolation Site, ще смекчи всички проблеми от тези атаки.
• Microsoft закърпи и двата експлоатации от януари 2018 г.
• Apple кръпка macOS и iOS срещу Meltdown, като се започне с актуализацията през декември. Първият кръг на актуализациите на Spectre беше изтласкан в началото на януари. Вижте iMore за всичко, което трябва да знаете за тези недостатъци на процесора и как те влияят на вашия Mac, iPad и iPhone.
• Патчите бяха изпратени до всички поддържани версии на ядрото на Linux и операционни системи като Ubuntu или Red Hat могат да бъдат актуализирани чрез приложението за актуализация на софтуера.

За спецификите на Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 и Pixel 2 XL са кръпка и скоро трябва да видите актуализация, ако все още не сте я получили. Можете също така да актуализирате ръчно тези устройства, ако желаете. Проектът с отворен код за Android (кодът, използван за изграждане на операционната система за всеки телефон с Android) също е кръпка и дистрибуциите на трети страни като LineageOS могат да бъдат актуализирани.

Как ръчно да актуализирате своя Pixel или Nexus

Samsung, LG, Motorola и други доставчици на Android (компании, които правят телефони и таблети и телевизори) ще закърпят продуктите си с актуализацията за януари 2018 г. Някои от тях, като Note 8 или Galaxy S8, ще виждат това преди други, но Google направи пластира достъпен за всички устройства. Очакваме да видим повече новини от всички партньори, които да ни уведомят какво да очакваме и кога.

Какво мога да направя?

Ако имате продукт, който е уязвим, лесно е да се захванете с hype, но не трябва. И Spectre, и Meltdown не се случват просто и зависят от инсталирането на някакъв злонамерен софтуер, който ги използва. Следването на няколко безопасни практики ще ви държи имунизирани срещу какъвто и да е експлоатация на всеки компютърен хардуер.

• Инсталирайте само софтуер, на когото имате доверие от място, на което имате доверие. Това е добра идея винаги, но особено ако чакате пластир.
• Осигурете устройствата си с добър заключен екран и криптиране. Това прави нещо повече от просто да предпази друг човек, тъй като приложенията не могат да направят нищо, докато телефонът ви е заключен без ваше разрешение.
• Прочетете и разберете разрешенията за всичко, което стартирате или инсталирате на телефона си. Не се страхувайте да поискате помощ тук!
• Използвайте уеб браузър, който блокира зловреден софтуер. Можем да препоръчаме Chrome или Firefox, а други браузъри може също да ви предпазят от уеб-базиран зловреден софтуер. Попитайте хората, които ги правят и разпространяват, ако не сте сигурни. Уеб браузърът, приложен с вашия телефон, може да не е най-добрият вариант тук, особено ако имате по-стар модел. На Edge и Safari се вярва също за Windows или MacOS и iOS устройства.
• Не отваряйте връзки в социалните медии, в имейл или във всяко съобщение от някой, когото не познавате. Дори и да са от хора, които познавате, уверете се, че се доверите на уеб браузъра си, преди да щракнете или докоснете. Това става двойно за връзки за пренасочване, които маскират URL на сайта. Ние използваме тези видове връзки доста често и вероятно има много онлайн медии, които четете. Бъди внимателен.
• Не бъди глупав. Знаеш какво означава това за теб. Доверете се на своята преценка и грешайте от страната на предпазливостта.

Добрата новина е, че начинът, по който се изпълняват тези експлоатации на страничните канали, няма да доведе до огромните забавяния, които бяха свръхзакрити, преди да бъдат пуснати актуализации. Ето как работи мрежата и ако прочетете как телефонът или компютърът ви ще бъдат с 30% по-бавни след прилагането на каквото и да било поправяне, то е защото сензационизмът се продава. Потребителите, които работят с актуализиран софтуер (и са били по време на тестване), просто не го виждат.

Корекцията няма влияние върху производителността, което някои твърдяха, че ще донесе, и това е чудесно нещо.

Всичко това се случи, защото тези атаки измерват точни интервали от време и първоначалните корекции променят или деактивират прецизността на някои източници на време чрез софтуер. По-малко прецизно означава по-бавно, когато изчислявате и въздействието е преувеличено, за да бъде много по-голямо от него. Дори лекото намаление на производителността, което е резултат от пластирите, са смекчени от други компании и виждаме NVIDIA да актуализира начина, по който техните графични процесори разбиват номера или Mozilla работи по начина, по който изчисляват данните, за да го направи още по-бърз. Вашият телефон няма да е по-бавен на кръпка за януари 2018 г., нито компютърът ви, освен ако не е много стар, поне не по някакъв забележим начин.

Спрете да се притеснявате за това и вместо това не забравяйте да направите всичко възможно, за да запазите данните си.

Какво да отнема от всичко това

Страховете за сигурност винаги имат някакво реално въздействие. Никой не е виждал случаи на Meltdown или Spectre да се използват в природата и тъй като повечето устройства, които използваме всеки ден, се актуализират или ще бъдат съвсем скоро, отчетите вероятно ще останат по този начин. Но това не означава, че те трябва да бъдат игнорирани.

Вземете сериозно заплахите за сигурността, но не подхождайте за всички шумове; Бъди информиран!

Тези експлоатации на страничните канали имаха потенциал да бъдат толкова големи, сериозни промени в играта, които хората се притесняват, когато става въпрос за киберсигурност. Всеки експлоатация, която засяга хардуера, е сериозна и когато атакува нещо направено нарочно вместо грешка, става още по-сериозно. За щастие, изследователите и разработчиците успяха да хванат, съдържат и лепят Meltdown и Spectre, преди да се случи каквото и да било широко приложение.

Важното в случая е, че получавате правилната информация, така че да знаете какво да правите всеки път, когато чуете за нов кибертрейт, който иска всичките ви цифрови неща. Обикновено има рационален начин за смекчаване на всякакви сериозни ефекти, след като изкопаете всички заглавия.

Пази се!

Може да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.