В двух словах об уязвимостях Meltdown и Spectre

Кажется, шутка о том, что любые данные из компьютера можно будет украсть через розетку, скоро станет реальной.


Не знаю как у вас, но в моей ленте первые упоминания об упомянутых выше уязвимостях стали появляться вчера, аккурат после новости о CEO Intel, который еще 29 ноября продал принадлежающие ему акции, оставив только необходимый минимум в 250,000. Главный вопрос, который сейчас задают обыватели, привлекут ли главу Intel за инсайд-трейдинг или не привлекут? Может и правда, человек просто решил прикупить дом или какое-нибудь редкое произведение искусства? 😐

Кратенько о проблеме

Ошибки в архитектуре современных процессоров привели к утечке паролей и других чувствительных данных.
Это хардварные ошибки, т.е ошибки железа, позволяющие программам воровать данные, обрабатываемые компьютером.
Проблема охватывает практически все поколения процессоров начиная с 1995 года.

Обе уязвимости, Meltdown и Spectre используют критические уязвимости в современных процессорах, чтобы получить данные из памяти, используемые другими программами:

  • пароли, сохраненные в браузере или менеджере паролей
  • ваши персональные фото
  • емейлы
  • личные сообщения
  • а также важные для бизнеса документы

А теперь популярно, для понимающих*

*Самые маленькие могут отмотать вниз, до секции Вопросы и Ответы

Meltdown разрушает изоляцию между пользовательскими приложениями и операционной системой, что позволяет атакующей программе получать доступ к памяти других программ и операционной системы.

Spectre разрушает изоляцию между отдельными приложениями. Считается, что использовать Spectre сложнее чем Meltdown, однако и его последствия исправить намного сложнее.

Meltdown более специфичен для процессоров Intel. В то время как Spectre «обнаружили» на процессорах Intel, AMD и ARM.

Уязвимость Meltdon независимо обнаружили разные группы специалистов по безопасности: Jann Horn Google Project Zero, Werner Haas, Thomas Prescher Cyberus Technology, Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz из Технологического университета Граца (того самого Граца, в котором качал железо будущий губернатор Калифорнии, да).

Уязвимость Spectre была независимо обнаружена двумя людьми: Jann Horn Google Project Zero и Paul Kocher в сотрудничестве с Daniel Genkin (Университет Пенсильвании и Университет Мэрилэнда), Mike Hamburg (Rambus), Moritz Lipp (Технологический университет Граца), и Yuval Yarom (Университет Аделаиды и Data61).

Meltdown в действии:


Видео, на котором продемонстрировано, как Meltdown ворует пароли:


Реакция производителей (на 5е января 2018)

В частности, Project Zero сообщает, что уведомил производителей Intel, AMD и ARM еще в июне прошлого года.

АMD выпустила официальное заявление, в котором уверяет, что проблема информационной безопасности является первоочередной для компании. А также призывает пользователей следовать элементарным правилам безопасности (использовать защищенные пароли и проверенные сети интернет, не кликать по вредоносным ссылкам и регулярно обновлять программное обеспечение).

ARM в своем обновлении по безопасности достаточно подробно расписал какие именно из процессоров уязвимы для атаки, можно ли это эксплуатировать, не забыв прикрепить ссылки на сами обновления.

Глава Intel в своем видео обращении считает, что у компании есть решения для проблемы безопасности. Оокей.

Вопросы и Ответы

Каким образом это касается лично меня?

Еще как касается. Собственно самое зло проблемы для вас, т.е обычного пользователя интернета состоит в том, что вредоносный JavaScript может воровать пароли и номера кредитных карт из соседних вкладок браузера (в худшем случае). Последствия же для остальных сфер могут быть абсолютно любыми. Некоторые так вообще предрекают, что это коснется абсолютно всего, даже оффлайн, а мир разделится на «до» и «после». ОЛОЛО в 2018 году будет весело! 🙂

Смогу ли я обнаружить, что кто-либо использовал обе уязвимости против меня?

Вероятнее всего, нет, поскольку уязвимости не оставляют каких либо следов в логах.

Сможет ли мой антивирус идентифицировать атаку?

Скорее всего нет, поскольку обе уязвимости трудно отличить от обычных приложений. По-крайней мере, пока.

Какие системы подвержены Meltdown?

ПК, ноутбуки, сервера в облаке. Грубо говоря, любой процессор Intel с поддержкой выполнения out-of-order (т.е практически любой процессор Intel начиная с 1995 года за исключением Intel Itanium и Intel Atom выпускавшийся до 2013 года). На данный момент все еще неясно, подвержены ли этой уязвимости процессоры AMD и ARM.

Какие системы подвержены Spectre?

ПК, ноутбуки, смартфоны и сервера в облаке.

Безопасно ли заходить в личный кабинет банка через браузер?

Нет, если у вас открыта туева гора вкладок, на которых в теории может выполняться вредоносный JavaScript скрипт.

Поможет ли мне двухфакторная аутентификация?

Нет, поскольку вредоносный код все равно сможет читать данные из открытой сессии.

Какие браузеры подвержены уязвимостям?

Chrome и другие браузеры с поддержкой JavaScript: https://sites.google.com/a/chromium.org/dev/Home/chromium-security/ssca

Хорошие новости

Проблему начинают патчить (в каком-то роде). Linux, AWS, Azure, тот же Microsoft выпустил патч для 10й Windows в экстренном порядке, не дожидаясь Microsoft Patch Tuesday. Впрочем, уже сообщают что в отдельных случаях для обновления придется изрядно повозиться из-за проблем с установленным антивирусом.

Плохие новости

  • Все очень плохо, если против уязвимостей в архитектуре процессора начинают патчить браузер
  • Все в двойне плохо, если за 20 с лишним лет об уязвимостях не было слышно / о проблеме просто замалчивали
  • Пишут, что патч замедляет работу системы, т.е ваш ноут или пк станет медленнее
  • Вы не сможете избежать обновления
  • Реальным и действительным решением проблемы будет ее решение на аппаратном уровне
  • Цены на акции одних производителей процессоров упадут, а других наоборот — вырастут
  • Цены на новые модели процессоров вырастут в следствие повышенного спроса
  • Цены и затраты на облачные сервисы тоже вырастут

Что делать?!?

  • Не истерить. Поверьте, это не самая страшная проблема на нашем веку
  • Установить последние обновления операционной системы и браузера
  • Включить Site isolation в браузере*
  • Заблокировать рекламу в браузере
  • Не сохранять пароли в браузере или где-либо еще
  • Следить за развитием событий
  • Опционально: отключить JavaScript (надеть шапочку из фольги)
  • Проапгрейдить процессор на более безопасный
  • Ретвитнуть этот пост/расшарить в социалочке с друзьями

*Включаем Site isolation в браузере

Для Google Chrome версии 63 и выше: открываем новую вкладку, вводим:

chrome://flags/#enable-site-per-process


Кликаем Включить, перезапускаем браузер:

ССылки:
Meltdown and Spectre: https://meltdownattack.com/
Meltdown Paper: https://meltdownattack.com/meltdown.pdf
Spectre Paper: https://spectreattack.com/spectre.pdf

That's all, folks!

  • 2

Удобный способ не пропустить новое в блоге. Раз в месяц пишу обстоятельное письмо всем читателям: анонсы постов, новости нашей деревни и прочие ништяки, которые не ушли в RSS, Feedly или куда-там еще.

На ежемесячную email рассылку подписаны 258 человек

Countryside Diary hiking Kawasaki ZZR report Ruapehu Snow trip Success story репортажка житейское иммиграция Лондон Сибирь Субару Форестер «Раскас» Новая Зеландия Окленд О мелочах в традициях и быту вопрос - ответ здесьжизнинет медицина мысливслух новости Новой Зеландии обзор пляж путешествия сделай Сам

Мотофотопрограммист
Живу в Новой Зеландии. Рассказываю о стране и красивых местах, пишу про бытовые вещи.
Прыгнуть с парашютом - осуществил на 50%; приобрести 1400 - работаю над этим; осилить 300км/ч - осилил на 96.6%