logo

Pažeidžiami prietaisai, pagaminti per pastaruosius 20 metų

Sausio 11 d., 2018 Autorius: Rūta Songailaitė

Spauda skelbia apie dvi naujai atrastas įrenginių saugumo spragas, pavadintas Meltdown ir Spectre. Šios spragos yra Intel, AMD ir ARM pagamintuose mikroprocesoriuose. Jos leidžia kibernetiniams nusikaltėliams, naudojant mikroprocesorių funkcijas, pavogti svarbią informaciją (pvz.: slaptažodžius, asmenines nuotraukas, el.laiškus) iš beveik kiekvieno kompiuterio, mobiliojo įrenginio ar net virtualios informacijos saugyklos („debesies“). Tai liečia Apple, Google, Amazon ir Microsoft įrenginius.

Gera žinia ta, kad jau yra sukurtos saugumo priemonės daugumai sistemų ir produktų apsaugoti. Jos yra nuolat atnaujinamos.

Bloga žinia – saugumo ekspertai sako, kad šios priemonės gali sulėtinti įrenginių našumą, ypač tų, kurie yra senesni nei penki metai.

Kaip tai veikia?

Kaip „Meltdown“ atkuria nuotrauką iš atminties:

Žmogus, norintis pakenkti ir pasinaudoti minėtomis saugumo spragomis, turi gebėti įdėti tam tikrą kodą į vartotojo kompiuterį.

Tai gali būti padaryta keliais būdais, pavyzdžiui, įvykdžius tokį kodą žiniatinklio naršyklėje, tačiau šį būdą Google ir Mozilla jau „uždarė“. Taip pat, užpuolikas gali panaudoti esamą Jūsų žiniatinklio serverio funkciją, kad įkeltų paveikslėlį, kuris vėliau yra konvertuojamas Jūsų serveryje. Atsižvelgiant į klaidų istoriją grafinėse bibliotekose, mažai tikėtina, kad tokiu būdu būtų vykdomas kenkėjiškas kodas.

Kibernetinės saugos ekspertas Alanas Woodwardas teigia, kad net jei kenkėjai gautų prieigą prie vartotojo informacijos, jie galėtų gauti tik procesoriaus duomenų fragmentus. Galiausiai fragmentus reikia „sulipdyti“ kartu, siekiant atskleisti slaptažodžius ar šifravimo raktus.

Tai reiškia, kad pirmiausia naudoti Meltdown ar Spectre bandys tie, kurie yra pasirengę planuoti ir atlikti sudėtingesnes atakas, o ne kasdieniniai kibernetiniai nusikaltėliai.

Žemiau esančiame video parodoma, kaip paleistas kodas (angl. script) nuskaito fizinę atmintį iš kito paleisto proceso (šiuo atveju – naršyklės slaptažodžio lauko duomenis):

Taigi, ką daryti ir kaip apsaugoti savo įrenginius?

Vienintelis dalykas, ką galite padaryti – atnaujinti turimą programinę įrangą. Apple, Microsoft ir Google jau išleido priemones, leidžiančias apsisaugoti nuo pažeidžiamumo. Patikrinkite savo telefono nustatymus ar nėra atnaujinimų. Chrome, Firefox ir Safari naršykles ruošiamasi atnaujinti.

Kaip tai veikia svetainių talpinimo paslaugas (angl. hosting)?

Jeigu esate internetinės svetainės savininkas, tuomet, ką galite padaryti, kad apsisaugotumėte nuo Meltdown ir Spectre, priklauso nuo svetainės hostingo.

Pagrindiniai svetainių talpinimo paslaugų teikėjai jau pradėjo diegti šių saugumo spragų pataisymus (angl. patches). Be to, Jūs galite:

  • patikrinti savo hostingo paslaugų teikėjo informaciją apie jų sistemos būklę,
  • paprašyti nedelsiant diegti taisymus, jei jie dar nėra įdiegti,
  • paklausti ar tai paveiks svetainės našumą ir ar šie poveikiai bus matomi jūsų galutiniams vartotojams.

Shared Hosting (Serveriai.lt, Hostex ir kt.)

Serveryje yra daug svetainių, kurios veikia greta daugelio kitų. Šie serveriai turi tam tikrą apsaugos lygį, užtikrinantį vienos svetainės apsaugą nuo kitos. Ši „siena“ tarp svetainių yra pakankama normalioms operacijoms, bet ji gali būti pažeista. Kadangi visos svetainės veikia tame pačiame kompiuteryje, šis pažeidžiamumas gali leisti piktybinei svetainei neteisėtai pasiekti kitų svetainių duomenis.

Šiuo atveju, paslaugų tiekėjai yra atsakingi už saugumo problemų sprendimą jų pagrindinėje sistemoje.

Managed WordPress Hosting (WP Engine, Pantheon ir kt.)

Toks svetainių talpinimas naudoja debesų kompiuterijos platformas. Dauguma jų jau pasirūpino savo pagrindinių platformų saugumu dėl „Meltdown“ ir „Spectre“ saugumo problemų. Tačiau hostingo paslaugų teikėjai, naudojantys tokį svetainių talpinimą, taip pat turės įdiegti pataisymus (angl. patches) ir savo sistemose.

Cloud Hosting (Hostex, OVH ir kt.)

Kaip ir buvo minėta, pagrindiniai debesų kompiuterijos paslaugų teikėjai skubiai diegia „patch’us“ savo platformoms. Vis dėl to, būdamas atsakingu už savo virtualaus serverio palaikymą, turėtumėte kuo greičiau atnaujinti savo operacinę sistemą.

Dedikuoti serveriai

Šiuo atveju minėtų saugumo grėsmių rizika yra minimali, tačiau rekomenduotina vis tiek atnaujinti naudojamą operacinę sistemą.

Kokių veiksmų imasi stambiausios kompanijos?

CNN tech“ rašoma, kad kaikurios kompanijos žinojo apie šias saugumo spragas prieš paskelbiant apie jas viešai ir pasiruošė jų pašalinimui.

Intel

Kompanija „Intel“ yra labiausiai paveikta šių problemų. Spectre paveikė visus, tačiau Meltdown paveikė tik Intel ir ARM. Be to, tai paveikė tik geriausius ARM modelius. Taigi, kiekvienas mikroprocesorius, pagamintas per pastaruosius penkis, dešimt ar netgi dvidešimt metų, yra pažeidžiamas.

Intel teigia sprendžiantys problemą drauge su kitais mikroprocesorių gamintojais.

Microsoft

Microsoft patarimai vartotojams šia tema. Kompanija jau išleido atnaujinimus, skirtus Windows 10, Windows 8.1 ir Windows 7 operacinėms sistemoms. Jeigu Jūsų kompiuteryje yra išjungti automatiniai atnaujinimai, eikite į „Windows Settings“ ir įdiekite atnaujinimus. Taip pat yra išleistos naujausios, apsaugotos Microsoft Edge ir Internet Explorer naršyklių versijos.

Google

Išleisti Android ir Google Cloud atnaujinimai, laukiama Chrome atnaujinimo. Google palaikomi Android telefonai, įskaitant Nexus ir Pixel įrenginius, atnaujinimą gaus, tačiau kiti Adroid vartotojai turės palaukti atnaujinimų iš jų gamintojų.

Kitas Chrome naršyklės atnaujinimas bus išleistas Sausio 23d., tačiau Google paskelbė sąrašą kompiuterių, kurie atnaujinimų nesulauks, nes yra senesnių modelių.

Apple

Apple atskleidė, kad visi Mac ir iOS įrenginiai yra paveikti šių grėsmių, išskyrus Apple Watch. Kompanija išleido atnaujinimus, skirtus iPhone, iPad, Mac ir Apple TV programinei įrangai, o atnaujinimą Safari naršyklei ruošiamasi išleisti artimiausiomis dienomis. Įsitikinkite, kad Jūsų įrenginiuose yra įdiegti visi atnaujinimai.

Mūsų patarimas

Įsitikinkite, kad turinio valdymo sistemos yra atnaujintos ir įdiegti naujausi saugumo įskiepiai (angl. security patches). Asmeniniuose kompiuteriuose atnaujinkite naudojamą programinę įrangą. Nepamirškite, kad šios saugumo spragos buvo atrastos visai neseniai, todėl patarimai, kaip nuo jų apsisaugoti, bėgant laikui gali kisti, o jų pašalinimo veiksmai gali užtrukti.