დაიცავით თქვენი კომპიუტერი Spectre-სა და Meltdown-ისგან უახლესი განახლებების დაყენებით

MiscellaneaDec 20, 2021

ყველაფრის განახლება ერთადერთი გზაა Spectre და Meltdown დაუცველობის შესამცირებლად

Spectre და Meltdown დაუცველობა

2018 წლის იანვრის დასაწყისიდან Spectre and Meltdown[1] დაკავშირებული სათაურები თითქმის ყოველდღე ჩანს ინტერნეტში ყველაზე გასაზიარებელ საიტებზე. თუმცა, როგორც ჩანს, ბევრმა ჯერ კიდევ არ იცის არსებული ვითარების შესახებ და რა შედეგები შეიძლება მოჰყვეს Spectre-სა და Meltdown-ის მოწყვლადობას როგორც სახლის, ისე საწარმოს მომხმარებლებისთვის.

Spectre და Meltdown – ყველაზე მნიშვნელოვანი დაუცველობა ბოლო ორი ათწლეულის განმავლობაში

Spectre და Meltdown არის სახელები, რომლებიც მიენიჭა CPU-ს სერიოზულ ხარვეზს, რომელიც გამოვლინდა 2018 წლის დასაწყისში. ამ დაუცველობის საშიშროება და მასშტაბები უზარმაზარია, ამიტომ ექსპერტები აღნიშნავენ მას, როგორც ყველაზე მნიშვნელოვან ხარვეზს, რომელიც გამოვლინდა 20 წლის ან მეტი პერიოდის განმავლობაში.[2]

Spectre და Meltdown ხარვეზი გამოვლინდა Intel-ის, AMD-ისა და ARM-ის მიერ შემუშავებულ პროცესორებში. მეცნიერთა ჯგუფი, რომლებიც არიან Google-ის Project Zero-ს ყველა მონაწილე[3] პირველებმა შენიშნეს ხარვეზი და განმარტეს, რომ პროცესორის დეველოპერებმა დატოვეს "სპეკულაციური შესრულება", რომელიც არის კონკრეტული პროცესორი. შესრულება, როდესაც ცენტრალური დამუშავების ერთეული (CPU) პროგნოზირებს მოწყობილობის მომხმარებლის მოქმედებებს და იწყებს მათ შესრულებას წინასწარ, დაუცველი.

Spectre და Meltdown ხარვეზები შემდეგ თაღლითებს საშუალებას აძლევს გაავრცელონ მავნე პროგრამები და მიიღონ წვდომა ბირთვის მეხსიერება, რომელიც ინახავს პირად ინფორმაციას, მათ შორის პაროლებს, დაშიფვრის გასაღებებს, კონტაქტებს და რა არა. Spectre შეტევის ერთ-ერთი უახლესი ვარიანტი, რომელიც ცნობილია როგორც SgxSpectre,[4] შეუძლია მონაცემების გამოძალვა Intel's Software Guard Extensions (SGX) ანკლავებიდან, რომლებიც ინახავს ყველაზე მგრძნობიარე ინფორმაციას, რომლის წაკითხვაც შეუძლებელია ოპერაციული სისტემის კომპონენტების მიერ.

თუმცა, რა ხდის ამ ხარვეზს ექსკლუზიურს, დაკავშირებულია მის მასშტაბებთან. ჯერ არ არის ნათელი, რამდენი მანქანა დაზარალდა, მაგრამ რიცხვები დათვლილია მილიონებში. ეს გასაკვირი არ არის იმის გათვალისწინებით, რომ დაუცველი ჩიპები შეიქმნა 1995 წლიდან. ამრიგად, ყველა მოწყობილობა, მათ შორის კომპიუტერები, ვებ სერვერები და სმარტფონები Intel, AMD ან ARM პროცესორებით, ექვემდებარება კიბერშეტევის რისკს.

Meltdown და Spectre CPU ხარვეზი iPhone-ებზეც: Apple-მა დაადასტურა

Apple-ს სიტყვა არ უთქვამს მას შემდეგ, რაც Meltdown-ისა და Spectre-ის დაუცველობის სათაურები მოხდა. საბოლოოდ, კომპანიამ დაარღვია დუმილი და დაადასტურა ვარაუდი, რომ ყველა iPhone-ზე გავლენას ახდენს სამარცხვინო CPU ხარვეზი.[5]

მიუხედავად იმისა, რომ Apple არ აფასებს Spectre-სა და Meltdown-ის მიერ გამოწვეულ სიტუაციას, კომპანიამ სწრაფად გამოუშვა პაჩი. დაუცველი iPhone-ების შესახებ ოფიციალური დადასტურების გამოქვეყნებისთანავე, Apple-ის სპიკერი მოუწოდებს iPhone-ის მომხმარებლებს ჩამოტვირთოთ iOS 11.2 განახლება დაუცველობის შესამცირებლად. ამჟამად iPhone-ისა და iPad-ის მომხმარებლებს შეუძლიათ ჩამოტვირთოთ iOS 11.2.2 განახლება, რომელიც ოდნავ გაუმჯობესებულია.

Meltdown და Spectre ჯერ არ გამოიყენება თავდასხმებისთვის

აქამდე კიბერუსაფრთხოების ექსპერტებს არ დაუფიქსირებიათ შეტევები Meltdown-ისა და Spectre CPU-ის შეცდომების გამოყენებით. თუმცა, თუ კრიპის მწარმოებლები არ ჩქარობენ სამუშაო პაჩის გამოშვებას, რომელიც საბოლოოდ შეიძლება გამოყენებულ იქნას ყველა დაზარალებულ მოწყობილობებს, არსებობს პირადობის მასიური ქურდობის მაღალი რისკი, რომელიც დაწყებულია Meltdown და Spectre დაუცველობის საშუალებით ექსპლოიტეტებს.

AV-Test Institute-ის მიხედვით[6] შენიშნა მავნე პროგრამის ნიმუშების შემაშფოთებელი სტატისტიკა, რომელიც ორიენტირებულია Meltdown-ისა და Spectre CPU-ის ხარვეზების გამოყენებაზე. კომპანიამ გამოავლინა 139 მავნე პროგრამის ნიმუში, რომლებიც დაკავშირებულია CVE-2017-5715, CVE-2017-5753 და CVE-2017-5754, კერძოდ Meltdown და Spectre, დაუცველობასთან.

საბედნიეროდ, ეს მხოლოდ სატესტო შეტევებია და, როგორც ჩანს, წარმატებით არ არის ინიცირებული. მიუხედავად ამისა, კომპიუტერის, სმარტფონის ან ვებ ბრაუზერის თითოეულმა მომხმარებელმა უნდა იცოდეს არსებული ვითარება და მოამზადოს სისტემა შესაძლო კიბერშეტევებისთვის.

Intel-ის თანახმად, Spectre და Meltdown-ს არ შეუძლიათ პერსონალური მონაცემების დაკარგვის რისკის გამოვლენა. სხვა სიტყვებით რომ ვთქვათ, დაუცველობა არ შეიძლება დასრულდეს დაშიფრული ან წაშლილი ფაილებით. თუმცა, ეს შესანიშნავი საშუალებაა პირადობის ქურდობის მასიური მასშტაბის დასაწყებად, რადგან ყველა პერსონალური ინფორმაციის გაჟონვა შესაძლებელია საკონტროლო სერვერების მოსაშორებლად.

შესაძლებელია Meltdown-ისა და Spectre-ის უსაფრთხოების ხარვეზების შერბილება, ნაწილობრივ მაინც

ვინაიდან Meltdown-ისა და Spectre CPU-ის ხარვეზები ჩიპების მწარმოებლის ბოლოშია, თითქმის არაფერია ისეთი, რაც სახლისა და საწარმოს მოწყობილობების მომხმარებლებს შეუძლიათ შეტევების თავიდან აცილება. ამგვარად, ამ დაუცველობის დასასრულებლად, თქვენ უნდა დაელოდოთ Microsoft-ს და Apple-ს, ჩიპების მწარმოებლებთან ერთად, გამოუშვან მოქმედი, მაგრამ არ დააზიანოს სისტემა. თუმცა, ამ დრომდე, ეს ტექნიკური გიგანტები რბოლაში არიან, რომელი იქნება პირველი, ვინც გამოუშვებს პატჩს და ეს არის მიზეზი იმისა, რომ არცერთმა პატჩი არ იმუშავა.

მიუხედავად ამისა, მოწყობილობის თითოეულ მომხმარებელს შეუძლია სწორად იზრუნოს სისტემაზე, რათა ის ყველაზე ნაკლებად დაუცველი გახდეს ექსპლოიტის მიმართ. Meltdown-ისა და Spectre-ის გამოსწორების საკვანძო სიტყვაა UPDATE. თქვენ მხოლოდ უნდა განაახლოთ - განაახლოთ ყველაფერი.

  • გადაერთეთ უახლეს ოპერაციულ სისტემაზე. მიუხედავად იმისა, რომ მიზანშეწონილია სისტემა მუდმივად განახლდეს, მონაცემების თაღლითების გამოვლენის რისკი Spectre-მ და Meltdown-მა უნდა აიძულოს ადამიანები, რომლებიც ჯერ კიდევ არიან Windows 7, 8, 8.1, XP ან Vista-ზე, დააინსტალირონ Windows. 10. Microsoft-ის აზრით, ეს უკანასკნელი ყველაზე ნაკლებად დაუცველია.

    სხვათა შორის, დარწმუნდით, რომ ავტომატური განახლება ფუნქცია ჩართულია თქვენს სისტემაში. ეს უზრუნველყოფს უსაფრთხოების თითოეული განახლების ავტომატურ ინსტალაციას.

  • CPU firmware-ის განახლება. პროგრამული უზრუნველყოფის განახლება ისეთივე მნიშვნელოვანია, როგორც ოპერაციული სისტემის განახლება. Intel-მა და AMD-მა უკვე გამოუშვეს პროგრამული უზრუნველყოფის განახლებები თავიანთი პროცესებისთვის, ამიტომ ჩვენ გირჩევთ, გადახვიდეთ მათ ოფიციალურ ვებსაიტებზე და ჩამოტვირთოთ უახლესი პროგრამული უზრუნველყოფის განახლებები.
    შენიშვნა: პროგრამული უზრუნველყოფის განახლებების ინსტალაციის შემდეგ, თქვენი მოწყობილობა შეიძლება იმუშაოს ოდნავ ნელა, ვიდრე ადრე, არქიტექტურის მნიშვნელოვანი ცვლილებების გამო, რომელიც შექმნილია Meltdown-ისა და Spectre-ის იმუნიზაციისთვის.
  • დააინსტალირეთ ბრაუზერის უახლესი განახლება. Spectre და Meltdown გავლენას ახდენს ვებ ბრაუზერებზეც. მიუხედავად იმისა, რომ ყველაზე პოპულარულ ვებ ბრაუზერებს აქვთ ნაგულისხმევად ჩართული ავტომატური განახლების ფუნქცია. მიუხედავად ამისა, ექსპერტები გირჩევენ უახლესი განახლების ხელით შემოწმებას.
  • სმარტფონების განახლება. Google-ის ბრენდის ყველა ტელეფონს უნდა ჰქონდეს Google-ის უახლესი „დაცული“ განახლებული ვერსია 63, ასე რომ დარწმუნდით, რომ ის უკვე დაინსტალირებულია. იმავდროულად, Android-ის მომხმარებლებმა უნდა გადავიდნენ „სისტემაში“ და შეამოწმონ მომლოდინე განახლებები. Apple iPhone-ის ან iPad-ის მომხმარებლებმა ასევე უნდა დააინსტალირონ უსაფრთხოების განახლება iOS 11.2. ან iOS 11.2.2. შეამოწმეთ ის პარამეტრებში -> ზოგადი -> პროგრამული უზრუნველყოფის განახლება და ჩამოტვირთეთ ნებისმიერი მომლოდინე განახლება.
  • რეგულარულად ჩამოტვირთეთ კუმულაციური და უსაფრთხოების განახლებები. იმისდა მიუხედავად, რომ Windows-ის განახლებები ზოგჯერ იწვევს სისტემის მცირე ან დიდ გაუმართაობას, გაითვალისწინეთ არსებული სიტუაცია და დააინსტალირეთ გაუმჯობესების თითოეული ნაწილი, არ დაუშვათ თქვენი სისტემა დაუცველი. რეგულარულად გახსენით პარამეტრების აპი, განახლებისა და უსაფრთხოების განყოფილება და დააჭირეთ განახლებების შემოწმებას. იგივე ეხება Mac OS X-ს.