FAQ по Meltdown і Spectre для чайників: оновіться та моліться!

FAQ по Meltdown і Spectre для чайників: оновіться та моліться!

FAQ по Meltdown і Spectre для чайників: оновіться та моліться!

Нагадуємо, що спроби повторити дії автора можуть привести до втрати гарантії на обладнання та навіть до виходу його з ладу. Матеріал приведений виключно в ознайомлювальних цілях. Якщо ж ви збираєтеся відтворювати дії, описані нижче, настійно радимо уважно прочитати статтю до кінця хоча б один раз. Редакція 3DNews не несе ніякої відповідальності за будь-які можливі наслідки.

Коротко про головне

Так, Meltdown і Spectre – це дійсно серйозні апаратні вразливості. Ні, стовідсоткового захисту від них немає. Найкраще встановити оновлення для всіх-всіх програм, прошивок, ОС і драйверів і сподіватися, що вас ці уразливості не торкнуться. Загалом, оновіться і моліться!

Що таке Meltdown і Spectre?

Meltdown і Spectre або, кажучи «по-науковому», CVE-2017-5754, CVE-2017-5753 і CVE-2017-5715, – це легко запам’ятовуються імена близьких за своїми особливостями апаратних (підкреслимо цей момент) вразливостей в дуже і дуже багатьох сучасних процесорах. Так, це дійсно настільки серйозні уразливості, що для них довелося придумати власні «бренди» для полегшення просування і поширення інформації про них. На поточний момент це, мабуть, найсерйозніші проблеми в сфері інформаційних технологій якщо не за всю історію IT, то вже в XXI столітті точно.

Що піддається цим уязвимостям?

Дослідники заявляють, що уразливості в тому чи іншому вигляді присутні в багатьох процесорах, випущених з 1995 року. Необов’язково все відразу, але від цього не легше. Зокрема проблеми є у продуктів AMD, ARM, Intel і IBM. Побічно порушені і продукти інших компаній, наприклад NVIDIA. Винятком є ​​процесори Intel Itanium (з ними ви взагалі навряд чи коли-небудь стикалися) і старі версії Intel Atom (до 2013 року), а також процесори «Байкал», «Ельбрус», MIPS, RISC-V, SPARC. Справа трохи ускладнює той факт, що частина компаній (ARM, наприклад) самі не виробляють ці процесори, а продають такі набори для їх створення іншим фірмам, які можуть додавати або прибирати компоненти і блоки за своїм бажанням. Ну і навіть якщо компанія сама виробляє процесори, то у неї цілком можуть бути розрізняються різновиди одного і того ж продукту, частина з яких зроблена, наприклад, за спецзамовленням.

Які пристрої в небезпеці?

Неспеціалісту важко сказати, які саме пристрої уразливі, так що краще всього на всякий випадок підозрювати їх все. А взагалі, потенційно вразливі майже всі комп’ютери, ноутбуки (і їх нащадки нетбуки, хромбукі, ультрабуки і всякі інші «буки»), планшети, смартфони, NAS або DAS, ТВ-приставки і навіть сучасні smart-телевізори, а також сервери і купа іншого обладнання. Загалом, вразливою може виявитися майже вся «розумна» техніка, яка все більше нас оточує.

У чому суть цих вразливостей?

Якщо не вдаватися глибоко в технічні подробиці, то ці уразливості дозволяють одним програмами без дозволу і абсолютно непомітно для всіх красти інформацію у інших програм. У разі Meltdown мова йде про крадіжку даних аж у самого ядра операційної системи, самого захищеного програмного компонента, куди ніхто вірогідно вторгатися не має права. Але так як уразливості саме що апаратні, зробити це можливо. У разі Spectre все на перший погляд простіше, так як справа стосується тільки спілкування програм між собою, а не з ядром ОС. Але на практиці саме Spectre зараз найбільш небезпечні, тому що протидіяти їм набагато складніше, ніж Meltdown.

Хто винен?

Все в цілому і ніхто зокрема. Все – бо всім же хочеться побільше продуктивності, і прямо зараз. Ніхто – тому що механізм, в реалізації якого і знайшли уразливості, є логічним продовженням розвитку світового процессоростроения. Завдяки йому (але не тільки) сучасні процесори настільки швидкі. При цьому побоювання, що в конкретних втіленнях цієї ідеї можуть бути проблеми, висловлювалися дуже і дуже давно. Однак до минулого року всі вони були уявними експериментами в дусі «А що якщо … Чисто гіпотетично можна уявити, що … Але навряд чи це можна реалізувати не в лабораторних умовах …». Це як головоломка або, скоріше, математична задача, яка на вигляд дуже складна і навіть трохи нудна, але для якої є дуже просте і неочевидне рішення, після оголошення якого все відразу хапаються за голову і голосять: «Як же ми раніше-то самі не здогадалися? »

Але спецслужби щось / хакери / розробники / рептилоїди (потрібне підкреслити) напевно все знали і приховували?

Однозначної відповіді на це немає. Навіть якщо безпосередньо запитати їх, то відповідь буде стандартний: «Ми не можемо ні підтвердити, ні спростувати цю інформацію». Хоча деякі божилися, що ні сном ні духом. Однак в даному випадку, з урахуванням поважного за мірками IT віку уразливості, навряд чи хтось дійсно усвідомлено експлуатував її раніше. Некомерційні організації, як правило, не дуже добре стежать за своїми секретами, так що за стільки років інформація напевно б витекла. Розробники ж давно б уже нишком все виправили, намагаючись уникати розголосу.

Чим небезпечні ці уразливості?

Тим, що потенційно можуть бути вкрадені ваші важливі дані: паролі, банківська інформація, особисті дані і так далі. За останній місяць компанії, що займаються інформаційною безпекою, відзначили різке зростання числа зразків шкідливих програм, які намагаються використовувати Meltdown і Spectre. Рахунок йде на сотні! Більш того, користувачеві навіть необов’язково щось завантажувати і / або встановлювати – є варіанти атак, які працюють прямо в браузері, то є достатньо зайти на веб-сайт. Навіть на знайомих сайтах можуть виявитися шкідливі блоки (рекламні, наприклад). До того ж зараз є багато програм, які мімікрують під справжні програми, але насправді теж працюють в спеціально створеному браузері. Так що встановити захист від Meltdown і Spectre все ж варто, але вирішувати вам.

Як дізнатися, чи є ці уразливості на моєму пристрої?

Неповний список уразливих процесорів можна подивитися тут (там 7 сторінок). Зверніть увагу, що він постійно оновлюється і там представлені тільки моделі, випущені після початку 2000-х. Для визначення процесора на пристрої можна використовувати утиліту CPU-Z (для Windows і Android). Якщо у вас Windows, то можна зробити простіше: завантажити і запустити утиліту InSpectre. Вона майже миттєво протестує систему і скаже, чи є уразливості, а також повідомить про можливе зниження продуктивності (про це пізніше). YES означає, що проблем немає. NO! означає, що проблема є.

Зауважте, що повноцінного захисту від Spectre для всіх-всіх пристроїв поки немає. Але можна перевірити ще один важливий компонент – веб-браузер. Для цього треба зайти на спеціальний веб-сайт і натиснути кнопку Click to Check. Якщо нижче з’явиться напис Your browser is NOT VULNERABLE to Spectre, то, швидше за все, ваш браузер захищений від Spectre, але це не стовідсотковий результат. А ось якщо результат is VULNERABLE, то вразливість абсолютно точно є. Цією перевірці треба піддати всі браузери на пристрої, навіть якщо якимось із них ви не користуєтеся.

Save

Як захиститися від Meltdown і Spectre в Linux, iOS і Mac OS, Android?

Користувачам продукції Apple пощастило найбільше – для забезпечення безпеки їм треба оновити операційну систему на всіх пристроях до macOS 10.13.2, iOS 11.2 і tvOS 11.2 (або старше), а також оновити Safari як мінімум до версії 11.0.2. На жаль, старі пристрої, які не отримали оновлення своїх ОС до цих версій, так і залишаться вразливими. Дотримуйтесь інструкцій Apple.

З Android ситуація набагато сумніше. Виправлення для операційної системи випускають виробники пристроїв. А вони і так-то далеко не завжди оновлюють ОС на апаратах вчасно, а вже патчі для пристроїв старше пари років з’являються дуже рідко. Так що вони теж залишаться вразливими. Перевірити наявність оновлень можна, як правило, в настройках, в розділі About: «Інформація про пристрій» або «Про телефоні / планшеті». Іноді є і окрема вбудована програма, яка називається «Оновлення ОС» або як-небудь ще в тому ж дусі.

Якщо ж ви користуєтеся Linux, то напевно і так знаєте, що треба оновити ядро ​​до версії 4.14.11 і старше, а заодно оновити і всі інші програми з драйверами.

Як захиститися від Meltdown і Spectre в Windows?

Тут ситуація складніша. Оновлення випущені тільки для Windows 7 SP1, Windows 8.1 і Windows 10, а також для браузерів Internet Explorer і Edge. Оновлення можна поставити вручну. На цій сторінці викладені відповідних посилань для всіх версій ОС і браузерів: Security Update, Monthly Rollup і IE Cumulative. За посиланням на сторінку доведеться пройти двічі, так як в перший раз треба буде погодитися з умовами роботи, поставивши галочку Please read and acknowledge our terms of service і потім натиснувши Accept. Версію ОС можна дізнатися, кликнувши правою кнопкою миші по значку «Комп’ютер» в провіднику Windows і вибравши пункт «Властивості».

Якщо оновлення ОС включені, то вони напевно вже були встановлені. Але про всяк випадок можна перевірити. У Windows 7 в Панелі управління потрібно вибрати пункт Windows Update, в меню зліва натиснути Пошук оновлень, почекати, вибрати галочками всі оновлення і встановити їх. У Windows 10 в меню Пуск в розділі Параметри вибрати пункт Оновлення та безпеку і так само перевірити наявність патчів. Бажано також включити функцію оновлення інших продуктів Microsoft, якщо це не було зроблено раніше.

Що ще треба зробити для захисту від Meltdown і Spectre?

Після всіх маніпуляцій треба знову перевірити ОС на уразливості утилітою inSpectre. Швидше за все, ви побачите, що захисту від Spectre як не було, так і немає. Це пов’язано з тим, що для усунення цієї уразливості мало програмної заплатки, потрібно ще й оновлення мікрокоди процесора. А відповідальні за це виробники обладнання! І ось з цим теж є проблема. Для старих версій практично напевно ніяких оновлень прошивки або BIOS / UEFI випущено не буде. Але все ж варто пошукати інформацію на офіційних сайтах виробників десь в розділах News ( «Новини»), Support ( «Підтримка») і Downloads ( «Завантаження»). На жаль, простого рецепту немає. Це стосується взагалі всіх ваших «розумних» пристроїв.

Для материнських плат і ноутбуків всіх мастей можна почати пошук звідси (там є посилання на відповідні розділи сайтів деяких виробників). Що точно не варто робити, так це самостійно намагатися зібрати прошивку або BIOS / UEFI, тому що можна просто загубити обладнання.

Крім того, незалежно від пристрою і ОС вкрай бажано встановити і / або оновити антивірус. Всі інші програми, а особливо браузери, так само варто оновити до самої останньої версії. Бажано зробити це до установки оновлень самої ОС – щоб уникнути проблем із сумісністю. З інших простих заходів захисту можна, як зазвичай, порекомендувати не відвідувати незнайомі сайти, встановити блокувальник реклами, а також не викачувати і не запускати файли від невідомих людей або з підозрілих джерел.

У Google Chrome також є експериментальна функція, яка допомагає в захисті від Spectre. Для її включення потрібно перейти в розділ налаштувань (адреса chrome: // flags /), включити (Enable) опцію Strict site isolation і перезапустити браузер.

Які наслідки установки оновлень для захисту від вразливостей?

Найнеприємніше, що може статися, – це зависання і неможливість завантаження пристрою. У разі Windows Microsoft стверджує, що найсерйозніші проблеми усунуті, але про всяк випадок дає інструкції щодо відключення захисту. А взагалі, в останні два місяці всюди відбувається якась чехарда: виробники випускають патчі, користувачі скаржаться на проблеми, виробники прибирають старі патчі, випускають нові – і далі по колу.

Інша проблема стосується програм, які після поновлення перестають працювати або працюють неправильно. Особливо неприємно, коли до таких відносяться антивіруси та інші засоби захисту. Водночас з’ясувалося, що деякі такі утиліти використовують в своїй роботі механізми, в чомусь схожі (але не точно такі ж) на ті, які характерні для цих вразливостей.

Нарешті, ще одна проблема, яка чомусь більше всіх схвилювала звичайних користувачів, – це зниження продуктивності. Насправді вона актуальна для серйозних додатків, в першу чергу серверних (бази даних, наприклад). А ті ж ігри, браузери, офісне ПЗ та інший користувальницький набір утиліт на практиці не страждають від цього, за рідкісними винятками. Іронія в тому, що ці уразливості побічно показали рівень професіоналізму програмістів – найбільше проблем з продуктивністю у того ПО, яке було найкраще оптимізовано під конкретні апаратні платформи, тобто максимально використовувало можливості заліза.

Що робити, якщо у мене старий устрій, яке не отримувало оновлень?

Важке питання. Очевидно, що його не треба використовувати. Не менш очевидно, що це, м’яко кажучи, далеко не завжди можливий варіант. Ізолювати такий пристрій від Мережі – теж так собі затія. Купувати замість нього нове зараз начебто і сенсу немає, тому що уразливості в ньому все одно будуть, нехай і з частковою захистом від них. При цьому чекати нові апаратні платформи без цих вразливостей доведеться довго. Навряд чи вони стануть масово доступними протягом хоча б року.

P.S .: буквально днями дослідники придумали нові модифікації атак (Spectre Prime і Meltdown Prime), які розраховані в першу чергу на багатоядерні процесори. Схоже, заплатки від Meltdown і Spectre теж можуть частково допомогти в захисті від них, а от апаратні виправлення доведеться чекати ще довго. І так, Prime-атаки теж стосуються майже всіх сучасних процесорів.

Від |2019-01-20T19:57:24+02:00Січень 20th, 2019|FAQ, Усі|

Залишити коментар

EnglishGermanHindiItalianRussianUkrainian