Обнаружена масштабная уязвимость процессоров. Как обезопасить личные данные?

Но не по причине презентации прорывной технологии, а из-за обнаружения серьёзных уязвимостей в компьютерных процессорах. Вопрос оказался настолько серьёзным, что основные производители "железа" и операционных систем спешно принялись за решение проблемы.

Речь идёт об аппаратной уязвимости, которая позволяет пользовательским программам читать память ядра. В последней, к слову, содержится информация – пароли и прочие конфиденциальные данные. Первым статью с описанием проблемы выпустил британский портал об информационных технологиях The Register.

Но на ликвидации "брешей" проблемы не заканчиваются – после этого производительность вашего устройства под управлением Windows, Linux и macOS может снизиться от 5 до 30%. А это заметные величины, если вы часто нагружаете компьютер задачами.

Как устранить уязвимости и обезопасить свои личные данные? Informburo.kz разобрался в этом вопросе.

В чём суть проблемы

Корень проблемы кроется в самой архитектуре процессоров. Для ускорения их работы применяют так называемое спекулятивное исполнение команд.

Как это работает? Выполнение каждой команды требует последовательного исполнения нескольких операций. Некоторые из них проводятся быстрее, другие – медленнее. И если программа будет выполнять операции строго одну за другой, то весь процесс может затянуться.

Тут на выручку и приходит спекулятивное исполнение: компьютер начинает заранее совершать некоторые операции, чтобы к моменту востребования данные были готовы к работе.

К примеру, после совершения операции "А" компьютер в зависимости от результата должен приступить к операции "В" или "В1". "Спекуляция" в этом случае помогает не дожидаться окончания предыдущей операции и сразу исполнять последующие, которые, возможно, потребуются.

И если на выходе из операции "А" мы будем иметь результат "0", то компьютер возьмёт в работу операцию "B" (а она уже исполнена), если "1" – то операцию "B1". И так со всем множеством возможных результатов. Понятно, что при таком подходе программа будет справляться со своими задачами заметно быстрее.

Так как проводит все операции процессор, то и данные хранятся в нём. Здесь-то и кроется уязвимость: притворившись обычной, программа злоумышленника через другие приложения может получить доступ к любой хранящейся информации. В том числе и конфиденциальной.

По описанной схеме работают все процессоры компании Intel, ориентировочно с 1995 года, и некоторые чипы от AMD и ARM (выпускают процессоры для мобильных устройств).

Какие уязвимости могут использовать злоумышленники

В Грацком техническом университете (Австрия) возможные атаки разобрали и даже создали специальный сайт по теме. Там собраны обзоры и ответы на основные вопросы.

Специалисты выделяют два типа атак: Meltdown ("Плавление") и Spectre ("Призрак"). Назвали их так из-за принципа работы: первая разрушает барьер (он как бы плавится) между приложениями и внутренней памятью операционной системы, а вторая позволяет одному приложению (как призраку) проникать в память другого.

На этом видео показано, как можно с помощью Meltdown удалённо отслеживать набор пароля.

Благодаря этим двум уязвимостям злоумышленники могут получить ваши пароли, личные фотографии, электронные письма и документы. Meltdown и Spectre работают на персональных компьютерах, мобильных устройствах и даже при "облачных" вычислениях. В зависимости от инфраструктуры "облачного" провайдера можно украсть данные и у других клиентов.

Что говорят производители

Группа аналитиков в сфере безопасности компании Google сообщила, что об уязвимостях производителей – Intel, AMD и ARM – уведомили еще в июне 2017 года. И они в последнее время работали над решением проблем. Но The Register своей публикацией их опередил, обнародовав информацию.

Первым на публикацию о рисках при использовании спекулятивного исполнения ответили в Intel.

"Intel стремится к безопасности продуктов и клиентов и тесно сотрудничает с другими технологическими компаниями, включая AMD, ARM Holdings и разработчиками операционных систем, для выработки подхода к решению этой проблемы в рамках отрасли. Корпорация Intel начала предоставлять обновления программного обеспечения для смягчения влияния программ, использующих уязвимости", – сообщили в официальном пресс-релизе.

Между тем в AMD заявили, что для покупателей их процессоров риски столкнуться с проблемами "близки к нулю".

"Чтобы прояснить ситуацию, группа исследователей в сфере безопасности определила три типа (угроз. – Авт.), которые могут использовать спекулятивное исполнение. Сами угрозы и реагирование на них отличаются в зависимости от компании – производителя процессора. И (процессоры. – Авт.) AMD не подвержены всем трём типам. Из-за особенностей архитектуры (процессоров. – Авт.) AMD мы верим, что сейчас для процессоров AMD риски близки к нулю", – передал заявление компании американский телеканал CNBC.

Тем не менее специалисты Google напоминают, что уязвимости есть и у AMD, поэтому пользователям нужно бороться с проблемой. Подтвердили наличие угрозы для устройств и в Apple. Девайсы этой компании работают, напомним, на чипах Intel и ARM.

Как устранить брешь в "обороне"

Первоочередным решением, конечно, должно быть обновление операционной системы. Компания Microsoft уже выпустила патч для ОС Windows10. Он должен загрузиться у пользователей автоматически, но его можно скачать и вручную.

Что касается Windows 7 и 8, то они не будут обновляться в автоматическом режиме до 9 января.

Работают над решением и в Apple – в рамках нескольких патчей от уязвимостей избавятся. Так же и с Linux.

Метод, который применяют разработчики ОС, чтобы полностью избавиться от уязвимости, заключается в ликвидации её первопричины – спекулятивного исполнения команд. Память ядра системы должны изолировать от пользовательских процессов. Используют для этого механизм Kernel Page Table Isolation. Соответствующие патчи ОС перемещают ядро в полностью изолированное пространство.

Снижение производительности

Из-за этих изменений компьютер и потеряет в производительности. Переключение между режимами пользователя и ядра будет занимать больше времени, поскольку процессору придётся сбрасывать кэшированные данные и перезагружать информацию из памяти.

Это может привести к потере производительности на различных устройствах. По данным The Register, Linux и Windows угрожает замедление работы от 5 до 30%. По "Макинтошам" точных данных пока нет.

Потеря производительности будет зависеть от конкретной модели процессора и выполняемой задачи. Более новые процессоры Intel имеют функцию идентификатора процессов и контекстов (PCID). Это поможет уменьшить спад производительности.

При этом в самой компании заявляют, что рядовой пользователь особой разницы не заметит.

"Несмотря на некоторые заявления, любое влияние на производительность зависит от рабочей нагрузки и для рядового пользователя не должно быть значительным и со временем будет смягчено", – уверены в Intel.