Устраняем уязвимости безопасности процессоров: Meltdown и Spectre

Опубликовано: 12 января 2018
Раздел(ы): Безопасность, Вебмастеру, Программное обеспечение
Просмотры: 2067
Комментарии: 0

Скорее всего, вы уже слышали об одной из наиболее распространенных проблем безопасности в современной компьютерной истории, которая известна как «Meltdown» (CVE-2017-5754) и «Spectre» (CVE-2017-5753 и CVE-2017-5715). Она затрагивает практически каждый компьютер, созданный за последние 20 лет, с любой операционной системой.

Meltdown и Spectre — это аппаратные, а не программные уязвимости, так что исправить их весьма непросто. Патчи, закрывающие Meltdown, уже выпущены для Linux, Windows и MacOS. Защита от уязвимости Spectre еще только разрабатывается.

Что такое Spectre и Meltdown?

Spectre и Meltdown — это названия уязвимостей, обнаруженных в ряде процессоров Intel, ARM и AMD, которые могут позволить хакерам получать доступ к паролям, ключам шифрования и другой личной информации из запущенных приложений.

Уязвимости, обнаруженные рядом людей, включая участника Project Zero от Google, вызвали шок в мире ИТ (информационные технологии). Печально, но выяснилось, что эти уязвимости присутствуют в процессорах уже более 20 лет. А это значит, что эти уязвимости есть на огромном количестве устройств: от персональных компьютеров до веб-серверов и возможно даже смартфонов.

Стоит ли волноваться по поводу Spectre и Meltdown?

Пока нет доказательств, что Spectre или Meltdown когда-либо использовались в хакерских атаках. Кроме того производители операционных систем и популярного программного обеспечения тесно сотрудничают с производителями процессоров Intel, AMD и ARM, чтобы исправить эти недостатки.

В компании Intel заявили, что обнаруженные эксплойты не могут повредить, изменить или удалить данные. Хотя известно, что проблема существует на аппаратном уровне, и чтобы исправить уязвимость Spectre, скорее всего понадобиться переработать будущие процессоры.

Все это дает надежду, что новые модели процессоров должны быть свободны от недостатков безопасности Spectre и Meltdown.

Патчи безопасности выпускают не только производители операционных систем, такие как MicroSoft и RedHat, но и авторы браузеров (Mozilla FireFox), производитель чипов для видеокарт NVIDIA и многие другие. В общем все ИТ сообщество взялось за закрытие брешей в безопастности процессоров. Чтобы обнаруженные аппаратные недостатки чипов не могли быть использованы в программах.

Поэтому особо беспокоится не стоит, но вы все-таки следите за обновлениями, которые предлагает ваше устройство (ноутбук, планшет, сервер), и прочитайте следующие советы, как защититься от недостатков безопасности процессора Meltdown и Spectre.

И все таки поставить патчи от Spectre и Meltdown или нет?

К сожалею выпущенные заплатки для операционных систем имеют недостатки. Самый безобидный заключается в том, что ухудшается производительность процессора. Называются цифры от 1% до 30%. Так же есть исследования, что при худшей производительности после патча процессоры стали сильнее греться.

Однако в самом рискованом положении оказались владельцы систем на процессорах AMD, у них нередки случаи когда после установки патча от MicroSoft компьютер просто переставал загружаться, выводя на экран лишь логотип Windows.

Многие пользователи Ubuntu Xenial 16.04 так же отмечают, что после установки патча не смогли загрузить свои системы и вынуждены откатиться на более ранние образы ядер Linux.

Ну и последняя известная мне ложка дегтя — это несовместимость устанавливаемого патча с используемым антивирусным программным обеспечением, что так же может привести к краху операционной системы. Впрочем, владельцы продуктов Касперского, Доктора Веб и Нортона могут не переживать по этому поводу.

Перед тем как начать

Так как при установке любого ПО на компьютер всегда есть вероятность получить полностью неработоспособную систему, то не забудьте сделать следующее:

Сделайте полное резервное копирование данных
Проверьте совместимость антивирусного программное обеспечение с обновлениями против Spectre и Meltdown

Как устранить уязвимости Spectre и Meltdown

Все рекомендации ниже сводятся к одному: нужно установить последние обновления для операционной системы. Чтобы это сделать выполните следующие шаги в зависимости от используемой операционной системы.

Для Debian/Ubuntu:

Выполните следующие команды в консоли с правами привелегированного пользователя:

Обновите свои пакеты с помощью apt-get:
# apt-get update && sudo apt-get dist-upgrade
Перезагрузите компьютер (сервер), чтобы изменения вступили в силу
# reboot

Для CentOS/Fedora

Аналогично выполните следующее из консоли с правами суперпользователя:

Сделайте полное обновление с помощью команды:
# yum update
Обновите пакеты ядра:
# yum update «kernel*»
Перезагрузите компьютер (сервер):
# reboot

Для Windows

В операционной системе Windows следует включить получение обновлений и дождаться патча от MicroSoft.

Мой опыт использования патчей безопасности от Spectre и Meltdown

Я установил патчи на всех доступных мне устройствах:

Ноутбук — CPU Intel Core2Duo, Windows 10 LTSB 2016 x64, Kaspersky Internet Security — Ok;
Рабочая станция — CPU Intel i7, Windows 10 LTSB 2016 x64, Kaspersky EndPoint Security — Ok;
Домашний компьютер — CPU Intel i3, Windows 7 PRO x32, Kaspersky Internet Security — Ok;
Сервер — HP Blade BL460C CPU Intel Quad Core E5450, CentOS 6 x64 — см. примечания;
Виртуальный сервер — VDS на KVM, CentOS 7 x64 — Ok;
Виртуальный сервер — VDS на VMware CentOS 7 x64 — Ok;

Прим. Сервер используется мной для хостинга. В процессе установки патча и последующей перезагрузки пришли в негодность несколько баз данных MySQL. Что было очень неприятно, но быстро решилось восстановлением из бекапов. От чего это произошло я так и не выяснил, скорее всего патч тут совершенно ни причем, но осадок остался :-).

Как бы там ни было — резервные копии держите на готове! А с моими изысканиями на эту тему можно ознакомиться здесь.

Благодарности

Статья является переводом рассылки от ResellerClub Team. При ее написании мною так же были использованы следующие источники: