Пробив в сигурността

Последен ъпдейт на 28 юни 2018 в 13:28 ч.

Последно обновена на 12.01.2018, 11:50

Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.

Историята, накратко

Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.

На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.

Двата основни вектора за атака получиха имената Spectre и Meltdown.

Положението към момента

Засега са ясни следните неща:

• Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
• Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
• Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване

До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.

Засегнати производители

Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.

ПРОИЗВОДИТЕЛ	ОФИЦИАЛНА ПОЗИЦИЯ
A10 Networks	SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754
Amazon (AWS)	AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD	An Update on AMD Processor Security
Android (Google)	Android Security Bulletin—January 2018
Apple	HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs HT208403: About the security content of Safari 11.0.2
Arista Networks	Security Advisory 0031: Arista Products vulnerability report
ARM	Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism ARM Trusted Firmware Security Advisory TFV 6
Aruba Networks	ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“)
ASUS	ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Avaya	ASA-2018-001: linux-firmware security update (RHSA-2018-0007) ASA-2018-002: linux-firmware security update (RHSA-2018-0013) ASA-2018-004: linux-firmware security update (RHSA-2018-0012) ASA-2018-005: linux-firmware security update (RHSA-2018-0008) ASA-2018-006: linux-firmware security update (RHSA-2018-0014) ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002)
Azure (Microsoft)	Securing Azure customers from CPU vulnerability Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
CentOS	CESA-2018:0007 Important CentOS 7 kernel Security Update CESA-2018:0008 Important CentOS 6 kernel Security Update CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update CESA-2018:0014 Important CentOS 7 linux-firmware Security Update
Chromium	Actions Required to Mitigate Speculative Side-Channel Attack Techniques
Cisco	cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities
Citrix	CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
CoreOS	Container Linux patched to address Meltdown vulnerability
Cumulus Networks	Meltdown and Spectre: Modern CPU Vulnerabilities
Debian	Debian Security Advisory DSA-4078-1 linux – security update
Dell	SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
Digital Ocean	A Message About Intel Security Findings /a>
Dragonfly BSD	Intel Meltdown bug mitigation in master More Meltdown fixes
Duo Security	ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities?
Extreme Networks	Meltdown and Spectre (VN 2017-001 & VN 2017-002) VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre) VN 2018-002 (CVE-2017-5754 – Meltdown)
F5 Networks	K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
Fedora	Protect your Fedora system against Meltdown
Fortinet	Fortinet Advisory on New Spectre and Meltdown Vulnerabilities
FreeBSD	FreeBSD News Flash
Google	Google Project Zero: Reading Privileged Memory with a Side-Channel Google’s Mitigations Against CPU Speculative Execution Attack Methods
HPE	Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure.
Huawei	Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBM	Potential CPU Security Issue Potential Impact on Processors in the POWER Family
Intel	INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method
Juniper	JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
KEMP Technologies	Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753)
Lenovo	Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
Linode	CPU Vulnerabilities: Meltdown & Spectre
Linux Mint	Security notice: Meltdown and Spectre
Liquid Web	Here Is What You Need to Know About Meltdown and Spectre
LLVM	D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities D41760: Introduce __builtin_load_no_speculate D41761: Introduce llvm.nospeculateload intrinsic
Microsoft	Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities Windows Server guidance to protect against speculative execution side-channel vulnerabilities SQL Server Guidance to protect against speculative execution side-channel vulnerabilities Surface Guidance to protect against speculative execution side-channel vulnerabilities Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mitel	Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities
Mozilla	Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“)
NetApp	NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
Netgear	PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems
nVidia	Security Notice 4609: Speculative Side Channels Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels
Okta	Security Bulletin: Meltdown and Spectre vulnerabilities
Open Telekom	Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre)
OpenBSD	Meltdown
OpenSUSE	[Security-Announce] Meltdown and Spectre Attacks
OVH	Information about Meltdown and Spectre vulnerability fixes Find your patch for Meltdown and Spectre
Palo Alto Networks	Information about Meltdown and Spectre findings (PAN-SA-2018-0001
Pulse Secure	KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products
QEMU	QEMU and the Spectre and Meltdown attacks
QNAP	NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors
Qubes OS	Announcement regarding XSA-254 (Meltdown and Spectre attacks)
Raspberry Pi	Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red Hat	Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 RHSA-2018:0008 – Security Advisory RHSA-2018:0012 – Security Advisory RHSA-2018:0013 – Security Advisory RHSA-2018:0014 – Security Advisory
RISC-V Foundation	Building a More Secure World with the RISC-V ISA
Riverbed Technology	Jan 05, 2018: Update on Meltdown and Spectre
SonicWall	Meltdown and Spectre Vulnerabilities: A SonicWall Alert
Sophos	128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)
SuperMicro	Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
SUSE	SUSE Linux security updates CVE-2017-5715 SUSE Linux security updates CVE-2017-5753 SUSE Linux security updates CVE-2017-5754
Synology	Synology-SA-18:01 Meltdown and Spectre Attacks
Ubuntu	Ubuntu Updates for the Meltdown / Spectre Vulnerabilities
VMware	NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Vultr	Intel CPU Vulnerability Alert
Xen	Advisory XSA-254: Information leak via side effects of speculative execution

Как да се защитите?

Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.

Информация за системни администрартори

Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:

1. Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
2. Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
3. Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
4. Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows 
5. Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:29 ч.

Началото на 2018-та година ни донесе един от най-мащабните проблеми за сигурността на личните ни данни до момента. Както вероятно вече знаете, става въпрос за феномените Meltdown и Spectre. Заплахата започна като „бъг в Intel процесорите“, произведени през последните 10 години. В последствие се разрасна в заплаха за всички производители на процесори и доведе до пренаписване на определени системни компоненти от всяка от най-популярните операционни системи за мобилни устройства, компютри и сървъри.

Но проблемът е далеч от решен.

Факт е, че грешки се допускат и уязвимости се откриват постоянно – както в софтуера, така и в хардуера. Принципно и двете са поправими с патчване на въпросния софтуер или фърмуеъра на засегнатата хардуерна част. Различното тук е, че тези две засягат самата хардуерна структура на процесора – нещо поправимо единствено чрез заменянето му с незасегнат такъв.

Докъде стигна решението на проблема

Това, което светът получи като решение е  допълнителен слой защита, който не прави атакуването на уязвимостите напълно невъзможно, но сериозно го затруднява. Всяка популярна операционна система и кореспондиращото ѝ устройство са или вече обновени, или им предстои да бъдат възможно най-скоро. За жалост, има и уловка – допълнителната сигурност ви носи и леко забавяне на работата на машината. Много от нас с радост биха платили тази цена за сигурността си, но не всички се сещат, че в определени случаи няма какво да им се даде в замяна.

Докъде не стигна

Точно такъв е случаят на част от засегнатите процесори – тези с ARM архитектура. Те са навсякъде – от мобилния ви телефон, през смарт-телевизора, до „умния“ чайник на съседката. По-голямата част от свързаните устройства, принадлежащи към т.нар. „Internet of Things” (Интернет на нещата), притежават ARM чипове, които остават уязвими. Въпреки че от ARM съобщават, че работят по подсигуряването на близо милиард нови чипове, то самия мащаб на приложението на хардуера им е толкова голям, че дори и такова мащабно подновяване може да се окаже недостатъчно.

По-специфичното в ситуацията с този производител е, че заради големия наплив от свързани устройства, голяма част от тях биват закупени, въведени в експлоатация и (доста често) забравени от клиента. Също толкова голяма част, обаче, биват забравени и от производителя, което значи, че уязвимостите при тях може и да не бъдат „закърпени“ от нито едната от двете страни.

И какво като телевизорът ми ме наблюдава?

Тук вече вероятно се питате – „Колко пък чувствителна информация може да издаде телевизорът ми за мен?“. Отговорът е прост – повече от достатъчно. Не забравяйте, че като започнем от паролата на безжичната ви връзка и минем през всяко едно малко парченце информация, което споделяте с устройствата си, възможностите за експлоатация не са никак малко. Това, че в голяма част от случаите, самата комуникация между устройствата не е криптирана, също допринася за проблема.

В оставащите няколко години от живота на всяко засегнато и забравено устройство, хората около вас (а защо не и вие) ще са обградени от уязвими чипове. Поправянето им на хардуерно ниво е непосилно, а на софтуерно – нереално. Единственото, което можете да направите е да се информирате добре какво купувате. Можете да следите и как протича реакцията на производителите към Spectre и Meltdown. Съобразявайте се и с това колко и какво споделяте с „интелигентните“ устройства около вас.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:30 ч.

Биткойните чупят всякакви рекорди – след като поскъпнаха с над 20% само в рамките на миналата седмица, цената им премина границата от 14,800 долара само за 24 часа. Какво означава това? Причина за хакерите да проявят интерес към валутата, разбира се.

Резултатът не закъсня – NiceHash, най-голямата платформа за копаене на криптовалутата, бе хакната, което според различни източници е довело до кражбата на над 4,700 биткойна (около 57 млн. USD по време на разкриването на пробива – и около 70 млн. USD само 24 часа по-късно).

NiceHash е създадена през 2014 г. и позволява на потребители, които имат свободна изчислителна мощ на компютрите, да я използват за създаване на нови биткойни. На 6 декември от няколко потребителя на платформата съобщиха, че портфейлите им с биткойни са били опразнени, а в последствие и от NiceHash потвърдиха новината след кратко спиране на платформата под претекст, че се осъществява техническа поддръжка.

Към момента сайтът все още е офлайн, а в официалното съобщение се признава за осъществения пробив, както и, че хакерите са откраднали целия портфейл с биткойни на компанията.

След разкриването на инцидента от NiceHash препоръчват на потребителите си да сменят паролите си – както за тяхната, така и за други услуги, ако използват идентични данни за логин.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.