Lo spettro e la fusione sono ancora una minaccia? Le patch di cui hai bisogno
Annuncio pubblicitario
Le rivelazioni di vulnerabilità del processore Spectre e Meltdown sono state un inizio scioccante per il 2018. Le vulnerabilità riguardano quasi tutti i processori, praticamente in ogni sistema operativo e architettura. I produttori di processori e gli sviluppatori di sistemi operativi hanno rapidamente rilasciato patch per proteggere dalle vulnerabilità.
Ma c'erano anche alcuni gravi problemi di dentizione.
Ora, a più di un anno di distanza dai rapporti iniziali, siamo più vicini a riparare veramente le vulnerabilità di Meltdown e Spectre?
Ultime vulnerabilità di spettro e fusione
Le vulnerabilità di Spectre e Meltdown scoperte all'inizio del 2018 continuano a incidere sull'informatica. La fusione colpisce specificamente i microprocessori Intel risalenti al 1995. La longevità di questo problema implica che la maggior parte dei processori Intel del mondo sono a rischio e persino servizi come Microsoft Azure e Amazon Web Services.
Lo spettro ha un effetto globale simile. La vulnerabilità di Spectre interessa i microprocessori di Intel e altri importanti progettisti tra cui AMD e ARM. Pertanto, Spectre e Meltdown rendono vulnerabile la maggior parte dell'informatica mondiale, una situazione che risale a oltre 20 anni fa.
#Meltdown & #Spectre - Un confronto side-to-side # cybersecurity #DataBreach #humanfactors # CES2018 #malware #Technology
CC: @ ipfconline1 @JimMarous @evankirstel @MikeQuindazzi @pierrepinna @ jblefevre60 @ reach2ratan @KirkDBorne @Ronald_vanLoon pic.twitter.com/0S79P5jDbV
- Shira Rubinoff (@Shirastweet) 10 gennaio 2018
Comprensibilmente, le rivelazioni continuano a provocare costernazione sia per i consumatori che per le imprese. La preoccupazione è multiforme. Intel, AMD e ARM hanno rilasciato tutte le patch per le vulnerabilità; funzioneranno quelle patch? È più semplice sostituire interi stock di microprocessori? Quando arriverà sul mercato un processore completamente sicuro? E il costo?
"Non abbiamo mai visto un bug così ampio come questo che ha un impatto letterale su tutti i principali processori", afferma David Kennedy, CEO di TrustedSec, che esegue test di penetrazione e consulenza sulla sicurezza per le aziende.
“La scorsa settimana ho partecipato ad almeno dieci chiamate con grandi aziende e due ieri a spiegare cosa sta succedendo. Non hanno idea di cosa fare quando si tratta di patch. Sta davvero causando un casino. "
Spettro di prossima generazione
No, non è il crossover di James Bond-Star Trek che stavi sognando. Spectre Next Generation è la seconda generazione di vulnerabilità di Spectre. La seconda generazione è stata scoperta dal Progetto Zero di Google (che ha anche rivelato la prima generazione).
Project Zero è la task force di Google per la ricerca e la divulgazione responsabile delle vulnerabilità zero-day prima che ne vengano scoperte persone malvagie.
Non intendo approfondire tutti i dettagli qui, ma ecco un articolo che spiega le implicazioni dello Spettro di prossima generazione. La vulnerabilità dello spettro di Intel ritorna come un fantasma dal passato La vulnerabilità dello spettro di Intel ritorna come un fantasma dal passato Le rivelazioni di The Spectre / Meltdown all'inizio del 2018 ha scosso il mondo dell'informatica. Ora, i ricercatori della sicurezza hanno scoperto otto nuove vulnerabilità di tipo Spettro che colpiscono le CPU Intel, il che potrebbe significare che il tuo computer è a ulteriore rischio. Leggi di più .
Ci sono patch Spectre e Meltdown?
La vasta gamma di dispositivi vulnerabili offre un altro problema. Ogni tipo di hardware necessita di una soluzione personalizzata leggermente diversa. Il processo di patch da gennaio 2018 è stato a dir poco stupefacente.
Intel si è affrettata a sviluppare e rilasciare una patch di sicurezza. Il rovescio della medaglia è stato gravi problemi di prestazioni. Intel ha affermato infame, "qualsiasi impatto sulle prestazioni dipende dal carico di lavoro e, per l'utente medio di computer, non dovrebbe essere significativo e sarà mitigato nel tempo." La dichiarazione non era vera allora e rimane tale al momento della stesura.
Anche i processori più recenti che stanno appena arrivando sul mercato ne avvertono gli effetti.
In effetti, il 22 gennaio 2018, Intel ha ritirato una delle sue patch Spectre perché causava un problema di riavvio casuale. Intel ha suggerito che gli amministratori di rete dovrebbero semplicemente ripristinare tutti gli aggiornamenti già installati, con il vice presidente esecutivo di Intel Neil Shenoy che dice "Mi scuso per qualsiasi interruzione che può causare questo cambiamento nella guida." VMware, Lenovo e Dell hanno tutti fatto annunci simili allo stesso tempo.
Quindi alla fine di gennaio, Microsoft ha anche annunciato che le patch Spectre e Meltdown per Windows 10 stavano compromettendo le prestazioni e causando errori fatali casuali, confermando che le loro correzioni di sicurezza erano difettose.
Oh, e anche Apple ha ritrattato le affermazioni relative alle protezioni per le macchine più vecchie, rilasciando una pletora di patch per High Sierra, Sierra ed El Capitan.
Linus e Linux
Linus Torvalds, il creatore e principale sviluppatore del kernel Linux, rimane fortemente critico sull'intero processo di patch Spectre / Meltdown. (Che cos'è un kernel, comunque? Il kernel Linux: una spiegazione in termini di Layman Il kernel Linux: una spiegazione in termini di Layman C'è solo una cosa di fatto che le distribuzioni Linux hanno in comune: il kernel Linux. Ma mentre spesso ne parla, molte persone non sanno esattamente cosa fa. Leggi di più). In effetti, Torvalds è arrivato al punto di dichiarare le patch Intel come "GARBAGE COMPLETO E UTTER".
Puoi leggere il resto della sua tirata qui. Vale la pena leggere.
Linus ha analizzato le patch. Ha scoperto che Intel stava tentando di rendere facoltative le patch di sicurezza, oltre che basate sul sistema operativo, in modo che non dovessero rivedere completamente la progettazione della CPU (che è l'unica opzione per la vera sicurezza: spiegherò perché tra un momento).
Un'alternativa sarebbe l'emissione di due patch in cui una abilita le patch di sicurezza e una seconda che implementa le correzioni al kernel.
Invece, Torvalds sostiene che Intel sta costringendo i due insieme a sorvolare i risultati delle prestazioni consentendo una "Modalità protetta opzionale", in base alla quale l'utente deve optare per la propria CPU nella correzione e fare in modo che le prestazioni colpiscano la decisione dei clienti, piuttosto che Intel prenda il flak . Inoltre, se e quando gli utenti avviano un sistema operativo precedente che non ha mai conosciuto la patch, saranno immediatamente vulnerabili.
Il 29 gennaio è stato reso disponibile il kernel Linux 4.15, con nuove funzionalità di sicurezza ampliate nelle CPU Intel e AMD su dispositivi Linux. E mentre Linus Torvalds rant era focalizzato su Linux, è chiaro che le patch Intel non erano all'altezza di nessun sistema operativo.
La Cina sapeva di spettro e fusione?
Nonostante Intel abbia schivato un proiettile per quanto riguarda i suoi rapporti sugli utili (nonostante la vulnerabilità critica riscontrata nella maggior parte dei computer del mondo, i profitti di Intel si abbattono abbastanza bene), Intel ha ricevuto un sacco di critiche per aver riferito che Meltdown e Spectre sarebbero stati divulgati ai suoi enormi clienti cinesi, come Alibaba e Lenovo, prima di dirlo al governo degli Stati Uniti.
Diverse importanti agenzie statunitensi sono state informate di Spectre e Meltdown quando i rapporti sono stati resi pubblici, piuttosto che qualsiasi processo di notifica pre-divulgazione. E sebbene non vi sia alcuna indicazione che le informazioni siano state utilizzate in modo improprio (ad esempio, trasmesse e utilizzate dal governo cinese), solleva preoccupazioni significative sulla scelta di Intel da parte di chi informare.
Data la profondità e la portata della sorveglianza cinese di Internet, sembra del tutto improbabile che il governo cinese non fosse a conoscenza delle vulnerabilità prima del governo degli Stati Uniti.
Correzione dello spettro Retpoline di Windows 10
Retpoline è un "costrutto software per prevenire l'iniezione di target-branch". In altre parole, è una patch che protegge dallo spettro introducendo un ramo di previsione alternativo, mantenendo il sistema al sicuro dagli attacchi di speculazione nello stile dello spettro.
Nel dicembre 2018, Microsoft ha reso disponibile la correzione retpoline per il suo programma Insider. Il programma Insider e le Anteprime Insider sono i punti in cui Microsoft verifica la versione imminente di Windows 10 prima che arrivi alla versione principale. L'ultimo aggiornamento, 19H1, contiene l'aggiornamento retpoline.
Tuttavia, a marzo 2019, Microsoft ha annunciato che la correzione di retpoline è disponibile per chiunque desideri scaricarla. Ci sono un paio di clausole:
- Il sistema deve eseguire l'aggiornamento di Windows 10 ottobre 2018.
- La correzione funziona solo per i processori Skylake pre-Intel e precedenti (la correzione funziona anche per macchine AMD, lettori AMD).
Non sei sicuro di quale versione di Windows 10 stai attualmente utilizzando? Premi il tasto Windows + I, quindi Sistema> Informazioni su. Puoi vedere la tua attuale versione di Windows sotto le specifiche di Windows . Se dice 1809, è possibile installare l'aggiornamento. In caso contrario, dovrai attendere fino a quando la tua versione di Windows non raggiunge.
L'aggiornamento retpoline, KB4470788, arriverà sul tuo sistema tramite il normale processo di Windows Update. Tuttavia, è possibile scaricare l'aggiornamento KB4470788 tramite il catalogo di Microsoft Update. Scarica la versione corretta per l'architettura del tuo sistema operativo (ad esempio, x64 per 64-bit, x86 per 32-bit), quindi installa.
Lo spettro e la fusione saranno mai corretti per sempre?
La prima generazione di patch Spectre e Meltdown erano soluzioni temporanee. L'onere non dovrebbe spettare ai consumatori per abilitare le patch di blocco delle vulnerabilità, per non parlare della decisione sul compromesso tra problemi di sicurezza a livello di kernel e hit delle prestazioni della CPU. È semplicemente ingiusto, figuriamoci del tutto immorale.
L'implementazione lenta delle correzioni di retpoline è migliore per i consumatori, rattoppando le vulnerabilità del sistema e riportando la velocità del sistema ai livelli precedenti. Tuttavia, alcuni utenti non hanno il vantaggio di una correzione di retpoline, quindi non è un magico cerotto.
All'inizio del 2018, il rapporto finanziario di Intel presentava informazioni del CEO Brian Krzanich, il quale aveva promesso che quest'anno sarebbero stati spediti i chip con correzioni hardware reali. Sfortunatamente, Krzanich non ha approfondito il significato di quella dichiarazione audace.
Tuttavia, poiché Krzanich ha confermato che Intel prevede di continuare a sviluppare i suoi prodotti a 14 nm (CPU Intel dal 2014 in poi: Kaby Lake, Coffee Lake, Skylake, ecc.) Per tutto il 2018. Ciò crea possibilità: correzioni "in silicio" per l'attuale generazione di CPU e correzioni per i prossimi processori Cannon Lake, o l'uno o l'altro.
Più tardi nel 2018, Intel ha annunciato che le correzioni hardware, ovvero una correzione basata sul processore in silicio, arriveranno con la prossima generazione di CPU Intel. Alcune correzioni verranno implementate con la serie di processori a basso consumo, Whisky Lake, mentre altre sono destinate ad arrivare con i processori di fatto di decima generazione, Ice Lake. La nuova generazione di CPU Intel dovrebbe anche proteggere dalla vulnerabilità di Foreshadow.
Pensi di non essere influenzato da Spectre e Meltdown? Dai un'occhiata all'elenco dei componenti hardware non interessati dalle vulnerabilità Ci sono computer non interessati dai bug Meltdown e Spectre? I computer non sono interessati dagli errori Meltdown e Spectre? Le vulnerabilità di Meltdown e Spectre hanno interessato l'hardware in tutto il mondo. Sembra che tutto sia insicuro. Ma non è così. Dai un'occhiata a questo elenco di hardware sicuro e ai nostri suggerimenti per il futuro. Leggi di più e ripensaci.
Ulteriori informazioni su: Processore per computer, Sicurezza del computer, CPU, Malware.
