Злом і криптовалюта: як це впливає на користувачів Android та хрому

Можливо, ви чули, що небо впало, і апокаліпсис безпеки стався через дві нові атаки під назвою Meltdown та Spectre. Якщо ви працюєте в ІТ чи будь-якій іншій галузі масштабної комп’ютерної інфраструктури, ви, мабуть, відчуваєте, що це теж є, і вже з нетерпінням чекаєте ваших канікульних днів 2018 року.

ЗМІ вперше почули чутки про цю всеохоплюючу експлуатацію наприкінці 2017 року, а останні звіти були бурхливо спекулятивними і, нарешті, змусили такі компанії, як Microsoft, Amazon та Google (чия команда Project Zero виявила всю справу) відповісти деталями. Ці деталі зробили цікавим для читання, якщо вас цікавлять подібні речі.

Але для всіх інших, незалежно від того, яким телефоном чи комп’ютером ви користуєтесь, багато чого з того, що ви читаєте чи чуєте, може звучати так, ніби це іншою мовою. Це тому, що це так, і якщо ви не вільно володієте кібер-гек-безпекою-техно-розмовою, вам, можливо, доведеться запустити це через якийсь перекладач.

Гарні новини! Ви знайшли цього перекладача, і ось що вам потрібно знати про Meltdown та Spectre, і що вам потрібно зробити з цим.

Які вони є

Meltdown і Spectre - це дві різні речі, але оскільки вони були розкриті одночасно і обидва мають справу з мікропроцесорною архітектурою на апаратному рівні, про них говорять разом. Телефон, яким ви користуєтесь зараз, майже напевно впливає на експлуатацію Spectre, але ніхто не знайшов способу його використання - поки що.

Процесор у вашому телефоні визначає, наскільки він вразливий до таких видів подвигів, але безпечніше припустити, що всі вони впливають на вас, якщо ви не впевнені. А оскільки вони не експлуатують помилку, а замість цього використовують процес, який повинен відбутися, без оновлення програмного забезпечення легко не виправити.

Подивіться на телефон у своїх руках; він вразливий до деяких з цих атак.

Комп'ютери (сюди входять також телефони та інші крихітні комп'ютери) покладаються на те, що називається ізоляцією пам'яті для безпеки між програмами. Не пам'ять, яка використовується для зберігання даних на тривалий термін, а пам'ять, яка використовується апаратним та програмним забезпеченням, коли все працює в режимі реального часу. Процеси зберігають дані окремо від інших процесів, тому жоден інший процес не знає, де або коли вони записуються чи читаються.

Усі додатки та сервіси, що працюють на вашому телефоні, хочуть, щоб процесор виконував певну роботу і постійно надає йому список речей, які потрібно обчислити. Процесор не виконує цих завдань у порядку їх отримання - це означатиме, що деякі частини процесора простоюють і чекають завершення інших частин, тому крок другий можна зробити після завершення першого кроку. Натомість процесор може перейти до кроку третього або кроку четвертого та зробити їх достроково. Це називається поза замовленням, і всі сучасні процесори працюють таким чином.

Meltdown і Spectre не використовують помилку - вони атакують спосіб обчислення даних процесора.

Оскільки процесор швидший, ніж будь-яке програмне забезпечення, він також трохи здогадується. Спекулятивне виконання - це коли процесор виконує обчислення, про які його ще не просили робити, грунтуючись на попередніх обчисленнях, які його просили виконати. Частина оптимізації програмного забезпечення для кращої продуктивності процесора - це дотримання кількох правил та інструкцій. Це означає, що більшість часу відбувається нормальний робочий процес, який буде дотримуватися, і процесор може пропустити вперед, щоб мати готові дані, коли програмне забезпечення вимагає цього. А оскільки вони такі швидкі, якщо дані не потрібні були, вони відкидаються. Це все ще швидше, ніж очікування запиту на виконання розрахунку.

Це спекулятивне виконання - це те, що дозволяє і Meltdown, і Spectre отримати доступ до даних, до яких вони інакше не зможуть отримати, хоча вони роблять це по-різному.

Зрив

Процесори Intel, новіші процесори серії A від Apple та інші ARM SoC, які використовують нове ядро ​​A75 (поки що це лише Qualcomm Snapdragon 845), вразливі до експлуатації Meltdown.

Meltdown використовує те, що називається "недоліком ескалації привілеїв", що надає додатку доступ до пам'яті ядра. Це означає, що будь-який код, який може отримати доступ до цієї області пам’яті - там, де відбувається зв’язок між ядром та процесором, - по суті, має доступ до всього, що потрібно для виконання будь-якого коду в системі. Коли ви можете запустити будь-який код, у вас є доступ до всіх даних.

Привид

Привид впливає майже на кожен сучасний процесор, в тому числі і на ваш телефон.

Spectre не потребує пошуку способу виконання коду на вашому комп’ютері, оскільки він може "обманути" процесор у виконанні інструкцій щодо нього, а потім надати доступ до даних інших програм. Це означає, що подвиг міг бачити, що роблять інші програми, і читати збережені ними дані. Те, як процесор обробляє впорядковані інструкції у галузях, - це те, де Spectre атакуються.

І Meltdown, і Spectre здатні викрити дані, які повинні бути зафіксовані пісочницею. Вони роблять це на апаратному рівні, тому ваша операційна система не викликає імунітету - Apple, Google, Microsoft, а також всі види операційних систем з відкритим кодом Unix та Linux мають однаковий вплив.

Через техніку, відому як динамічне планування, яка дозволяє зчитувати дані, оскільки їх обчислення замість цього потрібно спочатку зберігати, в оперативній пам’яті є достатньо чутливої ​​інформації для атаки для читання. Якщо вас цікавить подібне, матеріали, опубліковані Технологічним університетом в Граці, є захоплюючими. Але вам не потрібно їх читати чи розуміти, щоб захистити себе.

Я впливаю?

Так. Принаймні, ти був. В основному, на всіх постраждали, поки компанії не почали виправляти програмне забезпечення проти цих атак.

Програмне забезпечення, яке потребує оновлення, знаходиться в операційній системі, а значить, вам потрібен патч від Apple, Google або Microsoft. (Якщо ви використовуєте комп’ютер, який працює під управлінням Linux і не входить до infosec, ви вже отримали патч. Для його встановлення використовуйте оновлення програмного забезпечення або попросіть друга, який перебуває в infosec, провести вас через оновлення вашого ядра). Дивовижна новина полягає в тому, що Apple, Google і Microsoft вже випрацювали патчі або вже в найближчому майбутньому для підтримуваних версій.

Специфіка

• На процесори Intel з 1995 року, за винятком платформи Itanium та ATOM до 2013 року, впливають і Meltdown, і Spectre.
• Усі напади процесорів AMD зазнають нападу Spectre. Meltdown впливає на AMD PRO та AMD FX (AMD 9600 R7 та AMD FX-8320 як доказ концепції). Процесори в нестандартній конфігурації (увімкнено JF BPF JIT). Очікується, що аналогічна атака проти зчитування пам'яті бічних каналів можлива проти всіх 64-бітних процесорів, включаючи процесори AMD.
• Процесори ARM з ядрами Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 і A75 є підозрілими для атак Spectre. Процесори з ядрами Cortex A75 (Snapdragon 845) вразливі до атак Meltdown. Очікується, що мікросхеми, що використовують варіанти цих ядер, наприклад, Snapdragon лінії Qualcomm або Samsung Exynos, також матимуть подібні або однакові вразливості. Qualcomm працює безпосередньо з ARM і має це твердження щодо питань:

Qualcomm Technologies, Inc. знає про дослідження безпеки щодо вразливих процесорів уразливих процесів, про які повідомлялося. Забезпечення технологій, що підтримують надійну безпеку та конфіденційність, є пріоритетом для Qualcomm, і, таким чином, ми працювали з Arm та іншими, щоб оцінити вплив та розробити наслідки для наших клієнтів. Ми активно включаємо та розгортаємо пом'якшення проти вразливих ситуацій для наших продуктів, на які впливає вплив, і ми продовжуємо працювати над їх посиленням. Ми зараз розгортаємо ці пом'якшення для наших клієнтів і закликаємо людей оновлювати свої пристрої, коли патчі стануть доступними.

• NVIDIA визначила, що ці подвиги (або інші подібні подвиги, які можуть виникнути) не впливають на обчислення GPU, тому їх апаратне забезпечення в основному захищене. Вони працюватимуть з іншими компаніями над оновленням драйверів пристроїв, щоб допомогти пом'якшити будь-які проблеми з процесором, і вони оцінюють свої ARC на основі ARM (Tegra).

• Вебкіт, люди, які стоять за механізмом візуалізації браузера Safari і попередник двигуна Blink Google, мають чудову подію того, як саме ці атаки можуть вплинути на їх код. Значна частина цього стосується будь-якого перекладача чи компілятора, і це дивовижне читання. Подивіться, як вони працюють над тим, щоб це виправити, і не допускати цього наступного разу.

Простий англійською мовою це означає, що якщо ви все ще не використовуєте дуже старий телефон, планшет чи комп’ютер, ви повинні вважати себе вразливим без оновлення операційної системи. Ось що ми знаємо поки що на цьому фронті:

• Google виправила Android проти атак Spectre та Meltdown за допомогою патчів грудня 2017 та січня 2018 року.
• Google в грудні 2017 року випрацював Chromebook, використовуючи версії ядра 3.18 та 4.4 з ОС 63. Пристрої з іншими версіями ядра (дивіться тут, щоб знайти свої) незабаром будуть виправлені. Простий англійською мовою: Chromebook Toshiba, Acer C720, Dell Chromebook 13 та Chromebook Pixels 2013 та 2015 років (і деякі імена, про які ви, напевно, ніколи не чули) ще не виправлені, але незабаром будуть. Більшість Chromebox, Chromebases та Chromebits не виправлені, але незабаром будуть.
• Для пристроїв Chrome OS, які не виправлені, нова функція захисту під назвою Ізоляція сайту позбавить від цих атак будь-які проблеми.
• Microsoft зафіксувала обидва подвиги станом на січень 2018 року.
• Apple випрацювала macOS та iOS проти Meltdown, починаючи з грудневого оновлення. Перший раунд оновлень Spectre був витіснений на початку січня. Перевірте iMore про все, що вам потрібно знати про ці недоліки процесора та про те, як вони впливають на ваш Mac, iPad та iPhone.
• Патчі були надіслані до всіх підтримуваних версій ядра Linux, і такі операційні системи, як Ubuntu або Red Hat, можна оновити через додаток для оновлення програмного забезпечення.

Що стосується специфіки Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 та Pixel 2 XL були зафіксовані, і незабаром ви побачите оновлення, якщо ви ще не отримали його. Ви також можете вручну оновити ці пристрої, якщо хочете. Проект з відкритим кодом Android (код, який використовується для створення ОС для кожного телефону Android) також був виправлений, і сторонні дистрибутиви, такі як LineageOS, можуть бути оновлені.

Як вручну оновити Pixel або Nexus

Samsung, LG, Motorola та інші постачальники Android (компанії, що виробляють телефони та планшети та телевізори) будуть виправляти свої продукти оновленням січня 2018 року. Деякі, як Note 8 або Galaxy S8, побачать це раніше, але Google зробив виправлення доступним для всіх пристроїв. Ми очікуємо, що ми побачимо більше новин від усіх партнерів, щоб повідомити нам, чого очікувати і коли.

Що я можу зробити?

Якщо у вас є вразливий продукт, його легко зациклювати на галасі, але не слід. І Spectre, і Meltdown не "відбуваються просто" і залежать від того, як ви встановите зловмисне програмне забезпечення, яке використовує їх. Дотримуючись кількох безпечних практик, ви позбавите себе від будь-якого використання будь-якого комп'ютерного обладнання.

• Встановлюйте програмне забезпечення, якому ви довіряєте, лише з місця, якому ви довіряєте. Це гарна ідея завжди, але особливо, якщо ви чекаєте виправлення.
• Захистіть свої пристрої хорошим блокувальним екраном та шифруванням. Це більше, ніж просто уникнути іншої людини, оскільки програми не можуть нічого робити, поки телефон заблокований без вашого дозволу.
• Прочитайте та зрозумійте дозволи на все, що ви запускаєте чи встановлюєте на своєму телефоні. Тут не бійтеся просити допомоги!
• Використовуйте веб-браузер, який блокує зловмисне програмне забезпечення. Ми можемо рекомендувати Chrome або Firefox, а інші веб-переглядачі можуть також захистити вас від шкідливих програм на базі веб-сторінок. Попросіть людей, які їх виготовляють та розповсюджують, якщо ви не впевнені. Веб-браузер, який постачається разом із вашим телефоном, може бути не найкращим варіантом, особливо якщо у вас є старша модель. Edge та Safari також довіряють пристроям Windows або MacOS та iOS.
• Не відкривайте посилання в соціальних мережах, в електронній пошті чи в будь-якому повідомленні від когось, кого ви не знаєте. Навіть якщо вони є людьми, яких ви знаєте, переконайтеся, що ви довіряєте своєму веб-переглядачу, перш ніж натиснути або натиснути. Це подвійне значення для посилань на переадресацію, що маскують URL-адресу сайту. Ми використовуємо такі посилання досить часто, і, швидше за все, існує чимало засобів масової інформації, які ви читаєте. Будь обережний.
• Не будь дурним. Ви знаєте, що це означає для вас. Довіряйте своїм судженням і помиляйтеся на стороні обережності.

Хороша новина полягає в тому, що спосіб виправлення цих побічних каналів не призведе до величезних уповільнень, які були перешкоджені до виходу будь-яких оновлень. Ось так працює Інтернет, і якщо ви читаєте про те, як ваш телефон чи комп’ютер буде на 30% повільніше після застосування будь-якого виправлення, це тому, що продається сенсаційність. Користувачі, які працюють із оновленим програмним забезпеченням (і тестувались), просто не бачать його.

Патч не має впливу на продуктивність, який деякі заявляли, що це принесе, і це чудова річ.

Це все сталося через те, що ці атаки вимірюють точні часові інтервали, а початкові виправлення змінюють або вимикають точність деяких джерел часу через програмне забезпечення. Менш точні засоби повільніше, коли ви здійснюєте обчислення, і вплив був перебільшений, щоб бути набагато більшим, ніж є. Навіть незначне зниження продуктивності, що є результатом виправлень, зменшується іншими компаніями, і ми бачимо, що NVIDIA оновлює спосіб стискання їхніх чисел GPU або Mozilla, що працює над тим, як вони обчислюють дані, щоб зробити їх ще швидшими. Ваш телефон не буде повільніше на січні 2018 року патч, і ваш комп'ютер не буде, якщо він дуже старий, принаймні, не помітним чином.

Перестаньте турбуватися про це і замість цього переконайтесь, що зробите все можливе, щоб зберегти ваші дані.

Що від цього все забрати

Відлякування безпеки завжди мають певний реальний вплив. Ніхто не бачив жодного випадку, коли Meltdown або Spectre використовуються в дикій природі, і оскільки більшість пристроїв, якими ми користуємось щодня, оновлюються або будуть дуже скоро, звіти, ймовірно, залишаться таким. Але це не означає, що їх слід ігнорувати.

Ставтеся до подібних загроз безпеці, але не підпадайте під будь-яку ажіотаж; бути проінформованим!

Ці подвиги бічних каналів могли стати такою великою, серйозною подією, що змінює ігри, про яку люди хвилюються, коли справа стосується кібербезпеки. Будь-який подвиг, який впливає на обладнання, є серйозним, і коли він атакує щось зроблено навмисно замість помилки, він стає ще серйознішим. На щастя, дослідники та розробники змогли зловити, утримати та виправити Meltdown та Spectre до того, як трапилось будь-яке широке використання.

Тут дійсно важливо, що ви отримуєте потрібну інформацію, щоб ви знали, що робити щоразу, коли ви чуєте про нову кібер-обробку, яка хоче всіх ваших цифрових матеріалів. Зазвичай існує раціональний спосіб пом'якшити будь-які серйозні наслідки, коли ви перекопаєте всі заголовки.

Залишатися в безпеці!

Ми можемо заробляти комісію за покупки, використовуючи наші посилання. Вчи більше.