Уязвимости Meltdown и Spectre: что делать обычному пользователю?

Вы уже наверняка слышали о двух крупных уязвимостях, которые исследователи Google нашли в современных процессорах — Meltdown и Spectre. Если не слышали — самое время разобраться в них, с чем и поможет наша статья. В сети достаточно дезинформации на этот счет, так что мы решили собрать в одном тексте все — и точное описание этих уязвимостей, и способы борьбы с ними. Ну и прогнозы на (не очень радужное) будущее, конечно.

Если вкратце, все это касается каждого человека, который пользуется хотя бы одним «умным» девайсом — компьютером, смартфоном, телевизором и даже лампочкой с Wi-Fi. Почему? Читайте дальше — ответим на этот и многие другие вопросы. Без сложных технических подробностей, только по делу.

Что такое Meltdown?

Уязвимости Meltdown подвержены практически все процессоры Intel, выпущенные за последние лет двадцать (исключением являются, к примеру, чипы Atom, выпущенные до 2013 года). Все они имеют одну фундаментальную особенность, которая, как выяснилось благодаря инженерам Google, может быть использована для похищения паролей, криптографических ключей и вообще любой важной информации.

Если говорить, используя максимально простые термины, то из-за Meltdown недоброжелатель, запустивший на вашем устройстве свой код, может получить доступ к тем сегментам памяти, к которым у него доступа быть не должно.

Не думайте, что достаточно просто не скачивать подозрительные программы — этот вредный код может выполняться даже в браузере через Javascript, без которого нормально не работает множество сайтов.

«Заплатку» для Meltdown, впрочем, уже разработали все основные игроки на рынке. Дело в том, что устранить уязвимость можно обычным (впрочем, не таким уж и обычным, но это детали) обновлением операционной системы, которое реорганизует работу защищенного ядра и памяти. Плюс в том, что решение проблемы довольно очевидно и не слишком сложно. К сожалению, применение патча приводит к снижению производительности.

В зависимости от выполняемых задач, скорость работы процессоров Intel после установки обновления снижается либо совсем немного (на пару процентов), либо чуть ли не вдвое. В играх, к примеру, производительность останется практически такой же, а вот серверы с процессорами Intel внутри (а это почти все современные серверы) будут работать гораздо медленнее — снижение составит 30% и больше.

Кстати, любопытный факт: в середине 2017 CEO Intel Брайан Кржанич продал все акции своей компании, которые мог продать — через пару месяцев после того, как узнал о существовании Meltdown. У него остался необходимый оговоренный в контракте минимум — 250 тысяч ценных бумаг.

CEO Intel Брайан Кржанич как бы говорит нам: «Все будет хорошо». Верим?

Что такое Spectre?

Уязвимость Spectre куда более серьезна — ей подвержены вообще все современные процессоры. Да, даже те, которые устанавливаются в смартфонах, роутерах и миллиардах других «умных» устройств. За редкими исключениями — например, как утверждает Apple, чип в Apple Watch от этой уязвимости не страдает.

Почти все современные процессоры для увеличения быстродействия используют функцию спекулятивного исполнения команд — они пытаются угадать расчеты, которые пока еще не поступили на выполнение. Именно из-за нее Spectre настолько распространена.

Реализация атаки с помощью Spectre куда более сложна и зависит от конкретного девайса, его процессора и другого оборудования. В общем и целом, Spectre — это не одна уязвимость, а целый новый класс уязвимостей, которые могут быть использованы хакерами.

Таким образом, от Spectre никуда не деться — даже если вы смените компьютер с процессором Intel на компьютер с процессором AMD, ваша информация все равно будет находиться в опасности.

И, конечно же, самое главное: от Spectre нет лекарства. В будущем производителям процессоров придется кардинальным образом изменить свой подход к созданию архитектуры новых чипов, и только последние будут полностью защищены от этой уязвимости. Ожидается, что эти изменения в архитектуре приведут к серьезным последствиям для скорости работы топовых моделей, а общий рост производительности новых процессоров сильно замедлится. Впрочем, на этот счет что-то загадывать пока рано — вполне возможно, что светлые умы из Intel, AMD, ARM и других компаний еще что-нибудь придумают.

Как от этого всего защититься обычному человеку?

Короткий ответ на этот вопрос вам может не понравиться, но делать простым пользователям больше нечего — нужно лишь надеяться на то, что Spectre обойдет ваши личные и рабочие данные стороной.

Паниковать не стоит, но нужно четко понимать — проблему Spectre только начали изучать. Возможно, уже завтра будет обнаружена еще одна, более конкретно оформленная огромная дыра в системах безопасности большинства электронных девайсов в мире. С другой стороны, есть и шанс того, что ничего подобного не случится.

С Meltdown разобраться куда проще — нужно лишь держать операционную систему обновленной. Да, это означает, что в идеале вам нужно перейти на Windows 10 (если вы используете Windows) или последнюю версию macOS, и регулярно (хотя бы пару раз в неделю) проверять наличие патчей.

Некоторые меры по предохранению от Spectre, отметим, все же могут быть предприняты. К примеру, большую степень защиты предлагает последняя версия браузера Chrome. Таким образом, обновленными держать нужно вообще все ваши устройства — компьютеры, ноутбуки, телевизоры, смартфоны и прочее.

Те девайсы, для которых производитель не выпустит обновление (например, старый Android-смартфон) лучше заменить на новые. Тут нужно ответить на простой вопрос: насколько информация, которая на них содержится, вам дорога? Что будет, если в руки к злоумышленнику попадут пароль от вашего Google-аккаунта и ключи для двухфакторной аутентификации?

Никто не знает, использовались ли Meltdown и Spectre до того, как были обнаружены инженерами Google. Нельзя отрицать главный факт: потенциальной опасности подвержены все мы. Угроза может крыться где угодно: например в приложении, которое вы скачиваете из Google Play, или в JS-коде сайта, на который вы заглядываете каждый день.

Пока что остается лишь держать в актуальном состоянии программное обеспечение своих устройств и ждать — Intel, AMD и другие производители уже наверняка разрабатывают новые архитектуры, которые Spectre не боятся. Займет это, правда, много времени — в этом (да и в следующем) году такие процессоры в продаже вряд ли появятся.