«Чипокалипсис 2018» без эмоций: что делать прямо сейчас?

Едва все успели отпраздновать наступление 2018-го года, как в дом каждого владельца компьютера, смартфона и умного телевизора ворвалась цифровая беда. Уязвимость с устрашающим названием «Чипокалипсис» открывает злоумышленникам двери к невероятно ценным пользовательским данным. Ваши пароли и PIN-коды могут ускользнуть при входе в интернет-банк, личный кабинет мобильного оператора или в момент оплаты товара через онлайн-магазин.

Во время обмена данными зловредный код способен перехватывать всё, что находится в памяти чипа на уровне «железа». Проблема была исследована ещё несколько месяцев назад, но рассекречена только сейчас, пока все отдыхали на новогодних каникулах.

«Чипокалипсис» в двух словах

Meltdown и Spectre — эти два новых термина теперь будут настоящей страшилкой для всей ИТ-отрасли.

• Meltdown символизирует «расплавление» границ, которые удерживают секреты ОС, ваши пароли и ценные сведения в памяти.
• Spectre означает «призрачную» и неуловимую стандартными средствами атаку вредоносной программы на пользовательские вполне защищённые приложения.

Вот, что вам нужно знать про «Чипокалипсис»

1. Даже лучшие антивирусы не защитят от уязвимостей Meltdown и Spectre в 2018-м году.
2. Атака производится не на специфические данные или технические инструкции ОС, а на конкретные сведения из приложений пользователя (браузера, интернет-банка, кошелька криптовалют).
3. Их можно исправить при помощи обновления операционной системы (Windows, macOS, Linux, iOS, Android и так далее).
4. Нельзя узнать наверняка — украли ли ваши данные, установлена ли вредоносная программа.
5. Невозможно сказать, использовал ли вообще хоть кто-то один в мире обнаруженный баг в процессорах.

Что делать с «Чипокалипсисом» обычным пользователям?

1. Теперь надо быть ещё более избирательными при нажатии на ссылки.

Во время исследования Meltdown удалось перехватить пароли пользователя в момент, когда он зашёл на сайт с подсадным JavaScript через браузер Chrome в Windows 10.

2. Установить доступные обновления операционной системы.

Android или iOS, Windows, macOS или Linux — не имеет значения, что вы используете. Уязвимость существует на уровне процессора, а запретить приложениям использовать внутреннюю память можно только в операционной системе. Для этого требуется найти и установить патчи.

3. Нужно быть готовыми к сбоям и снижению быстродействия всех устройств.

Телефоны, планшеты, смарт-часы, смарт-телевизоры, компьютеры, ноутбуки, ультрабуки, моноблоки и другие современные устройства после установки обновлений начнут работать медленнее. Более того, в некоторых случаях могут быть сбои при загрузке операционной системы (чёрный экран, ошибки при запуске и так далее). Но с каждым новым исправлением ситуация улучшается и быстродействие растёт.

4. Владельцам Android-устройств придётся самим позаботиться об установке исправлений.

Если у вас устаревшая версия Android (4.4 или ниже) либо уже давно не было автоматических обновлений, то свяжитесь по этому вопросу с технической поддержкой производителя. Установка исправления уязвимости Meltdown без участия пользователя производится «по воздуху» только в рамках стандартного цикла обновления Android, а в остальных случаях телефон или планшет лучше заменить на новый.

Какие устройства на 100% защищены от «Чипокалипсиса»?

• Любые устройства с установленным патчем — исправлением проблемы Meltdown.
• Все кнопочные телефоны на Java-платформах с SMS-подтверждениями операций.
• Symbian и другие смартфоны старого типа, для которых больше не выпускаются приложения.
• Компьютеры на базе старых процессоров Intel Itanium и Intel Atom (до 2013 года, подробности).
• Часть AMD-процессоров, но пока неизвестно какие именно модели (позже появится здесь).
• Некоторые из ARM-чипсетов (постоянно обновляемый официальный список).
• Наручный гаджет Apple Watch ( ситуация с гаджетами Apple публикуется здесь).