Meltdown en Spectre, de grote pc-beveiligingsfouten die in uw apparaten verborgen zijn, uitgelegd

Асуудлыг Арилгахын Тулд Манай Хэрэгслийг Туршиж Үзээрэй

U zult uiteindelijk uw apparaten moeten bijwerken, maar weet dat het probleem mogelijk niet met een paar klikken verdwijnt.

Danush Parvaneh/Vox

Het was niet helemaal hoe technologiebedrijven het nieuwe jaar wilden inluiden: computerbeveiligingsonderzoekers onthulden enorme beveiligingsfouten die mogelijk van invloed zijn op de overgrote meerderheid van personal computers en smartphones die ooit zijn gebouwd.

Twee beveiligingsfouten, door onderzoekers Meltdown en Spectre genoemd, maken het theoretisch mogelijk dat processor-exploits wachtwoorden en andere gevoelige gebruikersgegevens stelen van bijna elk apparaat dat in de afgelopen 20 jaar is gemaakt. volgens de New York Times .

Beveiligingsonderzoekers , waaronder Jann Horn bij Google en academici aan de Graz University of Technology, ontdekten de gebreken. Ze hadden de gebreken vorig jaar al onthuld aan de grote technologiebedrijven zoals Microsoft en Apple, en waren van plan om ze publiekelijk te onthullen.

In plaats daarvan dwongen lekken van de onthullingen de handen van technologiebedrijven en probeerden ze updates uit te brengen. In hun haast introduceerden ze fouten waardoor sommige computers onverwachts uitvielen, en nu wachten op echte bescherming.

Tegen het einde van januari, Microsoft heeft eindelijk updates teruggetrokken om de exploits te verhelpen vanwege deze problemen. Dit kwam ongeveer een week nadat de processormaker Intel, die de update-patches ontwikkelde, de ommekeer aanraadde.

Intel werd ook vóór de lekken op de hoogte gebracht van de mogelijke exploits, en het is misschien de moeite waard om op te merken dat de CEO van het bedrijf, Brian Krzanich, eind november $ 24 miljoen aan bedrijfsaandelen en opties heeft verkocht. volgens Business Insider .

Er is nog geen bewijs dat hackers misbruik hebben gemaakt van de beveiligingslekken. Maar zodra gebreken openbaar worden gemaakt, worden uw apparaten klaargemaakte doelen, en het is slechts een kwestie van tijd voordat hackers manieren vinden om toegang te krijgen tot gevoelige gegevens zoals uw wachtwoorden, online bankrekeningen en e-mail - als u uw apparaten onbeschermd hebt achtergelaten.

Exploits zijn tegenwoordig helaas gebruikelijk, omdat beveiligingsonderzoekers een wapenwedloop aangaan met hackers en zelfs landen om muren te bouwen rond onze steeds meer verbonden wereld van apparaten.

Meltdown en Spectre zijn echter buiten de norm, omdat ze exploits op hardwareniveau, het silicium in uw machine, toestaan. Dat maakt het oplossen van het probleem veel uitdagender, omdat de exploits toegang geven tot het meest elementaire deel van uw computer.

Hoe werken Meltdown en Spectre?

Processoren zijn een van de bouwstenen van digitale apparaten. Ze laten uw apparaat denken door een duizelingwekkend aantal kleine berekeningen per seconde uit te voeren.

Moderne apparaten werken parallel, waardoor processors verschillende berekeningen voor verschillende toepassingen tegelijkertijd kunnen uitvoeren. Ze kunnen ook kleine stukjes informatie opslaan. Ze kunnen zelfs speculatieve uitvoeringen uitvoeren, waarbij ze de meest waarschijnlijke acties raden die u zou kunnen uitvoeren, zodat ze sneller kunnen worden verwerkt.

Deze processorcomplexiteit is precies wat kan worden misbruikt, waardoor toegang wordt verkregen tot de kernel, het besturingssysteem op het hoogste niveau van uw computer.

Als The Verge uitgelegd :

De kwetsbaarheden stellen een aanvaller in staat om het geprivilegieerde geheugen van een processor te compromitteren door gebruik te maken van de manier waarop processen parallel lopen. Ze stellen een aanvaller ook in staat om JavaScript-code te gebruiken die in een browser wordt uitgevoerd om toegang te krijgen tot geheugen tijdens het proces van de aanvaller. Die geheugeninhoud kan toetsaanslagen, wachtwoorden en andere waardevolle informatie bevatten.

Kernsmelting lijkt alleen van invloed te zijn op Intel-processors, maar het bedrijf heeft een bijna monopolie op processors voor personal computers en servers. Spectre is echter een meer algemene fout en kan van invloed zijn op nog meer apparaten, hoewel experts zeggen dat de fout moeilijker te exploiteren is.

Volgens de beveiligingsonderzoekers die de exploits hebben ontdekt, kunnen de risicogegevens uw wachtwoorden zijn die zijn opgeslagen in een wachtwoordbeheerder of browser, uw persoonlijke foto's, e-mails, instant messages en zelfs bedrijfskritieke documenten.

De toenemende connectiviteit van consumentenproducten, bijvoorbeeld een slimme koelkast of sapcentrifuge — maakt deze exploits bijzonder gevaarlijk.

Volgens de Times kunnen hackers eenvoudig ruimte huren op een niet-gepatchte cloudservice en gemakkelijk toegang krijgen tot klantgegevens:

Dat is een grote bedreiging voor de manier waarop cloud computing-systemen werken. Cloudservices delen vaak machines met veel klanten - en het is ongebruikelijk dat bijvoorbeeld een enkele server wordt toegewezen aan een enkele klant. Hoewel beveiligingstools en -protocollen bedoeld zijn om de gegevens van klanten te scheiden, zouden de recent ontdekte chipfouten kwaadwillenden in staat stellen deze beveiligingen te omzeilen.

De grootste cloudservicebedrijven, zoals Google en Amazon, zeggen dat ze hun systeemproblemen hebben opgelost. Maar clouddiensten maken een steeds groter deel uit van veel online en offline bedrijven, die misschien niet zo snel handelen.

Hoe bescherm ik mezelf?

Er zijn oplossingen in de maak voor Meltdown, en sommige zijn al uitgerold, alleen om meer problemen te veroorzaken. Intel brengt deze maand firmware-updates uit voor processors die in de afgelopen vijf jaar zijn gemaakt.

Voor al deze updates hoeft u alleen maar te controleren of u bent bijgewerkt naar de nieuwste versie van het besturingssysteem van uw apparaat. Als u echter problemen heeft gehad met het afsluiten of andere problemen met uw computer, moet u mogelijk: handmatig een rollback van de update downloaden . Dit maakt uw apparaat echter kwetsbaar.

Oplossingen voor Spectre kunnen hardwarewijzigingen vereisen, wat jaren kan duren voordat mensen nieuwe apparaten kopen. Intel heeft aangekondigd dat de volgende generatie processorchips zal beschermen tegen Spectre.

Terwijl u op oplossingen wacht, kunt u het beste het volgende doen: twee-factor-authenticatie inschakelen , die inlogcodes van uw telefoon of e-mail gebruikt. Schakel dit in op zoveel mogelijk gevoelige accounts, maak lange wachtwoorden en gebruik ze niet opnieuw. Overweeg ook een wachtwoordbeheerder, die: kan wachtwoorden voor u maken (maar zorg ervoor dat de manager zelf veilig is).

Dit is gewoon een goed advies in het algemeen. Of hackers nu wel of niet misbruik maken van deze specifieke fouten, toekomstige fouten zullen dat zeker zijn.

En softwarefixes voor Meltdown zijn misschien niet perfect: patches voor Meltdown kunnen computers in sommige gevallen vertragen. Andres Freund, een softwareontwikkelaar, vertelde de New York Times dat hij had bevestigd dat het testen op Linux-machines aanzienlijk vertraagd was. Maar enkele andere experts zeggen dat die grote dalingen hoogstwaarschijnlijk alleen zullen gelden voor servers en cloudservices.

Intel heeft vrijgegeven beste scenario's voor de Windows- en processorupdates, met een daling tot 7 procent voor sommige taken, en vaak veel minder. Maar het bedrijf zei dat Windows-gebruikers die een oudere versie van het besturingssysteem gebruiken, in plaats van Windows 10, een grotere prestatiekloof zouden kunnen zien.

Waar het op neerkomt: stel het bijwerken van uw apparaten niet uit omdat u bang bent ze te vertragen. Maar als je nog steeds Windows 7 of 8 gebruikt, is het nu eindelijk het moment om over te stappen naar Windows 10.

Moet ik me hier echt druk om maken?

Waarschijnlijk heb je je nu neergelegd bij de paniekcyclus van kwaadaardige code: er wordt een fout ontdekt of misbruikt, de gevoelige persoonlijke gegevens van miljoenen worden wel/niet gecompromitteerd, en we drukken allemaal op een paar knoppen om de oplossing te krijgen - en bidden dat hackers onze hulpeloosheid negeren .

Hoewel de dreiging van deze nieuw ontdekte fouten nog steeds hypothetisch is, is er misschien weinig technische kennis nodig om met name Meltdown te exploiteren. Het enige dat nodig is, is een vervelende banneradvertentie om uw apparaat in gevaar te brengen.

Dus voor alle duidelijkheid: je moet absoluut op die knoppen drukken, ondanks de rommelige haastige updates die zijn gemaakt. Helaas zal het, ahum, spook van beveiligingsfouten op hardwareniveau mogelijk niet snel worden opgeheven.