V tomto digitálnom technologickom veku nám technológia pomáha pri vzájomnom prepojení a výrobe. Ale premýšľali ste niekedy o tom, akí sú bezpeční? No, nové zraniteľnosti pomenované prízrak a Meltdown, ktoré využívajú kritické zraniteľnosti v moderných procesoroch. Tieto hardvérové chyby umožňujú programom ukradnúť spracovávané údaje v počítači.
Zraniteľnosť roztavenia
Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.
Táto chyba zabezpečenia by umožňovala útoky škodlivého charakteru, keď by hacker mohol narušiť rozlišujúci faktor medzi aplikáciami, ktoré používa používateľ a hlavnou pamäťou počítača.
závažnosť:
Radi by sme zavolať Meltdown jedna z najnebezpečnejších zraniteľností, ktorá sa objavila aspoň pre procesor. Daniel Gruss je jedným z vedcov na technickej univerzite v Grazi a je jedným z ľudí zodpovedných za objavenie tejto chyby. Vo vyhlásení povedal:
Meltdown is probably one of the worst CPU bugs ever found!
Hovoril tiež o naliehavosti tejto situácie a o tom, aké dôležité je vyriešiť túto chybu tak rýchlo, ako to ponecháva vážnu zraniteľnosť pre používateľov po celom svete. To zanecháva milióny zariadení, ktoré sú vystavené vážnym útokom. Je to dôležité, aby bolo možné opraviť, pretože všetko, čo sa spúšťa ako aplikácia, môže ukradnúť vaše dáta. To zahŕňa akékoľvek aplikačné programy alebo skript Javascript spustený na webovej stránke v ktoromkoľvek danom prehliadači. To robí Meltdown pre nás naozaj nebezpečné a ľahké pre hackerov.
Zraniteľnosť spektra
Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre
Spektra sa trochu líši od roztavenia. Je to preto, že umožňuje hackerom zablokovať aplikácie (dokonca aj stabilné verzie príslušnej aplikácie), ktoré bežia na stroji, aby sa hackerovi vzdali tajných informácií z modulu Kernal operačného systému so súhlasom alebo znalosťou používateľa,
závažnosť:
Hoci je pre hackerov ťažšie využiť, mali by ste byť vždy opatrní, pretože ste zraniteľní. Treba tiež poznamenať, že je ťažšie byť opravené a môže viesť k väčšej otázke v dlhodobých plánoch.
Ste postihnutí zraniteľnosťami Spectre alebo Meltdown?
Desktop, laptop a Cloud počítače môžu byť ovplyvnené Meltdown. Každý procesor Intel, ktorý implementuje vykonanie mimo objednávky, je potenciálne ovplyvnený, čo je od roku 1995 efektívne každý procesor (s výnimkou Intel Itanium a Intel Atom pred rokom 2013). V súčasnosti nie je jasné, či procesory ARM a AMD sú tiež ovplyvnené funkciou Meltdown.
Pokiaľ ide o Spectre, takmer každý systém je ovplyvnený - desktopy, notebooky, cloud servery a tiež smartphony.
No, ak používate niektorý z moderných procesorov bez ohľadu na to, či sú vyrobené spoločnosťou Intel, AMD alebo ARM alebo akým zariadením ich používate, ste zraniteľní pre Spectre.
Na druhej strane, ak používate čipy Intel, ktoré boli vyrobené od roku 1995, ste zraniteľní. Existuje však výnimka z čipov Itanium a Atom, ktoré boli vyrobené pred rokom 2013.
Kto bol zatiaľ napadnutý?
Podľa informácií z Národného centra Cyber Security v Spojenom kráľovstve nie je žiadna aktuálna stopa Meltdown alebo Spectra, ktorá by ovplyvnila akékoľvek stroje po celom svete, ale tiež stojí za zmienku, že tieto útoky sú také citlivé, že sú skutočne ťažko zistené.
Odborníci uviedli, že očakávajú, že hackeri rýchlo rozvinú programy, ktoré začnú útočiť na používateľov na základe zraniteľnosti, pretože sú teraz verejné. Generálny riaditeľ Cybersecurity Consulting firmy Trail of Bits, Dan Guido povedal:
Exploits for these bugs will be added to hackers’ standard toolkits.
Tu je návod, ako zostať v bezpečí:
Čo musíte urobiť je držte všetko vy r zariadenia s najnovšími opravami. Povolenie prísnej izolácie stránok v prehliadači Chrome a zabránenie načítaniu kódu JavaScript sú ďalšími opatreniami, ktoré môžete vykonať.
Avšak, US CERT povedal - "Nahradiť hardvér CPU. Základná zraniteľnosť je v prvom rade spôsobená voľbou návrhu architektúry CPU. Úplné odstránenie zraniteľnosti vyžaduje výmenu zraniteľného hardvéru CPU."
Vieme, že opravy pre operačné systémy Linux a Windows sú už k dispozícii. Chromebooky sú už v bezpečí, ak používajú systém Chrome OS 63, ktorý bol sprístupnený verejnosti v polovici decembra. Ak je váš telefón s Androidom spustený najnovší balík zabezpečenia, je už chránený. Pre používateľov, ktorí používajú telefóny s Androidom od iných výrobcov OEM, ako je OnePlus, Samsung alebo iný výrobca OEM, musíte počkať na ich aktualizáciu. Väčšina populárnych prehliadačov a vývojárov softvéru tiež vydala aktualizácie - a musíte sa uistiť, že ste aktualizovali softvér na najnovšiu verziu.
Microsoft vydala cmdlet PowerShell, ktorý vám umožní zistiť, či váš počítač s operačným systémom Windows je ovplyvnený zraniteľnosťou procesora Meltdown a Spectre CPU a navrhol spôsob, ako chrániť váš systém pred touto chybou.
Zoznam nepretržite aktualizovaných kompatibilných antivírusových a bezpečnostných programov nájdete tu.
Majú tieto opravy vplyv na výkon môjho stroja?
No, hovorí sa, že opravy pre Spectre okamžite neovplyvnia výkon stroja, ale opravy pre Meltdown významne ovplyvnia výkonnosť.
Ak sa chcete dozvedieť viac o týchto zraniteľných miestach, môžete o tejto oficiálnej dokumentácii odkázať tu.
Súvisiace čítanie: Procesory Intel majú chyby v dizajne, čo vedie k "Kernal Memory Leaking".
