Security

Πως να προστατευτείτε από τα bugs των επεξεργαστών

Posted on

Οι αποκαλύψεις για τα κενά ασφαλείας που ανακαλύφθηκαν σε κεντρικούς επεξεργαστές σταθερών και φορητών υπολογιστών, αλλά και σε SoC της ARM που βρίσκονται σε smartphones, tablets και κονσόλες παιχνιδιών, τολμούμε να πούμε πως αποτελούν μάλλον το μελανότερο σημείο στην ιστορία της πληροφορικής. Όχι οι ίδιες οι αποκαλύψεις, φυσικά, αλλά οι αβλεψίες και οι παραλήψεις των μηχανικών των εταιρειών που οδήγησαν σε αυτή την κατάσταση.

Οι δύο βασικές ευπάθειες που ανακαλύφθηκαν, ονομάστηκαν “Meltdown” και “Spectre” και ξεκινώντας απο τους desktop επεξεργαστές της Intel, αποδείχτηκε πως επηρεάζουν ακόμα και τα κινητά μας, έως και enterprise εγκαταστάσεις και υπηρεσίες cloud.

Σύμφωνα με την ομάδα ηλεκτρονικής ασφαλείας Project Zero της Google, η οποία είχε ειδοποιήσει τους εμπλεκόμενους εδώ και μήνες για τα προβλήματα, και κατόπιν, άλλους ερευνητές, κακόβουλοι μπορούν να εκμεταλευτούν τις ευπάθειες για να αποσπάσουν ευαίσθητα δεδομένα από υπολογιστικές κάθε είδους, που έχουν εγκατεστημένους τους προβληματικούς επεξεργαστές.

Τα πρώτα security patches έχουν ήδη αρχίσει να διατίθενται, αρχικά για Linux, ενώ η Google διέθεσε ενημερώσεις για τα Android προϊόντα της. Επίσης, τα πρώτα updates ξεκίνησε να διαθέτει η Microsoft για τα Windows 10 με επείγουσες ενημερώσεις ασφαλείας. Αναμένονται ακόμα οι σχετικές ενημερώσεις για τον Firefox και το update του Chrome. Η Apple φέρεται να έχει ήδη εκδόσει μία μερική επιδιόρθωση στο macOS 10.13.2 και αναμένεται το πλήρες πακέτο των διορθώσεων με την έκδοση 10.13.3.

Όσον αφορά στη δραματική μείωση των επιδόσεων που αναμενόταν μετά από τα bug fixes, οι πρώτες μετρήσεις που έκανε και έδωσε στη δημοσιότητα το guru3d μετά από τα security patches των Windows 10 δεν επαληθεύουν όσους προέβλεπαν ποσοστά της τάξης του 15-30%.

Ας δούμε ένα προς ένα τα σημεία προσοχής όσον αφορά στις ενημερώσεις.

Windows

Η Microsoft διέθεσε ένα πρώτο update ασφαλείας για τα Windows 10 τα οποία και θα ενημερωθούν αυτόματα. Βεβαιωθείτε ότι ο υπολογιστής σας είναι ενημερωμένος πηγαίνοντας στις Ρυθμίσεις και ελέγχοντας τις Ενημερώσεις. Οι ενημερώσεις και για τις υπόλοιπες εκδόσεις των Windows αναμένεται να ολοκληρωθούν τις επόμενες ημέρες.

Για την πλήρη θωράκιση του εκάστοτε υπολογιστή χρειάζεται και firmware ή BIOS update, οπότε μην αγνοήσετε ειδοποιήσεις για σχετικές ενημερώσεις που μπορεί να δεχτείτε ή ελέγξτε και μόνοι σας, μέσω των σχετικών εφαρμογών των κατασκευαστών, όπως π.χ το “Lenovo Solution Center” και το “Dell Update”, για υπολογιστές Lenovo και Dell αντίστοιχα.

Android

Το security patch 2018-01-05 για το Android είναι διαθέσιμο, ως πρώτο μέτρο για το “πατσάρισμα” των κενών ασφαλείας των επεξεργαστών. Τα smartphones Pixel της Google θα το λάβουν αυτόματα, ενώ αναμένονται να εκδοθούν οι σχετικές ενημερώσεις από τους υπόλοιπους κατασκευαστές για τις συσκευές τους. Μην αμελήσετε να ελέγξετε για τα bug fixes και να ενημερώσετε το κινητό και το tablet σας.

MacOS και iOS

Σε αντίθεση με την περίπτωση των Windows, oι υπολογιστές που τρέχουν macOS μάλλον θα λάβουν μόνο μία ενημέρωση που θα περιέχει software και firmware διορθώσεις, αφού η Apple έχει τον απόλυτο έλεγχο στις συσκευές της. Μέχρι στιγμής όμως δεν υπάρχει κάποια ένδειξη για το πότε θα βγει αυτή η ενημέρωση. To update για το iOS αναμένεται.

Web Browsers

Google Microsoft και Mozilla Firefox εργάζονται για τα σχετικά bug fixes. Ο Edge ενημερώθηκε με το επείγον security patch των Windows 10 ενώ για τον Firefox είναι ηδη διαθέσιμη η έκδοση 57.0.4 με διορθώσεις για το πρόβλημα.

Αναλυτικές πληροφορίες για τις δύο ευπάθειες μπορείτε να βρείτε εδώ.

Security

Android: Malware “προσποιείται” ότι είναι το Uber για να κλέψει κωδικούς

Posted on

Άλλη μια εκδοχή του Android.Fakeapp Trojan εντόπισε η Symantec, η οποία αυτή τη φορά μιμείται το UI του Uber, προκειμένου να ξεγελάσει τους χρήστες να εισάγουν τους κωδικούς τους.

Το Trojan εμφανίζεται ανά τακτά χρονικά διαστήματα στην οθόνη και προσπαθεί να ξεγελάσει τους χρήστες να πληκτρολογήσουν τον αριθμό τηλεφώνου τους και τον κωδικό τους. Αν ο χρήστης πατήσει enter, τότε το Trojan στέλνει τα στοιχεία στους δημιουργούς του, οι οποίοι προσπαθούν να τα χρησιμοποιήσουν για να παραβιάσουν άλλους λογαριασμούς του χρήστη και να πουλήσουν τα στοιχεία σε χάκερς στην μαύρη αγορά.

Η συγκεκριμένη εκδοχή του Fakeapp δεν μοιάζει απλά με την οθόνη εισόδου του Uber, αλλά προκειμένου να δώσει στον χρήστη ένα εσφαλμένο αίσθημα ασφάλειας και για να μην κινήσει υποψίες, φορτώνει μια οθόνη από την κανονική εφαρμογή του Uber που δείχνει την τοποθεσία του χρήστη μόλις επιλέξει «enter».

Η Symantec συστήνει στους χρήστες να έχουν το software τους ενημερωμένο, να εγκαθιστούν γνωστές εφαρμογές anti-malware και να μην κατεβάζουν εφαρμογές από site ή αγορές που δεν γνωρίζουν.

Παρόμοια και εκπρόσωπος της Uber συστήνει στους χρήστες να μην κατεβάζουν εφαρμογές εκτός του Google Play Store. Επειδή όμως λάθη γίνονται, η Uber αναφέρει ότι έχει μια σειρά ελέγχων ασφαλείας και συστημάτων που βοηθούν στην ανίχνευση και στο μπλοκάρισμα μη εξουσιοδοτημένων συνδέσεων ακόμη κι αν ο χρήστης κατά λάθος δώσει τον κωδικό του.

Πηγή

Internet

O Chrome ενεργοποιεί τον ενσωματωμένο ad blocker του στις 15 Φεβρουαρίου

Posted on

Στις 15 Φεβρουαρίου θα ενεργοποιήσει η Google τον ενσωματωμένο ad blocker του Chrome. Έτσι, από τις 15 Φεβρουαρίου, ιστότοποι που θα περιέχουν διαφημίσεις σε παραβίαση του προγράμματος Better Ads Experience Program, το οποίο έχει ανακοινωθεί από τη Συμμαχία για Καλύτερες Διαφημίσεις (Coalition for Better Ads) θα δουν τις διαφημίσεις τους να μπλοκάρονται από τον Chrome.

Αξιοσημείωτο είναι, όπως έχει αναφερθεί προηγουμένως, ότι ο ad blocker θα μπλοκάρει και διαφημίσεις που ανήκουν στην Google και χρησιμοποιούν τη διαφημιστική της πλατφόρμα (αν παραβιάζουν το πρόγραμμα).

Η διαδικασία δεν θα είναι άμεση, αλλά ο κάτοχος του ιστότοπου θα έχει 30 μέρες να διορθώσει ή να αφαιρέσει τις προβληματικές διαφημίσεις.

Αν ο ιστότοπος συμμορφωθεί, τότε μπορεί να αιτηθεί ώστε να επανέλθει στη λίστα με τις αποδεκτές εταιρείες του Chrome.

Η Google ισχυρίζεται ότι ο μοναδικός σκοπός του ad-blocker είναι για να παρέχει στους χρήστες καλύτερη εμπειρία περιήγησης στο διαδίκτυο, αλλά ήδη κάποιοι ρυθμιστές άρχισαν να βλέπουν αυτή την πράξη ύποπτα, δεδομένου του σημαντικού ρόλου που κατέχει η εταιρεία στη Συμμαχία για Καλύτερες διαφημίσεις.

Όμως, αφού η Google θα αφαιρεί ακόμη και δικές της διαφημίσεις αν δεν πληρούν τις προϋποθέσεις, πιθανότατα οι ρυθμιστές δεν θα ασχοληθούν περαιτέρω.

Η Google έχει δηλώσει επανειλημμένα ότι οι ιστότοποι που έχουν διαφημίσεις που πληρούν τις προϋποθέσεις δεν πρόκειται να επηρεαστούν.

Μακροπρόθεσμος στόχος του ad-blocker είναι να λειτουργεί σαν προεγκατεστημένη εναλλακτική στους ad-blockers τρίτων, να μειώσει τη δημοτικότητά τους και σταδιακά να μειώσει τον συνολικό όγκο των μπλοκαρισμένων διαφημίσεων στο Web.

Πολύ συχνά η Google έχει κατακρίνει τις λύσεις που μπλοκάρουν όλες τις διαφημίσεις, καθώς απειλούν τη βιωσιμότητα των ιστοτόπων που βασίζονται στα διαφημιστικά έσοδα και που οι διαφημίσεις τους δεν επηρεάζουν αρνητικά τη συνολική εμπειρία.

Πηγή

Technology

H ARM επιβεβαίωσε πως και επεξεργαστές της έχουν κενό ασφαλείας

Posted on

Μετά τις αποκαλύψεις για το σοβαρό πρόβλημα ασφαλείας των επεξεργαστών τής Intel, η ARM επιβεβαίωσε πως και δικοί της επεξεργαστές της οικογενείας Cortex, υποφέρουν από ανάλογα προβλήματα.

Σε ανακοίνωσή της παραθέτει τέσσερις διαφορετικούς τρόπους επίθεσης στους οποίους είναι ευάλλωτοι οι Cortex και κατ’ επέκταση, οι συσκευές με Android και iOS στις οποίες είναι εγκαταστήμενοι, μεταξύ των οποίων smartphones και tablets. Επίσης, από το bug επηρεάζονται συσκευές Nvidia Tegra, επεξεργαστές Qualcomm Snapdragon, καθώς και κονσόλες παιχνιδιών PlayStation Vita.

Η λίστα είναι μεγάλη και σε αυτή υπάρχουν οι επεξεργαστές Cortex-A8, A9, A15, A17, A57, A72, A73 και A75. Όλοι οι παραπάνω είναι επιρρεπείς σε τουλάχιστον δύο τρόπους επίθεσης. Οι τρεις πρώτοι χρησιμοποιούνται σε παλιότερες συσκευές της Apple, σε Samsung Exynos και στο PS Vita, ενώ οι υπόλοιποι σε smartphones της Google και άλλων κατασκευαστών που έχουν επεξεργαστές Qualcomm Snapdragon.

H Google διέθεσε ήδη ενημερώσεις για τα προϊόντα της, ενώ αναμένονται τα διορθωτικά patches και των υπόλοιπων κατασκευαστών για τα smartphones tablets τους. Όσον αφορά σε πιθανή επίπτωση στις επιδόσεις των επεξεργαστών ARM, δεν υπάρχουν συγκεκριμένες πληροφορίες.

Technology

Σοβαρό σχεδιαστικό σφάλμα της Intel θα επιβραδύνει τους επεξεργαστές της

Posted on

Εάν έχετε υπολογιστή με επεξεργαστή Intel που είναι κατασκευασμένος την τελευταία δεκαετία, τότε το πιθανότερο είναι πως έχει ένα σημαντικό πρόβλημα στην αρχιτεκτονική του. Η Intel επισήμως δεν έχει αποκαλύψει ακόμα (!) ποιο είναι το προβλημα αυτό, όμως ετοιμάζει ήδη διορθωτικά patches για όλα τα desktop λειτουργικά, δηλαδή για Linux, Windows και macOS.

Πρακτικά, αυτό σημαίνει πως τις επόμενες ημέρες, όταν και θα είναι έτοιμες οι απαραίτητες και αναπόφευκτες ενημερώσεις και εγκατασταθούν, η απόδοση των επεξεργαστών στα PC και τα laptop των κατόχων θα μειωθεί σημαντικά, σε ποσοστό που όπως υπολογίζεται μπορεί να φτάσει έως και το 30% σε κάποιες εφαρμογές!

Όπως μετέδωσε το The Register το σχεδιαστικό λάθος οδηγεί ουσιαστικά σε ένα σοβαρό κενό ασφαλείας που μπορεί να επιτρέψει σε προγράμματα να αποκτήσουν πρόσβαση στις προστατευμένες περιοχές της μνήμης στον πυρήνα του λειτουργικού συστήματος, από όπου ελέγχονται και συντονίζονται τα πάντα που τρέχουν στο λειτουργικό.

Το ζήτημα είναι εξαιρετικά σημαντικό, αφού κάθε πρόγραμμα, ένα απλό javascript, για παράδειγμα, θα μπορούσε να αποκτήσει πρόσβαση και να κλέψει ευαίσθητα δεδομένα από την (θεωρητικά) προστατευμένη μνήμη του πυρήνα τού λειτουργικού.

Κάποια νεότερα μοντέλα εικάζεται πως έχουν αποφύγει το πρόβλημα, μέχρι όμως η Intel να ενημερώσει λεπτομερώς, όπως οφείλει, για το τί έχει συμβεί, κανείς δεν μπορεί να γνωρίζει.

Τα πρώτα patches που αφορούν στο Linux είναι ήδη διαθέσιμα. Όσον αφορά στα Windows, οι ενημερώσεις αναμένονται, εκτός απροόπτου, στην περίφημη Patch Tuesday του μήνα, η οποία είναι την ερχόμενη Τρίτη.

Εάν στο σύστημά σας έχετε επεξεργαστή AMD, δεν έχετε να ανησυχείτε για το συγκεκριμένο ζήτημα, αφού η εταιρεία επιβεβαίωσε πως οι δικοί της επεξεργαστές δεν υποφέρουν από αυτό το πρόβλημα.