Udgivet i

Meltdown – Spectre – teknisk info

For dem som er teknisk interesserede er her et dokument udgivet af de researchere der har fundet disse sårbarheder.

Spectre Attacks: Exploiting Speculative Execution

Paul Kocher – Independent
Daniel Genkin – University of Pennsylvania and University of Maryland
Daniel Gruss – Graz University of Technology
Werner Haas – Cyberus Technology
Mike Hamburg – Rambus, Cryptography Research Division
Moritz Lipp – Graz University of Technology
Stefan Mangard – Graz University of Technology
Thomas Prescher – Cyberus Technology
Michael Schwarz – Graz University of Technology
Yuval Yarom – University of Adelaide and Data61

https://linux-aarhus.dk/filer/spectre.pdf
https://linux-aarhus.dk/filer/meltdown.pdf

I pdf’en er omtalt at deres arbejde overlapper delvis med Googles projekt Zero. Dette kan der læses om i dette dokument

https://googleprojectzero.blogspot.dk/…/reading…

Opsummering:
Fra ovenstående dokumenter har jeg fået det indtryk at den førstnævnte forsker gruppe kun har testet under Windows.

Da deres forskning har været rettet mod måden hardwaren (cpu) behandler instruktioner på er det en antagelse at man kan lave det samme under andre operativsystemer. Denne antagelse er givetvis korrekt så Linux brugere skal ikke tænke at de ikke er berørt af det.

Det er virkelig interessant læsning – jeg har lært en hel del af deres glimrende gennemgang og proof-of-concept (PoC) code.

Udgivet i

Meltdown – Spectre – hvad gør du?

Ingen panik.

Opdater din software!

Spectre er den største trussel fordi den er tilstede i alle enheder mens Meltdown tilsyneladende kun går ud over Intel chips.

Da udskiftningen af chips nok ikke er noget der er lige om hjørnet vil software opdateringer kunne lappe skaden midlertidigt.

Microsoft har allerede udsendt sikkerhedsopdateringer til deres Windows brugere og er i gang med at sikre deres cloud tjenester. Google og Amazon er også igang med at sikre deres cloudtjenester.

Apple var ude i tirsdags med opdateringer til macOS, iOS, tvOS og watchOS og de er i gang med en opdatering af Safari browser der skal prøve at forebygge mod Spectre.

Forbered dig langsommere enheder.

En uheldig sideeffekt at disse opdateringer er at de muligvis vil gøre din enhed eller din computer langsomere. På diverse Linux fora er der nævnt op til 30% forringelse i ydelsen som en konsekvens af kampen mod disse to huller.

Vent, se og håb

Den gode nyhed: Sårbarhederne åbner nye muligheder for crackere men det er ikke helt så let at gennemføre. Besværet ved at udnytte sårbarheden vil formentlig afholde malware-folkene fra rulle det ud i stor skala men da der ikke er nogen permanent løsning vil crackere have god tid til at finde på en måde at rulle det ud i stor skala.

Eksperter udtaler at disse sårbarheder er en del af prisen for den måde cpu’er er designet på så der er ikke nogen virkelige løsninger i udsigt.

Hvis nogen finder en genial måde at rulle et angreb ud i stor skala, en metode der ikke er besværlig … så har vi virkelig et stort problem.

Konklusion

  • Hold dig i ro.
  • Sørg for at din software er opdateret.
  • Undgå at besøge websider du ikke har absolut tillid til.
  • Åbn aldrig emails fra ukendte kilder.
  • Dobbelt tjek den sms du får at den virkelig er fra afsenderen – Ring om nødvendigt til afsenderen.
  • Klik aldrig på link du modtager i en sms eller en email.
  • Er du i tvivl så spørg en ven der er kendt for at styr på teknikken.
Udgivet i

Meltdown og Spectre

2017 nytår er overstået og 3. og 4. januar frigiver Google oplysninger om 2 sikkerhedshuller i det processorer der sidder i det meste af verdens computer udstyr.

Få timer senere har den ledende udvikler på Manjaro Linux patchet alle kerner så Manjaro brugere behøver ikke frygte denne sårbar eller at den bliver udnyttet på deres udstyr.

Se det er rullende opdateringer.