Οι αποκαλύψεις ευπάθειας του Specter και Meltdown αποκαλύπτουν το Meltdown και το Specter Αφήνουν κάθε CPU ευάλωτο να επιτεθεί σε Meltdown και Specter Αφήστε κάθε CPU ευάλωτη σε επίθεση Ένα τεράστιο σφάλμα ασφαλείας με επεξεργαστές Intel έχει αποκαλυφθεί. Το Meltdown και το Specter είναι δύο νέα τρωτά σημεία που επηρεάζουν τη CPU. Είστε επηρεασμένοι. Τι μπορείτε να κάνετε για αυτό; Διαβάστε περισσότερα ήταν μια συγκλονιστική αρχή για το νέο έτος στην ασφάλεια στον κυβερνοχώρο Τα μεγάλα γεγονότα στον κυβερνοχώρο του 2017 και σε ό, τι σας έδωσαν τα μεγάλα γεγονότα στον κυβερνοχώρο του 2017 και σε ό, τι σας έκαναν You were the victim of an hack in 2017? Δισεκατομμύρια ήταν, σε αυτό που ήταν σαφώς το χειρότερο έτος στην ασφάλεια στον κυβερνοχώρο. Με τόσο πολλά συμβάντα, ίσως έχετε χάσει μερικές από τις παραβιάσεις: ας ανακεφαλαιώσουμε. Διαβάστε περισσότερα . Τα τρωτά σημεία επηρεάζουν σχεδόν κάθε επεξεργαστή, σε κάθε σχεδόν λειτουργικό σύστημα και αρχιτεκτονική. Οι κατασκευαστές επεξεργαστών και οι προγραμματιστές του λειτουργικού συστήματος εξέδωσαν γρήγορα patches για να προστατεύσουν από τα τρωτά σημεία - αλλά υπήρξαν και κάποια σοβαρά προβλήματα οδοντοφυΐας.
Τώρα, πάνω από ένα μήνα από τις αρχικές αναφορές, είμαστε πιο κοντά στην αληθινή επίλυση των τρωτών σημείων Meltdown και Specter;
Φαντάσματα και κατακρημνίσματα παντού
Τα πρόσφατα ανακαλυφθέντα προβλήματα ασφάλειας θα επηρεάσουν τον υπολογισμό Revealed: Πώς αναβαθμίσεις Spectre θα επηρεάσουν τον υπολογιστή σας Revealed: Πώς ενημερώσεις Spectre θα επηρεάσουν τον υπολογιστή σας Υποθέτουμε ότι είστε πλήρως ενήμεροι για Meltdown και Specter μέχρι τώρα. Αυτό σημαίνει ότι ήρθε η ώρα να μάθετε πώς ακριβώς οι ενημερώσεις των Windows που κυκλοφόρησε η Microsoft θα επηρεάσουν τον υπολογιστή σας ... Διαβάστε περισσότερα για πολύ καιρό. Η διείσδυση επηρεάζει ειδικά τους μικροεπεξεργαστές της Intel που εκτείνεται μέχρι το 1995. Η μακροζωία αυτού του ζητήματος σημαίνει ότι οι περισσότεροι επεξεργαστές της Intel κινδυνεύουν και ακόμη και υπηρεσίες όπως οι Microsoft Azure και οι υπηρεσίες Amazon Web Services.
Το Spectre έχει παρόμοια παγκόσμια επίδραση, επηρεάζοντας τους μικροεπεξεργαστές από τους υπόλοιπους σημαντικούς σχεδιαστές: AMD και ARM. Αυτό σημαίνει ότι τα περισσότερα από τα υπολογιστικά συστήματα του κόσμου είναι ευάλωτα. Είναι οι υπολογιστές που δεν επηρεάζονται από τα σφάλματα Meltdown και Specter; Οποιοιδήποτε υπολογιστές δεν επηρεάζονται από τα σφάλματα κατακρήμνισης και Specter; Τα vulnerabilites Meltdown και Specter έχουν επηρεάσει το υλικό σε όλο τον κόσμο. Φαίνεται ότι όλα είναι ανασφαλμένα. Αλλά αυτό δεν συμβαίνει. Ελέγξτε αυτή τη λίστα με το ασφαλές υλικό και τις συμβουλές μας για το μέλλον. Διαβάστε περισσότερα και έχουν πάνω από 20 χρόνια.
#Meltdown & #Spectre - Μια σύγκριση σύγκρισης # cybersecurity #DataBreach #humanfactors # CES2018 #malware #Technology
CC: @ ipfconline1 @JimMarous @evankirstel @MikeQuindazzi @pierrepinna @ jblefevre60 @ reach2ratan @KirkDBorne @Ronald_vanLoon pic.twitter.com/0S79P5jDbV
- Shira Rubinoff (@Shirastweet) 10 Ιανουαρίου 2018
Είναι κατανοητό ότι αυτή η αποκάλυψη προκαλεί κάποια κατασπατάληση τόσο για τους καταναλωτές όσο και για τις επιχειρήσεις. Η ανησυχία είναι πολύπλευρη. Θα λειτουργούν οι προσφορές κώδικα; Είναι απλούστερο να αντικατασταθούν ολόκληρα αποθέματα μικροεπεξεργαστών; Πότε θα έρθει στην αγορά ένας πλήρως ασφαλής επεξεργαστής; Και τι γίνεται με το κόστος;
"Δεν έχουμε δει ποτέ ένα τόσο εκτεταμένο σφάλμα όπως αυτό που επηρεάζει κυριολεκτικά όλους τους μεγάλους επεξεργαστές", λέει ο David Kennedy, Διευθύνων Σύμβουλος της TrustedSec, η οποία διενεργεί δοκιμές διείσδυσης και συμβουλευτικές υπηρεσίες ασφαλείας για εταιρείες. "Ήμουν τουλάχιστον δέκα κλήσεις την περασμένη εβδομάδα με μεγάλες εταιρείες και δύο χθες εξηγώντας τι συμβαίνει. Δεν έχουν ιδέα τι να κάνουν όταν πρόκειται για patching. Είναι πραγματικά ένα χάος. "
Patches Galore
Το τεράστιο φάσμα των ευάλωτων συσκευών προσφέρει ένα άλλο πρόβλημα Είναι το Chromebook σας προστατευμένο κατά την κατάρρευση; Το Chromebook σας προστατεύεται από την κατάρρευση; Η Google δημοσίευσε μια λίστα με όλες τις γνωστές συσκευές Chrome OS, οι οποίες περιγράφουν λεπτομερώς τις οποίες είναι πλέον ευάλωτες στο Meltdown και οι οποίες απαιτούν επιδιόρθωση. Διαβάστε περισσότερα . Κάθε τύπος υλικού απαιτεί μια ελαφρώς διαφορετική ξεχωριστά κατασκευασμένη λύση. Η διαδικασία των ενημερώσεων κώδικα από τις αρχές Ιανουαρίου δεν ήταν καθόλου παράξενη.
Η Intel έσπευσε να αναπτύξει και να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα ασφαλείας. Το μειονέκτημα ήταν ορισμένα σοβαρά ζητήματα επιδόσεων. Σύμφωνα με την Intel, "οι τυχόν επιπτώσεις στην απόδοση είναι εξαρτώμενες από το φόρτο εργασίας και, για τον μέσο χρήστη του υπολογιστή, δεν θα πρέπει να είναι σημαντικές και θα μετριαστούν με την πάροδο του χρόνου." Αυτό ήταν αναληθές τότε και παραμένει έτσι κατά τη στιγμή της γραφής. Ακόμη και οι νεότεροι επεξεργαστές μόλις έρχονται στην αγορά εξακολουθούν να αισθάνονται τα αποτελέσματα.
Στην πραγματικότητα, τη Δευτέρα, 22 Ιανουαρίου, η Intel απέσυρε ένα από τα μπαλώματα του Spectre επειδή προκάλεσε τυχαία επανεκκίνηση. Η Intel πρότεινε ότι οι διαχειριστές δικτύων θα πρέπει απλώς να ανακτήσουν τυχόν ενημερώσεις που έχουν ήδη εγκατασταθεί, με τον εκτελεστικό αντιπρόεδρο της Intel Neil Shenoy να λέει: "Ζητώ συγγνώμη για τυχόν διαταραχές που μπορεί να προκαλέσει αυτή η αλλαγή καθοδήγησης." VMware, Lenovo και Dell χρόνος.
Στη συνέχεια, στα τέλη Ιανουαρίου, η Microsoft ανήγγειλε επίσης ότι οι ενημερώσεις κώδικα Spectre και Meltdown για τα Windows 10 διακυβεύουν την απόδοση και προκαλούν τυχαία σφάλματα με θανάτους, επιβεβαιώνοντας ότι οι διορθώσεις ασφαλείας τους ήταν κακές. Ω, και η Apple παρομοίως αποσύρθηκαν ισχυρισμοί σχετικά με την προστασία για παλαιότερα μηχανήματα, απελευθερώνοντας μια πληθώρα από μπαλώματα για τη High Sierra, τη Sierra και το El Capitan.
Linus και Linux
Ο Linus Torvalds, ο δημιουργός και κύριος προγραμματιστής του πυρήνα του Linux, παραμένει εξαιρετικά επικριτικός σε ολόκληρη τη διαδικασία patch / meltdown (ό, τι είναι ο πυρήνας, ούτως ή άλλως). Υπάρχει μόνο ένα de facto γεγονός ότι οι διανομές Linux έχουν κοινό: τον πυρήνα του Linux, αλλά ενώ συχνά μιλάμε, πολλοί άνθρωποι δεν ξέρουν ακριβώς τι κάνει. Στην πραγματικότητα, ο Torvalds πήγε τόσο μακριά όσο να δηλώσει τα patches της Intel ως "COMPLETE AND UTTER GARBAGE". Μπορείτε να διαβάσετε το υπόλοιπο του tirade του εδώ - και αξίζει να το διαβάσετε.
Το κείμενο είναι κάπως γεμάτο φράσεις, οπότε θα κάνω το καλύτερό μου για να το εξηγήσω απλά.
Ο Linus ανέλυσε τα μπαλώματα. Βρήκε την Intel προσπαθώντας να κάνει τα μπαλώματα ασφαλείας προαιρετικά, καθώς και τα λειτουργικά συστήματα, ώστε να μην χρειάζεται να αναθεωρήσουν πλήρως τον σχεδιασμό της CPU (που είναι η μόνη επιλογή για πραγματική ασφάλεια - θα εξηγήσω γιατί σε λίγο). Αντί να εκδίδει δύο ενημερωμένες εκδόσεις κώδικα όπου επιτρέπεται η δημιουργία των ενημερωμένων εκδόσεων ασφαλείας και μια δεύτερη που εφαρμόζει τις ενημερώσεις κώδικα στον πυρήνα.
Αντ 'αυτού, ο Torvalds ισχυρίζεται ότι η Intel αναγκάζει τα δύο μαζί να ασχοληθούν με τις επιτυχίες επιτυγχάνοντας μια "Προαιρετική Ασφαλής Λειτουργία", όπου ο χρήστης πρέπει να επιλέξει την CPU τους στην επιδιόρθωση και να κάνει την απόδοση να χτυπήσει την απόφαση των πελατών, αντί να πάρει η Intel . Επιπλέον, εάν και όταν οι χρήστες εκκινήσουν ένα παλαιότερο λειτουργικό σύστημα που δεν έχει γνωρίσει ποτέ την ενημερωμένη έκδοση κώδικα, θα είναι αμέσως ευάλωτα.
Στις 29 Ιανουαρίου κυκλοφόρησε ο πυρήνας Linux 4.15, ο οποίος διαθέτει πρόσφατα διευρυμένες δυνατότητες ασφαλείας σε επεξεργαστές Intel και AMD σε συσκευές Linux. Και ενώ το Linus Torvalds ήταν το Linux ήταν εστιασμένο, είναι σαφές ότι τα patches της Intel δεν ήταν μέχρι να ξυστούν για οποιοδήποτε λειτουργικό σύστημα.
Ενημερώσεις της Microsoft εκτός ζώνης
Όπως αναφέρθηκε παραπάνω, η Microsoft είναι επίσης δυσαρεστημένη με την προσέγγιση της Intel Πώς να προστατεύσουμε τα Windows από τη διόγκωση και τις απειλές για την ασφάλεια Specter Πώς να προστατέψουμε τα Windows από τις κατακρήμνιση και την ασφάλεια των Spectre Ασφάλεια Η Meltdown και το Specter είναι μείζονες απειλές για την ασφάλεια που επηρεάζουν δισεκατομμύρια συσκευές. Μάθετε εάν επηρεάζεται ο υπολογιστής σας των Windows και τι μπορείτε να κάνετε. Διαβάστε περισσότερα για τις ενημερωμένες εκδόσεις ασφαλείας. Τόσο πολύ ώστε να έσπασε με την παραδοσιακή προσέγγιση Patch Τρίτης στις περισσότερες ενημερωμένες εκδόσεις κώδικα ασφαλείας, αντί να εκδώσει μια σπάνια ενημερωμένη έκδοση ασφαλείας εκτός ζώνης. Η ενημερωμένη έκδοση κώδικα της Microsoft απλώς απενεργοποιεί την παραλλαγή του Specter 2, ως απόδειξη για το πόσο κακό είναι η ενημερωμένη έκδοση κώδικα της Intel.
Η νέα ενημερωμένη έκδοση κώδικα είναι διαθέσιμη μέσω του Microsoft Update Catalog.
Εναλλακτικά, οι χρήστες που επιθυμούν να ακολουθήσουν την καθοδική διαδρομή καθορισμού πρέπει να διαβάσουν το έγγραφο Καθοδήγησης Πελάτη των Microsoft Windows για συμβουλές σχετικά με τις κάπως περίπλοκες αλλαγές στο μητρώο.
Τι είναι η Κίνα;
Παρά το γεγονός ότι η Intel απειλείται με μια σφαίρα σχετικά με την τελευταία έκθεση κερδών της (παρά την έκθεση των περισσότερων υπολογιστών παγκοσμίως, τα κέρδη της Intel σφύζουν καλά), η Intel ανέλαβε περισσότερους κριτικούς για την αποκάλυψη τόσο Meltdown όσο και Spectre σε μαζικούς κινέζους πελάτες όπως Alibaba και Lenovo είπε στην κυβέρνηση των ΗΠΑ.
Στην πραγματικότητα, αρκετές μεγάλες αμερικανικές υπηρεσίες ενημερώθηκαν μόνο για το Specter και το Meltdown όταν δημοσιεύθηκαν εκθέσεις, και όχι για οποιαδήποτε διαδικασία κοινοποίησης πριν από τη γνωστοποίηση. Και παρόλο που δεν υπάρχουν ενδείξεις ότι οι πληροφορίες χρησιμοποιήθηκαν ακατάλληλα (π.χ. διαβιβάστηκαν και χρησιμοποιήθηκαν από την κινεζική κυβέρνηση), εγείρονται σοβαρές ανησυχίες για τις επιλογές της Intel για το ποιος θα ενημερώσει.
Δεδομένου του βάθους και της κλίμακας της κινεζικής επιτήρησης μέσω Διαδικτύου, φαίνεται εντελώς απίθανο ότι η κινεζική κυβέρνηση δεν γνώριζε τα τρωτά σημεία πριν από την αμερικανική κυβέρνηση.
Είναι οι πραγματικές διορθώσεις για το φάντασμα και την κατάρρευση να συμβαίνουν ποτέ;
Τα μπαλώματα ασφαλείας είναι, ρεαλιστικά, μια προσωρινή λύση. Το βάρος δεν πρέπει να πέσει στους καταναλωτές για να επιτρέψει την αποτροπή των μπαλών μπλοκαρίσματος, πόσο μάλλον θα πρέπει να αποφασίσει για το συμβιβασμό μεταξύ ζητημάτων ασφάλειας σε επίπεδο πυρήνα και επιτυχιών CPU. Είναι απλώς άδικο, πόσο μάλλον εντελώς ανήθικο.
Μέρος των εκθέσεων για τα οικονομικά της Intel περιελάμβανε πληροφορίες από τον διευθύνοντα σύμβουλο Brian Krzanich ο οποίος υποσχέθηκε ότι τα τσιπ με πραγματικές διορθώσεις υλικού θα αρχίσουν να στείλουν φέτος. Δυστυχώς, ο Κρζάνιτς δεν εξήγησε τι σημαίνει αυτή η τολμηρή δήλωση.
Εντούτοις, επειδή η Krzanich επιβεβαίωσε ότι η Intel θα συνεχίσει να αναπτύσσει τα προϊόντα των 14nm (επεξεργαστές Intel από το 2014 και εξής - Kaby Lake, Coffee Lake, Skylake κ.λπ.) μέχρι το 2018. Αυτό δημιουργεί δυνατότητες: CPU και διορθώσεις για τους επερχόμενους επεξεργαστές Lake Cannon, ή το ένα ή το άλλο.
Επιπλέον, κανείς δεν είναι σαφής ακριβώς ποια θα είναι τα διορθωτικά μέτρα. Η σημερινή προσέγγιση για τον μικροκώδικα και την αντιμετώπιση δεν φαίνεται να λειτουργεί. Με δεδομένο περισσότερο χρόνο για ανάπτυξη, θα εμφανιστούν καλύτερες και καλύτερες κωδικοποιημένες εκδόσεις; Ή θα αποδεχτεί η Intel ότι οι επεξεργαστές τους απαιτούν τροποποίηση σε πολύ βαθύτερο επίπεδο;
Ένα πράγμα είναι σίγουρο, όμως. Παρά τη μνημειώδη αυτή ευπάθεια που επηρεάζει τόσες συσκευές, οι πωλήσεις της Intel είναι πιθανό να αυξηθούν όσο μεγάλες εταιρίες, επιχειρήσεις και καταναλωτές θα μεταπηδήσουν από το υλικό που επηρεάζεται όταν φτάσει η νέα, προφανώς ασφαλή γενιά.
Τι πιστεύεις για το Specter and Meltdown; Έχει σας ζητήσει να εξετάσετε την αγορά ενός νέου υπολογιστή το 2018; Ενημέρωσέ μας!