Ο κόσμος των τεχνολογιών μαστίζει πάνω από το Meltdown και το Specter. Ξέρετε ότι είναι κακά νέα, αλλά πόσο άσχημα; Ενώ η τεχνική πλευρά των πραγμάτων μπορεί να είναι πολύπλοκη, το μέρος που πρέπει να σκεφτείτε είναι πολύ απλούστερο. Πάρτε μια βαθιά ανάσα και ετοιμαστείτε για τις απαντήσεις σε όλες τις ερωτήσεις Meltdown και Specter.
Τι είναι το Meltdown και το Specter;
Γρήγοροι σύνδεσμοι
- Τι είναι το Meltdown και το Specter;
- Λίπανση
- Φάντασμα
- Ποιος επηρεάζεται;
- Λίπανση
- Φάντασμα
- Θα πρέπει να ανησυχείτε;
- Τι μπορείς να κάνεις?
- Τι σημαίνουν όλα αυτά?
Φυσικά, ο καθένας ρωτά τι ακριβώς είναι το Meltdown και το Specter. Εν ολίγοις, είναι και οι δύο σοβαρές αδυναμίες ασφαλείας και αμφότεροι καταστρέφουν τα εμπόδια μεταξύ των προγραμμάτων που εκτελούν, επιτρέποντας σε έναν εισβολέα να έχει ευκολότερη πρόσβαση σε δεδομένα από άλλα ασφαλή προγράμματα. Υπάρχουν όμως βασικές διαφορές μεταξύ τους και ψήνουν μια μεγάλη διαφορά.
Λίπανση
Το Meltdown είναι μια εκμετάλλευση του επεξεργαστή που εκμεταλλεύεται ένα ελάττωμα σε όλες τις CPU της Intel και σε ορισμένες CPU επεξεργαστές ARM (κινητής τηλεφωνίας). Επιτρέπει σε μια διαδικασία να διαβάζει τις διευθύνσεις μνήμης που χρησιμοποιούνται από κάθε διαδικασία, συμπεριλαμβανομένων των βασικών συστημάτων. Αν μια διαδικασία μπορεί να διαβάσει τη μνήμη άλλου, ουσιαστικά «ξέρει» τι κάνει η άλλη διαδικασία.
Αυτό σημαίνει ότι μια διαδικασία αθέμιτου περιεχομένου (κακόβουλο λογισμικό) μπορεί να διαβάσει όλα όσα συμβαίνουν στο σύστημά σας. Εάν εισαγάγετε έναν κωδικό πρόσβασης, αποκρυπτογραφήσετε ευαίσθητα δεδομένα ή αποκτήσετε πρόσβαση σε οποιαδήποτε πληροφορία στο σύστημά σας, το κακόβουλο λογισμικό που χρησιμοποιεί το εκμεταλλευόμενο το Meltdown μπορεί να έχει πρόσβαση σε αυτόν, σαν να ήταν δική του μνήμη.
Φάντασμα
Το Spectre είναι πολύ πιο περίπλοκο από το Meltdown, αλλά είναι επίσης πιο δύσκολο να αποφευχθεί. Χρησιμοποιεί τον τρόπο με τον οποίο όλοι οι σύγχρονοι επεξεργαστές εκτελούν ένα πρόγραμμα.
Όλα τα προγράμματα περιέχουν λογική υπό όρους. Αυτό σημαίνει ότι υπάρχει ένας κώδικας που θα εκτελεστεί μόνο εάν ικανοποιηθεί μια συγκεκριμένη συνθήκη. Για παράδειγμα, αν έχετε εισαγάγει το σωστό όνομα χρήστη και κωδικό πρόσβασης, μπορείτε να συνδεθείτε.
Έτσι, η λογική υπό όρους δημιουργεί δύο διαδρομές, μία όπου η κατάσταση πληρούται και μία άλλη όπου δεν ήταν. Προκειμένου να εκτελούνται ταχύτερα προγράμματα, οι επεξεργαστές προσπαθούν να μαντέψουν ποιες θα είναι οι προηγούμενες συνθήκες. Ως αποτέλεσμα, υπάρχει χρόνος όταν τα δεδομένα φορτώνονται και αποθηκεύονται εν αναμονή της κατάστασης.
Το Spectre εκμεταλλεύεται αυτή τη συμπεριφορά για να κάνει έναν επεξεργαστή να ακολουθήσει μια εντελώς λανθασμένη διαδρομή και να επιτρέψει σε έναν εισβολέα ένα δευτερεύον κανάλι να έχει πρόσβαση στα δεδομένα. Όπως το Meltdown, το Specter επιτρέπει σε ένα κακόβουλο πρόγραμμα να αποκτά πρόσβαση σε πληροφορίες που δεν θα πρέπει να μπορούν να πραγματοποιήσουν μέσω του τρόπου λειτουργίας της CPU.
Ποιος επηρεάζεται;
Σίγουρα επηρεάζονται από τις δύο ή και τις δύο αυτές ευπάθειες.
Λίπανση
Η επίδραση της κατάψυξης τόσο στα τηλέφωνα όσο και στις επεξεργαστές της Intel. Επηρεάζει όλους τους CPU της Intel. Εάν έχετε ένα smartphone ή έναν υπολογιστή που εκτελείται στην Intel, είστε επιρρεπείς στο Meltdown.
Ίσως θελήσετε να ελέγξετε άλλες μηχανογραφικές συσκευές, όπως συσκευές ροής, για να βεβαιωθείτε ότι δεν εκτελούνται σε έναν επεξεργασμένο επεξεργαστή ARM.
Φάντασμα
Το Spectre επηρεάζει σχεδόν όλες τις σύγχρονες CPU. Οποιοσδήποτε επιτραπέζιος υπολογιστής, διακομιστής ή κινητή συσκευή μπορεί να χρησιμοποιηθεί με το Spectre.
Θα πρέπει να ανησυχείτε;
Προς το παρόν, όχι, δεν πρέπει να ανησυχείτε πολύ. Δεν έχουν γίνει γνωστές περιπτώσεις αυτών των εκμεταλλεύσεων που χρησιμοποιούνται στην πράξη. Ανακαλύφθηκαν πρόσφατα από ερευνητές ασφαλείας.
Παρακολουθήστε την κατάσταση, όμως. Είναι τελείως πιθανό ότι θα προκύψει μια πρακτική εκμετάλλευση ή ότι το κακόβουλο λογισμικό θα σχεδιαστεί για να χρησιμοποιήσει ένα ή και τα δύο αυτά εκμεταλλεύματα. Εάν οι κατασκευαστές υλικού και λογισμικού δεν απελευθερώσουν τις ενημερώσεις εγκαίρως, το πρόβλημα θα μπορούσε να επιδεινωθεί πολύ.
Τι μπορείς να κάνεις?
Αυτή τη στιγμή δεν υπάρχει τίποτα που μπορείτε να κάνετε. Παρακολουθήστε online για περαιτέρω εξελίξεις. Είναι επίσης σημαντικό να δώσετε προσοχή στις ενημερώσεις ασφαλείας από τη συσκευή και τους κατασκευαστές λογισμικού. Υπάρχουν ήδη πολλά μπαλώματα εκεί έξω.
Διατηρήστε τις συσκευές σας ενημερωμένες. Βεβαιωθείτε όμως ότι οι ενημερώσεις είναι σταθερές. Τα Windows είχαν ήδη μερικά προβλήματα σταθερότητας με τα patches Meltdown. Οι ενημερώσεις κώδικα για συσκευές της Apple έχουν ξεκινήσει και οι ενημερώσεις κώδικα για τον πυρήνα του Linux περιλαμβάνονται ήδη σε πολλές διανομές. Η Google δρομολογεί σύντομα και τα μπαλώματα Android.
Τα προγράμματα περιήγησης Web και οι μεταγλωττιστές λογισμικού επηρεάζονται επίσης από το Spectre. Το Chrome και ο Firefox έχουν εγκαταστήσει ενημερώσεις κώδικα στις τελευταίες εκδόσεις τους. Το LLVM κυκλοφόρησε επίσης ενημερωμένη έκδοση με εφαρμογή Fix Spectre.
Ωστόσο, κανένα από αυτά δεν είναι εντελώς αεροστεγές. Η τήξη και το Specter ειδικότερα, θα χρειαστούν κάποιο χρόνο για να επιλυθούν πλήρως. Αξιοποιούν βασικές λειτουργίες στο σχεδιασμό των επεξεργαστών. Αυτό δεν είναι κάτι που είναι εύκολο να ανατραπεί.
Τι σημαίνουν όλα αυτά?
Εν ολίγοις, σημαίνει ότι όλοι πρέπει να είναι πιο προσεκτικοί. Δώστε προσοχή στις συνεχείς εξελίξεις και ενημερώστε τις συσκευές σας.
Σημαίνει επίσης ότι οι κατασκευαστές CPU πρέπει να αλλάξουν την αρχιτεκτονική τους και πρέπει να δημιουργήσουν ενημερωμένο μικροκώδικα για να προσπαθήσουν να μετριάσουν το πρόβλημα.
Κοιτάξτε έξω για να δείτε πώς οι κατασκευαστές υλικού και λογισμικού ανταποκρίνονται σε αυτό το πρόβλημα. Αυτά είναι εύκολα μεταξύ των πιο διαδεδομένων και δυνητικά επικίνδυνων εκμεταλλεύσεων που ανακύπτουν στην πρόσφατη ιστορία. Εάν η Intel, η Microsoft, η AMD, η Apple ή κάποιο από τα υπόλοιπα δεν συμβάλλουν στην άμβλυνση των υφιστάμενων προβλημάτων ή στην επίλυσή τους στο μέλλον, ψηφίστε με το πορτοφόλι σας. Μην αγοράζετε σκόπιμα ανασφαλείς προϊόντα.
Ακόμα κι αν αυτό ακούγεται πολύ κακό, μην ξεχνάτε. Οι πιθανότητες είναι ότι όλα θα διορθωθούν και θα ενημερωθούν πριν ξεκινήσουν οι πρακτικές επιθέσεις. Αν διατηρείτε ενημερωμένες τις συσκευές σας, όλα θα πρέπει να είναι καλά.
