Meltdown hack i spectter bug: kako utječe na korisnike androida i kroma

Možda ste čuli da je nebo palo i da se dogodila sigurnosna apokalipsa zbog dva nova napada nazvana Meltdown i Spectre. Ako radite u IT-u ili bilo kojem drugom području računalne infrastrukture velikog obima, vjerojatno se osjećate kao da ga ima i već se veselite svojim 2018. danima odmora.

Mediji su prvi put čuli glasine o tim iskorištavanjima sve od kraja 2017., a nedavna izvješća bila su divlje špekulacije i napokon su prisilila kompanije poput Microsofta, Amazona i Googlea (čiji je Project Zero tim otkrio cijelu stvar) da odgovore na detalje. Ti su detalji učinili zanimljivo čitanje ako vas zanimaju ovakve stvari.

Ali za sve ostale, bez obzira koji telefon ili računalo koristite, mnogo toga što čitate ili čujete, može zvučati kao da je na nekom drugom jeziku. To je zato što jest, a osim ako tečno govorite o cyber-geek-sigurnosti-tehno-razgovoru, možda biste morali to pokrenuti kroz neku vrstu prevoditelja.

Dobre vijesti! Pronašli ste tog prevoditelja i evo što trebate znati o Meltdownu i Spectru i što trebate učiniti u vezi s tim.

Ono što jesu

Meltdown i Spectre dvije su različite stvari, ali budući da su otkrivene istovremeno i obje se bave mikroprocesorskom arhitekturom na hardverskoj razini, o njima se razgovara zajedno. Telefon koji trenutno upotrebljavate gotovo sigurno utječe na iskorištavanje Spectra, ali još nitko nije pronašao način da ga koristi.

Procesor unutar vašeg telefona određuje koliko je ranjiv na ove vrste iskorištavanja, ali sigurnije je pretpostaviti da svi utječu na vas ako niste sigurni. A budući da ne koriste bug i umjesto toga koriste postupak koji bi se trebao dogoditi, bez ažuriranja softvera nije lako popraviti.

Pogledajte telefon u svojim rukama; ranjiva je na neke od ovih napada.

Računala (što uključuje i telefone i druga sitna računala) oslanjaju se na ono što se naziva izolacija memorije radi sigurnosti između aplikacija. Ne memorija koja se koristi za dugoročno pohranjivanje podataka, već memorija koju hardver i softver koriste dok sve radi u stvarnom vremenu. Procesi pohranjuju podatke odvojeno od ostalih procesa, tako da nijedan drugi proces ne zna gdje ili kada se zapisuje ili čita.

Sve aplikacije i usluge na vašem telefonu žele da procesor napravi neki posao i neprestano mu daje popis stvari koje je potrebno izračunati. Procesor ne izvršava ove zadatke redoslijedom kojim je primljen - to bi značilo da su neki dijelovi CPU-a u stanju mirovanja i čekaju da se drugi dijelovi završe, pa bi drugi korak mogao biti učinjen nakon dovršetka prvog koraka. Umjesto toga, procesor može preći na korak tri ili korak četiri i raditi ih prije vremena. To se naziva izvršavanjem izvan narudžbe i svi moderni CPU-ovi rade na ovaj način.

Meltdown i Spectre ne iskorištavaju pogrešku - napadaju način na koji procesor izračunava podatke.

Budući da je procesor brži nego što bi mogao biti softver, ujedno je i malo nagađanja. Špekulativno izvršenje je kada CPU izvrši izračun koji još nije zatražio na osnovu prethodnih izračuna koji je bio zatražen da obavi. Dio optimizacije softvera za bolje performanse procesora slijedi nekoliko pravila i upute. To znači da većinu vremena postoji normalan tijek rada koji će se pratiti i CPU može preskočiti unaprijed kako bi podaci bili spremni kada softver to zatraži. I zato što su tako brzi, ako im podaci ipak nisu potrebni, bacaju se u stranu. To je još brže od čekanja na zahtjev da se izvrši izračun.

Ovo špekulativno izvršenje omogućuje Meltdownu i Spectru pristup podacima do kojih inače ne bi mogli doći, iako to čine na različite načine.

topljenje jezgra nuklearnog reaktora

Intelovi procesori, Apple-ovi noviji procesori A serije i drugi ARM SoC-ovi koji koriste novu A75 jezgru (za sada je to samo Qualcomm Snapdragon 845) osjetljivi su na eksploataciju Meltdown-a.

Prekid iskorištava ono što se naziva "nedostatkom eskalacije privilegija" koji aplikaciji daje pristup memoriji kernela. To znači da svaki kôd koji može dobiti pristup ovom području memorije - gdje se događa komunikacija između kernela i CPU-a - u osnovi ima pristup svemu što je potrebno za izvršavanje bilo kojeg koda u sustavu. Kada možete pokrenuti bilo koji kôd, imate pristup svim podacima.

Spektar

Spectre utječe na gotovo svaki moderni procesor, uključujući i onaj na vašem telefonu.

Spectre ne treba pronaći način izvršenja koda na računalu jer on može "navesti" procesora na izvršavanje uputa za to, a zatim odobriti pristup podacima iz drugih aplikacija. To znači da bi exploit mogao vidjeti što rade druge aplikacije i pročitati podatke koje su pohranili. Način na koji CPU obrađuje upute izvan reda u granama je mjesto gdje Spectre napadaju.

I Meltdown i Spectre mogu izložiti podatke koji bi se trebali naći u sanduku. To rade na hardverskoj razini, tako da vaš operativni sustav ne čini imun - Apple, Google, Microsoft, kao i sve vrste otvorenog koda Unix i Linux operativni sustavi podjednako su pogođeni.

Zbog tehnike koja je poznata kao dinamično zakazivanje, koja omogućuje čitanje podataka dok se računa, umjesto da ih je potrebno prvo pohraniti, u RAM-u postoji dosta osjetljivih podataka za napad za čitanje. Ako vas zanima ovakva vrsta stvari, fascikle koje je objavilo Tehničko sveučilište u Grazu fascinantne su čitanja. Ali ne morate ih čitati ili razumjeti da biste se zaštitili.

Jesam li pogođen?

Da. Barem, bili ste. U osnovi, pogođeni su svi dok tvrtke nisu počele krpati svoj softver protiv tih napada.

Softver koji je potrebno ažurirati nalazi se u operativnom sustavu, tako da znači da vam treba zakrpa od Applea, Googlea ili Microsofta. (Ako koristite računalo koje pokreće Linux i nije u infosec-u, već ste dobili i zakrpu. Upotrijebite program za ažuriranje softvera da biste ga instalirali ili pitajte prijatelja koji je u infosecu da vas vodi preko ažuriranja vašeg kernela). Strašna vijest je da su Apple, Google i Microsoft zakrpe već instalirali ili su u neposrednoj budućnosti za podržane verzije.

Specifičnosti

• Intelovi procesori od 1995., osim Itanium i ATOM platforme prije 2013., pod utjecajem su Meltdown i Spectre.
• Napad Spectra pogođen je svim modernim AMD-ovim procesorima. Meltdown je pod utjecajem AMD PRO i AMD FX (AMD 9600 R7 i AMD FX-8320 kao dokaz o konceptu). CPU-ovi u nestandardnoj konfiguraciji (omogućen je BPF JIT kernela). Očekuje se da je sličan napad protiv čitanja memorije bočnih kanala moguć protiv svih 64-bitnih CPU-a, uključujući AMD procesore.
• ARM-ovi procesori s Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 i A75 jezgrama podložni su napadima Spectre. Procesori s Cortex A75 (Snapdragon 845) jezgrama osjetljivi su na napade Meltdown-a. Očekuje se da će čipovi koji koriste varijante tih jezgara, poput Qualcommove Snapdragon linije ili Samsungove Exynos linije, također imati slične ili iste ranjivosti. Qualcomm izravno radi s ARM-om i ima ovu izjavu o pitanjima:

Qualcomm Technologies, Inc. svjestan je sigurnosnih istraživanja o ranjivima u cijeloj industriji koja su zabilježena. Pružanje tehnologija koje podržavaju snažnu sigurnost i privatnost prioritet je za Qualcomm, te kao takav, surađujemo s Arm-om i drugima na procjeni utjecaja i razvoju ublažavanja za naše kupce. Aktivno uklapamo i raspoređujemo mjere ublažavanja protiv ranjivosti naših proizvoda na koje utječe utjecaj i nastavljamo raditi na njihovom jačanju. U tijeku smo za ublažavanje ovih mjera za naše kupce i potičemo ljude da ažuriraju svoje uređaje kada zakrpe postanu dostupne.

• NVIDIA je utvrdila da ovi eksploati (ili drugi slični eksploati koji se mogu pojaviti) ne utječu na GPU računarstvo, pa je njihov hardver uglavnom imun. Oni će raditi s drugim tvrtkama na ažuriranju upravljačkih programa uređaja kako bi se ublažili bilo kakvi problemi sa performansama procesora, a oni ocjenjuju svoje SoC-ove (Tegra) temeljene na ARM-u.

• Webkit, ljudi koji stoje iza pokretača preglednika Safarija i preteča Googleovog Blink motora, imaju izvrstan pregled tačno kako ti napadi mogu utjecati na njihov kod. Veći dio toga primijenio bi se na bilo koji tumač ili sastavljač i nevjerojatno je čitanje. Pogledajte kako rade na tome da to riješe i spriječe da se to dogodi sljedeći put.

Običnim engleskim jezikom to znači da, ako i dalje ne upotrebljavate jako stari telefon, tablet ili računalo, smatrate se ranjivom bez ažuriranja operativnog sustava. Evo što sve do sada znamo na tom pročelju:

• Google je zakrpao Android protiv Spectre i Meltdown napada zakrpama u prosincu 2017. i siječnju 2018. godine.
• Google je zakrpao Chromebookove koristeći verzije kernera 3.18 i 4.4 u prosincu 2017. sa OS 63. Uređaji s drugim verzijama kernela (pogledajte ovdje da biste pronašli svoje) uskoro će biti zakrpani. Običnim engleskim: Toshiba Chromebook, Acer C720, Dell Chromebook 13 i Chromebook Pixels iz 2013. i 2015. (i neka imena za koja vjerojatno nikad niste čuli) još nisu zakrpljeni, ali bit će uskoro. Većina Chromebox-a, Chromebaza i Chromebita nisu zakrpljeni, ali bit će uskoro.
• Za uređaje sa OS Chrome koji nisu zakrpljeni, nova sigurnosna značajka pod nazivom Izolacija web mjesta ublažit će sve probleme zbog ovih napada.
• Microsoft je oba iskorištavanja obavio od siječnja 2018. godine.
• Apple je zakrpao macOS i iOS protiv Meltdown-a počevši od prosinca ažuriranja. Prvo kolo ažuriranja Spectra izgurano je početkom siječnja. Provjerite iMore za sve što trebate znati o tim nedostacima CPU-a i kako oni utječu na vaš Mac, iPad i iPhone.
• Zakrpe su poslane na sve podržane verzije Linux kernela, a operativni sustavi poput Ubuntu ili Red Hat mogu se ažurirati putem aplikacije za ažuriranje softvera.

Za specifičnosti Androida zakrpljeni su Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 i Pixel 2 XL i uskoro biste trebali vidjeti ažuriranje ako ga već niste dobili. Po želji možete i ručno ažurirati te uređaje. Android Open Source projekt (kôd koji se koristi za izgradnju OS-a za svaki Android telefon) također je zakrpljen, a distribucije trećih proizvođača poput LineageOS-a mogu se ažurirati.

Kako ručno ažurirati svoj Pixel ili Nexus

Samsung, LG, Motorola i drugi Android prodavači (tvrtke koje proizvode telefone, tablete i televizore) zasipati će svoje proizvode ažuriranjem siječnja 2018. godine. Neki će, poput Note 8 ili Galaxy S8, to vidjeti i prije drugih, ali Google je zakrpu učinio dostupnom za sve uređaje. Očekujemo da ćemo vidjeti više vijesti od svih partnera kako bi nas obavijestili što možemo očekivati ​​i kada.

Što mogu učiniti?

Ako imate ranjiv proizvod, lako se možete zabiti u hype, ali ne biste trebali. I Spectre i Meltdown se ne "događaju" i ovise o tome da instalirate neku vrstu zlonamjernog softvera koji ih koristi. Sljedeći nekoliko sigurnih praksi omogućit će vam imunitet bilo kojeg iskorištavanja na bilo kojem hardveru računala.

• Instalirajte softver u koga vjerujete samo iz mjesta u koje imate povjerenje. Ovo je uvijek dobra ideja, ali posebno ako čekate flaster.
• Osigurajte svoje uređaje dobrim zaslonom i enkripcijom. Ovo znači i više nego što samo sprječava drugu osobu, jer aplikacije ne mogu ništa učiniti dok je vaš telefon zaključan bez vašeg dopuštenja.
• Pročitajte i razumite dopuštenja za sve što pokrećete ili instalirate na telefonu. Ovdje se ne bojte zatražiti pomoć!
• Koristite web preglednik koji blokira zlonamjerni softver. Možemo preporučiti Chrome ili Firefox, a drugi preglednici također vas mogu zaštititi od zlonamjernog softvera temeljenog na webu. Pitajte ljude koji ih izrađuju i distribuiraju ako niste sigurni. Web-preglednik koji ste dobili s telefonom možda nije najbolja opcija, pogotovo ako imate stariji model. Za Edge i Safari se vjeruje i za Windows ili MacOS i iOS uređaje.
• Ne otvarajte veze na društvenim mrežama, u e-pošti ili u bilo kojoj poruci od nekoga koga ne poznajete. Čak i ako su od ljudi koje poznajete, provjerite vjerujete li svom web pregledniku prije nego što kliknete ili dodirnete. Ovo je dvostruko za veze za preusmjeravanje koje maskiraju URL web lokacije. Takve veze koristimo prilično često, a vjerovatno je da postoje i mnogi internetski mediji koje čitate. Budi oprezan.
• Ne budi glup. Znate što to znači za vas. Vjerujte u svoju prosudbu i griješite na strani opreza.

Dobra vijest je da način na koji se zakrpaju iskorištavanja ovih bočnih kanala neće donijeti ogromna usporavanja koja su bila prekinuta prije objavljivanja ažuriranja. Tako funkcionira web, a ako čitate o tome kako će vaš telefon ili računalo biti 30% sporiji nakon primjene bilo kakvog popravka, to je bilo zbog prodaje senzacionalizma. Korisnici koji koriste ažurirani softver (i bili su tijekom testiranja) jednostavno ga ne vide.

Flaster nema utjecaj na izvedbu koji su neki tvrdili da će donijeti, a to je sjajna stvar.

Do ovoga je došlo jer ovi napadi mjere precizne vremenske intervale i početne zakrpe mijenjaju ili onemogućuju preciznost nekih vremenskih izvora putem softvera. Manje precizno znači sporije kad računate i učinak je pretjeran da je puno veći nego što jest. Čak i mala smanjenja performansi koja su rezultat zakrpa umanjuju druge tvrtke i vidimo kako NVIDIA ažurira način na koji njihovi GPU-ovi krcaju brojeve ili Mozilla kako radi na način izračunavanja podataka kako bi bili još brži. Vaš telefon neće biti sporiji na zakrpi za siječanj 2018. niti će vaše računalo ako nije jako staro, barem ne na bilo koji vidljiv način.

Prestanite se brinuti o tome i umjesto toga pobrinite se da učinite sve što možete kako biste zaštitili svoje podatke.

Što joj od svega toga oduzeti

Sigurnosna strašenja uvijek imaju nekakav stvarni utjecaj. Nitko nije vidio da se u divljini koriste slučajevi Meltdown ili Spectre i zato što je većina uređaja koje koristimo svaki dan ažurirana ili će biti vrlo brzo, izvještaji će vjerojatno ostati ovako. Ali to ne znači da ih treba zanemariti.

Sigurnosne prijetnje poput ove shvatite ozbiljno, ali nemojte pasti zbog svih hype-a; Biti informiran!

Ova iskorištavanja sporednih kanala mogla su postati veliki, ozbiljni događaji o kojima ljudi mijenjaju brige kada je u pitanju kibernetička sigurnost. Svaki eksploatacija koja utječe na hardver je ozbiljna, a kada napadne nešto što je učinjeno namjerno umjesto pogreške, postaje još ozbiljnija. Srećom, istraživači i programeri uspjeli su uhvatiti, zadržati i zakrpati Meltdown i Spectre prije nego što se dogodila bilo kakva široka upotreba.

Ono što je ovdje zaista važno jest da dobijete prave informacije, tako da znate što učiniti svaki put kad čujete o novom cyberthreat-u koji želi sve vaše digitalne stvari. Obično postoji racionalan način ublažavanja bilo kakvih ozbiljnih učinaka nakon što prođete kroz sve naslove.

Ostati siguran!

Možda ćemo zaraditi proviziju za kupovinu pomoću naših veza. Saznajte više.