В начале января IT-исследователи рассказали о крупнейшей уязвимости, которой подвержены практически все современные компьютеры и телефоны. Дыра в безопасности, в результате которой злоумышленники могут получить доступ к личным данным пользователей, была обнаружена независимыми группами исследователей еще полгода назад, однако разработчики процессоров попросили до 9 января не разглашать данные, чтобы успеть исправить ошибку. «Медуза» рассказывает, что нужно знать об уязвимостях и как с ними бороться.
Что за уязвимости?
Уязвимости, получившие названия Meltdown и Spectre, были найдены командами Google Project Zero и Грацского технического университета. 1 июня 2017 года они отправили отчеты о проблеме компаниям Intel, AMD и ARM, занимающим более 90 процентов на рынке производителей процессоров.
Обнаруженные исследователями уязвимости особенно масштабны, поскольку фундаментальная ошибка содержится не в программном обеспечении, а в самих процессорах.
Meltdown («Расплавление») разрушает изоляцию между пользовательскими приложениями и операционной системой при спекулятивном выполнении команд. Таким образом, программа-злоумышленник может получить несанкционированный доступ к оперативной памяти ядра — и прочитать закрытые данные.
Spectre («Призрак», общее название для еще двух уязвимостей) позволяет вредоносному агенту считывать данные, к которым он не должен иметь доступ, — например, пароли из интернет-браузера.
Уязвимости Meltdown подвержены практически все процессоры, выпущенные компанией Intel с 1995 года (кроме моделей Intel Itanium и Intel Atom, выпущенных до 2013 года). Spectre же касается не только процессоров Intel, но и AMD и ARM (семейства Cortex-A и Cortex-R). Проще говоря, это почти все устройства — от персональных компьютеров и ноутбуков до смартфонов. При этом следов вторжения Meltdown и Spectre не оставляют — пользователи вряд ли смогут определить, украли ли у них данные.
Почему о них стало известно только сейчас?
2 января 2018 года об уязвимостях сообщил сайт The Register. 9 января производители процессоров и другие крупные IT-компании намеревались выпустить совместный отчет о решении проблемы — однако информация оказалась в публичном доступе за неделю до того. Обнаружившая уязвимости команда исследователей Грацского университета создала сайт с подробным описанием своих находок.
Что говорят производители процессоров и программ?
3 января компания Intel заявила, что в курсе проблемы и вместе с другими производителями работает над ее решением. Компания пообещала в ближайшие дни выпустить официальные обновления, которые устранят возникшие уязвимости. При этом в Intel подчеркнули, что выявленные ошибки «не могут повредить, изменить или удалить данные пользователей» — хотя проблема с уязвимостями прежде всего не в повреждении или изменении данных, а в их возможной краже.
В Apple подтвердили, что уязвимость присутствует на всех компьютерах и телефонах, произведенных компанией. В Google заявили, что устранили все уязвимости во всех своих продуктах, — и опубликовали технические инструкции по защите от потенциальных атак с помощью Meltdown и Spectre. Представители Amazon сообщили, что все клиенты компании защищены от уязвимостей Meltdown и Spectre. В компании также отметили, что не наблюдали значительного влияния уязвимостей на производительность своих продуктов.
Как с этим бороться? Мне что-то угрожает?
Если совсем просто: обновить все, что можно обновить (а лучше — включить автоматические обновления).
Уязвимость Meltdown проще эксплуатировать, однако для ее устранения достаточно обновить операционную систему — и Microsoft, и Apple уже выпустили соответствующие обновления для своего программного обеспечения. Если у вас версия Windows ниже 10, придется скачать и установить обновление вручную; в противном случае система обновится автоматически. Обновления, которые позволяют устранить Meltdown, способны серьезно (на треть) замедлить операции, которые требуют обращения к ядру системы, — например, если вам нужно посмотреть размер папки на диске, — однако для более обычных действий вроде просмотра сайтов в интернете или видеоигр таких операций требуется совсем немного.
Использовать во вредоносных целях уязвимость Spectre сложнее, но тоже возможно. Чтобы устранить ее, придется обновлять отдельные программы. Главным образом — браузеры: благодаря Spectre можно получать доступ к пользовательским паролям; это уже обнаружили и поправили в Firefox.
Производители (например, Apple) также рекомендуют не пользоваться никаким подозрительным программным обеспечением и скачивать приложения только из проверенных источников.
спекулятивное выполнение
когда процессор просчитывает команды заранее. нет проверки доступа. уязвимость умеет понять. side-channel attack, измеряется задержку доступа к данным, можно получить сами данные.
Meltdown легко эксплуатировать, но уже починили. фикс операционной системы. замедляет операции ввода-вывода (открыть файл на диске, совершить новое сетевое соединение, играть в игры не требует или браузить в интернете), посмотреть размер папки на диске. гугл применил Spectre сложнее, но можно. каждая программа выпускает свои обновления. остальные браузеры то же самое. будут.
уточнить про AMD и ARM
Спекулятивное выполнение
Процедура, при которой процессор заранее просчитывает разные сценарии команд, которые придется сделать программе. В этом случае не выполняется процедура проверки доступа; грубо говоря, вредоносная программа может получить доступ к гипотетическому сценарию и извлечь из него необходимые данные. Уязвимость Meltdown построена на измерении задержки доступа к данным, возникающей в процессоре.