Šťastný nový rok! V stredu (3. januára) boli odhalené tri rozsiahle chyby zabezpečenia v procesoroch Intel, AMD, ARM a ďalších. Spoločnosť Microsoft vydala núdzovú opravu pre všetky podporované verzie systému Windows vrátane Windows 7, Windows 8.1 a Windows 10, ale dodala, že používatelia by mali tiež používať aktualizácie firmvéru, keď budú k dispozícii od výrobcov zariadení. Google opravil chybu v systéme Android aktualizáciou z januára 2022-2023, vydanou v utorok (2. januára), aj keď to zatiaľ majú iba zariadenia spravované spoločnosťou Google. Opravy pre macOS, iOS a Linux ešte nemusia byť úplne dostupné.
Dva útoky typu proof-of-concept, prezývané „Meltdown“ a „Spectre“, využívajú tieto tri nedostatky, ktoré sa týkajú spôsobu, akým moderné počítačové procesory zvládajú bežiacu pamäť aplikácií a jadrový systém alebo jadro v súčasných operačných systémoch.
„Meltdown a Spectre fungujú na osobných počítačoch, mobilných zariadeniach a v cloude,“ hovoria webové stránky venované jednotlivým chybám, ktoré majú identický obsah. „V závislosti od infraštruktúry poskytovateľa cloudových služieb môže byť možné ukradnúť údaje iným zákazníkom.“
Príspevok na blogu Google vysvetlil, že chyby umožnili „neoprávneným osobám čítať citlivé údaje z pamäte systému, ako sú heslá, šifrovacie kľúče alebo citlivé informácie otvorené v aplikáciách“.
Meltdown vymazáva hranice medzi procesmi jadra a používateľskými procesmi a zdá sa, že je obmedzený na čipy Intel. Spectre kradne údaje zo spustených aplikácií a funguje aj na čipoch AMD a ARM. Webové stránky Spectre a Meltdown neuviedli podrobne, ako boli ovplyvnené rôzne čipové sady používané v mobilných zariadeniach.
AMD však odmietlo, že by na ňu mala vplyv niektorá z chýb.
„AMD nie je náchylná na všetky tri varianty,“ uviedla spoločnosť pre CNBC. „Vzhľadom na rozdiely v architektúre AMD sa domnievame, že v súčasnosti je pre procesory AMD takmer nulové riziko.“
Čo robiť
Ak používate Windows 7, 8.1 alebo 10, mali by ste použiť aktualizáciu zabezpečenia systému Windows, ktorá bola vydaná dnes. Prvé verzie opráv boli odoslané používateľom Windows Insider v novembri a decembri.
„V súčasnosti zavádzame zmierňujúce opatrenia do cloudových služieb a dnes vydávame aktualizácie zabezpečenia, aby sme zákazníkov systému Windows ochránili pred zraniteľnosťami ovplyvňujúcimi podporované hardvérové čipy od spoločností AMD, ARM a Intel,“ uvádza sa v časti vyhlásenia spoločnosti Microsoft. „Nedostali sme žiadne informácie, ktoré by naznačovali, že tieto chyby zabezpečenia boli použité na napadnutie našich zákazníkov.“
Existuje však niekoľko úlovkov. Po prvé, pokiaľ nepoužívate notebook alebo tablet poskytovaný spoločnosťou Microsoft, ako je napríklad Surface, Surface Pro alebo Surface Book, budete musieť použiť aj aktualizáciu firmvéru od výrobcu počítača.
„Zákazníci, ktorí si inštalujú iba aktualizácie zabezpečenia systému Windows január 2022-2023-2022, nezískajú výhodu všetkých známych spôsobov ochrany pred chybami zabezpečenia,“ uvádza sa v dokumente technickej podpory spoločnosti Microsoft zverejnenom online. "Okrem inštalácie januárových aktualizácií zabezpečenia je potrebná aj aktualizácia mikrokódu procesora alebo firmvéru. To by malo byť k dispozícii u výrobcu vášho zariadenia. Zákazníci platformy Surface dostanú aktualizáciu mikrokódu prostredníctvom aktualizácie systému Windows."
Za druhé, spoločnosť Microsoft trvá na tom, aby sa zákazníci pred použitím opravy uistili, že majú „podporovaný“ antivírusový softvér. V samostatnom dokumente vysvetľujúcom novú opravu zabezpečenia spoločnosť Microsoft uvádza, že opravu automaticky získajú iba počítače s takýmto softvérom.
Nie je jasné, čo presne Microsoft myslí pod „podporovaným“ antivírusovým softvérom, ani prečo Microsoft trvá na tom, aby bol takýto softvér v počítači pred aplikáciou opravy. Existuje odkaz na dokument, ktorý to má všetko vysvetliť, ale pri písaní tejto správy v stredu neskoro večer tento odkaz nikam nevedel.
Microsoft nakoniec pripúšťa, že s opravami sú spojené „potenciálne vplyvy na výkon“. Inými slovami, po použití záplat môže stroj bežať pomalšie.
„U väčšiny spotrebiteľských zariadení nemusí byť vplyv citeľný,“ uvádza sa v odporúčaní. „Konkrétny vplyv sa však líši podľa generácie hardvéru a implementácie výrobcom čipov.“
Ak chcete Windows Update spustiť ručne, kliknite na tlačidlo Štart, kliknite na ikonu ozubeného kolieska Nastavenia, kliknite na položku Aktualizácie a zabezpečenie a kliknite na položku Skontrolovať aktualizácie.
Používatelia Apple by si mali nainštalovať budúce aktualizácie kliknutím na ikonu Apple, výberom App Store, kliknutím na Aktualizácie a kliknutím na Aktualizovať vedľa všetkých položiek od spoločnosti Apple. Na Twitteri bola nepotvrdená správa, že Apple už začiatkom decembra opravil chyby systémom macOS 10.13.2, ale identifikačné čísla zraniteľností (CVE) uvedené v decembrových opravách Apple sa nezhodujú s číslami priradenými Meltdown a Spectre.
Linuxové počítače budú tiež vyžadovať záplaty a zdá sa, že niečo môže byť takmer pripravené. Ako je uvedené vyššie, bezpečnostná oprava Androidu od januára 2022-2023 do 2022 opravuje chybu, aj keď ju zatiaľ dostane iba malé percento zariadení s Androidom. (Nie je jasné, koľko zariadení Android je náchylných.)
Ako útoky fungujú
Útok Meltdown, ktorý, pokiaľ vedci vedia, sa týka iba čipov Intel vyvinutých od roku 1995 (okrem radu Itanium a Atom pred rokom 2013) umožňuje bežným programom prístup k informáciám o systéme, ktoré majú byť chránené. Tieto informácie sú uložené v jadre, hlboko zapustenom strede systému, ku ktorému sa užívateľské operácie nikdy nemajú približovať.
„Meltdown prelomí najzákladnejšiu izoláciu medzi užívateľskými aplikáciami a operačným systémom,“ vysvetlili webové stránky Meltdown a Spectre. "Tento útok umožňuje programu prístup k pamäti, a teda aj k tajomstvám, iných programov a operačného systému."
„Ak má váš počítač zraniteľný procesor a má nainštalovaný operačný systém, nie je bezpečné pracovať s citlivými informáciami bez možnosti úniku informácií.“
Meltdown bol pomenovaný tak, pretože „v zásade rozpúšťa hranice zabezpečenia, ktoré bežne vynucuje hardvér“.
Na odstránenie súvisiacej chyby by musela byť pamäť jadra ešte viac izolovaná od používateľských procesov, má to však háčik. Zdá sa, že chyba existuje čiastočne preto, že zdieľanie pamäte medzi jadrom a užívateľskými procesmi umožňuje systémom bežať rýchlejšie a zastavenie tohto zdieľania môže znížiť výkon CPU.
Niektoré správy uviedli, že opravy môžu spomaliť systémy až o 30 percent. Naši kolegovia z Tom's Hardware si myslia, že vplyv na výkon systému bude oveľa menší.
Spectre je na druhej strane univerzálny a „narúša izoláciu medzi rôznymi aplikáciami“, uviedli webové stránky. "Útočníkovi umožňuje oklamať bezchybné programy, ktoré sa riadia osvedčenými postupmi, a vyzradiť ich tajomstvá. V skutočnosti bezpečnostné kontroly uvedených osvedčených postupov v skutočnosti zvyšujú povrch útoku a môžu spôsobiť, že aplikácie budú pre Spectre náchylnejšie."
„Všetky moderné procesory schopné udržať za letu mnoho inštrukcií sú potenciálne zraniteľné“ voči spoločnosti Spectre. „Spectre sme overili najmä na procesoroch Intel, AMD a ARM.“
Stránky ďalej vysvetľujú, že detekcia takýchto útokov by bola takmer nemožná a antivírusový softvér mohol detegovať iba škodlivý softvér, ktorý sa do systému dostal pred spustením útokov. Hovorí sa, že stiahnuť Spectre je ťažšie ako Meltdown, ale že neexistujú dôkazy o tom, že by boli podobné útoky zahájené „vo voľnej prírode“.
Povedali však, že Spectre, takzvaný preto, že zneužíva špekulatívne popravy, bežný proces čipovej sady, „nás bude prenasledovať pomerne dlho“.
Stratené umenie udržať tajomstvo
Spoločnostiam Intel, AMD a ARM spoločnosť Google oznámila tieto nedostatky v júni 2022-2023 a všetky zúčastnené strany sa pokúšali udržať všetko ticho, kým nebudú záplaty pripravené budúci týždeň. Experti na informačnú bezpečnosť, ktorí neboli v tajnosti, však mohli tušiť, že sa chystá niečo veľké.
Diskusie vo fórach pre vývoj Linuxu sa týkali radikálnych prepracovaní nakladania s pamäťou jadra operačného systému, zatiaľ však neboli zverejnené žiadne podrobnosti. Ľudia s e -mailovými adresami Microsoft, Amazon a Google boli záhadne zapojení. Neobvykle mali byť generálne opravy prenesené späť do niekoľkých starších verzií Linuxu, čo naznačuje, že sa rieši hlavný bezpečnostný problém.
To vyvolalo pár dní konšpiračných teórií na Reddite a 4chane. V pondelok (1. januára) bloger, ktorý si hovorí Python Sweetness, „spojil neviditeľné body“ v dlhom príspevku, v ktorom podrobne popisoval niekoľko paralelných vývojov medzi vývojármi Windows a Linux ohľadom manipulácie s pamäťou jadra.
Neskorý utorok (2. januára). Register zhromaždil mnoho podobných informácií. Poznamenal tiež, že Amazon Web Services bude v piatok večer (5. januára) vykonávať údržbu a reštartovať svoje cloudové servery. a že Azure Cloud spoločnosti Microsoft mal niečo podobné naplánované na 10. januára.
Priehrada sa pretrhla v stredu, keď holandský výskumník bezpečnosti tweetoval, že vytvoril chybu v testovaní koncepcie, ktorá zdanlivo zneužíva aspoň jednu z chýb.
O 15:00 hod. EST Wednesday, Intel, ktorý zaznamenal pokles akcií o približne 10 percent v ten deň obchodovania, vydal tlačovú správu, ktorá nedostatky bagatelizovala, a jej akcie podľa toho získali späť pôdu pod nohami. Spoločnosť však pripustila, že chyby je možné použiť na krádež údajov a že ona a ďalší výrobcovia čipov pracujú na vyriešení problému.
„Spoločnosť Intel a ďalší predajcovia plánovali zverejniť tento problém budúci týždeň, keď bude k dispozícii viac aktualizácií softvéru a firmvéru,“ uvádza sa vo vyhlásení. „Spoločnosť Intel však dnes robí toto vyhlásenie kvôli aktuálnym nepresným správam médií.“
O 17:00 prišiel Daniel Gruss, doktorand v informačnej bezpečnosti na Technickej univerzite v Grazi v Rakúsku, aby oznámil Meltdown a Spectre. Pre Zack Whittaker ZDNet povedal, že „takmer každý systém“ založený na čipoch Intel od roku 1995 bol postihnutý chybami. Ukázalo sa, že problém je ešte horší.
Gruss bol jedným zo siedmich vedcov z Grazu, ktorí v októbri 2022-2023 publikovali technickú prácu s podrobnosťami o teoretických nedostatkoch v spôsobe, akým Linux spracovával pamäť jadra, a navrhli opravu. Python Sweetness, pseudonymný blogger, o ktorom sa hovorilo na začiatku tohto príbehu, zrejme usúdil, že tento papier bol ústredným prvkom chyby, na ktorej sa teraz pracuje.
O 18. hodine Webové stránky EST, Spectre a Meltdown boli zverejnené spolu s blogovým príspevkom Google, ktorý podrobne popisoval vlastný výskum tejto spoločnosti. Ukázalo sa, že dva tímy nezávisle objavili Meltdown a tri rôzne tímy súčasne našli Spectre. V oboch mal prsty projekt Google Zero a Grussov tím v Grazi.
Obrazový kredit: Natascha Eidl/Verejná doména
- 12 chýb v počítačovej bezpečnosti, ktorých sa pravdepodobne dopúšťate
- Najlepšia antivírusová ochrana pre PC, Mac a Android
- Zabezpečenie vášho smerovača páchne: Tu je postup, ako ho opraviť