Чипокалипсис
В начале января разразился, пожалуй, самый крупный в истории вычислительной техники скандал, связанный с компьютерной безопасностью. Серьезные уязвимости нашли практически во всех современных процессорах: специалисты компаний-производителей исследовали их примерно с середины прошлого года, а в начале января информация стала доступна широкой публике. Вокруг этой темы сразу возникло множество теорий, поэтому стоит разобраться, чем грозят Meltdown и Spectre пользователям и как можно защититься от этой напасти.
Обе уязвимости похожи и связаны со спекулятивным выполнением инструкций и предсказанием ветвлений. Эти алгоритмы используются для повышения общей производительности систем практически во всех современных процессорах, работающих в настольных компьютерах, серверах, телефонах, планшетах и различных встраиваемых устройствах. Ранее считалось, что процессор способен обеспечить полную изоляцию выполняемых на нем программ друг от друга, но внезапно выяснилось, что это не так. Проблему сразу окрестили чипокалипсисом.
Meltdown: производительные процессоры под угрозой
Что касается самих уязвимостей, Meltdown использует ошибку в процессорах Intel и ARM, когда при спекулятивном выполнении инструкций игнорируются права доступа к памяти. Это позволяет обойти защитные механизмы и косвенными методами прочитать память ядра операционной системы, на которую в современных ОС отображается вся физическая память компьютера. Таким образом Meltdown дает злоумышленнику доступ к данным любого процесса в системе. Никаких особых привилегий для атаки не нужно: зловред не взаимодействует с операционной системой, не оставляет в ней следов и в общем случае не обнаруживается антивирусами. Эксплуатация уязвимости возможна даже через выполняющийся в браузере код Java Script.
Больше всего пострадали самые распространенные процессоры Intel — затронуты все выпускающиеся и эксплуатируемые модели, кроме произведенных до 2013 года моделей семейства Atom. Проблема также затрагивает процессоры на ядрах ARM Cortex-A75, но они пока не используются в каких-либо устройствах. В Apple заявили, что уязвимости подвержены все смартфоны и планшеты на iOS — речь, вероятно, идет только об актуальных (поддерживаемых производителем) моделях.
Компания ARM также сообщает о проблеме с Cortex-A15, Cortex-A57 и Cortex-A72, но, в отличие от оригинальной уязвимости Meltdown, обнаруженные в этих ядрах ошибки позволяют злоумышленнику получить доступ только к отдельным системным регистрам процессора. Достоверных сведений об уязвимости процессоров AMD нет, хотя расслабляться не стоит: скорее всего, в них тоже что-нибудь отыщется. Как, собственно, не стоит расслабляться и владельцам устройств на процессорах, отличных от вышеупомянутых, — множество моделей толком никто не проверял.
Spectre: танцуют все
Со Spectre дела обстоят еще хуже. Здесь также эксплуатируются непрямые каналы утечки данных и атака гораздо сложнее в реализации, но проблема затрагивает все процессоры, в которых есть кэш и механизм предсказания переходов. По сути дела, речь идет вообще обо всех современных процессорах.
Самое главное – это не связанная с конкретными ошибками производителя уязвимость (как в случае с Meltdown), а скорее набор заложенных на уровне дизайна проблем. Алгоритмы предсказания ветвлений и переходов в современных процессорах таковы, что процесс может влиять на вероятность спекулятивного выполнения инструкций в других программах, включая ядро операционной системы. На сегодняшний день известны разные механизмы эксплуатации уязвимости, и, вероятно, со временем появятся новые.
В отличие от Meltdown, Spectre не предполагает прямого доступа к памяти другого процесса, атакуемый сам выдает ее содержимое зловреду. Никаких особых привилегий для этого также не требуется, достаточно возможности запустить в системе код и реализовать в нем точный таймер, позволяющий определить разницу в скорости получения переменной из кэша процессора и из оперативной памяти. Радует только одно: провести такую атаку на практике действительно очень сложно.
Чем опасен чипокалипсис?
Возможность прочитать память другого процесса разрушает все используемые на конечном устройстве механизмы безопасности. В теории вредоносная программа может украсть ваши пароли, информацию о банковских картах и электронных кошельках, а также любые другие обрабатываемые на компьютере приватные данные. Согласитесь, это очень серьезно, и, что самое страшное, — под угрозой практически все существующие настольные компьютеры, ноутбуки и серверы с процессорами Intel. Что касается устройств с процессорами AMD, достоверных сведений об опасности для них, как уже было сказано выше, нет, но ситуация может измениться.
С мобильными устройствами все не так ужасно. Точно известно, что атака Meltdown возможна на актуальныхiPhone и iPad. Еще три упомянутых процессорных ядра (Cortex-A15, Cortex-A57 и Cortex-A72) подвержены очень сильно ограниченной версии этой уязвимости, которую в ARM называют ‘Variant 3a’. По сути, для основной массы смартфонов и планшетов потенциальную угрозу представляет только Spectre. Многие бюджетные и среднеценовые смартфоны при этом оказались неуязвимыми: в них использованы чипы на старых ядрах без спекулятивных вычислений. В качестве примера можно привести Cortex-A53, более известный потребителям как Snapdragon 410, Snapdragon 625, Mediatek MT6752 и т. д.
Как защититься?
Хотя об успешных атаках с использованием Meltdown и Spectre ничего не известно, найденная и описанная уязвимость непременно будет использована для создания эксплойта — понимание, как это сделать, у злоумышленников уже есть. Можно ли защититься от угрозы программными средствами?
В случае с Meltdown это достаточно просто: соответствующие обновления для Windows, Linux, OS X и iOS уже вышли. Они не устраняют допущенные при разработке процессоров ошибки, но делают эксплуатацию уязвимости злоумышленниками невозможной. К сожалению, производительность системы при этом страдает, и насколько она упадет, зависит от того, насколько активно ваши приложения используют спекулятивные вычисления. Речь может идти о нескольких процентах или даже о десятках процентов — разброс велик. Кроме того, установленные патчи создавали некоторым пользователям проблемы, но этот вопрос можно считать практически решенным.
Стоит также упомянуть потенциальную угрозу для топовых смартфонов и планшетов 2018 года, в которые наверняка установят основанные на уязвимом ядре ARM Cortex-A75 чипы. Хотя здесь производителям уже будет доступна версия Android с исправленным ядром Linux, так что вероятность угрозы невысока. К счастью, информация о Meltdown стала известна своевременно, иначе в ближайшие годы на рынок вышли бы миллионы проблемных мобильных устройств.
В случае со Spectre ситуация сложнее — это не какая-то конкретная атака, а только несколько наиболее очевидных способов использования особенностей процессоров в незаконных целях. Надежно защищающих от них операционные системы патчей создать пока не получилось (и, скорее всего, не получится), но разработчики ПО в этом направлении немного продвинулись, а производители процессоров экспериментируют с обновлением микропрограммного обеспечения.
Насколько эти меры окажутся действенными, покажет время — хакеры наверняка будут искать более изощренные варианты целенаправленного обучения процессорных блоков. Мы возвращаемся к классическому противостоянию «снаряда» и «брони». К тому же уже имеющиеся патчи (особенно для микропрограммного обеспечения) вызвали серьезные проблемы в различных системах и в ряде случаев их распространение приостановлено.
Ситуация усугубляется еще и тем, что Spectre затрагивает все процессоры ARM, поддерживающие спекулятивные вычисления (они используются в устройствах на Android, многие производители которых особо не утруждают себя выпуском обновлений). Поскольку основным возможным вектором атак, скорее всего, станет Java Script на вредоносных сайтах, пользователям таких устройств стоит отказаться от штатного браузера и заменить его, например, на Firefox. Разработчики браузеров также отреагировали на появление угроз и делают таймеры более грубыми, чтобы злоумышленники не могли узнать время получения переменных с достаточно высокой точностью. Этот метод защиты будет эффективен и в настольных системах.
Что делать?
Благодаря уже выпущенным обновлениям проблема Meltdown стоит не так остро. Связанная с нею свежая гадость всегда может всплыть на поверхность, но на сегодняшний день вопрос закрыт, если опустить нежелание пользователей своевременно ставить патчи. Борьба со Spectre займет еще какое-то время и непонятно, чем окончится, поэтому нам хотелось бы напомнить читателям важность комплексной защиты корпоративных ИТ-инфраструктур. Злоумышленнику недостаточно запустить код и украсть ваши данные – нужно еще как-то передать их наружу, и этот процесс вполне можно отследить с помощью традиционных решений класса DLP.
Системы поведенческого анализа способны заметить подозрительную активность на устройстве и отключить его от сети. Антивирусные программы едва ли отреагируют на работу не оставляющего в системе следов кода (речь про Meltdown), но вполне способны опознать уже известного зловреда старым добрым сигнатурным методом. К тому же подобным шпионам, как уже было сказано, приходится взаимодействовать с удаленными узлами по сети, что также сделает их заметными для современных антивирусов.
Черно-белые списки приложений тоже будут нелишними, а решения класса MDM если и не спасут от атаки, то помогут свести ее последствия к минимуму (сложно украсть критичные для бизнеса данные, если на смартфоне их попросту нет). Двухфакторная аутентификация сделает кражу паролей бессмысленной, если одноразовые коды приходят на другое устройство.
И, разумеется, нужно позаботиться о самой уязвимой части корпоративной инфраструктуры — сотрудниках. Фишинг становится одним из основных способов внедрения зловредов, так что обучение пользователей должно стать первоочередной задачей компании.
Как видите, грамотная многоуровневая система информационной безопасности может помочь, даже если в самой важной части компьютера притаилась незакрытая уязвимость.
Опубликовано 26.02.2018
