home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Meltdown &Spectre Exploits:8 essentiële inzichten voor het beschermen van uw systemen

Bijna alle computers en apparaten wereldwijd zijn blootgesteld aan beveiligingsfouten waardoor ze kwetsbaar zijn voor aanvallen. Gelukkig is er tot nu toe geen informatielek gemeld, maar de ontdekte bugs kunnen worden beschouwd als een van de ergste beveiligingsfouten in de processors.

Hieronder hebben we bijna alle aspecten (zowel technisch als zakelijk) van deze bug besproken. Laten we dus uitzoeken wat er precies is gebeurd.

1. Wat zijn de gebreken?

Er zijn twee vergelijkbare beveiligingsbugs, genaamd Meltdown en Spectre.

Inzinking:  Een hardwarekwetsbaarheid die desktopcomputers, laptops en servers treft die op Intel-processors draaien. Het doorbreekt de fundamentele isolatie tussen het besturingssysteem en de gebruikersapplicaties, waardoor het programma toegang krijgt tot het geheugen en dus tot de geheimen van andere programma's.

Concreet maakt Meltdown gebruik van de bijwerkingen van een buitensporige uitvoering op de huidige chips om willekeurige kernelgeheugenlocaties te lezen. De aanval is niet afhankelijk van kwetsbaarheden in het besturingssysteem of de software.

Zodra het apparaat wordt getroffen, kan Meltdown het geheugen van andere processen of virtuele machines in de cloud lezen zonder enige privileges of gebruikersrechten, waardoor vrijwel elke gebruiker van een pc wordt getroffen.

Gedetailleerde informatie:Kernsmelting



Spectre: Het heeft een groter bereik. Het treft computers, tablets en smartphones die worden aangedreven door Intel, AMD en ARM. Het kan de isolatie tussen verschillende applicaties doorbreken en aanvallers in staat stellen foutloze programma's te misleiden om hun privégegevens te lekken.

Spectre maakt gebruik van de ‘Speculative Execution’ die in bijna alle moderne chips wordt gebruikt. Het misleidt de processor om speculatief instructiereeksen uit te voeren die niet hadden mogen worden uitgevoerd tijdens de correcte uitvoering van het programma.

Naast het schenden van procesisolatiegrenzen via native code, kunnen Spectre-aanvallen ook worden gebruikt in JavaScript-code die in een browser wordt uitgevoerd om toegang te krijgen tot geheugen in het proces van de aanvaller.

Gedetailleerde informatie: Spectre-aanvallen - misbruik maken van speculatieve uitvoering

Beiden gebruiken zijkanalen om de gegevens uit de toegankelijke geheugenlocatie te extraheren. Als je deze twee vergelijkt, is Spectre behoorlijk moeilijker te exploiteren dan Meltdown, maar ook moeilijker te beperken.

2. Welk type informatie loopt gevaar?

Deze bugs kunnen wachtwoorden in een browser of wachtwoordbeheerder, toetsaanslagen, expresberichten, e-mails, uw persoonlijke foto's en bedrijfskritische gegevens lekken.

3. Welke systemen worden getroffen en hoe groot is dit?

Zoals we hierboven hebben vermeld, is de Meltdown-fout alleen van toepassing op Intel-processors (niet op AMD of ARM). Onderzoekers hebben het getest op CPU's die al in 2011 op de markt kwamen. Theoretisch gezien is elke Intel-processor die na 1995 is uitgebracht een doelwit. Intel is van mening dat deze fouten geen potentieel hebben om informatie te wijzigen, te beschadigen of te wissen.

Spectre-fout is daarentegen veel erger:het kan schade toebrengen aan alle apparaten die op Intel-, AMD- en ARM-processors draaien. Bovendien zou het, afhankelijk van het ontwerp en de infrastructuur van cloudproviders, mogelijk kunnen zijn om gevoelige gegevens van andere klanten te stelen. Diensten als LXC, Docker en OpenVZ lopen gevaar.

Dus als u benieuwd bent of uw apparaat door deze bugs wordt getroffen, zouden we zeggen:ja.

4. Hoe computers beveiligen?

Alle getroffen bedrijven doen hun best om zo snel mogelijk patches uit te brengen. Gelukkig zijn er softwarepatches beschikbaar voor Meltdown. Google, Microsoft en Mozilla brengen patches uit voor hun browsers als eerste verdedigingslinie.

Hier de snelle stap die u kunt zetten-

  1. Update de nieuwste versie van Chrome (wordt uitgebracht op 23 januari) en Firefox 57.
  2. Zorg ervoor dat u KB4056892 voor Windows 10 heeft geïnstalleerd.
  3. Linux-gebruikers kunnen KAISER uitproberen.
  4. Controleer de OEM-website voor firmware-updates en ondersteuningsinformatie en solliciteer snel.

Google zegt dat het de problemen voor hun Android-apparaten (Nexus en Pixel) heeft opgelost met de nieuwste beveiligingsupdates.

Onderzoekers werken ook aan een permanente oplossing tegen toekomstige exploitatie van Spectre. Omdat het niet eenvoudig te repareren is, zal het ons nog een hele tijd achtervolgen.

5. Zal de oplossing uw apparaat vertragen?

Helaas is het antwoord ja. Een paar onderzoekers verklaarden dat elke oplossing uw apparaat tot 30 procent zou kunnen vertragen. Intel is echter van mening dat dit slechts overschatte claims zijn. Volgens Intel is de impact op de prestaties afhankelijk van de werkdruk; voor gemiddelde computergebruikers zou de impact niet significant moeten zijn.

Dat betekent dat als u uw computer gebruikt om e-mails te controleren en op internet te surfen, u geen enkel verschil zult ervaren.

6. Hoe reageerden de technische industrie en de markt?

Dit zijn waarschijnlijk een van de ergste processorbugs die ooit zijn ontdekt, en dit is een groot probleem voor alle technische industrieën. Ze zullen het besturingssysteem opnieuw moeten ontwerpen en de processorarchitectuur moeten aanpassen.

Google verklaarde dat het de getroffen bedrijven in juni 2017 op de hoogte had gesteld van de Spectre-bug, en later in juli over de Meltdown-bug.

In november 2017 verkocht Intel-CEO Brain Krzanich voor 24 miljoen dollar aan aandelen. BusinessInsider meldde dat hij op de hoogte was van de chipkwetsbaarheid toen hij aandelen verkocht.

Deze bugs treffen de aandelen van Intel hard, terwijl het aandeel van concurrent AMD enorm stijgt.

Aangezien Spectre en Meltdown zeer fundamentele tekortkomingen aan het licht brengen in de manier waarop computerprocessors zijn gestructureerd, zal er een serieuze impact zijn en zal er opnieuw worden nagedacht over de manier waarop dergelijke technologie in de toekomst wordt ontwikkeld.

7. Wie heeft deze bugs gerapporteerd?

De meltdown-fout werd ontdekt en gerapporteerd door drie teams:onderzoekers van Cyberus Technology, Graz University of Technology en Google Project Zero.

Dezelfde onderzoekers van Google Project Zero en de Technische Universiteit van Graz ontdekten en rapporteerden Spectre.

8. Officiële referenties

Lees:15 slechtste computervirussen aller tijden | Uitgelegd

De CVE (Common Vulnerabilities and Exposures) is de standaard voor kwetsbaarheden in de informatiebeveiliging en hun namen en ID's worden vermeld in het MITRE-systeem en in de Amerikaanse National Vulnerability Database.

De officiële verwijzing naar Meltdown is CVE-2017-5754, terwijl dit voor Spectre CVE-2017-5715 en CVE-2017-5753 is.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. CoroDrill® 880 gemakkelijk boren in non-ferro materialen
    2. Via's op BGA Pads
    3. LM350 – Een complete gids over spanningsregeling
    4. Automatische UPS-bedrading voor gedeeltelijke belasting - de rest is afhankelijk van de hoofdstroom
    5. Rk3399:Alles wat u erover moet weten
    6. Wat is de waarde van de gegevens die door uw technici worden verzameld?
    7. Serie-parallelle weerstandscircuits bouwen
    8. Typische doorlooptijden van onderdelen voor precisiebewerking
    9. De moeilijkheid om op papier gebaseerde werkinstructies bij te werken
    10. 4 toepassingen die u moet produceren met additive manufacturing
    11. Ontwikkelen van een e-commercestrategie voor vakantiehysterie