Meltdown και Specter: Τα πρόσφατα κενά στην αρχιτεκτονική πολλών επεξεργαστών που κατασκευάστηκαν τις τελευταίες δύο δεκαετίες, είναι η τελευταία κρίση ασφάλειας που έπληξε τον κλάδο της πληροφορικής.
Το φαινόμενο Meltdown και Specter ήρθε για άλλη μια φορά να επιβεβαιώσει αυτό που πολλοί γνωρίζουν αλλά δυσκολεύονται να παραδεχτούν: κανείς δεν πρέπει να σκέφτεται το σύστημά του σαν ασφαλές. Ισχύει πολύ περισσότερο η αναγνώριση ενός συστήματος σαν “σταθερό” και φυσικά σαν εν δυνάμει ανασφαλές.
Αυτό σημαίνει να σκεφτόμαστε την ασφάλεια σαν μια συνεχή διαδικασία και όχι σαν ένα τελικό σημείο.
Τα ελαττώματα Spectre και Meltdown υπάρχουν στα περισσότερα CPUs της Intel από το 1995, και επηρεάζονται και άλλοι κατασκευαστές chip.
Για πολλούς μπορεί να φαίνεται αδιανόητο ότι τέτοιες σοβαρές αδυναμίες παραμένουν χωρίς ενημερώσεις για τόσα χρόνια (η χαρά της NSA). Ωστόσο είναι απλώς μια συνάρτηση της απίστευτης πολυπλοκότητας των συστημάτων που χρησιμοποιούμε όλοι. Πριν πάρα πολύ καιρό, υπήρξε κάποιο άλλο: Θυμάστε το Heartbleed; Το κενό στην κρυπτογραφική βιβλιοθήκη OpenSSL που κυκλοφόρησε με το δικό του λογότυπο και έσπειρε τον πανικό στους IT σε παγκόσμιο επίπεδο. Θυμάστε το Shellshock; Το ransomware WannaCry;
Η ασφάλεια είναι μια ουτοπία και πιστεύοντας ότι τα συστήματά σας είναι απολύτως ασφαλή ζείτε μια πολύ επικίνδυνη ψευδαίσθηση. Απλά υποθέσετε ότι τα συστήματά σας είναι επισφαλή, και θα αρχίσετε να λαμβάνετε καλύτερες αποφάσεις.
Η ασφάλεια σταμάτησε να υπάρχει με την άφιξη του διαδικτύου, αλλά πολλοί από εμάς δεν φαίνεται να το έχουν συνηδητοποιήσει. Το Specter and Meltdown είναι δύο καλά παραδείγματα, επειδή μπορούν να επηρεάσουν τα πάντα, από το PC στο γραφείο σας και το smartphone που έχετε στην τσέπη σας μέχρι την υπηρεσία cloud που χρησιμοποιείτε για να αποθηκεύετε τα δεδομένα σας. Ανεξάρτητα από το πόσο καλοί είστε στην “ασφάλεια”, σήμερα βασίζεστε στον αστερισμό των παρόχων υπηρεσιών και των διάφορων συνεργατών τους.
Ο κώδικας κάποιου λογισμικού, λειτουργικού, ή firmware που αποστέλλεται από τους προμηθευτές είναι αναπόφευκτα ατελής, οπότε πάντα θα υπάρχουν ενημερώσεις. Η εφαρμογή αυτών των επιδιορθώσεων θεωρείται κουραστική και άχαρη δουλειά από πολλούς IT. Ειδικά σε εταιρικά περιβάλλοντα, όπου οι κάθε ενημερώσεις θα πρέπει να ελέγχονται από τους IT, ούτως ώστε να είναι σίγουροι ότι δεν θα προκαλέσουν προβλήματα κατά την εφαρμογή τους. Έτσι πολλές φορές οι ενημερώσεις δεν αποτελούν αν και θα έπρεπε την πρώτη προτεραιότητα. Το ransomware WannaCry κυκλοφόρησε πέρυσι, αν και η Microsoft είχε κυκλοφορήσει ένα patch.
Αυτό φυσικά το γνωρίζουν και οι hackers. Ενημερώσεις υπάρχουν, αλλά υπάρχουν και συστήματα που δεν είναι ενημερωμένα.
Έτσι λοιπόν, που είναι η ασφάλεια;
Αν υποθέσετε ότι δεν υπάρχει ασφάλεια, θα έχετε περισσότερες πιθανότητες να κυκλοφορήσετε στο διαδίκτυο και να βγείτε ασφαλείς. Στόχος του άρθρου είναι να βγείτε υποψιασμένοι.
Δεν υπάρχουν εταιρείες που μπορούν να σας προστατέψουν, και αν το υπόσχονται λένε ψέματα. Ασφάλεια σημαίνει να γνωρίζεις ότι δεν υπάρχει, κάτι που σας προετοιμάζει για τα χειρότερα σενάρια.
- Mining: ελέγξτε αν μια σελίδα χρησιμοποιεί το σύστημά σας
- Keyloggers Ποια sites καταγράφουν τις πληκτρολογήσεις σας;