Zijn Spectre en Meltdown nog steeds een bedreiging? De patches die je nodig hebt

Advertentie

De onthullingen over de Spectre en Meltdown-processor waren een schokkende start in 2018. De kwetsbaarheden zijn van invloed op bijna elke processor, in vrijwel elk besturingssysteem en elke architectuur. Processorfabrikanten en ontwikkelaars van besturingssystemen brachten snel patches uit om te beschermen tegen de kwetsbaarheden.

Maar er waren ook enkele ernstige kinderziektes.

Nu, meer dan een jaar na de eerste rapporten, zijn we dichter bij het echt oplossen van de Meltdown- en Spectre-kwetsbaarheden?

Spectre and Meltdown Vulnerabilities Nieuwste

De begin 2018 ontdekte kwetsbaarheden Spectre en Meltdown blijven van invloed op computers. Meltdown treft met name Intel-microprocessors die teruggaan tot 1995. De lange levensduur van dit probleem betekent dat de meeste Intel-processors ter wereld risico lopen en zelfs services zoals Microsoft Azure en Amazon Web Services.

Spectre heeft een vergelijkbaar globaal effect. De Spectre-kwetsbaarheid treft microprocessors van Intel, evenals andere grote ontwerpers, waaronder AMD en ARM. Spectre en Meltdown maken de meeste computers in de wereld dus kwetsbaar, een situatie die meer dan 20 jaar oud is.

#Meltdown & #Spook - Een vergelijking van links naar rechts#cybersecurity#Gegevenslek#menselijke factoren# CES2018#malware#Technologie

CC: @ ipfconline1@JimMarous@evankirstel@MikeKuindazzi@pierrepinna@ jblefevre60@ reach2ratan@KirkDBorne@Ronald_vanLoonpic.twitter.com/0S79P5jDbV

- Shira Rubinoff (@Shirastweet) 10 januari 2018

Het is begrijpelijk dat de onthullingen zowel consumenten als bedrijven zorgen baren. De zorg is veelzijdig. Intel, AMD en ARM hebben allemaal patches uitgebracht voor de kwetsbaarheden; werken die patches? Is het eenvoudiger om hele voorraden microprocessors te vervangen? Wanneer komt er een volledig veilige processor op de markt? En hoe zit het met de kosten?

"We hebben nog nooit zo'n uitgebreide bug als deze gezien die letterlijk elke grote processor treft", zegt David Kennedy, de CEO van TrustedSec, die penetratietesten en beveiligingsadvies doet voor bedrijven.

"Ik heb vorige week minstens tien gesprekken gevoerd met grote bedrijven en twee gisteren om uit te leggen wat er aan de hand is. Ze hebben geen idee wat ze moeten doen als het gaat om patchen. Het veroorzaakt echt een zooitje. "

Spectre Next Generation

Nee, het is niet de James Bond-Star Trek crossover waar je van gedroomd hebt. Spectre Next Generation is de tweede generatie van Spectre-kwetsbaarheden. De tweede generatie werd ontdekt door Google's Project Zero (die ook de eerste generatie onthulde).

Project Zero is de taskforce van Google voor het opsporen en op een verantwoorde manier openbaar maken van zero-day kwetsbaarheden voordat snode individuen ze ontdekken.

Ik ga hier niet op alle details ingaan, maar hier is een artikel waarin de implicaties van Spectre Next Generation Intel's Spectre Vulnerability komt terug als een spook uit het verledenDe onthullingen over Spectre / Meltdown begin 2018 schokten de computerwereld. Nu hebben beveiligingsonderzoekers acht nieuwe Spectre-achtige kwetsbaarheden ontdekt die van invloed zijn op Intel CPU's, wat zou kunnen betekenen dat uw computer nog meer risico loopt. Lees verder .

Zijn er Spectre- en Meltdown-patches?

Het enorme aanbod aan kwetsbare apparaten biedt nog een ander probleem. Elk type hardware heeft een iets andere, individueel vervaardigde oplossing nodig. Het patchproces sinds januari 2018 was ronduit verbijsterend.

Intel haastte zich om een ​​beveiligingspatch te ontwikkelen en uit te brengen. Het nadeel waren serieuze prestatieproblemen. Intel zei berucht: 'Elke invloed op de prestaties is afhankelijk van de werklast, en voor de gemiddelde computergebruiker wel zal niet significant zijn en zal in de loop van de tijd worden verzacht. " De verklaring was toen niet waar en blijft dat ook op het moment van schrijven.

Zelfs nieuwere processors die nog maar net op de markt zijn, voelen nog steeds de effecten.

Op 22 januari 2018 heeft Intel zelfs een van zijn Spectre-patches ingetrokken omdat dit een willekeurig probleem met opnieuw opstarten veroorzaakte. Intel stelde voor dat netwerkbeheerders alle geïnstalleerde updates eenvoudig terugdraaien, met Intel executive vice-president Neil Shenoy en zegt: "Mijn excuses voor de verstoring die deze wijziging in de begeleiding kan veroorzaken." VMware, Lenovo en Dell hebben allemaal tegelijkertijd soortgelijke aankondigingen gedaan tijd.

Eind januari kondigde Microsoft ook aan dat de Spectre- en Meltdown-patches voor Windows 10 de prestaties in gevaar brachten en willekeurige fatale fouten veroorzaakten, wat bevestigde dat hun beveiligingsoplossingen dat waren buggy.

Oh, en Apple trok op dezelfde manier claims in met betrekking tot bescherming voor oudere machines, waarbij een overvloed aan patches werd vrijgegeven voor High Sierra, Sierra en El Capitan.

Linus en Linux

Linus Torvalds, de maker en hoofdontwikkelaar van de Linux-kernel, blijft zeer kritisch over het hele Spectre / Meltdown-patchproces. (Wat is een kernel eigenlijk? Wat is een kernel in Linux en hoe controleer je je versie?Linux is toch een besturingssysteem? Nou, niet precies! Het is eigenlijk een pit. Maar wat is de Linux-kernel? Lees verder ). Torvalds ging zelfs zover dat hij de Intel-patches verklaarde als 'VOLLEDIG EN VOLLEDIG GARBAGE'.

Jij kan lees hier de rest van zijn tirade. Het is het lezen waard.

Linus analyseerde de patches. Hij ontdekte dat Intel probeerde de beveiligingspatches optioneel te maken, maar ook op het besturingssysteem, zodat ze dat niet hebben om hun CPU-ontwerp volledig te herzien (wat de enige optie is voor echte beveiliging - ik zal uitleggen waarom in een moment).

Een alternatief zou zijn om twee patches uit te geven waarbij één de beveiligingspatches inschakelt en een tweede die de fixes op de kernel implementeert.

In plaats daarvan stelt Torvalds dat Intel de twee samen dwingt om de prestatiehits te verdoezelen door een "optionele veilige modus" toe te staan waarbij de gebruiker zijn CPU moet kiezen voor de fix en ervoor moet zorgen dat de prestaties de beslissing van de klant raken, in plaats van dat Intel de luchtafweergeschut. Bovendien, als en wanneer gebruikers een ouder besturingssysteem opstarten dat de patch nog nooit heeft gekend, zullen ze direct kwetsbaar zijn.

Op 29 januari werd de Linux 4.15-kernel beschikbaar gesteld, met nieuw uitgebreide beveiligingsmogelijkheden in Intel- en AMD-CPU's op Linux-apparaten. En hoewel Linus Torvalds rant gericht was op Linux, is het duidelijk dat de Intel-patches voor geen enkel besturingssysteem geschikt waren.

Wist China van Spectre en Meltdown?

Ondanks dat Intel één kogel ontwijkt met betrekking tot zijn winstrapporten (ondanks de kritieke kwetsbaarheid die wordt aangetroffen in de meeste computers ter wereld, slurpen Intel-winsten behoorlijk mee) aardig), Intel kreeg veel kritiek omdat het naar verluidt zowel Meltdown als Spectre openbaar maakte aan zijn enorme Chinese klanten, zoals Alibaba en Lenovo, voordat het de VS vertelde regering.

Verscheidene grote Amerikaanse agentschappen werden pas op de hoogte gebracht van Spectre en Meltdown toen de rapporten openbaar werden gemaakt, in plaats van enige voorafgaande kennisgeving. En hoewel er geen aanwijzingen zijn dat de informatie oneigenlijk is gebruikt (bijvoorbeeld doorgegeven aan en gebruikt door de Chinese overheid), baart het grote zorgen over de keuze van Intel om te informeren.

Gezien de diepte en omvang van het Chinese internetsurveillance, lijkt het volstrekt onwaarschijnlijk dat de Chinese regering niet op de hoogte was van de kwetsbaarheden voor de Amerikaanse regering.

Windows 10 Retpoline Spectre Fix

Retpoline is een “Softwareconstruct voor het voorkomen van branch-target-injectie.” Het is met andere woorden een patch die beschermt tegen Spectre door een alternatieve voorspellingstak te introduceren, waardoor het systeem wordt beschermd tegen speculatie in Spectre-stijl aanvallen.

In december 2018 Microsoft heeft de retpoline-fix beschikbaar gemaakt voor zijn Insider-programma. Met het Insider-programma en de Insider Previews test Microsoft de aankomende versie van Windows 10 voordat deze de reguliere release bereikt. De laatste update, 19H1, bevat de retpoline-update.

In maart 2019 kondigde Microsoft echter aan dat de retpoline-fix beschikbaar is voor iedereen die deze wil downloaden. Er zijn een aantal bepalingen:

• Op het systeem moet de update van Windows 10 oktober 2018 worden uitgevoerd.
• De oplossing werkt alleen voor pre-Intel Skylake-processors en ouder (de oplossing werkt ook voor AMD-machines, AMD-lezers).

Weet u niet zeker welke Windows 10-versie u momenteel gebruikt? druk op Windows Key + I, dan Systeem> Over. U kunt uw huidige Windows-versie bekijken onder Windows-specificatie. Als er 1809 staat, kunt u de update installeren. Zo niet, dan moet u wachten tot uw Windows-versie de achterstand inhaalt.

De retpoline-update, KB4470788, komt via uw normale Windows Update-proces op uw systeem terecht. U kunt echter de KB4470788-update downloaden via de Microsoft Update-catalogus. Download de juiste versie voor uw besturingssysteemarchitectuur (bijvoorbeeld x64 voor 64-bits, x86 voor 32-bits) en installeer vervolgens.

Zullen Spectre en Meltdown ooit voorgoed worden opgelost?

De eerste generatie Spectre- en Meltdown-patches waren tijdelijke oplossingen. Consumenten mogen niet de verantwoordelijkheid krijgen om patches voor het blokkeren van kwetsbaarheden in te schakelen, laat staan ​​te moeten beslissen over de wisselwerking tussen beveiligingsproblemen op kernelniveau en CPU-prestatiehits. Het is gewoon oneerlijk, laat staan ​​volkomen onethisch.

De langzame uitrol van retpoline-fixes is beter voor consumenten, waardoor de systeemkwetsbaarheden worden hersteld en de systeemsnelheid wordt hersteld naar eerdere niveaus. Toch hebben sommige gebruikers niet het voordeel van een retpoline-oplossing, dus het is geen magische pleister.

Begin 2018 bevatte het financiële rapport van Intel informatie van CEO Brian Krzanich, die beloofde dat chips met echte hardwarefixes dit jaar zouden worden verzonden. Helaas ging Krzanich niet in op wat die gewaagde verklaring betekende.

Omdat Krzanich echter bevestigde dat Intel van plan is haar 14nm-producten (Intel-CPU's vanaf 2014 - Kaby Lake, Coffee Lake, Skylake, enz.) Verder te ontwikkelen in 2018. Dit creëert mogelijkheden: 'in-silicon'-fixes voor de huidige generatie CPU's en fixes voor de komende Cannon Lake-processors, of de een of de ander.

Later in 2018 kondigde Intel aan dat hardwarefixes - dat is een op silicium gebaseerde processor-gebaseerde oplossing - zullen aankomen met de komende Intel CPU-generatie. Sommige oplossingen zullen worden geïmplementeerd met de low-power processorserie, Whiskey Lake, terwijl er nog meer zullen komen met de de facto 10e generatie processors, Ice Lake. De nieuwe generatie Intel CPU's zou dat moeten doen ook beschermen tegen de kwetsbaarheid van Foreshadowook.

Denk je dat Spectre en Meltdown je niet beïnvloeden? Bekijk de lijst met computerhardware die niet door de kwetsbaarheden wordt beïnvloed Zijn er computers die niet worden beïnvloed door de meltdown- en specter-bugs?De kwetsbaarheden van Meltdown en Spectre hebben hardware over de hele wereld aangetast. Het lijkt alsof alles onveilig is. Maar dat is niet zo. Bekijk deze lijst met veilige hardware en onze tips voor de toekomst. Lees verder , en denk nog eens na.