В двух словах об уязвимостях Meltdown и Spectre

Кажется, шутка о том, что любые данные из компьютера можно будет украсть через розетку, скоро станет реальной.


Не знаю как у вас, но в моей ленте первые упоминания об упомянутых выше уязвимостях стали появляться вчера, аккурат после новости о CEO Intel, который еще 29 ноября продал принадлежающие ему акции, оставив только необходимый минимум в 250,000. Главный вопрос, который сейчас задают обыватели, привлекут ли главу Intel за инсайд-трейдинг или не привлекут? Может и правда, человек просто решил прикупить дом или какое-нибудь редкое произведение искусства? 😐

Кратенько о проблеме

Ошибки в архитектуре современных процессоров привели к утечке паролей и других чувствительных данных.
Это хардварные ошибки, т.е ошибки железа, позволяющие программам воровать данные, обрабатываемые компьютером.
Проблема охватывает практически все поколения процессоров начиная с 1995 года.

Обе уязвимости, Meltdown и Spectre используют критические уязвимости в современных процессорах, чтобы получить данные из памяти, используемые другими программами:

  • пароли, сохраненные в браузере или менеджере паролей
  • ваши персональные фото
  • емейлы
  • личные сообщения
  • а также важные для бизнеса документы

А теперь популярно, для понимающих*

*Самые маленькие могут отмотать вниз, до секции Вопросы и Ответы

Meltdown разрушает изоляцию между пользовательскими приложениями и операционной системой, что позволяет атакующей программе получать доступ к памяти других программ и операционной системы.

Spectre разрушает изоляцию между отдельными приложениями. Считается, что использовать Spectre сложнее чем Meltdown, однако и его последствия исправить намного сложнее.

Meltdown более специфичен для процессоров Intel. В то время как Spectre «обнаружили» на процессорах Intel, AMD и ARM.

Уязвимость Meltdon независимо обнаружили разные группы специалистов по безопасности: Jann Horn Google Project Zero, Werner Haas, Thomas Prescher Cyberus Technology, Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz из Технологического университета Граца (того самого Граца, в котором качал железо будущий губернатор Калифорнии, да).

Уязвимость Spectre была независимо обнаружена двумя людьми: Jann Horn Google Project Zero и Paul Kocher в сотрудничестве с Daniel Genkin (Университет Пенсильвании и Университет Мэрилэнда), Mike Hamburg (Rambus), Moritz Lipp (Технологический университет Граца), и Yuval Yarom (Университет Аделаиды и Data61).

Meltdown в действии:


Видео, на котором продемонстрировано, как Meltdown ворует пароли:


Реакция производителей (на 5е января 2018)

В частности, Project Zero сообщает, что уведомил производителей Intel, AMD и ARM еще в июне прошлого года.

АMD выпустила официальное заявление, в котором уверяет, что проблема информационной безопасности является первоочередной для компании. А также призывает пользователей следовать элементарным правилам безопасности (использовать защищенные пароли и проверенные сети интернет, не кликать по вредоносным ссылкам и регулярно обновлять программное обеспечение).

ARM в своем обновлении по безопасности достаточно подробно расписал какие именно из процессоров уязвимы для атаки, можно ли это эксплуатировать, не забыв прикрепить ссылки на сами обновления.

Глава Intel в своем видео обращении считает, что у компании есть решения для проблемы безопасности. Оокей.

Вопросы и Ответы

Каким образом это касается лично меня?

Еще как касается. Собственно самое зло проблемы для вас, т.е обычного пользователя интернета состоит в том, что вредоносный JavaScript может воровать пароли и номера кредитных карт из соседних вкладок браузера (в худшем случае). Последствия же для остальных сфер могут быть абсолютно любыми. Некоторые так вообще предрекают, что это коснется абсолютно всего, даже оффлайн, а мир разделится на «до» и «после». ОЛОЛО в 2018 году будет весело! 🙂

Смогу ли я обнаружить, что кто-либо использовал обе уязвимости против меня?

Вероятнее всего, нет, поскольку уязвимости не оставляют каких либо следов в логах.

Сможет ли мой антивирус идентифицировать атаку?

Скорее всего нет, поскольку обе уязвимости трудно отличить от обычных приложений. По-крайней мере, пока.

Какие системы подвержены Meltdown?

ПК, ноутбуки, сервера в облаке. Грубо говоря, любой процессор Intel с поддержкой выполнения out-of-order (т.е практически любой процессор Intel начиная с 1995 года за исключением Intel Itanium и Intel Atom выпускавшийся до 2013 года). На данный момент все еще неясно, подвержены ли этой уязвимости процессоры AMD и ARM.

Какие системы подвержены Spectre?

ПК, ноутбуки, смартфоны и сервера в облаке.

Безопасно ли заходить в личный кабинет банка через браузер?

Нет, если у вас открыта туева гора вкладок, на которых в теории может выполняться вредоносный JavaScript скрипт.

Поможет ли мне двухфакторная аутентификация?

Нет, поскольку вредоносный код все равно сможет читать данные из открытой сессии.

Какие браузеры подвержены уязвимостям?

Chrome и другие браузеры с поддержкой JavaScript: https://sites.google.com/a/chromium.org/dev/Home/chromium-security/ssca

Хорошие новости

Проблему начинают патчить (в каком-то роде). Linux, AWS, Azure, тот же Microsoft выпустил патч для 10й Windows в экстренном порядке, не дожидаясь Microsoft Patch Tuesday. Впрочем, уже сообщают что в отдельных случаях для обновления придется изрядно повозиться из-за проблем с установленным антивирусом.

Плохие новости

  • Все очень плохо, если против уязвимостей в архитектуре процессора начинают патчить браузер
  • Все в двойне плохо, если за 20 с лишним лет об уязвимостях не было слышно / о проблеме просто замалчивали
  • Пишут, что патч замедляет работу системы, т.е ваш ноут или пк станет медленнее
  • Вы не сможете избежать обновления
  • Реальным и действительным решением проблемы будет ее решение на аппаратном уровне
  • Цены на акции одних производителей процессоров упадут, а других наоборот — вырастут
  • Цены на новые модели процессоров вырастут в следствие повышенного спроса
  • Цены и затраты на облачные сервисы тоже вырастут

Что делать?!?

  • Не истерить. Поверьте, это не самая страшная проблема на нашем веку
  • Установить последние обновления операционной системы и браузера
  • Включить Site isolation в браузере*
  • Заблокировать рекламу в браузере
  • Не сохранять пароли в браузере или где-либо еще
  • Следить за развитием событий
  • Опционально: отключить JavaScript (надеть шапочку из фольги)
  • Проапгрейдить процессор на более безопасный
  • Ретвитнуть этот пост/расшарить в социалочке с друзьями

*Включаем Site isolation в браузере

Для Google Chrome версии 63 и выше: открываем новую вкладку, вводим:

chrome://flags/#enable-site-per-process


Кликаем Включить, перезапускаем браузер:

ССылки:
Meltdown and Spectre: https://meltdownattack.com/
Meltdown Paper: https://meltdownattack.com/meltdown.pdf
Spectre Paper: https://spectreattack.com/spectre.pdf

That's all, folks!

Удобный способ не пропустить новое в блоге. Раз в месяц пишу обстоятельное письмо всем читателям: анонсы постов, новости нашей деревни и прочие ништяки, которые не ушли в RSS, Feedly или куда-там еще.

На ежемесячную email рассылку подписаны 258 человек

Мотофотопрограммист
Живу в Новой Зеландии. Рассказываю о стране и красивых местах, пишу про бытовые вещи.
Прыгнуть с парашютом - осуществил на 50%; приобрести 1400 - работаю над этим; осилить 300км/ч - осилил на 96.6%