• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Атаки Spectre и Meltdown против различных микропроцессоров

AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
101
708
В наше время безопасность почти каждого компьютера, к сожалению, стала намного слабее. И с нашей точки зрения единственное решение, которое в действительности не является таковым, - это выбросить их и купить новые.

В среду важных уязвимостей безопасности микропроцессоров, которые являются сердцем всех мировых компьютеров за последние 10-15 лет. Они получили название и их задача заключалась в различными способами, которые использовали процессоры для оптимизации производительности путем реконфигурации порядка инструкций или параллельно выполняя различные инструкции. Злоумышленник, который контролирует один процесс в системе, имеет возможность использовать уязвимости для того, чтобы получить любую конфиденциальную информацию из компьютера. (Ознакомиться со статьями об исследователе можно и )

Это означает, что вредоносное приложение или программное обеспечение на вашем телефоне может украсть важные данные из ваших других приложений. Или же вредоносное программное обеспечение на вашем компьютере, возможно запущенное в из подозрительного сайта, на котором вы сейчас находитесь, или являющееся результатом фишинга, может украсть важные данные, которые находятся на вашем компьютере. Облачные сервера, которыми чаще всего пользуется большое количество интернет-потребителей, является особенно уязвимым. Это касается корпоративных приложений, работающих в облачной инфраструктуре и облачных приложений конечных пользователей, таких как Google Drive. Кто-то может запустить процесс в облаке и украсть конфиденциальные данные у любого другого пользователя на одном и том же компьютере.

Информация об этих недостатках тайно распространялась среди основных ИТ-компаний в течение нескольких месяцев, когда они изучали последствия вирусных атак и координировали обновления. Предполагалось, что детали будут опубликованы через неделю, но, к сожалению, это , и каждый начал шифровать свои данные. К настоящему моменту все основные создатели облачных ресурсов усовершенствовали свои системы против уязвимостей, которые могут быть возникнуть снова.

«Выбросьте и купите новый» - это нелепый совет по безопасности, но это то, что US-CERT. Это также невозможно. Проблема заключается в том, что мы не можем купить ничего, что не было бы неуязвимо. Практически большинство процессоров, произведенных за последние 20 лет, являются подверженными различного рода уязвимостям. Защита против Meltdown может существенно снизить производительность вашего компьютера, примерно на треть. Но, к сожалению, не существует защиты против Spectre; микропроцессоры должны быть перепроектированы для защиты от подобного рода атак. И это займет годы. ( того, что удалось сделать на данный момент).

Это плохо, но ожидаемо. Некоторые тенденции работают таким образом, что делает нашу настоящую систему исправления уязвимостей сложной для использования.

Во-первых, эти уязвимости влияют на встроенные компьютеры в потребительских устройствах. В отличие от наших компьютеров и телефонов, эти системы разрабатываются и производятся с более низкой нормой прибыли и с использованием не столь высоких технологий. Не существует групп безопасности по вызову для написания патчей, и часто не существует механизмов для установки патчей на устройства. Мы уже с этим явлением на примере домашних роутеров, цифровых видеомагнитофонов и веб-камер. Уязвимость, которая позволила атаковать эти устройства в августе прошлого года, просто не может быть исправлена.

Во-вторых, установка некоторых патчей требует серьезного обновления защитных программ компьютера. Также есть риск, что устройство будет навсегда заблокировано, если что-то пойдет не так. Это также требует большей координации. В ноябре Intel выпустила обновление защитных программ для исправления в своем Management Engine (ME): еще один недостаток в их микропроцессорах. Но компания не могла предоставить это обновление непосредственно пользователям; т.к. данному ПО приходилось сотрудничать с отдельными компаниями по производству оборудования. А некоторые из них, к сожалению, просто не имели возможности предоставить данные программы своим клиентам.

Мы уже с этим столкнулись. Некоторые патчи требуют от пользователей отключить пароль компьютера, что означает, что некоторые организации не могут автоматизировать установку патча. Некоторое антивирусное программное обеспечение патч, или - что еще хуже – приводит к сбою в работе компьютера. Результатом этого является трехэтапному процесс: , пропатчить вашу операционную систему, а затем исправить прошивку компьютера.

Последняя причина – это природа самих уязвимостей. Это не обычные уязвимости ПО, где обычной устанвкой патча можно решить проблему и спокойно продолжать работу. Суть этих уязвимостей лежит в фундаментальных принципах работы микропроцессора.

Неудивительно, что разработчики микропроцессоров уже 20 лет создают небезопасное оборудование. Удивительно, что на это ушло 20 лет. В спешке, чтобы сделать компьютеры быстрее, они не думали о безопасности. У них не было опыта для обнаружения этих уязвимостей. А те, кто это сделал, слишком заняты обнаружением стандартных уязвимостей программного обеспечения для поверки микропроцессоров. Специалисты в области кибер-безопасности начинают более пристально следить за этими системами, поэтому в ближайшем будущем мы ожидаем услышать о большую информацию об уязвимостях.
Spectre and Meltdown - довольно серьезные уязвимости, но они влияют только на конфиденциальность данных. Теперь, когда они - и изучение уязвимости Intel ME - показали специалистам, где их искать, и более того то, что они найдут, будет хуже, чем Spectre или Meltdown. Появятся уязвимости, которые позволят злоумышленникам манипулировать или удалять данные по всем процессам, потенциально фатальными для компьютеров, контролирующих наши автомобили или имплантированных медицинских устройств. И это, к сожалению, невозможно будет исправить, и единственной адекватной стратегией в данной ситуации будет выбросить наши устройства и купить новые.

Это не значит, что вы должны немедленно выключить свои компьютеры и телефоны и не использовать их в течение нескольких лет. Для обычного пользователя это всего лишь еще один метод атаки среди прочих. Все работают над исправлениями и обходными решениями для атак, которые они могут смягчить. Все обычные рекомендации по безопасности по-прежнему применяются: следите за фишинговыми атаками, не переходите по неизвестным вам ссылкам, которые были получены по электронной почте, не посещайте подозрительные веб-сайты, которые могут ПО в вашем браузере, регулярно обновляйте вашу систему и, что очень важно, всегда будьте осторожными в Интернете. Вероятно, вы не заметите, что производительность понижается после установки патча для защиты от Meltdown, за исключением, может быть, программ резервного копирования и сетевых приложений. Встроенные системы, которые выполняют только одну задачу, например, ваш программируемый термостат или компьютер в вашем холодильнике, не подвержены влиянию. Небольшие микропроцессоры практически не подвержены уязвимостям. Браузеры , как сделать это в программном обеспечении. В целом, безопасность среднего устройства Internet-of-Things является настолько плохой, что эта атака очень опасна по сравнению с ранее известными рисками.

Это гораздо большая проблема для поставщиков облачных серверов; ущерб производительности будет дорогостоящим, но я ожидаю, что они найдут какой-нибудь разумный способ обнаружения и блокировки атак. В общем, хуже, чем Spectre и Meltdown, уже не будет.

Но, тем не менее, грядет еще большее зло. 2018 станет годом уязвимостей для микропроцессоров. И это будет реально жестко.

Примечание: более краткая версия данной статьи на CNN.com. Мой на эту тему содержал дополнительные ссылки.

Источник:
 
FlowLight

FlowLight

Happy New Year
31.07.2017
26
24
Одна из самых крутейших статей за всё время, которое я тут обитаю!
 
Мы в соцсетях: