В Сети продолжают появляться подробности о масштабной проблеме в безопасности, затрагивающей почти все устройства, в том числе смартфоны, выпущенные за последние 20 лет, которую западные СМИ уже окрестили Чипокалипсисом.

#Буквы  собрали все, что известно о проблеме на данный момент.

Уязвимость в процессорах: что произошло?

Независимые группы исследователей ещё в прошлом году нашли в современных процессорах две критические уязвимости, позволяющие зловредным программам воровать данные, которые обрабатываются компьютером. Эти уязвимости получили название Meltdown и Spectre, но до вчерашнего дня информация о них держалась в секрете, чтобы подготовить решения, позволяющие закрыть эти дыры в безопасности.

Благодаря Meltdown и Spectre зловредный софт может считывать информацию из памяти запущенных программ. А это могут быть пароли в браузере, сообщения электронной почты, фотографии, криптографические ключи, данные платёжных карт.

Meltdown позволяет нарушить барьер между приложениями и внутренней памятью операционной системы (название символизирует слом этого барьера), что открывает доступ к данным, хранимым в памяти ОС.

Spectre нарушает такой барьер между самими приложениями: условно, один сервис может залезть в память другого. Spectre более сложна в исполнении, но её и сложнее победить, поэтому исследователи считают, что атака будет как призрак ещё какое-то время преследовать пользователей и разработчиков.

атака

Кроме этого, проблема Meltdown и Spectre касается и серверных процессоров, поэтому злоумышленники могут получить доступ к данным, которые хранятся в облаке.

Более подробно атаки описаны на специальном сайте, созданном группой исследователей безопасности из Грацского технического университета (Австрия), Google Project Zero и других организаций. Из одной только сути атак Meltdown и Spectre можно сделать вывод об уровне опасности уязвимости: она затрагивает не только системные данные, но и данные внутри приложений, потому что все они обрабатываются на процессоре. А подвержены ей все крупнейшие производители.

Какие процессоры подвержены уязвимости?

Уязвимость Meltdown пока удалось воспроизвести только на компьютерах с процессорами Intel. В то же время, исследователи из Google Project Zero сообщают, что уязвимости Spectre подвержены компьютеры с чипами Intel, AMD и даже смартфоны с процессорами на базе архитектуры ARM.

Исследователи передали информацию об уязвимостях Intel, AMD и ARM еще в июне 2017 года, поэтому у компаний было время, чтобы изучить проблему и найти решение.

Компания Intel сразу признала проблему со своими процессорами после того, как информация об уязвимостях попала в СМИ. Им подвержены все чипы производителя, выпущенные с 1995 года, кроме Intel Itanium и Intel Atom до 2013 года.

В ARM сообщили, что некоторые процессоры из серии Cortex-A подвержены угрозе: в эту серию входят и A-чипы, используемые в смартфонах Apple, однако пока не известно, подвержены ли конкретно эти чипы. Компания заявила, что серия Cortex-M, чипы которой используются в устройствах “интернета вещей”, не подвержены уязвимости.

В то же время в AMD заявляют, что они изучили вопрос и их процессоры не подвержены данным атакам.

“Из-за различий в архитектуре AMD мы считаем, что в настоящее время для процессоров AMD существует почти нулевой риск” – уверяют в компании.

Впрочем, они обещают опубликовать в ближайшие дни дополнительную информацию на этот счёт.

Мой компьютер в опасности?

Пока не известно о случаях, когда с помощью Meltdown и Spectre были бы украдены данные. Кроме этого, важно отметить, что для использования данных уязвимостей компьютер уже должен быть заражён вредоносным кодом. Поэтому если у вас установлены все обновления безопасности и программ, а антивирус не находит вирусов и троянов, то не стоит паниковать.

Как повлияет уязвимость?

Показана для примера визуализация работы Meltdown: одно приложение (в данном случае, Terminal) в реальном времени видит через внутреннюю память системы, что вводится в другое приложение. В случае с браузером пользователь может запустить вредоносный код JavaScript на случайно открытом сайте, и злоумышленники получат доступ к памяти его системы.

Что делать?

Варианта три:

Ждать обновлений и устанавливать их по мере появления. Рекомендуем поступать именно так несмотря на сообщения о возможных замедлениях работы — ожидается, что от них рано или поздно избавятся;
Если никакой информации нет, то рассчитывать, что обновление безопасности уже было внедрено компанией тайком;
Игнорировать сообщения, но при этом подвергать свои данные риску.

Microsoft уже выпустила экстренное обновление Windows: в версии 10 оно установится автоматически с 4 января (код KB4054022), а для Windows 8 и 7 патчи придётся устанавливать вручную до 9 января.

Компания Microsoft уже начала обновлять виртуальные сервера на Azure, и хотя она утверждает, что большинство клиентов не почувствуют изменения (то есть ухудшения) производительности, для “небольшой части” скорость работы их серверов снизится.

Компания Google предупредила своих пользователей через блог и рассказала, какие действия следует предпринять.

Некоторые из продуктов Google подвержены атаке, признала компания — например, браузер Chrome. Пользователи могут включить функцию изолирования сайтов друг от друга (так, чтобы одни сервисы не могли получить доступ к данным других сервисов внутри браузера), однако пока это необходимо делать вручную. Обновление браузера, автоматически устраняющее уязвимость, выйдет только 23 января.

В случае с Android опасность тоже существует, однако компания утверждает, что на “большинстве Android-устройств уязвимость сложно воспроизводима и ограничена”.

Компания Mozilla также признала возможность выполнения атаки с использованием уязвимости через браузер Firefox, “дыра” будет закрыта с выпуском обновления браузера под порядковым номером 57.

Apple публично пока не комментировала проблему, но, по данным источников AppleInsider, в версии macOS 10.13.2 (вышла в декабре 2017 года) компания уже закрыла часть уязвимости Meltdown, а ещё часть решения будет внедрена в следующей версии ОС, 10.13.3.

Касается ли уязвимость процессоров в iPhone и будет ли она устраняться в обновлениях iOS, пока не известно. Обновления для Linux уже выходят с начала декабря.

Соответственно, чтобы минимизировать риск, стоит поставить новые обновления операционных систем и программ. Важно отметить, что если уязвимость Meltdown можно уже сейчас закрыть программными патчами, то полностью решить проблему со Spectre пока нельзя. Она является более сложной для использования злоумышленниками, но в то же время, обеспечить безопасность патчами можно только по уже известным способам её внедрения. Таким образом, исследователи сходятся на том, что полностью закрыть уязвимость Spectre можно будет только с новым процессорами.

Стоит отметить, что старые компьютеры и мобильные устройства вряд ли будут обновлены даже для закрытия уязвимости Meltdown.

В августе прошлого года в США ошибка сотрудника компании, разрабатывавшей программное обеспечение (ПО) для выборов в США, привела к утечке личных данных 1,8 млн избирателей.
В мае 2016 года эксперты по безопасности из компании Hold Security выявили в сети базу данных с информацией о 272,3 млн аккаунтов на сервисах Google, Yahoo, Microsoft и Mail.Ru Group. При этом большая часть из них, порядка 57 млн аккаунтов, принадлежала сервисам Mail.Ru Group. Впоследствии представители Mail.Ru заявили, что база данных скомпрометированных паролей от Hold Security неактуальна на 99,9 %.