Sretna Nova godina! Tri velike sigurnosne greške u procesorima Intel, AMD, ARM i drugim otkrivene su u srijedu (3. siječnja). Microsoft je izdao zakrpu za hitne slučajeve za sve podržane verzije sustava Windows, uključujući Windows 7, Windows 8.1 i Windows 10, ali je dodao da bi korisnici trebali primijeniti i ažuriranja firmvera kada postanu dostupna od proizvođača uređaja. Google je popravio nedostatak u Androidu ažuriranjem za siječanj 2022-2023.-2022., Objavljenim u utorak (2. siječnja), iako ga zasad imaju samo uređaji kojima upravlja Google. Zakrpe za macOS, iOS i Linux možda još nisu u potpunosti dostupne.
Dva napada s dokazom koncepta, nazvana "Meltdown" i "Spectre", iskorištavaju ove tri nedostatke, koji se tiču načina na koji moderni računalni procesori postupaju s tekućom memorijom aplikacija i jezgrom, odnosno jezgrom, na trenutnim operativnim sustavima.
"Meltdown i Spectre rade na osobnim računalima, mobilnim uređajima i u oblaku", kažu web stranice posvećene svakoj grešci, koje imaju identičan sadržaj. "Ovisno o infrastrukturi davatelja usluga u oblaku, možda će biti moguće ukrasti podatke od drugih korisnika."
Objava na Google blogu objašnjava da su nedostaci omogućili da "neovlaštena strana može pročitati osjetljive podatke u memoriji sustava, kao što su lozinke, ključevi za šifriranje ili osjetljivi podaci otvoreni u aplikacijama".
Meltdown briše granice između procesa jezgre i korisničkih procesa i čini se da je ograničen na Intelove čipove. Spectre krade podatke iz pokrenutih aplikacija, a radi i na AMD i ARM čipovima. Web stranice Spectre i Meltdown nisu detaljno opisale utjecaj na različite skupove čipova koji se koriste na mobilnim uređajima.
AMD je, međutim, porekao da je na njega utjecao bilo koji nedostatak.
"AMD nije osjetljiv na sve tri varijante", rekla je tvrtka za CNBC. "Zbog razlika u AMD-ovoj arhitekturi, vjerujemo da u ovom trenutku postoji gotovo nula rizika za AMD procesore."
Što uraditi
Ako koristite Windows 7, 8.1 ili 10, trebali biste primijeniti danas objavljeno sigurnosno ažuriranje za Windows. Rane verzije zakrpa poslane su korisnicima sustava Windows Insider u studenom i prosincu.
"U tijeku je implementacija mjera ublažavanja na usluge u oblaku i danas objavljujemo sigurnosna ažuriranja kako bismo zaštitili korisnike Windowsa od ranjivosti koje utječu na podržane hardverske čipove iz AMD -a, ARM -a i Intela", djelomično nam je dano u Microsoftovoj izjavi. "Nismo primili nikakve podatke koji bi ukazivali na to da su te ranjivosti korištene za napad na naše klijente."
Međutim, postoji nekoliko ulova. Prvo, osim ako ne koristite prijenosno računalo ili tablet koje je osigurao Microsoft, poput Surface, Surface Pro ili Surface Book, morat ćete primijeniti i ažuriranje firmvera od proizvođača računala.
"Korisnici koji instaliraju samo sigurnosna ažuriranja za sustav Windows januar 2022-2023.-2022. Neće imati koristi od svih poznatih zaštita od ranjivosti", stoji u Microsoftovom dokumentu za podršku objavljenom na internetu. "Osim instaliranja sigurnosnih ažuriranja u siječnju, potrebno je ažuriranje mikrokoda procesora ili firmvera. To bi trebalo biti dostupno kod proizvođača vašeg uređaja. Površinski korisnici primit će ažuriranje mikrokoda putem ažuriranja za Windows."
Drugo, Microsoft inzistira na tome da se korisnici prije primjene zakrpe pobrinu da "podrže" pokrenuti antivirusni softver. U zasebnom dokumentu koji objašnjava novu sigurnosnu zakrpu, Microsoft kaže da će zakrpu automatski dobiti samo strojevi s takvim softverom.
Nije jasno što Microsoft misli pod "podržanim" antivirusnim softverom ili zašto Microsoft inzistira na tome da bi takav softver trebao biti na računalu prije nego što se zakrpa primijeni. Postoji veza na dokument koji bi trebao objasniti sve ovo, ali od ovog pisanja u srijedu kasno navečer, veza nije otišla nikamo.
Na kraju, Microsoft priznaje da s zakrpama postoje "potencijalni utjecaji na performanse". Drugim riječima, nakon što primijenite zakrpe, stroj bi mogao raditi sporije.
"Za većinu potrošačkih uređaja utjecaj možda neće biti zamjetan", stoji u savjetu. "Međutim, specifični utjecaj ovisi o proizvodnji hardvera i implementaciji od strane proizvođača čipova."
Da biste ručno pokrenuli Windows Update, kliknite gumb Start, kliknite ikonu zupčanika Postavke, kliknite Ažuriranja i sigurnost i kliknite Provjeri ažuriranja.
Korisnici Applea trebali bi instalirati buduća ažuriranja klikom na ikonu Apple, odabirom App Store -a, klikom na Ažuriranja i klikom na Ažuriranje pored bilo koje stavke iz Applea. Na Twitteru je bilo nepotvrđeno izvješće da je Apple već popravio nedostatke s macOS -om 10.13.2 početkom prosinca, ali identifikacijski brojevi ranjivosti (CVE) obuhvaćeni prosinačkim zakrpama za Apple ne podudaraju se s onima dodijeljenima Meltdown -u i Spectreu.
Linux strojevi također će zahtijevati zakrpe, a čini se da bi nešto moglo biti gotovo spremno. Kao što je gore spomenuto, sigurnosna zakrpa za Android u siječnju 2022-2023.-2022. Popravlja nedostatak, iako će ga za sada primiti samo mali postotak Android uređaja. (Nije jasno koliko je Android uređaja osjetljivo.)
Kako napadi djeluju
Napad Meltdown, koji, koliko je istraživačima poznato, pogađa samo Intelove čipove razvijene od 1995. godine (osim linije Itanium i linije Atom prije 2013.), omogućuje redovitim programima pristup informacijama o sustavu koje bi trebale biti zaštićene. Ti su podaci pohranjeni u jezgri, duboko uvučenom središtu sustava kojemu se korisničke operacije nikada ne smiju približiti.
"Meltdown ruši najosnovniju izolaciju između korisničkih aplikacija i operacijskog sustava", objašnjeno je na web stranicama Meltdown i Spectre. "Ovaj napad omogućuje programu pristup memoriji, a time i tajnama drugih programa i operacijskog sustava."
"Ako vaše računalo ima ranjivi procesor i pokreće neispravni operativni sustav, nije sigurno raditi s osjetljivim podacima bez mogućnosti curenja informacija."
Meltdown je nazvan takvim jer "u osnovi rastopi sigurnosne granice koje normalno provodi hardver".
Da bi se uklonio pridruženi nedostatak, memorija jezgre morala bi biti još više izolirana od korisničkih procesa, ali postoji zamka. Čini se da nedostatak postoji djelomično jer dijeljenje memorije između jezgre i korisničkih procesa omogućuje sustavima da rade brže, a zaustavljanje tog dijeljenja može smanjiti performanse CPU -a.
Neki izvještaji kažu da bi popravci mogli usporiti sustave za čak 30 posto. Naše kolege iz tvrtke Tom's Hardware misle da bi utjecaj na performanse sustava bio znatno manji.
Spectre je, s druge strane, univerzalan i "razbija izolaciju između različitih aplikacija", navodi se na web stranicama. "Omogućuje napadaču da prevari programe bez grešaka, koji slijede najbolje prakse, u odavanje njihovih tajni. Zapravo, sigurnosne provjere navedenih najboljih praksi zapravo povećavaju površinu napada i mogu učiniti aplikacije osjetljivijima na Spectre."
"Svi moderni procesori sposobni držati mnoge upute u letu potencijalno su osjetljivi" na Spectre. "Posebno smo verificirali Spectre na procesorima Intel, AMD i ARM."
Web stranice dalje objašnjavaju da bi otkrivanje takvih napada bilo gotovo nemoguće, te da bi antivirusni softver mogao otkriti samo zlonamjerni softver koji je ušao u sustav prije pokretanja napada. Kažu da je Spectre teže izvući od Meltdowna, ali da nema dokaza da su slični napadi izvedeni "u divljini".
Međutim, rekli su da će nas Spectre, takozvani jer zloupotrebljava špekulativno izvršavanje, uobičajeni proces čipseta, "proganjati još neko vrijeme".
Izgubljena umjetnost čuvanja tajne
Google je Intel-u, AMD-u i ARM-u rekao za te nedostatke još u lipnju 2022-2023.-2022., A sve uključene strane pokušale su sve to zadržati dok zakrpe ne budu spremne sljedećeg tjedna. No, stručnjaci za sigurnost informacija koji nisu bili u tajnosti mogli su reći da dolazi nešto veliko.
Rasprave na razvojnim forumima Linuxa odnosile su se na radikalne promjene u rukovanju operacijskog sustava memorijom jezgre, no detalji nisu otkriveni. Tajanstveno su bili uključeni ljudi s e -adresama tvrtke Microsoft, Amazon i Google. Neuobičajeno je da su se popravci trebali prenijeti na nekoliko ranijih verzija Linuxa, što ukazuje na to da se rješava veliki sigurnosni problem.
To je izazvalo par dana teorija zavjere na Redditu i 4chan -u. U ponedjeljak (1. siječnja) bloger koji je sebe nazvao Python Sweetness "povezao je nevidljive točke" u dugom postu u kojem je detaljno opisano nekoliko paralelnih razvoja među Windows i Linux programerima u vezi s rukovanjem memorijom jezgre.
Kasni utorak (2. siječnja). Registar je prikupio mnogo sličnih podataka. Također je napomenuto da će Amazon Web Services sljedećeg petka navečer (5. siječnja) obavljati održavanje i ponovno pokrenuti svoje poslužitelje u oblaku. te da je Microsoftov Azure Cloud imao nešto slično u planu za 10. siječnja.
Brana je pukla u srijedu kada je nizozemski istraživač sigurnosti na Twitteru napisao da je stvorio grešku s dokazom koncepta koja kao da je iskoristila barem jednu od mana.
U 15 sati EST U srijedu je Intel, koji je zabilježio pad svojih dionica za oko 10 posto u tom danu, izdao priopćenje za javnost koje je umanjilo nedostatke, pa su njegove dionice u skladu s tim povratile određenu poziciju. No, tvrtka je priznala da bi se nedostaci mogli koristiti za krađu podataka te da su ona i drugi proizvođači čipova radili na rješavanju problema.
"Intel i drugi dobavljači planirali su otkriti ovo pitanje sljedeći tjedan kada će biti dostupno još ažuriranja softvera i firmvera", navodi se u priopćenju. "Međutim, Intel to danas daje zbog trenutnih netočnih medijskih izvješća."
U 17 sati javio se Daniel Gruss, postdoktorand iz informacijske sigurnosti na Tehničkom sveučilištu u Grazu u Austriji koji je najavio Meltdown i Spectre. Zacku Whittakeru iz ZDNeta rekao je da su nedostaci utjecali na "gotovo svaki sustav" temeljen na Intelovim čipovima od 1995. godine. Ispostavilo se da je problem bio još gori.
Gruss je bio jedan od sedam istraživača iz Graza koji su u listopadu 2022-2023.-2022. Objavili tehnički rad s detaljima o teoretskim nedostacima u načinu na koji Linux upravlja memorijom jezgre i predložio popravak. Python Sweetness, pseudonimni bloger na koji se spominje na početku ove priče, očito je bio u pravu kada je pretpostavio da je taj papir središnji dio Intelove greške na kojoj se sada radi.
U 18 sati. EST, web stranice Spectre i Meltdown pokrenute su, zajedno s Googleovim blogom koji objavljuje pojedinosti o istraživanju te tvrtke. Ispostavilo se da su dva tima neovisno otkrila Meltdown, a tri različita tima istodobno su pronašla Spectra. Googleov Project Zero i Grussov tim u Grazu imali su ruku u oba.
Kredit za sliku: Natascha Eidl/Javna domena
- 12 računalnih sigurnosnih grešaka koje vjerojatno činite
- Najbolja antivirusna zaštita za PC, Mac i Android
- Sigurnost vašeg usmjerivača smrdi: Evo kako to popraviti