Защита от Spectre и Meltdown

Как не следует решать проблемы безопасности, в настоящий момент можно увидеть на примере Intel и других компаний, которые, выпуская патчи для закрытия уязвимостей аппаратной части процессоров, устроили настоящий хаос. Лучше взяться за дело самим.

Что может быть хуже незакрытой уязвимости в безопасности? Только обновление для ее устранения, выводящее ПК из строя. Именно это случилось, когда Intel попыталась закрыть баги в аппаратной части собственных процессоров. Но это всего лишь одна из неприятностей, которая может произойти в результате атак Spectre и Meltdown, и именно она с самого начала января держит пользователей в напряжении. Картину дополняют противоречивые заявления AMD об уязвимости, оглушительная тишина из стана Android и обновления Windows, которые конфликтуют с антивирусными программами. А тот факт, что уязвимости подвержены почти все компьютеры, вызывает у пользователей по всему миру только еще большее беспокойство. Рассказываем, как можно защититься.


Самая большая проблема уязвимостей заключается в том, что их нельзя устранить одним-единственным патчем. Над задачей бьются производители аппаратного обеспечения, разработчики драйверов и программ. Тем не менее первый совет прост: запускайте обновление Windows и устанавливайте свежие патчи. Но для этого нужно, чтобы ваш антивирус также регулярно обновлялся, поскольку некоторые версии конфликтуют с получаемыми обновлениями Windows. На всякий случай лучше лишний раз обновить сканер и только потом запустить обновление ОС. Это позволит защитить вашу Windows от угрозы Meltdown и как минимум вставит Spectre палки в колеса.



Для проверки подверженности системы угрозам Spectre и Meltdown существуют различные инструменты, которые также следует использовать. Из них самый простой в применении — Spectre Meltdown CPU Checker от Ashampoo. Нужно только шелкнуть по кнопке «Start security check», и утилита за несколько секунд проведет проверку системы. Если вы установили обновления Windows, то ваша система не должна быть подвержена угрозе Meltdown — в отличие от Spectre. Недостаток утилиты Ashampoo — в неполном обзоре состояния патчей. Для тестирования наличия уязвимости процессора утилита использует специальный модуль PowerShell под названием SpeculationControl, выпушенный Microsoft. Собственно модуль предназначен для продвинутых пользователей, которых не пугает перспектива работы с командной строкой. Установка модуля требует проведения некоторых операций в консоли PowerShell с правами администратора. Выполните в Windows 10 следующие четыре команды одну задругой. Для шагов I и 2 подтвердите возможные запросы вводом «А»:
1 Install-Module SpeculationControl
2 Set-ExecutionPolicy RemoteSigned -Scope Currentuser
3 Import-Module SpeculationControl
4 Get-SpeculationControlSettings

Результат, который в итоге отобразится, может сначала показаться запутанным, но на странице https://support.mierosoft. com/de-de/help/4074629 Microsoft предлагает объяснение. Важно, чтобы вверху появилась зеленая строчка «Windows OS support for branch target injection is present: True», — она означает, что на вашем компьютере установлены патчи безопасности Microsoft. Больше из Windows вы не сможете ничего сделать, остальное нужно исправить через обновление BIOS или микрокода.


Мало кто следит за обновлениями BIOS, даже если регулярно обновляет систему. Проблема в том, что поставщики ПК, ноутбуков или материнских плат по-разному выпускают обновления, а их автоматическая установка, как для системы Windows, обычно не предусматривается. Компания Intel информирует о решении проблем на этой странице, AMD — здесь.

Но обновлений вы там не получите. Если вы сами собирали ПК. то будете иметь дело с поставщиком материнской платы. Если же вы купили готовый ПК или ноутбук, перейдите на сайт производителя и поищите обновления BIOS. Но наша выборочная проверка, увы, нас обескуражила: производители фактически не предоставляют обновления. Главным образом это связано с тем, что производители процессоров еще не приступали к активным действиям. С 12 января Intel начала было выпускать обновления микрокода, но через десять дней вынуждена была их отозвать из-за возникновения ошибок. Внимательные пользователи. поспешившие обновить BIOS, из-за этих ошибок попали в неприятности. Тем не менее обновления BIOS для системы, если они доступны, запускать нужно. Только не торопитесь: обновления могуг подождать день-другой, а вам следует сначала убедиться, что проблем с обновлениями от производителя нет. Если ничего страшного за это время не происходит, можете устанавливать новую BIOS без особого риска для системы.



Если вы уж находитесь на сайте производителя устройств, просмотрите заодно обновления драйверов. Наиболее уязвимы видеокарты. Многоуровневая защита от Spectre и Meltdown точно так же зависит от обновлений программ, и прежде всего это касается браузеров. По ссылке можно проверить веб-обозреватель на наличие уязвимостей. Не пугайтесь китайских иероглифов, нажмите «Click to check». Свежие версии браузеров в любом случае должны обеспечить должную защиту, патчи получили как Chrome и Firefox, так и Edge, Internet Explorer и Opera. Для других программ вопрос Spectre и Meltdown тоже актуален, так что регулярно обновляйте все установленные приложения. Такие утилиты, как Software Update Monitor (SUMo), позволят отслеживать обновления для ПО.



Одно только обновление до iOS 11.2 уже обеспечивает iPhone и iPad базовую защиту. Однако сей факт также означает, что ваше устройство от Apple будет беззащитно, если оно не поддерживает iOS 11. С Android ситуация неоднозначна. Google до сих пор выпускает патчи только для новых версий Android, а получат ли их многочисленные устройства от сторонних производителей, неизвестно. По ссылке можно проверить, выпущены ли обновления для конкретной модели; узнать наверняка можно также непосредственно на сайте производителя смартфона.