Meltdown heck and spectter bug: kako to vpliva na android & chrome uporabnike

Morda ste slišali, da je nebo padlo in se je zgodila varnostna apokalipsa zaradi dveh novih napadov z imenom Meltdown in Spectre. Če delate v IT-ju ali katerem koli drugem območju obsežne računalniške infrastrukture, se verjetno počutite, kot ga ima, in se že veselite svojih počitniških dni 2018.

Mediji so prvič slišali govorice o tej vseobsegajoči podvigi konec leta 2017, nedavna poročila pa so bila divje špekulativna in so končno prisilila podjetja, kot so Microsoft, Amazon in Google (katerih ekipa Project Zero je odkrila vso stvar), da so se odzvale s podrobnostmi. Te podrobnosti so omogočile zanimivo branje, če vas tovrstne stvari zanimajo.

Toda za vse druge, ne glede na to, kateri telefon ali računalnik uporabljate, se lahko veliko tega, kar berete ali poslušate, sliši, kot da je v drugem jeziku. To je zato, ker je tako, in če ne govorite cyber-geek-security-techno-speak, bi ga morda morali voditi prek neke vrste prevajalca.

Dobre novice! Našli ste prevajalca in tukaj morate vedeti o Meltdown in Spectre in kaj morate storiti glede tega.

Kakšni so

Meltdown in Spectre sta dve različni stvari, a ker sta bili razkriti hkrati in se oba ukvarjata z mikroprocesorsko arhitekturo na strojni ravni, se o njih pogovarjata skupaj. Na telefon, ki ga trenutno uporabljate, skoraj zagotovo vpliva izkoriščanje Spectre, vendar še nihče ni našel načina, kako bi ga uporabil.

Procesor v vašem telefonu določa, kako ranljiv je za te vrste izkoriščanja, vendar je varneje domnevati, da vsi vplivajo na vas, če niste prepričani. In ker ne izkoriščajo napake in namesto tega uporabljajo postopek, ki naj bi se zgodil, brez posodobitve programske opreme ni enostavno popraviti.

Poglejte telefon v svojih rokah; ranljiv je za nekatere od teh napadov.

Računalniki (kamor spadajo tudi telefoni in drugi drobni računalniki) se za varnost med aplikacijami zanašajo na tako imenovano spominsko izolacijo. Ne pomnilnika, ki se uporablja za dolgoročno shranjevanje podatkov, temveč pomnilnika, ki ga strojna in programska oprema uporabljata, medtem ko vse deluje v realnem času. Procesi shranjujejo podatke ločeno od drugih procesov, tako da noben drug postopek ne ve, kje ali kdaj se zapiše ali prebere.

Vse aplikacije in storitve, ki se izvajajo v vašem telefonu, želijo, da bi procesor opravil nekaj dela in mu nenehno dajal seznam stvari, ki jih je treba izračunati. Procesor teh nalog ne opravi v vrstnem redu, ki ga je prejel - to bi pomenilo, da so nekateri deli procesorja v prostem teku in čakajo, da se drugi deli končajo, zato bi drugi korak lahko izvedli po zaključku prvega koraka. Namesto tega se lahko procesor premakne na korak tri ali korak štiri in jih opravi pred časom. Temu se reče zunaj izvajanja in vsi sodobni procesorji delujejo na ta način.

Meltdown in Spectre ne izkoriščata hrošča - napadata način, kako procesor izračuna podatke.

Ker je CPU hitrejši, kot bi lahko bila vsaka programska oprema, se tudi nekoliko ugiba. Špekulativna izvedba je, ko CPU opravi izračun, ki ga še ni zahteval, na podlagi predhodnih izračunov, ki jih je moral opraviti. Del optimizacije programske opreme za boljše delovanje procesorja je upoštevanje nekaj pravil in navodil. To pomeni, da je večino časa običajen delovni tok, ki mu bo sledil in CPU lahko preskoči naprej, da so pripravljeni podatki, ko programska oprema to zahteva. In ker so tako hitri, če podatki navsezadnje ne bi bili potrebni, se vržejo v stran. To je še vedno hitreje od čakanja na zahtevo za izvedbo izračuna.

Ta špekulativna izvedba omogoča Meltdownu in Spectru dostop do podatkov, do katerih sicer ne bi mogli priti, čeprav to počnejo na različne načine.

Stopiti

Intelovi procesorji, novejši procesorji serije A in drugi ARM SoC-ji, ki uporabljajo novo jedro A75 (zaenkrat je to samo Qualcomm Snapdragon 845), so izpostavljeni izkoriščanju Meltdown-a.

Prekinitev izkorišča tako imenovano "napako stopnjevanja privilegijev", ki aplikaciji omogoča dostop do pomnilnika jedra. To pomeni, da vsaka koda, ki lahko dobi dostop do tega področja pomnilnika - kjer se zgodi komunikacija med jedrom in procesorjem - v bistvu ima dostop do vsega, kar potrebuje za izvajanje katere koli kode v sistemu. Ko lahko zaženete katero koli kodo, imate dostop do vseh podatkov.

Spekter

Spectre prizadene skoraj vsak sodoben procesor, tudi tistega v telefonu.

Spectru ni treba najti načina za izvršitev kode v računalniku, saj lahko procesor "zavede" proces izvajanja navodil zanj in mu nato omogoči dostop do podatkov iz drugih aplikacij. To pomeni, da bi podvig lahko videl, kaj počnejo druge aplikacije, in prebral podatke, ki jih shrani. Način, kako procesor obdeluje navodila v vrstnih oddelkih, je tam, kjer Spectre napadejo.

Tako Meltdown kot Spectre lahko izpostavijo podatke, ki jih je treba izmeriti v pesku. To počnejo na strojni ravni, tako da vaš operacijski sistem ni imunski - Apple, Google, Microsoft in vse vrste odprtokodnih operacijskih sistemov Unix in Linux so enako prizadeti.

Zaradi tehnike, ki je znana kot dinamično načrtovanje, ki omogoča branje podatkov, saj je računalništvo, namesto da bi ga bilo treba najprej shraniti, je v RAM-u veliko občutljivih informacij za napad, ki ga je mogoče brati. Če vas ta vrsta stvari zanima, so beli prispevki, ki jih je objavila tehnološka univerza v Gradcu, očarljive bere. Vendar vam jih ni treba prebrati ali razumeti, da se zaščitite.

Sem prizadet?

Da. Vsaj bili ste. V bistvu so bili prizadeti vsi, dokler podjetja niso začela popravljati svoje programske opreme pred temi napadi.

Programska oprema, ki jo potrebuje posodobitev, je v operacijskem sistemu, kar pomeni, da potrebujete obliž Apple, Google ali Microsoft. (Če uporabljate računalnik z operacijskim sistemom Linux in ni v infosec-u, imate že nameščen obliž. Namestite ga s programom za posodabljanje programske opreme ali prosite prijatelja, ki je v infosec, da vas vodi po posodobitvi jedra). Presenetljiva novica je, da so Apple, Google in Microsoft že v bližnji prihodnosti že nameščeni popravki za podprte različice.

Posebnosti

• Intelova procesorja od leta 1995, razen platforme Itanium in ATOM pred letom 2013, vplivata tako Meltdown kot Spectre.
• Napad Spectra so prizadeti vsi sodobni AMD-jevi procesorji. Meltdown vpliva na AMD PRO in AMD FX (AMD 9600 R7 in AMD FX-8320 sta bila dokazano za koncept). Procesorje v nestandardni konfiguraciji (omogočeno je JF BPF jedro). Pričakuje se, da je podoben napad na odčitavanje pomnilnika na stranskih kanalih mogoč proti vsem 64-bitnim procesorjem, vključno s procesorji AMD.
• Procesorji ARM s Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 in A75 jedri so podvrženi napadom Spectre. Procesorji z jedri Cortex A75 (Snapdragon 845) so izpostavljeni napadom Meltdown. Pričakuje se, da bodo čipi, ki uporabljajo različice teh jeder, na primer Qualcommova Snapdragon linija ali Samsungova linija Exynos, imeli tudi podobne ali enake ranljivosti. Qualcomm neposredno sodeluje z ARM in ima to izjavo glede vprašanj:

Qualcomm Technologies, Inc. se zaveda varnostnih raziskav o ranljivosti za celotno industrijsko procesorje, o katerih so poročali. Zagotavljanje tehnologij, ki podpirajo zanesljivo varnost in zasebnost, je za Qualcomm prednostna naloga, zato smo z Arm in drugimi sodelovali pri oceni vpliva in razvoju omilitev za naše stranke. Aktivno vključujemo in uvajamo ukrepe za zmanjšanje ranljivosti naših prizadetih izdelkov in še naprej si prizadevamo za njihovo krepitev. Trenutno izvajamo te omilitve za naše stranke in ljudi spodbujamo, naj posodobijo svoje naprave, ko bodo na voljo obliži.

• NVIDIA je ugotovila, da ti podvigi (ali drugi podobni podvigi, ki se lahko pojavijo) ne vplivajo na računalništvo GPU-ja, zato je njihova strojna oprema večinoma imuna. Z drugimi podjetji bodo sodelovali pri posodabljanju gonilnikov naprav, da bi olajšali morebitne težave z zmogljivostmi procesorja, in ocenjevali svoje SoC-e (Tegra), ki temeljijo na ARM-ju.

• Webkit, ljudje, ki stojijo za mehanizmom za upodabljanje brskalnika Safari in predhodnik Googlovega motorja Blink, imajo odlično razčlenitev, kako lahko ti napadi vplivajo na njihovo kodo. Veliko tega bi veljalo za katerega koli tolmača ali prevajalca in je neverjetno branje. Oglejte si, kako si prizadevajo, da bi to odpravili in preprečili, da bi se to zgodilo naslednjič.

V navadni angleščini to pomeni, da se morate, če ne uporabljate še zelo starega telefona, tabličnega računalnika ali računalnika, ogrožati brez posodobitve operacijskega sistema. Tukaj je tisto, kar vemo na tej fronti:

• Google je Android zakrpal tako z napadi Spectre kot Meltdown z popravki decembra 2017 in januarja 2018.
• Google je decembra 2017 zakrpal Chromebook z različicama jeder 3.18 in 4.4 z operacijskim sistemom OS 63. Naprave z drugimi različicami jedra (poglejte tukaj, da najdete svoje) bodo kmalu zakrpljene. V preprosti angleščini: Chromebook Toshiba, Acer C720, Dell Chromebook 13 in Chromebook Pixels iz let 2013 in 2015 (in nekatera imena, ki jih verjetno še niste slišali) še niso zakrpani, vendar bodo kmalu. Večina brskalnikov Chromebox, Chromebases in Chromebits niso zakrpani, vendar bodo kmalu.
• Za naprave z operacijskim sistemom Chrome, ki niso zakrpane, bo nova varnostna funkcija, imenovana Izolacija spletnih mest, ublažila vse težave zaradi teh napadov.
• Microsoft je oba izkorišča zakrpal z januarjem 2018.
• Apple je popravil macOS in iOS proti Meltdownu, začenši z decembrsko posodobitvijo. Prvi krog posodobitev Spectra so prestavili v začetku januarja. Oglejte si iMore za vse, kar morate vedeti o teh napakah procesorja in kako vplivajo na vaš Mac, iPad in iPhone.
• Obliži so bili poslani v vse podprte različice jedra Linuxa, operacijske sisteme, kot sta Ubuntu ali Red Hat, pa je mogoče posodobiti prek aplikacije za posodobitev programske opreme.

Za specifike za Android so zakrpani Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 in Pixel 2 XL in kmalu bi morali videti posodobitev, če je še niste prejeli. Če želite, lahko te naprave tudi ročno posodobite. Projekt Android Open Source (koda, ki se uporablja za izdelavo operacijskega sistema za vsak telefon Android) je bil prav tako zakrpan in je mogoče posodobiti distribucije drugih proizvajalcev, kot je LineageOS.

Kako ročno posodobiti Pixel ali Nexus

Samsung, LG, Motorola in drugi prodajalci Android (podjetja, ki izdelujejo telefone in tablične računalnike ter televizorje) bodo svoje izdelke popravili s posodobitvijo januarja 2018. Nekateri, kot sta Note 8 ali Galaxy S8, bodo to videli že pred drugimi, Google pa je obliž omogočil za vse naprave. Pričakujemo, da bomo od vseh partnerjev videli več novic in nam sporočili, kaj lahko pričakujemo in kdaj.

Kaj lahko naredim?

Če imate izdelek, ki je ranljiv, se ga lahko hitro ujamete, vendar ne bi smeli. Tako Spectre kot Meltdown se ne zgodita samo in sta odvisna od nameščanja neke zlonamerne programske opreme, ki jih uporablja. Če sledite nekaj varnim praksam, boste imuni pred uporabo katerega koli računalniške strojne opreme.

• Namestite samo programsko opremo, ki ji zaupate, iz mesta, ki ji zaupate. To je vedno dobra ideja, še posebej pa, če čakate na obliž.
• Zavarujte svoje naprave z dobrim zaklenjenim zaslonom in šifriranjem. To pomeni več kot samo to, da drugo osebo ne izpustite, saj aplikacije ne morejo storiti ničesar, medtem ko je vaš telefon zaklenjen brez vašega dovoljenja.
• Preberite in razumejte dovoljenja za vse, kar zaženete ali namestite v telefonu. Ne bojte se prositi za pomoč tukaj!
• Uporabite spletni brskalnik, ki blokira zlonamerno programsko opremo. Priporočamo lahko Chrome ali Firefox, drugi brskalniki pa vas lahko zaščitijo tudi pred spletno zlonamerno programsko opremo. Če niste prepričani, vprašajte ljudi, ki jih izdelujejo in distribuirajo. Spletni brskalnik, ki ste ga dobili s telefonom, morda ni najboljša možnost, še posebej, če imate starejši model. Edge in Safari zaupate tudi napravam Windows ali MacOS in iOS.
• Ne odpirajte povezav na družbenih medijih, e-pošti ali v katerem koli sporočilu nekoga, ki ga ne poznate. Tudi če so od ljudi, ki jih poznate, se prepričajte, da zaupate spletnemu brskalniku, preden kliknete ali tapnete. To se podvoji za povezave preusmeritve, ki prikrivajo URL spletnega mesta. Takšne povezave uporabljamo precej pogosto in verjetno je tudi veliko spletnih medijev, ki jih preberete. Bodi previden.
• Ne bodi neumen. Veste, kaj to pomeni za vas. Zaupajte svoji presoji in zmoti na strani previdnosti.

Dobra novica je, da način, kako se ti izkoristijo stranski kanali , ne bo prinesel ogromnih upočasnitev, ki so bile zastavljene pred izdajo kakršnih koli posodobitev. Tako deluje splet in če berete o tem, kako naj bi bil vaš telefon ali računalnik po uporabi kakršnega koli popravka za 30% počasnejši, je to zato, ker se prodaja senzacionalizem. Uporabniki, ki izvajajo posodobljeno programsko opremo (in so bili med testiranjem), je preprosto ne vidijo.

Obliž nima vpliva na uspešnost, za katerega so nekateri trdili, da bi to prinesel, in to je odlična stvar.

Do tega je prišlo, ker ti napadi merijo natančne časovne intervale in začetni popravki spremenijo ali onemogočijo natančnost nekaterih časovnih virov prek programske opreme. Manj natančno pomeni počasneje, ko računate in je bil vpliv pretiran, da je veliko večji, kot je. Celo majhne zmogljivosti, ki so posledica popravkov, ublažijo druga podjetja in vidimo, da NVIDIA posodablja način, kako njihove številke GPU-jev krčijo, ali Mozilla, ki deluje na način izračuna podatkov, da bi bila še hitrejša. Vaš telefon ne bo počasnejši na obliž januarja 2018 in tudi računalnik ne bo, če ni zelo star, vsaj ne na noben opazen način.

Nehajte skrbeti za to in namesto tega poskrbite za vse, kar je v vaši moči.

Kaj odvzeti od vsega tega

Varnostni strahovi imajo vedno neke resnične posledice. Nihče še ni videl, da bi se v naravi uporabljali primerki Meltdown ali Spectre, in ker je večina naprav, ki jih uporabljamo vsak dan, posodobljenih ali pa bodo zelo kmalu, poročila bodo verjetno ostala takšna. Vendar to ne pomeni, da jih je treba prezreti.

Tako nevarne varnostne grožnje jemljite resno, vendar ne sodite po vsej silovitosti; biti obveščen!

Ta izkoriščanja stranskih kanalov bi lahko bila tako velik, resen dogodek, ki spreminja igre, ki ga ljudje skrbijo o kibernetski varnosti. Vsak izkoriščanje, ki vpliva na strojno opremo, je resno, in ko napade nekaj, kar je bilo namenjeno namesto hrošča, postane še bolj resno. K sreči so raziskovalci in razvijalci uspeli ujeti, zadržati in zalepiti Meltdown in Spectre, preden se je zgodila kakršna koli široka uporaba.

Tukaj je res pomembno, da dobite prave informacije, tako da veste, kaj storiti vsakič, ko slišite novo spletno mrežo, ki želi vse vaše digitalne stvari. Običajno obstaja racionalen način za ublažitev kakršnih koli resnih učinkov, ko prečkate vse naslove.

Ostani varen!

Za nakupe s pomočjo naših povezav bomo morda zaslužili provizijo. Nauči se več.