In the last few months of 2017, security companies made their own forecasts about incoming cyberthreats and the measures that needed to be taken to ensure a better and cybersafer 2018, often advocating the use of protective software tools made by that vendor.  Lo and behold! 2018 started with a scenario hardly anyone could have foreseen. Two serious design vulnerabilities in CPUs were exposed that make it possible, although not always that easy, to steal sensitive, private information such as passwords, photos, perhaps even kriptografija potvrde.

O ovim se ranjivostima već pisalo puno: ako ste novi u temi, predlažemo vam da pročitate članak Aryeh Goretsky "Meltdown i Spectre CPU Vulnerabilities: What You Need to Know."

Now, there is a much larger underlying issue. Yes, software bugs happen, hardware bugs happen. The first are usually fixed by patching the software; in most cases the latter are fixed by updating the firmware. However, that is not possible with these two vulnerabilities as they are caused by a design flaw in the hardware architecture, only fixable by replacing the actual hardware.

Luckily, with cooperation between the suppliers of modern operating systems and the hardware vendors responsible for the affected CPUs, the Operating Systems can be patched, and complemented if necessary with additional firmware updates for the hardware. Additional defensive layers preventing malicious kod from exploiting the holes – or at least making it much harder – are an “easy” way to make your desktop, laptop, tablet and smartphone devices (more) secure. Sometimes this happens at the penalty of a slowdown in uređaj performance, but there’s more to security than obscurity and sometimes you just have to suck it up and live with the performance penalty. To be secure, the only other option is either to replace the faulty hardware (in this case, there is Ne zamjenu još) ili za isključenje uređaja s mreže, nikad ga više ne spajajte (danas to nije poželjno ili praktično).

I upravo tu počinju problemi. CPU-ovi AMD-a, ARM-a, Intel-a i vjerojatno drugi utječu na ove ranjivosti: konkretno, ARM CPU-ovi koriste se u velikom broju IoT uređaja, a to su uređaji koje svi imaju, ali zaboravljaju da ih imaju nakon što rade, a to ostavlja golemu prazninu za cyber kriminalce da je iskoriste. Prema ARM, već "osiguravaju" milijun (1,000,000,000,000) uređaja. Odobreno, nisu pogođeni svi ARM CPU-ovi, ali ako ih je čak 0.1%, to još uvijek znači milijardu (1,000,000,000) pogođenih uređaja.

Now I can čuti already someone say “What kind of sensitive datum can be stolen from my Wi-Fi-controlled light? Or my refrigerator? Or from my digitalni photo frame? Or from my Smart TV?” The answer is simple: lots. Think about your Wi-Fi password (which would make it possible for anyone to get onto your local network), your photos (luckily you only put the pristojan photos on the digital photo frame in your living room, right? Or did you konfigurirati it to connect automatically to Instagram or DropBox to fetch your newly-taken pictures?), your credentials to Netflix? Your… Eh… There is a lot of information people nowadays store on IoT devices.

Također čitajte  Asus najavio Intel EVO ovjereni kabriolet 13-inčni OLED prijenosnik (UX363) i najnovije igraće prijenosno računalo ROG Strix SCAR 15/17

Da bi bili pošteni, za pristup tim IoT uređajima vaši napadači moraju već ugroziti mrežu da bi ušli u njih? Ili moraju ugroziti lanac opskrbe ili kompromitirati aplikacije ili widgete koji se mogu izvoditi na uređaju ili ... Postoji mnogo načina da pristupite tim uređajima.

Nije izvedivo, u stvari čak ni moguće zamijeniti sve CPU na svim uređajima. Bilo bi preskupo, osim što stopa uspjeha za lemljenje i razvrgavanje probnih slojeva u višeslojnim pločama nikada neće biti 100%. U stvarnom svijetu ljudi će zadržati svoje postojeće uređaje dok ti uređaji ne dođu do kraja životnog ciklusa. Dakle, godinama će ljudi imati kućanstva s ranjivim uređajima.

Znate li koliko IoT uređaja imate na vašoj lokalnoj mreži? Vjerojatno ne. Možda postoje neki uređaji za koje nikad niste shvatili da postoje uopće u vašem kućanstvu. Zašto ne isprobati ESET Internet Security ili ESET Smart Security, s ažuriranim Povezani kućni monitor, koji će pomoći you identify all the network-aware devices in your network, and in many cases can identify vulnerabilities in those devices. It will also oprezan vi kad se na vašu mrežu poveže uređaj koji nije ranije viđen.

Noćna mora nakon svečane sezone (i Meltdown, i Spectre)

Kao što je spomenuto, bilo bi preskupo zamijeniti sve neispravne CPU-e, posebno na jeftinijim IoT uređajima. Na njima čak i ažuriranje upravljačkog softvera ili (krpanje) operativnog sustava možda neće biti moguće. Kao upozorenje, kada kupujete novi IoT uređaj, ima smisla provjeriti na kojem CPU-u se pokreće i je li na taj CPU pogođena ta ranjivost. Očekuje se da proizvođač može iznenada jeftino ponuditi neke uređaje, nadajući se da će tako očistiti svoj popis starih (pogrešnih) procesora tijekom proizvodnje novih uređaja s ažuriranim procesorima, kada ti postanu dostupni. Tako: caveat emptor, Cjenkanje može ispasti noćna mora nakon što ga povežete s mrežom.

Dno crta: IoT ili "pametni" uređaji su tu da ostanu, pod utjecajem ili ne, pa budite razumni s informacijama koje pohranjujete u njima.