Hack de fusão e bug espectro: como isso afeta os usuários do Android e Chrome

Você deve ter ouvido falar que o céu caiu e o apocalipse de segurança aconteceu por causa de dois novos ataques chamados Meltdown e Spectre. Se você trabalha em TI ou em qualquer outra área de infraestrutura de computadores em larga escala, provavelmente também sente que tem e já está ansioso pelos seus dias de férias de 2018.

Os meios de comunicação ouviram rumores sobre essa mãe-de-tudo-de-tudo no final de 2017, e os relatórios recentes eram muito especulativos e finalmente forçaram empresas como Microsoft, Amazon e Google (cuja equipe do Project Zero descobriu tudo) a responder com detalhes. Esses detalhes fizeram uma leitura interessante se você estiver interessado nesse tipo de coisa.

Mas para todos os outros, não importa qual telefone ou computador você use, muito do que você está lendo ou ouvindo pode parecer um idioma diferente. É porque é, e a menos que você seja fluente em cyber-geek-security-techno-speak, talvez seja necessário executá-lo através de algum tipo de tradutor.

Boas notícias! Você encontrou esse tradutor, e aqui está o que você precisa saber sobre Meltdown e Spectre e o que precisa fazer sobre isso.

O que eles são

Meltdown e Spectre são duas coisas diferentes, mas desde que foram reveladas ao mesmo tempo e lidam com a arquitetura de microprocessadores no nível do hardware, elas estão sendo discutidas juntas. O telefone que você está usando no momento é quase certamente afetado pela exploração do Spectre, mas ninguém encontrou uma maneira de usá-lo - ainda.

O processador dentro do seu telefone determina o quão vulnerável é a esses tipos de explorações, mas é mais seguro supor que todos eles afetam você se você não tiver certeza. E como eles não estão explorando um bug e estão usando um processo que deveria acontecer, não há solução fácil sem uma atualização de software.

Olhe para o telefone em suas mãos; é vulnerável a alguns desses ataques.

Os computadores (incluindo telefones e outros computadores minúsculos também) dependem do que é chamado de isolamento de memória para segurança entre aplicativos. Não é a memória usada para armazenar dados a longo prazo, mas a memória usada pelo hardware e software enquanto tudo está funcionando em tempo real. Os processos armazenam dados separadamente de outros processos, portanto, nenhum outro processo sabe onde ou quando é gravado ou lido.

Todos os aplicativos e serviços em execução no telefone desejam que o processador faça algum trabalho e estão constantemente fornecendo uma lista das coisas que precisam ser computadas. O processador não executa essas tarefas na ordem em que são recebidas - o que significa que algumas partes da CPU estão ociosas e aguardam a conclusão de outras partes; portanto, a etapa dois pode ser executada após a conclusão da etapa um. Em vez disso, o processador pode avançar para a etapa três ou quarta e executá-las antes do tempo. Isso é chamado de execução fora de ordem e todas as CPUs modernas funcionam dessa maneira.

Meltdown e Spectre não estão explorando um bug - eles atacam a maneira como um processador calcula dados.

Como uma CPU é mais rápida do que qualquer software, também é preciso adivinhar. A execução especulativa ocorre quando a CPU realiza um cálculo que ainda não foi solicitado a fazer com base nos cálculos anteriores que foi solicitado a executar. Parte do software de otimização para melhor desempenho da CPU está seguindo algumas regras e instruções. Isso significa que na maioria das vezes há um fluxo de trabalho normal que será seguido e uma CPU pode pular para ter os dados prontos quando o software solicitar. E por serem tão rápidos, se os dados não eram necessários, eles são descartados. Isso ainda é mais rápido do que aguardar a solicitação para executar um cálculo.

Essa execução especulativa é o que permite que o Meltdown e o Spectre acessem dados que de outra forma não seriam capazes de acessar, embora o façam de maneiras diferentes.

Fusão

Os processadores Intel, os novos processadores da série A da Apple e outros SoCs ARM que usam o novo núcleo A75 (por enquanto é apenas o Qualcomm Snapdragon 845) estão vulneráveis ​​à exploração do Meltdown.

O colapso aproveita o que é chamado de "falha de escalonamento de privilégios" que dá a um aplicativo acesso à memória do kernel. Isso significa que qualquer código que possa obter acesso a essa área da memória - onde ocorre a comunicação entre o kernel e a CPU - tem essencialmente acesso a tudo o que é necessário para executar qualquer código no sistema. Quando você pode executar qualquer código, você tem acesso a todos os dados.

Espectro

O Spectre afeta quase todos os processadores modernos, incluindo o do seu telefone.

O Spectre não precisa encontrar uma maneira de executar o código no seu computador, pois pode "induzir" o processador a executar instruções para ele e conceder acesso aos dados de outros aplicativos. Isso significa que uma exploração pode ver o que outros aplicativos estão fazendo e ler os dados que eles armazenaram. A maneira como uma CPU processa instruções fora de ordem nas filiais é onde Spectre ataca.

Tanto o Meltdown quanto o Spectre podem expor dados que devem estar em área restrita. Eles fazem isso no nível do hardware, para que seu sistema operacional não o imune - Apple, Google, Microsoft e todos os tipos de sistemas operacionais Unix e Linux de código aberto são igualmente afetados.

Devido a uma técnica conhecida como agendamento dinâmico que permite que os dados sejam lidos enquanto estão computando, em vez de precisarem ser armazenados primeiro, há muitas informações confidenciais na RAM para a leitura de um ataque. Se você está interessado nesse tipo de coisa, os whitepapers publicados pela Universidade de Tecnologia de Graz são leituras fascinantes. Mas você não precisa lê-los ou entendê-los para se proteger.

Sou afetado?

Sim. Pelo menos você estava. Basicamente, todos foram afetados até que as empresas começaram a corrigir seu software contra esses ataques.

O software que precisa de atualização está no sistema operacional, o que significa que você precisa de um patch da Apple, Google ou Microsoft. (Se você usa um computador que executa o Linux e não está no infosec, também possui o patch. Use o atualizador de software para instalá-lo ou peça a um amigo que esteja no infosec para orientá-lo na atualização do kernel). A notícia impressionante é que Apple, Google e Microsoft possuem patches já implantados ou a caminho no futuro imediato para as versões suportadas.

Os detalhes

• Os processadores Intel desde 1995, com exceção da plataforma Itanium e ATOM pré-2013, são afetados pelo Meltdown e pelo Spectre.
• Todos os processadores AMD modernos são afetados pelo ataque Spectre. As CPUs AMD PRO e AMD FX (as AMD 9600 R7 e AMD FX-8320 foram usadas como prova de conceito) em uma configuração fora do padrão (BPF JIT ativado pelo kernel) são afetadas pelo Meltdown. Espera-se que um ataque semelhante contra a leitura de memória de canal lateral seja possível contra todas as CPUs de 64 bits, incluindo os processadores AMD.
• Processadores ARM com núcleos Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 e A75 são suspeitos de ataques Spectre. Processadores com núcleos Cortex A75 (Snapdragon 845) são vulneráveis ​​a ataques de Meltdown. Espera-se que os chips que utilizam variantes desses núcleos, como a linha Snapdragon da Qualcomm ou a linha Exynos da Samsung, também tenham vulnerabilidades semelhantes ou iguais. A Qualcomm está trabalhando diretamente com a ARM e tem esta declaração sobre os problemas:

A Qualcomm Technologies, Inc. está ciente da pesquisa de segurança sobre vulnerabilidades de processadores em todo o setor que foram relatadas. O fornecimento de tecnologias que suportam segurança e privacidade robustas é uma prioridade para a Qualcomm e, como tal, trabalhamos com Arm e outros para avaliar o impacto e desenvolver mitigações para nossos clientes. Estamos incorporando e implantando ativamente mitigações contra as vulnerabilidades de nossos produtos afetados, e continuamos trabalhando para fortalecê-las possível. Estamos implantando essas atenuações em nossos clientes e incentivamos as pessoas a atualizar seus dispositivos quando os patches estiverem disponíveis.

• A NVIDIA determinou que essas explorações (ou outras explorações semelhantes que possam surgir) não afetam a computação da GPU; portanto, seu hardware é imune. Eles trabalharão com outras empresas para atualizar drivers de dispositivos para ajudar a mitigar problemas de desempenho da CPU e estão avaliando seus SoCs baseados em ARM (Tegra).

• O Webkit, as pessoas por trás do mecanismo de renderização de navegador do Safari e o precursor do mecanismo Blink do Google, têm uma excelente descrição de como exatamente esses ataques podem afetar seu código. Muito disso se aplica a qualquer intérprete ou compilador e é uma leitura incrível. Veja como eles estão trabalhando para corrigi-lo e impedir que isso aconteça na próxima vez.

Em inglês simples, isso significa que, a menos que você ainda esteja usando um telefone, tablet ou computador muito antigo, você deve se considerar vulnerável sem uma atualização para o sistema operacional. Aqui está o que sabemos até agora nessa frente:

• O Google corrigiu o Android contra ataques Spectre e Meltdown com os patches de dezembro de 2017 e janeiro de 2018.
• O Google corrigiu os Chromebooks usando as versões 3.18 e 4.4 do kernel em dezembro de 2017 com o OS 63. Os dispositivos com outras versões do kernel (veja aqui para encontrar o seu) serão corrigidos em breve. Em inglês simples: o Toshiba Chromebook, o Acer C720, o Dell Chromebook 13 e o Chromebook Pixels de 2013 e 2015 (e alguns nomes dos quais você provavelmente nunca ouviu falar) ainda não foram corrigidos, mas serão em breve. A maioria dos Chromeboxes, Chromebases e Chromebits não é corrigida, mas será em breve.
• Para dispositivos Chrome OS que não estão corrigidos, um novo recurso de segurança chamado Isolamento do site atenuará os problemas desses ataques.
• A Microsoft corrigiu as duas explorações em janeiro de 2018.
• A Apple corrigiu o macOS e o iOS contra o Meltdown a partir da atualização de dezembro. A primeira rodada de atualizações do Spectre foi lançada no início de janeiro. Confira o iMore para saber tudo sobre essas falhas na CPU e como elas afetam seu Mac, iPad e iPhone.
• Os patches foram enviados para todas as versões suportadas do kernel Linux, e sistemas operacionais como Ubuntu ou Red Hat podem ser atualizados através do aplicativo de atualização de software.

Para especificações específicas do Android, o Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 e Pixel 2 XL foram corrigidos e você deverá ver uma atualização em breve, caso ainda não a tenha recebido. Você também pode atualizar manualmente esses dispositivos, se quiser. O projeto Android Open Source (o código usado para criar o sistema operacional para todos os telefones Android) também foi corrigido e distribuições de terceiros como o LineageOS podem ser atualizadas.

Como atualizar manualmente seu Pixel ou Nexus

Samsung, LG, Motorola e outros fornecedores de Android (empresas que fabricam telefones, tablets e TVs) irão corrigir seus produtos com a atualização de janeiro de 2018. Alguns, como o Note 8 ou o Galaxy S8, verão isso antes de outros, mas o Google disponibilizou o patch para todos os dispositivos. Esperamos receber mais notícias de todos os parceiros para nos informar o que esperar e quando.

O que eu posso fazer?

Se você tem um produto vulnerável, é fácil ser pego no hype, mas não deveria. O Spectre e o Meltdown "não acontecem" e dependem da instalação de algum tipo de malware que os aproveite. Seguir algumas práticas seguras o manterá imune a qualquer exploração em qualquer hardware de computador.

• Instale apenas o software em que confia em um local em que confia. Essa é uma boa ideia sempre, mas principalmente se você estiver esperando por um patch.
• Proteja seus dispositivos com uma boa tela de bloqueio e criptografia. Isso faz mais do que apenas manter outra pessoa de fora, pois os aplicativos não podem fazer nada enquanto o telefone está bloqueado sem a sua permissão.
• Leia e entenda as permissões de tudo o que você executa ou instala no seu telefone. Não tenha medo de pedir ajuda aqui!
• Use um navegador da web que bloqueie malware. Podemos recomendar o Chrome ou o Firefox, e outros navegadores também podem protegê-lo contra malware baseado na Web. Pergunte às pessoas que as fabricam e distribuem se não tiver certeza. O navegador da web que acompanha o telefone pode não ser a melhor opção aqui, principalmente se você tiver um modelo mais antigo. Edge e Safari também são confiáveis ​​para dispositivos Windows ou MacOS e iOS.
• Não abra links nas mídias sociais, em um email ou em qualquer mensagem de alguém que você não conheça. Mesmo que sejam de pessoas que você conhece, confie no seu navegador antes de clicar ou tocar em. Isso vale duas vezes para os links de redirecionamento que mascaram o URL de um site. Usamos esse tipo de link com bastante frequência e as chances de muitas mídias online serem lidas também. Seja cuidadoso.
• Não seja estúpido. Você sabe o que isso significa para você. Confie em seu julgamento e erre por excesso de cautela.

A boa notícia é que a maneira como essas explorações de canal lateral são corrigidas não trará grandes lentidões que ocorreram antes que as atualizações fossem lançadas. É assim que a web funciona, e se você ler sobre como seu telefone ou computador ficaria 30% mais lento após a aplicação de qualquer correção, foi porque o sensacionalismo vende. Os usuários que estão executando o software atualizado (e estiveram durante o teste) simplesmente não o estão vendo.

O patch não tem o impacto no desempenho que alguns alegaram que traria, e isso é ótimo.

Tudo isso ocorreu porque esses ataques medem intervalos de tempo precisos e os patches iniciais alteram ou desativam a precisão de algumas fontes de tempo por meio do software. Menos preciso significa mais lento quando você está computando e o impacto foi exagerado para ser muito maior do que é. Mesmo as pequenas diminuições de desempenho resultantes dos patches estão sendo mitigadas por outras empresas e vemos a NVIDIA atualizando a maneira como as GPUs processam os números ou a Mozilla trabalhando na maneira como calculam os dados para torná-los ainda mais rápidos. Seu telefone não será mais lento no patch de janeiro de 2018 e nem o computador, a menos que seja muito antigo, pelo menos não de forma perceptível.

Pare de se preocupar com isso e faça tudo o que puder para manter seus dados seguros.

O que tirar de tudo

Sustos de segurança sempre têm algum tipo de impacto real. Ninguém viu nenhuma ocorrência de Meltdown ou Spectre sendo usada na natureza e, como a maioria dos dispositivos que usamos todos os dias são atualizados ou serão em breve, os relatórios provavelmente permanecerão assim. Mas isso não significa que eles devam ser ignorados.

Leve a sério ameaças de segurança como essa, mas não caia em todo o hype; ser informado!

Essas explorações de canal lateral tinham o potencial de ser um evento grande e sério para mudar o jogo com o qual as pessoas se preocupam quando se trata de segurança cibernética. Qualquer exploração que afeta o hardware é séria e, quando ataca algo feito de propósito, em vez de um bug, torna-se ainda mais grave. Felizmente, pesquisadores e desenvolvedores foram capazes de capturar, conter e corrigir Meltdown e Spectre antes de qualquer uso generalizado.

O que é realmente importante aqui é que você obtenha as informações corretas para saber o que fazer sempre que ouvir sobre uma nova ameaça cibernética que deseja todas as suas coisas digitais. Geralmente, existe uma maneira racional de atenuar os efeitos graves depois que você passa por todas as manchetes.

Fique seguro!

Podemos ganhar uma comissão por compras usando nossos links. Saber mais.