Как Meltdown и Spectre влияют на ИТ-сообщество

Если вы вообще следите за новостями, вы слышали имена Meltdown и Spectre. Термины относятся к серьезным недостаткам компьютерного процессора. Освещение Meltdown и Spectre не ограничивается новостным сайтом и блогами в области ИТ. Основные средства массовой информации, затаив дыхание, освещали эту историю, подняв тревогу до DEFCON 1 и повергнув население в панику из-за этих двух уязвимостей. И хотя угрозы безопасности являются одними из самых серьезных в истории информационной безопасности, такая реакция бесполезна. Для широкой публики может быть полезно узнать, как ИТ-сообщество реагирует на эту новость и, что более важно, как мы реагируем на нее.

Это то, что я намерен сделать с этим конкретным обновлением новостей.

На всякий случай, если вам нужно освежить в памяти, обе эти уязвимости были обнаружены исследователями из Google Project Zero, Cyberus Technology и многочисленных академических институтов, таких как Технологический университет Граца и Пенсильванский университет. Что отличает их от любой другой уязвимости, так это то, что практически каждый персональный компьютер и мобильное устройство так или иначе подвержены Meltdown и Spectre. Meltdown влияет на чипы Intel, выпущенные еще в 1995 году, а Spectre представляет угрозу для всех современных процессоров независимо от производителя.

Meltdown описывается в отчете об угрозах следующим образом:

Meltdown разрушает самую фундаментальную изоляцию между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получить доступ к памяти и, таким образом, к секретам других программ и операционной системы.

Что касается Spectre, в резюме говорится следующее:

Spectre разрушает изоляцию между различными приложениями. Это позволяет злоумышленнику обмануть безошибочные программы, которые следуют передовым методам, для раскрытия их секретов.

Несмотря на то, что угроза велика, техническое сообщество работает сверхурочно, чтобы разработать исправления для этих двух критических эксплойтов. Было бы хорошо, если бы средства массовой информации сообщали об этих фактах так же энергично, как они распространяют новости об опасностях, связанных с Meltdown и Spectre.

Пока что вот различные ответы крупных технологических компаний на уязвимости:

• Microsoft заявила, что они «выпустили несколько обновлений, чтобы устранить эти уязвимости. Мы также приняли меры для защиты наших облачных сервисов».
• Intel пообещала, что они работают над обновлениями прошивки, которые будут выпущены различными OEM-производителями.
• Linux выпустила исправления безопасности, специально предназначенные как для Meltdown, так и для Spectre.
• Google заявил, что они исправили устройства Android и что Chrome 64, который должен быть выпущен «приблизительно 23 января», будет содержать меры по защите от эксплуатации.
• Apple заявила, что «затронуты все системы Mac и устройства iOS», но «выпустила меры по смягчению последствий в iOS 11.2, macOS 10.13.2 и tvOS 11.2, чтобы помочь защититься от Meltdown».
• Рекомендация US-CERT немного более экстремальна, поскольку в них говорится, что «полное устранение уязвимости требует замены уязвимого оборудования ЦП».

Учитывая все это, что это означает для ИТ-сообщества? Короче много. От подразделений безопасности потребуется проявлять бдительность, чтобы отслеживать любые подозрительные действия, которые отдаленно могут быть связаны с их процессорами. Это также будет означать огромные головные боли для системных администраторов, отвечающих за внедрение исправлений. Как было показано, патчи для Meltdown и Spectre выпускаются с разной периодичностью, что сделает процесс обновления длительным (особенно с учетом большого количества затрагиваемых устройств).

Кроме того, если будет реализовано решение US-CERT, физическая замена каждой части уязвимого оборудования ЦП потребует больших затрат времени и денег. Учитывая, что у некоторых организаций как в государственном, так и в частном секторах есть проблемы с тем, чтобы просто не отставать от исправлений или применять надежные методы кибербезопасности, я не вижу, чтобы это предложение было реализовано в краткосрочной перспективе.

Хотя в этой текущей ситуации требуется бдительность, сохранять спокойствие и слушать специалистов по информационной безопасности — это действительно ваш единственный вариант. Мы принимаем на себя основную тяжесть этой угрозы, поскольку наша работа заключается в обеспечении вашей безопасности, поэтому, пожалуйста, прислушивайтесь к нашим советам, когда мы их даем.