Zijn Spectre en Meltdown nog steeds een bedreiging? De patches die u nodig hebt
Advertentie
De onthullingen van de kwetsbaarheid van de Spectre en Meltdown-processor waren een schokkend begin van 2018. De kwetsbaarheden treffen bijna elke processor, in vrijwel elk besturingssysteem en architectuur. Processorfabrikanten en ontwikkelaars van besturingssystemen hebben snel patches uitgegeven ter bescherming tegen de kwetsbaarheden.
Maar er waren ook enkele ernstige kinderziektes.
Zijn we nu, meer dan een jaar na de eerste rapporten, dichter bij het echt oplossen van de kwetsbaarheden van Meltdown en Spectre?
Kwetsbaarheden in spektakel en afsmelten Laatste
De kwetsbaarheden van Spectre en Meltdown die begin 2018 zijn ontdekt, blijven van invloed op computers. Meltdown is specifiek van invloed op Intel-microprocessors die teruggaan tot 1995. De lange levensduur van dit probleem betekent dat de meeste Intel-processors ter wereld gevaar lopen en zelfs services zoals Microsoft Azure en Amazon Web Services.
Spectre heeft een soortgelijk globaal effect. De kwetsbaarheid van Spectre is van invloed op microprocessors van Intel en andere grote ontwerpers, waaronder AMD en ARM. Spectre en Meltdown maken het grootste deel van de computergebruik in de wereld kwetsbaar, een situatie die meer dan 20 jaar oud is.
#Meltdown & #Spectre - Een side-to-side vergelijking # cybersecurity #DataBreach #humanfactors # CES2018 #malware #Technologie
CC: @ ipfconline1 @JimMarous @evankirstel @MikeQuindazzi @pierrepinna @ jblefevre60 @ reach2ratan @KirkDBorne @Ronald_vanLoon pic.twitter.com/0S79P5jDbV
- Shira Rubinoff (@Shirastweet) 10 januari 2018
Het is begrijpelijk dat de onthullingen zowel consumenten als bedrijven nog steeds zorgen baren. De zorgen zijn veelzijdig. Intel, AMD en ARM hebben alle patches vrijgegeven voor de kwetsbaarheden; zullen die patches werken? Is het eenvoudiger om volledige voorraden microprocessors te vervangen? Wanneer komt een volledig beveiligde processor op de markt? En hoe zit het met de kosten?
"We hebben nog nooit zo'n expansieve bug als deze gezien die van invloed is op elke grote processor", zegt David Kennedy, de CEO van TrustedSec, die penetratietests en beveiligingsadvies voor bedrijven uitvoert.
“Ik heb vorige week ten minste tien telefoontjes gevoerd met grote bedrijven en twee gisteren hebben uitgelegd wat er aan de hand is. Ze hebben geen idee wat ze moeten doen als het gaat om patchen. Het veroorzaakt echt een puinhoop. '
Spectre Next Generation
Nee, het is niet de crossover van James Bond-Star Trek waarover je hebt gedroomd. Spectre Next Generation is de tweede generatie kwetsbaarheden van Spectre. De tweede generatie werd ontdekt door Project Zero van Google (die ook de eerste generatie onthulde).
Project Zero is de taakgroep van Google voor het vinden en op verantwoorde wijze vrijgeven van zero-day kwetsbaarheden voordat snode personen ze ontdekken.
Ik ga hier niet in op alle details, maar hier is een artikel met uitleg over de implicaties van Spectre Next Generation Intel's Spectre Kwetsbaarheid keert terug als een geest uit het verleden Intel's Spectre kwetsbaarheid keert terug als een geest uit het verleden The Spectre / Meltdown onthullingen begin 2018 schudde de computerwereld. Nu hebben beveiligingsonderzoekers acht nieuwe kwetsbaarheden in Spectre-stijl ontdekt die van invloed zijn op Intel CPU's, wat zou kunnen betekenen dat uw computer verder risico loopt. Lees verder .
Zijn er Spectre en Meltdown Patches?
Het enorme aantal kwetsbare apparaten biedt nog een probleem. Elk type hardware heeft een iets andere, individueel vervaardigde oplossing nodig. Het patch-proces sinds januari 2018 is ronduit verbijsterend.
Intel haastte zich om een beveiligingspatch te ontwikkelen en uit te brengen. Het nadeel was serieuze prestatieproblemen. Intel zei berucht: "eventuele gevolgen voor de prestaties zijn afhankelijk van de werkbelasting en moeten voor de gemiddelde computergebruiker niet significant zijn en worden in de loop van de tijd beperkt." De verklaring was toen niet waar en blijft zo op het moment van schrijven.
Zelfs nieuwere processoren die nog maar net op de markt komen, voelen nog steeds de effecten.
Op 22 januari 2018 heeft Intel een van zijn Spectre-patches ingetrokken omdat het een willekeurig herstartprobleem veroorzaakte. Intel suggereerde dat netwerkbeheerders eenvoudigweg alle reeds geïnstalleerde updates terugdraaien, waarbij Neil Shenoy, vice-president van Intel, zei: “Mijn excuses voor eventuele storingen die deze wijziging in de begeleiding kan veroorzaken.” VMware, Lenovo en Dell deden allemaal vergelijkbare aankondigingen tegelijkertijd tijd.
Eind januari kondigde Microsoft ook aan dat de Spectre- en Meltdown-patches voor Windows 10 de prestaties in gevaar brachten en willekeurige fatale fouten veroorzaakten, waarmee werd bevestigd dat hun beveiligingsoplossingen buggy waren.
Oh, en Apple heeft op dezelfde manier claims ingetrokken met betrekking tot bescherming voor oudere machines, waarbij een overvloed aan patches voor High Sierra, Sierra en El Capitan werd vrijgegeven.
Linus en Linux
Linus Torvalds, de maker en hoofdontwikkelaar van de Linux-kernel, blijft zeer kritisch over het hele patchproces van Spectre / Meltdown. (Wat is een kernel eigenlijk? De Linux-kernel: een uitleg in de termen van Layman De Linux-kernel: een uitleg in de voorwaarden van Layman Er is maar één feit dat Linux-distributies gemeen hebben: de Linux-kernel. Maar er wordt vaak over gesproken, veel mensen weten niet precies wat het doet. Lees meer). Torvalds ging zelfs zover dat hij de Intel-patches verklaarde als "VOLLEDIG EN VOLLEDIG AFVAL".
Je kunt de rest van zijn tirade hier lezen. Het is het lezen meer dan waard.
Linus analyseerde de pleisters. Hij merkte dat Intel probeerde de beveiligingspatches optioneel te maken, evenals OS-gebaseerd, zodat ze hun CPU-ontwerp niet volledig hoeven te reviseren (wat de enige optie is voor echte beveiliging - ik zal zo meteen uitleggen waarom).
Een alternatief zou de uitgifte van twee patches zijn, waarbij één de beveiligingspatches inschakelt en een tweede die de fixes in de kernel implementeert.
In plaats daarvan beweert Torvalds dat Intel de twee samen dwingt om de prestatiehits te verdoezelen door een "optionele veilige modus" toe te staan, waarbij de gebruiker zijn CPU in de fix moet opnemen en de prestaties de beslissing van de klant moeten maken, in plaats van dat Intel het luchtafweergeschut moet nemen . Bovendien, als en wanneer gebruikers een ouder besturingssysteem opstarten dat de patch nog nooit heeft gekend, zijn ze meteen kwetsbaar.
Op 29 januari werd de Linux 4.15-kernel beschikbaar gesteld, met nieuw uitgebreide beveiligingsmogelijkheden in Intel- en AMD-CPU's op Linux-apparaten. En terwijl Linus Torvalds rant gericht was op Linux, is het duidelijk dat de Intel-patches voor geen enkel besturingssysteem geschikt waren.
Wist China van Spectre en Meltdown?
Ondanks het feit dat Intel één kogel ontwijkt met betrekking tot zijn winstrapporten (ondanks de kritieke kwetsbaarheid die in de meeste computers ter wereld wordt aangetroffen, trekt Intel de winst behoorlijk mee), Intel nam enorm veel kritiek omdat hij naar verluidt zowel Meltdown als Spectre openbaar maakte aan zijn enorme Chinese klanten, zoals Alibaba en Lenovo, voordat het de Amerikaanse regering vertelde.
Verschillende grote Amerikaanse agentschappen werden pas op de hoogte gebracht van Spectre en Meltdown toen rapporten openbaar werden gemaakt, in plaats van een meldingsproces voorafgaand aan openbaarmaking. En hoewel er geen aanwijzingen zijn dat de informatie onjuist is gebruikt (bijv. Doorgegeven en gebruikt door de Chinese overheid), geeft dit aanleiding tot aanzienlijke bezorgdheid over de keuze van Intel van wie te informeren.
Gezien de diepgang en omvang van het Chinese internettoezicht, lijkt het onwaarschijnlijk dat de Chinese overheid zich niet bewust was van de kwetsbaarheden voor de Amerikaanse overheid.
Windows 10 Retpoline Spectre Fix
Retpoline is een "softwareconstruct voor het voorkomen van branch-target-injectie." Met andere woorden, het is een patch die beschermt tegen Spectre door een alternatieve voorspellingstak te introduceren, die het systeem beschermt tegen speculatie-aanvallen in Spectre-stijl.
In december 2018 heeft Microsoft de retpoline-fix beschikbaar gesteld voor zijn Insider-programma. In het Insider-programma en de Insider Previews wordt Microsoft de komende versie van Windows 10 getest voordat deze in de mainstream-release terechtkomt. De nieuwste update, 19H1, bevat de retpoline-update.
In maart 2019 heeft Microsoft echter aangekondigd dat de retpoline-fix beschikbaar is voor iedereen die deze wil downloaden. Er zijn een aantal bepalingen:
- Op het systeem moet de update van Windows 10 oktober 2018 worden uitgevoerd.
- De fix werkt alleen voor pre-Intel Skylake-processors en ouder (de fix werkt ook voor AMD-machines, AMD-lezers).
Weet u niet zeker welke Windows 10-versie u momenteel gebruikt? Druk op Windows-toets + I en vervolgens op Systeem> Over. U kunt uw huidige Windows-versie zien onder de Windows-specificatie . Als er 1809 staat, kunt u de update installeren. Als dit niet het geval is, moet u wachten tot uw Windows-versie de achterstand heeft ingehaald.
De retpoline-update, KB4470788, komt via het normale Windows Update-proces op uw systeem aan. U kunt de update KB4470788 echter downloaden via de Microsoft Update-catalogus. Download de juiste versie voor uw besturingssysteemarchitectuur (bijv. X64 voor 64-bit, x86 voor 32-bit) en installeer vervolgens.
Zullen Spectre en Meltdown ooit voorgoed worden opgelost?
De eerste generatie Spectre- en Meltdown-patches waren tijdelijke oplossingen. Het moet niet de verantwoordelijkheid van de consument zijn om de patches voor het blokkeren van de kwetsbaarheid in te schakelen, laat staan om een afweging te maken tussen beveiligingsproblemen op kernelniveau en hits van de CPU-prestaties. Het is gewoon oneerlijk, laat staan helemaal onethisch.
De langzame uitrol van retpoline-fixes is beter voor consumenten, waardoor de systeemkwetsbaarheden worden hersteld en de systeemsnelheid wordt teruggezet naar eerdere niveaus. Toch hebben sommige gebruikers niet het voordeel van een retpoline-fix, dus het is geen magisch pleister.
Begin 2018 bevatte het financiële rapport van Intel informatie van CEO Brian Krzanich, die beloofde dat chips met echte hardwarefixes dit jaar zouden worden verzonden. Helaas heeft Krzanich niet dieper ingegaan op wat die gewaagde uitspraak betekende.
Omdat Krzanich echter heeft bevestigd dat Intel van plan is zijn 14nm-producten (Intel CPU's vanaf 2014 - Kaby Lake, Coffee Lake, Skylake, etc.) in 2018 te blijven ontwikkelen. Dit biedt mogelijkheden: "in-silicon" oplossingen voor de huidige generatie van CPU's en oplossingen voor de komende Cannon Lake-processors, of het een of het ander.
Later in 2018 kondigde Intel aan dat hardwarefixes - dat is een in siliconen, op processor gebaseerde fix - zullen aankomen bij de aankomende Intel CPU-generatie. Sommige fixes zullen worden uitgerold met de low-power processorserie, Whiskey Lake, terwijl er meer klaar zijn voor de feitelijke 10e generatie processors, Ice Lake. De nieuwe generatie Intel CPU's moet ook bescherming bieden tegen de Foreshadow-kwetsbaarheid.
Denk je dat je geen last hebt van Spectre en Meltdown? Bekijk de lijst met computerhardware die niet wordt beïnvloed door de kwetsbaarheden. Worden computers niet beïnvloed door de smelt- en spookfouten? Worden computers niet beïnvloed door de smelt- en spookfouten? De kwetsbaarheden van Meltdown en Spectre hebben wereldwijd hardware aangetast. Het lijkt alsof alles onzeker is. Maar dat is niet zo. Bekijk deze lijst met veilige hardware en onze tips voor de toekomst. Lees meer en denk opnieuw.
Ontdek meer over: Computerprocessor, Computerbeveiliging, CPU, Malware.
