Financial Times
пятница, 5 января 2018

Meltdown и Spectre: что известно на текущий момент?

Уязвимость процессоров, вероятно, повлияет на все: от серверов, ноутбуков и настольных компьютеров до смартфонов.

Meltdown и Spectre: что известно на текущий момент?

Специалисты по кибербезопасности обнаружили недостатки в архитектуре процессоров, которые позволяют получить доступ к конфиденциальной информации, такой как пароли, - на компьютерах, серверах и смартфонах.

Компьютерные компании сейчас спешат выпустить патчи, чтобы предотвратить использование уязвимости хакерами - но даже после применения обновлений, многие компьютеры останутся уязвимыми.

Что произошло?

Исследователи Google обнаружили уязвимости в полупроводниках в июне и сообщили об этом чипмейкерам Intel, AMD и Arm Holdings.

Речь идет о фундаментальных недостатках архитектуры процессоров. Как сообщили Amazon Web Services в публичном заявлении, уязвимости существуют уже более 20 лет.

Недостаток связан с технологическим решением, которое индустрия использовала десять лет назад, чтобы ускорить работу процессора, предоставив ему упреждающий доступ к данным. Устранение ошибки приведет к замедлению процессов в компьютере.

Чипмейкеры Intel и AMD, а также Arm Holdings, чьи чипы используются в большинстве смартфонов, а также на серверах и других вычислительных устройствах, заявили, что уязвимость затрагивает их продукты.

Что представляют собой Meltdown и Spectre?

Meltdown и Spectre имеют серьезные последствия для пользователей, позволяя хакерам получать доступ к паролям или ключам шифрования, хранящимся в памяти устройств.

Meltdown позволяет программе, запущенной на компьютере, проникнуть в центральную память операционной системы, получив доступ к закрытым данным. Эту проблему можно устранить с помощью обновления программного обеспечения.

Spectre позволяет программе получать доступ к данным без контроля со стороны операционной системы. Эту уязвимость сложнее исправить, и, вероятно, на первом этапе патчи будут пытаться определить, использует ли хакер этот недостаток.

В чем опасность уязвимостей Meltdown и Spectre для пользователей?

Уязвимости Meltdown и Spectre серьезны. Задача потенциально уязвимых пользователей, как и в случае массовой атаки WannaCry в прошлом году, - своевременно обновлять свои системы.

Компания Apple занимает довольно агрессивную позицию, требуя, чтобы пользователи iPhone регулярно обновляли свои системы, но то же самое нельзя сказать о ноутбуках или более старых моделях смартфонов. Некоторые подключаемые устройства, такие как Internet of Things, намного сложнее обновить.

Кто-нибудь уже воспользовался уязвимостями?

Несмотря на то, что эти недостатки существовали годами, и о них стало известно всего несколько месяцев назад, и пока нет признаков того, что они были использованы. Но хакеры, скорее всего, попытаются воспользоваться ситуацией до обновления операционных систем.

Наибольшему риску подвержены пользователи сетевых компьютеров, которые используют виртуальную среду, развернутую на одном и том же оборудовании.

Согласно британской компании по кибербезопасности Sophos, эти уязвимости потенциально могут позволить ненадежному пользователю отслеживать других пользователей той же системы. Однако, вероятно, это будет случайная, а не целенаправленная атака.

Как обновления повлияют на ваше устройство?

Непосредственная опасность заключается в том, что обновления для исправления уязвимости, замедляют работу ноутбука, сервера или смартфона.

Уже есть отчеты в Интернете, которые свидетельствуют о снижении производительности более чем на 20% после применения патчей. Intel заявила, что уровень замедления может достигать 30 процентов для наиболее активных программ.

Пол Даклин, эксперт по безопасности в Sophos, говорит, что пользователям необходимо смириться с более низкой производительностью, чтобы избавиться от угрозы.

С наибольшими проблемами столкнутся компании, использующие облачные сервисы. ИТ-отделам, возможно, придется применять десятки патчей в течение ближайших недель или перепроектировать свои системы. Также вполне можно ожидать стремительное увеличение счетов от облачных провайдеров.

Что происходит сейчас?

Несколько горячих патчей уже используется, поскольку компании поспешили смягчить проблему до того, как она стала общеизвестной.

В ближайшие недели должен появиться большой объем дополнительных патчей, выпущенных технологическими компаниями. Пользователям рекомендуется своевременно обновить свои системы.

Другие новости по этой теме:
Кто выиграет битву за P2P платежи?
Конкуренция за доминирование в выполнении личных платежей разгорается, но у трех претендентов самые высокие шансы на победу.
Кто выиграет битву за P2P платежи?
Шведская компания расширяет свое присутствие в онлайн-платежах.
Visa покупает долю в быстрорастущей финтех-группе Klarna
Клиенты все чаще полагаются на гибкие онлайн-сервисы компаний, управляющих активами.
Менеджеры активов рискуют уступить долю рынка компаниям, предлагающим современные финансовые онлайн-сервисы.
Медленное внедрение технологий вредит управляющим активами компаниям
Репортер BBC Click Дэн Симмонс утверждает, что его неидентичный брат-близнец смог обмануть систему и получить доступ к банковскому аккаунту.
Система распознавания голоса HSBC была взломана клиентами-близнецами
От пластика к пикселям: оцифровка кредитных карт
В условиях неопределенности для банков, когда простое поддержание доли на рынке является проблемой, эмитенты карт должны развивать свои цифровые возможности, чтобы не отставать.
От пластика к пикселям: оцифровка кредитных карт
Аналитика деятельности банка: время осознать её ценность
Как аналитические подразделения могут в полной мере раскрыть потенциал банка?
Аналитика деятельности банка: время осознать её ценность
Двухуровневый город: одни избавляются от наличности, другие остаются позади
В городах от Швеции до Индии все расчёты становятся полностью безналичными. Как влияет засилье электронных платежей на мелких торговцев и беднейшие слои населения?
Отказ от наличных расчётов: существует ли реальная опасность засилья электронных платежей?