Эта статья из серии: Обзор уязвимостей чипов Intel, AMD, ARM: Meltdown и Spectre . Мы приглашаем вас прочитать все статьи этой серии, чтобы получить информацию и принять меры для защиты вашего устройства от этих двух серьезных уязвимостей безопасности.
Разработчиками выпущена серия обновлений программного обеспечения для защиты от Meltdown и Spectre . Однако это все равно повлияет на все будущее индустрии процессорных чипов.
Два ключевых слова «Meltdown» и «Spectre» — самые популярные вещи в Кремниевой долине. Это два новых метода, которые хакеры используют для атак на процессоры Intel , AMD и ARM . Google была первой компанией, обнаружившей это, и только сегодня они официально раскрыли все подробности публике.
Meltdown и Spectre используют фундаментальную уязвимость безопасности в вышеупомянутых чипах, которую теоретически можно использовать для «чтения конфиденциальной информации в памяти системы, такой как пароли, ключи для открытия зашифрованного контента или любой конфиденциальной информации», официально объявил Google в его FAQ (часто задаваемые вопросы).
Первое, что вам следует знать, это то, что почти каждый компьютер, ноутбук, планшет и смартфон подвержен этой уязвимости безопасности, независимо от того, из какой он страны, какой это компании или на какой операционной системе он работает. Но эту уязвимость нелегко эксплуатировать: для ее эффективности требуется множество конкретных факторов, в том числе наличие уже запущенного на компьютере вредоносного ПО. Но уязвимости безопасности нельзя гарантировать на основе теории.
Последствия коснутся не только отдельного устройства. Эта уязвимость может привести к взлому злоумышленниками целых серверов, центров обработки данных или платформ облачных вычислений. В худшем случае, когда присутствуют определенные элементы, Meltdown и Spectre могут использоваться самими пользователями для кражи информации у других пользователей.
На данный момент патчи выпущены, но это тоже палка о двух концах: они сделают старые машины заметно медленнее, особенно старые ПК, ноутбуки и т.д.
Находятся ли сейчас пользователи в опасности?
Вот хорошие новости: Intel и Google заявляют, что не видели, чтобы какие-либо атаки Meltdown или Spectre вышли из-под контроля. Крупные компании, такие как Intel, Amazon, Google, Apple и Microsoft, немедленно выпустили исправления.
Но, как уже упоминалось выше, все они приводят к некоторому замедлению работы устройства: в некоторых отчетах говорится, что производительность устройства снизилась до 30% после установки нового обновления. В Intel добавили, что в зависимости от предполагаемого использования машины она будет замедляться в большей или меньшей степени.
Ранее Meltdown атаковал только процессоры Intel, но совсем недавно AMD также признала наличие аналогичной уязвимости безопасности. Теперь, по совету Google, вы можете защитить свою систему с помощью последних обновлений программного обеспечения. Операционные системы Linux и Windows 10 получили свои первые обновления.
Spectre, наоборот, во много раз опаснее Meltdown. В Google заявили, что им удалось устранить атаки Spectre на процессорные чипы Intel, ARM и AMD, но, по их словам, простого и эффективного решения не существует.
Однако воспользоваться уязвимостью безопасности Spectre очень сложно, поэтому в настоящее время ни одна крупная компания не слишком обеспокоена возможностью крупномасштабной атаки. Все дело в том, что уязвимость Spectre использует принцип работы чипа процессора, поэтому для полной ликвидации Spectre нам необходимо оборудование совершенно нового поколения.
Именно поэтому его назвали Spectre. «Поскольку это непросто исправить, это будет преследовать нас какое-то время», — ясно говорится в разделе часто задаваемых вопросов о Meltdown и Spectre.
Какова природа Meltdown и Spectre?
Они не являются «ошибками» в системе. Это СПОСОБЫ атаковать сам способ работы процессоров Intel, ARM или AMD. Эту ошибку обнаружила лаборатория кибербезопасности Google Project Zero.
Они внимательно изучили вышеперечисленные чипы, обнаружив в конструкции изъян, фатальный недостаток, которым могут воспользоваться Meltdown и Spectre, опровергнув обычные методы безопасности этих процессоров.
В частности, это «спекулятивное выполнение», метод обработки, используемый в чипах Intel с 1995 года, а также распространенный метод обработки данных в процессорах ARM и AMD. При спекулятивной практике чип, по сути, угадает, что вы собираетесь сделать. Если они угадают правильно, они будут на шаг впереди вас, и вы почувствуете, что машина работает более плавно. Если они угадают неправильно, данные отбрасываются и угадываются заново с самого начала.
Project Zero обнаружил, что существует два ключевых способа обмануть даже самые безопасные и тщательно разработанные приложения, вынудив их утечку информации, которую сам процессор вычислил ранее. Используя правильный тип вредоносного ПО, злоумышленники могут получить эту отброшенную информацию, информацию, которая должна быть строго секретной.
В системе облачных вычислений эти два метода атаки становятся еще более опасными. На нем огромная сеть пользователей хранит данные. Если всего лишь ОДНА ссылка - один пользователь использует незащищенную систему, риск раскрытия данных КАЖДОГО другого пользователя очень высок.
Так что же мы можем сделать, чтобы не стать этим звеном?
Первое и лучшее, что нужно сделать прямо сейчас, — это убедиться, что все ваши исправления безопасности обновлены. Основные операционные системы уже выпустили обновления для этих двух уязвимостей Meltdown и Spectre. В частности, были обновлены Linux , Android, MacOS от Apple и Windows 10 от Microsoft. Пожалуйста, немедленно обновите свое устройство.
В то же время Microsoft также сообщила Business Insider, что они торопятся найти решение для своей облачной платформы Azure. Google Cloud также призывает пользователей быстро обновлять свои операционные системы.
По сути, обновите все свои устройства до последнего обновления. Подождите еще немного, крупные компании выпустят новые обновления для этих двух опасных уязвимостей.
Кроме того, помните, что для работы Meltdown и Spectre требуется вредоносный код, поэтому не загружайте ничего — программное обеспечение, странные файлы — из любого ненадежного источника.
Почему мое устройство работает медленно после обновления?
Meltdown и Spectre используют способ взаимодействия «ядер» — центральных элементов, ядер операционной системы — с процессором. Теоретически эти две вещи работают независимо друг от друга, именно для предотвращения таких атак, как Meltdown и Spectre. Однако Google доказала, что нынешних решений безопасности недостаточно.
Поэтому разработчики операционных систем должны изолировать ядро и процессор. По сути, они заставляют их идти в объезд, что требует от машины немного большей вычислительной мощности и, естественно, машина немного замедляется.
Microsoft заявляет, что процессоры Intel старше двухлетней модели Skylake будут заметно медленнее. Однако не беспокойтесь слишком сильно о скорости обработки вашего устройства, поскольку это может быть временным явлением. После того, как Google объявил об этих двух уязвимостях безопасности, разработчики – как программного обеспечения, так и операционных систем – будут работать над поиском более эффективных решений.
Последствия этого происшествия?
Intel утверждает, что Meltdown и Spectre не снизят цену их акций, поскольку их довольно сложно реализовать, и, кроме того, никаких атак (о которых известно сообществу) не зарегистрировано.
Однако Google напоминает всем, что Spectre еще долго «преследует» нас. Методика «спекулятивной практики» уже два десятилетия является краеугольным камнем процессоров. Чтобы заменить такую платформу, вся индустрия исследований и разработок процессоров должна вложить ресурсы в создание новой, более безопасной платформы в будущем. Spectre сделает будущее поколение процессоров совершенно другим лицом, чем то, которое мы видим сегодня, последние два 20 года.
Чтобы добраться до этой точки, нам еще придется долго ждать. Пользователи компьютеров больше не «заменяют» свои системы регулярно, а это означает, что старые компьютеры столкнутся с высоким риском утечки информации. Пользователи мобильных устройств также сталкиваются с таким же риском, поскольку количество необновленных мобильных устройств бесчисленно. Spectre будет проще выбирать цели, поскольку системы, которые не были обновлены, изолированы.
Это не конец света, но это будет конец эпохи процессоров Intel, ARM и AMD, а также конец проектирования и производства процессоров.
По словам генка
Узнать больше:
Сегодня обычно используются два типа шифрования: симметричное и асимметричное шифрование. Основное различие между этими двумя типами шифрования заключается в том, что при симметричном шифровании используется один ключ как для операций шифрования, так и для дешифрования.
Полноэкранный режим на вашем компьютере удалит ненужный контент. Итак, как выйти из полноэкранного режима Windows?
Когда вы начинаете замечать, что ваш компьютер работает медленно или у вас появляются другие симптомы, такие как повышение температуры, частые зависания... скорее всего, это связано с тем, что компьютер израсходовал всю оперативную память компьютера...
При установке нового компьютера или переустановке Windows необходима настройка BIOS для выбора загрузки из средств поддержки. Если пользователи устанавливают Windows с помощью таких устройств, как USB/CD/DVD или внешний жесткий диск, им необходимо настроить BIOS для работы с соответствующим загрузочным устройством.
Avira Free Security — одна из лучших бесплатных антивирусных программ, доступных по ряду причин (не последняя из которых — потому, что она бесплатна).
Сервер базы данных — это компьютерная система, которая предоставляет другим компьютерам услуги, связанные с доступом и извлечением информации из базы данных.
Idea VPN — это приложение виртуальной частной сети VPN для Windows 10, которое помогает вам анонимно выходить в Интернет, получать доступ к заблокированным веб-сайтам и защищать личную информацию пользователя.
Безопасное извлечение устройства и извлечение носителя — это функция, позволяющая безопасно извлечь устройство, подключенное к системе через порт USB. Однако многократное извлечение и повторное подключение USB-накопителя может привести к повреждению файла. Ниже приведены 5 способов, которые помогут вам избежать необходимости многократно отключать и повторно подключать USB-накопитель.
Благодаря обновлению Windows 10 Spring Creators Update (92,99 доллара США на Amazon.com) Microsoft дает вам больше контроля над вашими данными и учетными записями. Узнав о новых функциях, таких как временная шкала, общий доступ и приложение «Настройки», вы, вероятно, захотите ознакомиться с этим трио новых настроек конфиденциальности.
Защитник Windows — это антивирус и инструмент безопасности компьютерной системы, способный устранять вредоносные программы. Однако что, если этот инструмент случайно удалит ваши важные данные?
