La caduta dei computer: la triste storia di "spettro" e "fusione" e cosa significa per la sicurezza dei computer

Loghi minacciosi per uno sviluppo inquietante. Logo di credito: Natascha Eibl

Quelli di voi che mi seguono su Medium sanno che predico un approccio logico e di buon senso alla sicurezza informatica e informatica che evita di promuovere la paura, lo shock o l'iperbole. Questo perché battere il tamburo "Il mondo sta crollando!" Non aiuta le persone a rispondere in modo responsabile. Oggi non è diverso, ma sono sincero quando ti dico che l'impatto di ciò che devo condividere oggi è di vasta portata e non solo influenza il tuo personal computer, ma anche il futuro della produzione di chip per computer e, quindi, tutto del calcolo stesso. Esistono già strumenti e patch software che puoi utilizzare per ridurre al minimo gli exploit e difenderti, quindi non sei certo indifeso.

Quindi prendi una tazza di camomilla, fai un respiro profondo e scava dentro ...

Cosa è successo questa volta?

Durante l'estate del 2017, i ricercatori di tutto il mondo hanno scoperto un difetto di progettazione nei chip che fungono da cervello per i nostri computer e dispositivi mobili. Quel difetto di progettazione - visto nei chip con licenza Intel, AMD e ARM - consente l'esecuzione di due vulnerabilità di sicurezza, chiamate "Meltdown" e "Spectre". Entrambi sembrano minacciosi e per una buona ragione: i difetti "potrebbero consentire agli hacker di rubare l'intero contenuto di memoria dei computer, inclusi dispositivi mobili, personal computer e server che girano nelle cosiddette reti di computer cloud" secondo il NY Times. Quindi, eh: non va bene.

Chi e cosa ha causato il problema?

Questi exploit si basano su difetti di ingegneria dei chip, non su difetti del software. Apple, Google, Abode, Microsoft e altre società di software non hanno scritto software scadente o sistemi operativi danneggiati per causare questi problemi. Piuttosto, i produttori di chip - Intel, AMD e ARM - hanno progettato e quindi progettato chip per computer con difetti incorporati. Una volta scoperti, questi difetti consentono di eseguire gli exploit Meltdown e Spectre. Peggio ancora, questi chip sono stati venduti con computer di consumo, server e dispositivi mobili dal 1995. Quindi l'impatto è, potenzialmente, sia di portata personale che globale.

Perché è successo?

A meno che tu non sia un progettista di chip per computer, i dettagli di questo difetto - delineati qui da un ingegnere di Google - sembrano una lingua straniera e potrebbero farti sbavare gli occhi come una ciambella:

Lo so: lettura SUPER FUN, vero?

In termini semplici, questi due difetti esistono perché, storicamente, i chip del computer sono stati progettati per funzionare il più velocemente possibile, non il più sicuro possibile. La ragione è - mi dispiace dirlo - io e te, amici. Per generazioni di computer, noi consumatori abbiamo richiesto i chip più veloci possibili per aiutare i computer più veloci possibili. Di conseguenza, la sicurezza al 100% a volte ha preso un sedile posteriore per accelerare e ... eccoci qui.

Come funzionano gli exploit?

Nonostante sia specifico per i chip Intel, l'exploit di Meltdown è considerato il più aggressivo delle due minacce. Funziona "fondendo" la sicurezza che dovrebbe esistere tra ogni applicazione software sul tuo computer e il sistema operativo che esegue quel computer. L'exploit di Meltdown rompe il meccanismo che impedisce a qualsiasi applicazione sul tuo computer di avere accesso ad altri dati che dovrebbero esistere nella memoria di sistema protetta, come password, chiavi di sicurezza, informazioni sulla carta di credito, testo di qualsiasi tipo e altre informazioni personali. Ora si comprende che qualsiasi e tutte quelle informazioni presumibilmente protette sono ora considerate a rischio. Ecco come appare l'exploit in tempo reale per quelli di voi che sono studenti visivi. Nota: NESSUNO dei dati visualizzati in testo normale sul lato destro dello schermo dovrebbe mai essere visualizzabile.

Lo spettro - un exploit che gira su chip prodotti da Intel, AMD e ARM - funziona in modo leggermente diverso. Mentre Meltdown funziona tra un'applicazione e il sistema operativo, Spectre invece funziona tra più applicazioni. Ogni applicazione in esecuzione sul tuo computer ha una certa quantità di memoria protetta archiviata durante l'esecuzione. Se, ad esempio, stai eseguendo sia Dashlane che Adobe Photoshop, si presume che ciascuna di queste applicazioni abbia il proprio blocco di memoria protetto che viene tenuto in modo sicuro. Ora, è noto che Spectre rompe questa presunta barriera tra le applicazioni, rendendo possibile catturare i dati delle applicazioni conservati nella memoria protetta. Se una di queste applicazioni gestisce, per esempio, tutti i tuoi nomi utente e password, allora puoi capire quanto possa essere minaccioso questo exploit di sicurezza. Nulla, nemmeno con le migliori applicazioni software all'avanguardia o all'avanguardia, sarà di aiuto. Tutte le applicazioni possono essere facilmente sfruttate perché questo problema non è basato sul software, ma è basato sull'hardware. Chip di computer difettosi significano protezione di memoria difettosa e protezione di memoria difettosa significa rischi di sicurezza difettosi per gli utenti come te e me.

Chi è a rischio?

In teoria, tutti. In pratica, entrambi i difetti richiedono che gli hacker malintenzionati abbiano software dannoso impostato per trarre vantaggio dalle vittime ignare. Tuttavia, è possibile raggiungere tale obiettivo. Apple ha affermato che "mentre questi difetti sono estremamente difficili da sfruttare, anche da un'app eseguita localmente su un dispositivo Mac o iOS, possono essere potenzialmente sfruttati in JavaScript in esecuzione in un browser web".

Pertanto, è meglio presumere che tu possa essere colpito e prendere le precauzioni / azioni che raccomando più avanti in questo articolo.

Quanto è grave, davvero?

Miliardi di computer e dispositivi sono interessati. Sono miliardi con una "b". I chip di computer in questione sono in circolazione dal 1995 e possono essere trovati sui nostri dispositivi più comuni: desktop, laptop, cloud server, smart TV, streaming box come vtv, smartphone, smartwatch e tablet. Quindi il problema esiste in un ambito e in una scala quasi senza precedenti.

Paul Kocher è un tipo piuttosto intelligente: modera i pannelli di sicurezza durante le conferenze internazionali, è il principale scienziato della Cryptography Research e sembra essere uno dei ricercatori che hanno scoperto l'exploit dello spettro. Secondo lui, Spectre "vivrà con noi per decenni". Ecco la cosa più grave che abbia detto nella stessa storia del NY Times:

"Siamo davvero incasinati. C'è stato questo desiderio del settore di essere il più veloce possibile e sicuro allo stesso tempo. Lo spettro mostra che non puoi avere entrambi ".
- Paul Kocher, ricercatore di sicurezza che ha scoperto l'exploit Spettro.
OK, allora che ne dici di alcune buone notizie? Credito fotografico: Pexels.

Cosa si può fare?

Aggiornamenti software

Innanzitutto, la buona notizia. Poiché i difetti sono stati scoperti la scorsa estate, i ricercatori hanno lavorato per mesi dietro le quinte per sviluppare patch prima di annunciare gli exploit al pubblico questa settimana, che è una procedura operativa standard. Ciò significa due cose ragionevolmente buone: è altamente improbabile che qualcuno sia a conoscenza di questi difetti fino a questa settimana e che ora siano disponibili patch software per affrontare l'exploit di Meltdown:

  • Apple: rilasciate correzioni per Meltdown in iOS 11.2, macOS 10.13.2 e tvOS 11.2. watchOS non ha richiesto e riparato, affermano.
  • Microsoft: rilasciati patch Meltdown per la loro gamma hardware Surface, inclusi i dispositivi Surface Pro, Book, Studio e Laptop. Hanno pubblicato ulteriori informazioni sulla patch del sistema operativo Windows per utenti finali e server.
  • Ubuntu: consapevole del problema e spera di rilasciare aggiornamenti il ​​9 gennaio.
  • RedHat: facendo clic sulla scheda "Risolvi" a questo link si accederà a tutte le patch disponibili.
  • Altro: un elenco continuo e aggiornato di ulteriori fornitori che stanno correggendo il loro software contro Meltdown è disponibile in fondo a questa pagina.

Se possiedi un dispositivo in questione (e lo fai), esegui un backup di ciascun dispositivo e quindi esegui questi aggiornamenti. Per la mia guida su come aggiornare in modo sicuro il tuo dispositivo iOS, fai clic qui. Sì, sono serio: prenditi il ​​tempo necessario per il primo backup di ciascuno dei tuoi dispositivi.

Ora la cattiva notizia: le patch software che possono essere applicate per correggere il difetto di Meltdown potrebbero rallentare il computer, probabilmente fino al 30% secondo alcune stime. La mia opinione? Le stime del 30% sembrano terribilmente alte, ma - anche se vero - Preferirei essere più lento del 30% ma so che sono più sicuro. Un contrappunto è Apple: affermano che non vedono "nessuna riduzione misurabile" sulla patch Meltdown e solo una riduzione del 2,5% circa con le correzioni dello spettro che sperano di implementare sugli aggiornamenti macOS e iOS di Safari.

Autenticazione a due o più fattori

Ho già parlato dell'autenticazione a più fattori e vale la pena consigliarla ancora una volta. Nel mondo odierno di hack e exploit, avere solo nomi utente e password per accedere alla tua vita online non è abbastanza. Dato che Meltdown e Spectre possono facilmente rivelare quei dettagli, ti riposerai più facilmente sapendo che esiste un altro controllo di convalida prima che un hacker malintenzionato possa ottenere l'accesso al tuo regno digitale.

Ad esempio, se le credenziali del mio account Facebook fossero state rubate, sarei stato sconcertato ma non minacciato: sarebbe quasi impossibile per gli hacker accedere al mio account perché è anche protetto da un codice sfida a sei cifre che cambia ogni 30 secondi. Posso facilmente cercare quei codici sul mio cellulare; un hacker malintenzionato non può. Avrebbero bisogno dell'accesso fisico al mio telefono entro 30 secondi, cosa che non è probabile che accada.

Per favore: implementa immediatamente l'autenticazione a due fattori su tutti i tuoi account più preziosi, inclusi, a titolo esemplificativo ma non esaustivo: account di posta elettronica, account di social media, account di hosting Internet, gestori di password, siti Web bancari e soluzioni di archiviazione cloud condivise come AWS, Dropbox, Box e altri.

  1. Visita il sito web Two-Factor-Auth per scoprire quali dei tuoi account online offrono questo servizio gratuito e inestimabile.
  2. Leggi il mio articolo sull'autenticazione a più fattori per apprendere i modi più semplici e migliori per implementare questa tecnologia per te stesso. #Authy
Visita questo sito per scoprire quale dei tuoi account offre questo fantastico servizio.

Blocco del credito

Nel settembre del 2017, ho scritto di come abilitare un blocco del credito sui tuoi account personali dopo l'hack di Equifax. Vale la pena rivisitare nuovamente questo suggerimento. Se supponiamo che gli exploit di Meltdown e Spectre possano esporre le nostre informazioni finanziarie personali - Numero di previdenza sociale, indirizzo, numeri di conto bancario, numeri di conto di carta di credito, numeri di conto di investimento e altro - ad hacker malintenzionati, cosa possiamo fare per proteggerci ulteriormente?

È una domanda che vale la pena porre perché chiunque abbia il nostro Numero di previdenza sociale e il nome legale può tentare di accedere alle nostre informazioni di credito, se i nostri account non sono "bloccati". L'implementazione di un congelamento del credito sta essenzialmente aggiungendo l'autenticazione a due fattori ai nostri conti finanziari. Se i nostri file di credito sono bloccati, anche qualcuno che ha il nostro nome e numero di previdenza sociale probabilmente non può ottenere credito a nostro nome. Sì, gli hacker malintenzionati e quelli con accesso unico potrebbero ancora essere in grado di farci del male, ma il congelamento del nostro credito aiuta a prevenire molti tipi di furto di identità.

Ti incoraggio a saperne di più su questo strumento economico e utile per proteggere la tua identità finanziaria.

Possedere l'intero server

Questo potrebbe sembrare un po 'inverosimile, ma vale la pena considerare se gestisci un'azienda di qualsiasi dimensione. Supponiamo che tu sia intelligente e che tu abbia patchato tutti i tuoi server fisici e virtuali per proteggerti dall'exploit di Meltdown. Buono per te, è fantastico! Sfortunatamente, non ti protegge dall'exploit Spettro che consente alle applicazioni aperte sullo stesso computer di razziare la memoria protetta. I fornitori di servizi cloud come AWS, Azure e Google vendono spazio server a privati ​​e aziende che necessitano di una soluzione scalabile. Bene, piuttosto che affittare abbastanza spazio, paga i soldi necessari per garantire che l'intero server in questione sia dedicato solo a te. Ciò richiede un cambiamento di focalizzazione: anziché acquistare spazio cloud in base alle esigenze del software o della rete, acquistarlo invece in base alle esigenze di sicurezza. Se la tua azienda possiede l'intero server, un hacker malintenzionato non può anche affittare spazio sullo stesso dispositivo e sfruttare Spectre per provare a catturare i dati proprietari della tua azienda.

Sembro pazzo? O furbo come una volpe?

Non vedo l'ora di sentire i tuoi pensieri e, fino ad allora ...

... naviga sicuro.