2018 चिपकोलिप्स ने न केवल विंडोज और लिनक्स को प्रभावित किया, जैसा कि शुरुआत में कुछ स्थानों पर कहा गया था। IOS और Android डिवाइस भी खतरे में हैं। और अगर सिस्टम प्रशासक और सक्षम पीसी उपयोगकर्ता कम से कम किसी तरह से हमले की तैयारी कर रहे हैं, भले ही मानसिक रूप से, स्मार्टफोन के मालिकों को यह नहीं लगता है कि उनके पासवर्ड और अन्य जानकारी तक पहुंचा जा सकता है। Apple और Google अपने अस्तित्व के सभी दशकों के लिए प्रोसेसर की सबसे गंभीर भेद्यता पर कैसे प्रतिक्रिया करते हैं, और हम क्या कर सकते हैं?
हम किस बारे में बात कर रहे हैं
यदि कोई बस हाइबरनेशन से बाहर निकल गया और 2018 की मुख्य आईटी खबर से चूक गया, तो ओलेग आर्टमोनोव ने मेल्टडाउन और जीटी पर स्पेक्टर के लिए उत्कृष्ट समीक्षा की। संक्षेप में, ये पिछले बीस वर्षों में जारी किए गए लगभग सभी प्रोसेसर के लिए कमजोरियां हैं (इंटेल, एएमडी, एआरएम कोर के साथ सभी चिप्स)। उत्पादकता बढ़ाने के लिए आवश्यक संचालन के सट्टा निष्पादन के दौरान, चिप संभावित रूप से उन प्रक्रियाओं के लिए डेटा तक पहुंच खोलती है जो उन्हें प्राप्त नहीं होनी चाहिए।
द वर्ज एक बैंक के साथ मेल्टडाउन की उपमा देता है:
बैंक के केंद्र में एक पासवर्ड के साथ एक सुरक्षित है। उसके बगल में बंदूक के साथ एक सुरक्षा गार्ड है। यदि आप अंदर जाते हैं और तिजोरी खोलते हैं, तो वे आपको मार देंगे। एक समानांतर माप में, आप बैंक में जाते हैं और वे आपको मारते हैं, लेकिन आप सुरक्षित को देखने और पासवर्ड को बाहर निकालने का प्रबंधन करते हैं। और इस आयाम में, आप इस पासवर्ड के साथ एक चीख सुनते हैं, और डेटा तक पहुंच प्राप्त करते हैं। हालांकि आपने इस बैंक में कभी प्रवेश नहीं किया।
कमजोरियाँ Meltdown और Spectre प्रोसेसर कोर से संबंधित हैं, अर्थात यह एक हार्डवेयर समस्या है। लेकिन जब (या अगर) मैलवेयर उनके अधीन किया जाता है, तो यह इस भेद्यता तक पहुंच प्राप्त करेगा - साथ ही आपके पासवर्ड और एन्क्रिप्टेड जानकारी - सॉफ्टवेयर के माध्यम से। आप नया "अभेद्य" लोहा नहीं खरीद सकते, यह मौजूद नहीं है (सदी के मोड़ पर जारी किए गए बहुत पुराने फोन को छोड़कर), इसलिए खुद को बचाने का एकमात्र तरीका ऑपरेटिंग सिस्टम के डेवलपर्स और उनकी सिफारिशों का पालन करना है।
IOS पर
एपल ने गुरुवार को अपनी प्रतिक्रिया जारी की, जिसके बाद पत्रकारों ने माइक्रोप्रोसेसरों में हार्डवेयर कमजोरियों की उपस्थिति के बारे में जानकारी का अनावरण किया। उसने पुष्टि की कि सभी मैक और आईओएस डिवाइस इस मुद्दे से प्रभावित हैं। अभी तक कोई काम नहीं कर रहे हैं, लेकिन उपयोगकर्ताओं को फिर से केवल विश्वसनीय स्रोतों (ऐप स्टोर) से एप्लिकेशन डाउनलोड करने और संभावित खतरनाक साइटों पर जाने की सिफारिश नहीं की जाती है - हमले जावास्क्रिप्ट के माध्यम से संभव हैं।
मेल्टडाउन और स्पेक्टर की खोज करने वाली शोध टीम ने जुलाई में सभी प्रमुख सॉफ्टवेयर और हार्डवेयर निर्माताओं को सूचित किया और नवंबर में विंडोज 10 के लिए एक पैच भी था, जो खतरे को कम करने की कोशिश कर रहा था। Apple ने भी दिसंबर में ऐसा पैच - iOS 11.2.1 जारी किया। पैच को मेल्टडाउन से लड़ने के लिए डिज़ाइन किया गया है, और यदि आपने पहले ही डिवाइस को इस संस्करण में अपडेट किया है (यह दिसंबर से उपलब्ध है), तो इस तरफ से हमले अभी तक डर नहीं सकते। गीकबेंच 4, जेटस्ट्रीम और स्पीडोमीटर के परीक्षणों को देखते हुए, पैच स्थापित करते समय सिस्टम का प्रदर्शन कम नहीं होता है।
स्पेक्टर के खिलाफ अभी तक कोई सुरक्षा नहीं है। लेकिन अच्छी खबर यह है कि साइबर क्रिमिनल्स के लिए इसके लिए स्क्रिप्ट विकसित करना अधिक कठिन होगा, यहां तक कि iPhone या iPad पर स्थानीय रूप से चलने वाले एप्लिकेशन के लिए भी। एक संभावित शोषण केवल जावास्क्रिप्ट के साथ एक ब्राउज़र में पॉप कर सकता है (और केवल सैद्धांतिक रूप से)। इसका मुकाबला करने के लिए, ऐप्पल आईओएस और मैकओएस के लिए सफारी के लिए एक अपडेट पर काम कर रहा है। कंपनी का वादा है कि मंदी 2.5% से कम होगी।
Apple वॉच एक अलग प्रकार के प्रोसेसर का उपयोग करता है, और मेल्टडाउन और स्पेक्टर की कमजोरियां शुरू में प्रभावित नहीं होती हैं।
Android पर
Android उपयोगकर्ता अधिक जोखिम में हैं। Google उन लोगों में से एक था जिन्होंने चिप्स में भेद्यता पाई थी, और इसे ठीक करने के लिए सबसे पहले काम किया था। वह कई पैच विकसित करने में कामयाब रही, खासकर एआरएम प्रोसेसर वाले एंड्रॉइड डिवाइसों के लिए। और उसने उन्हें दिसंबर में अपने सहयोगियों के लिए रिहा कर दिया। लेकिन प्रत्येक व्यक्तिगत स्मार्टफोन डेवलपर अपने फर्मवेयर के लिए एक अपडेट को जल्दी से विकसित करने और जारी करने में सक्षम नहीं होगा। इसके अलावा, पैच सभी चिप्स की चिंता नहीं करते हैं, और अधिकांश उपकरणों के लिए अभी तक कोई समाधान नहीं है।
इंटेल प्रोसेसर सब कुछ के लिए अतिसंवेदनशील होते हैं, एआरएम कोर लगभग हर चीज के लिए अतिसंवेदनशील होते हैं (कॉर्टेक्स-ए 53 और उच्चतर से)। Cortex-A15, Cortex A-17, Cortex A-72, Cortex-A75 में कमजोरियों की पुष्टि की गई, और ये Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 और 810, Mediatek Helio X20 प्रोसेसर हैं। सैमसंग, एलजी, एचटीसी, श्याओमी, Meizu और अन्य - मेल्टडाउन और स्पेक्टर के माध्यम से उपकरणों के लिए, उनके डिवाइस अभी भी खुले हैं।
सबसे अधिक कष्टप्रद - एआरएम के अनुसार, "असुरक्षित" की श्रेणी में कॉर्टेक्स-ए 73 आर्किटेक्चर के साथ प्रोसेसर थे। और यह स्नैपड्रैगन 835 है, 2017 के अधिकांश प्रमुख स्मार्टफोन में डाला गया है: गैलेक्सी एस 8, एस 8+, नोट 8, Google पिक्सेल 2, वनप्लस 5 और इसी तरह। वही स्नैपड्रैगन 810 प्रोसेसर के साथ 2015 के फ्लैगशिप के लिए जाता है, जिसमें कॉर्टेक्स-ए 57 कोर खड़ा है। यानी आपका स्मार्टफोन जितना महंगा होगा, उस पर हमला करने का मौका उतना ही ज्यादा होगा।
अच्छी खबर यह है कि यदि आपके पास एआरएम कोर के साथ एक स्मार्टफोन या टैबलेट है, जो ऊपर उल्लेख नहीं किया गया है, और आपके डिवाइस का डेवलपर Google के साथ एक छोटे पैर पर है, और आपने नवीनतम अपडेट इंस्टॉल किए हैं, तो आपको सुरक्षित होना चाहिए। आप सुरक्षित रूप से इंटरनेट बैंकिंग में प्रवेश कर सकते हैं और भुगतान प्रणालियों से पासवर्ड दर्ज कर सकते हैं। साथ ही, Google का कहना है कि उसने स्पेक्टर के नए रेटपोलिन पैच को विकसित किया है, जो सिस्टम को मुश्किल से धीमा करता है। वह पहले से ही कंपनी के उत्पादों में काम करती है, और अन्य निर्माताओं की मदद करनी चाहिए।
क्या किया जा सकता है
अब तक, यहां तक कि बड़े आईटी निगम भी भ्रमित हैं। किसी के पास एक सुरुचिपूर्ण समाधान नहीं है - पूर्ण गारंटी के लिए नए आर्किटेक्चर के साथ प्रोसेसर की रिहाई के लिए इंतजार करना आवश्यक हो सकता है। और यह एक वर्ष से अधिक है: वर्तमान प्रोसेसर पहले से ही विकास के अधीन हैं, और अब तक वे उन्हें असेंबली लाइन एआरएम और इंटेल से हटाने नहीं जा रहे हैं। अब तक, हमारी सुरक्षा हमारे अपने हाथों में है। पालन करने के लिए कुछ (काफी स्पष्ट) नियम हैं:
1. अपने निर्माता से सभी अद्यतन स्थापित करें।
वे हमें यह नहीं बता सकते हैं कि अपडेट में वास्तव में क्या निहित है। इसलिए, उदाहरण के लिए, माइक्रोसॉफ्ट ने विंडोज 10 के लिए ऐसा किया कि आतंक पैदा न हो, और उन्होंने लिनक्स को "चुपचाप" अपग्रेड करने का भी प्रयास किया। स्मार्टफोन और टैबलेट के लिए, यह और भी महत्वपूर्ण है। आपके डिवाइस के डेवलपर को इस सप्ताह शाब्दिक रूप से पैच जारी करना चाहिए (यदि उसने पहले से ऐसा नहीं किया है)। और, सबसे अधिक संभावना है, यह उसके बाद एक से अधिक सुरक्षात्मक पैच जारी करेगा - जैसा कि समस्या के नए समाधान पाए जाते हैं। सिस्टम प्रदर्शन 5-30% तक घट सकता है, लेकिन वास्तव में आप इसे नोटिस नहीं करेंगे। सबसे शक्तिशाली एप्लिकेशन और गेम सिस्टम कॉल का बहुत कम उपयोग करते हैं, और उनमें गति में गिरावट 3% से अधिक नहीं होनी चाहिए।
Apple स्मार्टफोन के लिए, दिसंबर में सुरक्षा अद्यतन सामने आए, सैमसंग के लिए वे अभी तक (अन्य पहलुओं से संबंधित अपडेट) नहीं हैं, लेकिन जनवरी में उनकी उम्मीद है। Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2 सहित Google डिवाइस को अपडेट प्राप्त हुआ।
अपने ब्राउज़र को अपडेट करना सुनिश्चित करें।
2. नए एप्लिकेशन इंस्टॉल करने से सावधान रहें
एक पैच [अभी के लिए] कुछ भी गारंटी नहीं देता है। एक पैच, भले ही यह आपके प्रोसेसर के अनुकूल हो, केवल डिवाइस को क्रैक करने के लिए स्पेक्टर और मेल्टडाउन के उपयोग को जटिल बनाता है। और यहां आपको यह समझने की आवश्यकता है कि अगर स्मार्टफोन को तोड़ने वाला कोई शोषण होता है, तो यह निश्चित रूप से एक आवेदन के रूप में सामने आएगा। किसी भी रनिंग एप्लिकेशन को ऑपरेशन के दौरान प्रोसेसर तक पहुंच होती है, और यह सब भेद्यता का लाभ उठाने के लिए होता है। ब्राउज़र में जावास्क्रिप्ट भी स्थानीय रूप से निष्पादित कोड है, लेकिन नए क्रोम, फ़ायरफ़ॉक्स और सफारी ने पहले ही एक हमले में इसका उपयोग करना बहुत मुश्किल बना दिया है। यदि आप असत्यापित अनुप्रयोगों को डाउनलोड नहीं करते हैं, विशेष रूप से तीसरी साइटों से एपीके, एक शोषण को "पकड़ने" की संभावना गंभीरता से कम हो जाती है।
एंटीवायरस स्थापित करें, खासकर यदि आपके पास एंड्रॉइड है। हमेशा जांचें कि ऐप स्टोर पर या Google Play पर ऐप किसने डाउनलोड किया है। अनावश्यक उपयोगिताओं को डाउनलोड न करें। मैलवेयर का व्यावहारिक कार्यान्वयन बेहद मुश्किल है, और सबसे अधिक संभावना है कि बैंक और निगम हमला करेंगे, और स्मार्टफ़ोन में जीटी और टेलीग्राम से हमारे पासवर्ड नहीं। लेकिन संभावना बनी हुई है, और हमारे सिर पर स्मार्टफोन और टैबलेट में पर्याप्त मैलवेयर हैं। 2017 में, दुनिया में 90 मिलियन वायरस पाए गए थे, और इस सप्ताह की खबरों को देखते हुए, इस साल और भी बुरा होने का खतरा है। विशेष रूप से नवीनतम पूर्वानुमानों के संबंध में जो कि 2018 में हैकर के हमलों का नेतृत्व एआई द्वारा किया जाएगा। तो कहते हैं कि Cylance द्वारा सर्वेक्षण के शीर्ष सुरक्षा विशेषज्ञों का 62%।
इंटेल के लिए, वैसे, वर्तमान स्थिति अच्छी तरह से लाभ में बदल सकती है: जिन चिप्स में ये भेद्यताएं नहीं हैं, जो कुछ वर्षों में जारी की जाएंगी, पहले की तरह मांग में रहेंगी। उन सबसे मुश्किल। कंपनियों के पास माइक्रोसॉफ्ट और अमेज़ॅन हैं - उनकी विशाल क्लाउड सेवाएं (AWS, Azure) और वर्चुअल मशीनें बहुत खतरे में हैं, और अगर कुछ हैकर स्पेक्टर और मेल्टडाउन को "माउंट" करने की कोशिश करते हैं, तो पहले हमलों में से एक उन्हें निर्देशित करने के लिए तर्कसंगत होगा।
पुनश्च
यूएसए के नए गैजेट हमारे माध्यम से लिए जा सकते हैं। जिसमें मालिकाना प्रोसेसर के साथ पूरी तरह से सुरक्षित एप्पल वॉच शामिल है। 30-40% रूसी संघ की तुलना में सस्ता है, क्योंकि मिखाल्कोव टैक्स और अन्य कर्तव्यों के बिना। पंजीकरण के बाद GEEKTIMES कोड दर्ज करने वाले पाठक खाते में $ 7 प्राप्त करते हैं।