ไม่ใช่เรื่องที่บริษัทเทคโนโลยีอยากจะดังในช่วงปีใหม่: นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ได้เปิดเผยข้อบกพร่องด้านความปลอดภัยขนาดใหญ่ที่อาจส่งผลกระทบต่อคอมพิวเตอร์ส่วนบุคคลและสมาร์ทโฟนส่วนใหญ่ที่เคยสร้างมา
ข้อบกพร่องด้านความปลอดภัย 2 ประการที่นักวิจัยเรียกว่า Meltdown และ Spectre ในทางทฤษฎีอนุญาตให้ใช้ตัวประมวลผลเพื่อขโมยรหัสผ่านและข้อมูลผู้ใช้ที่ละเอียดอ่อนอื่น ๆ จากอุปกรณ์เกือบทุกชนิดที่สร้างขึ้นในช่วง 20 ปีที่ผ่านมาตามรายงานของ New York Times
นักวิจัยด้านความปลอดภัยรวมทั้ง Jann Horn ที่ Google
และนักวิชาการจาก Graz University of Technology ได้ค้นพบข้อบกพร่องดังกล่าว พวกเขาได้เปิดเผยข้อบกพร่องแก่บริษัทเทคโนโลยีรายใหญ่ๆ อย่าง Microsoft และ Apple เมื่อปีที่แล้วแล้ว และได้วางแผนที่จะเปิดเผยต่อสาธารณะ
ในทางกลับกัน การเปิดเผยข้อมูลรั่วไหลได้บีบบังคับบริษัทเทคโนโลยี และพวกเขาก็พยายามผลักดันการอัปเดต ด้วยความเร่งรีบ พวกเขาได้นำเสนอข้อผิดพลาดที่ทำให้คอมพิวเตอร์บางเครื่องปิดตัวลงโดยไม่คาดคิด และตอนนี้กำลังรอการป้องกันที่แท้จริง
เมื่อใกล้สิ้นเดือนมกราคมMicrosoft ได้ถอนการอัปเดตเพื่อแก้ไขช่องโหว่เนื่องจากปัญหาเหล่านี้ สิ่งนี้เกิดขึ้นประมาณหนึ่งสัปดาห์หลังจากผู้ผลิตโปรเซสเซอร์ Intel ซึ่งพัฒนาแพตช์อัพเดต แนะนำให้เปลี่ยนกลับ
Intel ยังได้รับแจ้งถึงช่องโหว่ที่อาจเกิดขึ้นก่อนที่จะเกิดการรั่วไหล และอาจเป็นเรื่องที่น่าสังเกตว่า Brian Krzanich CEO ของบริษัท ขายหุ้นและตัวเลือกของบริษัทจำนวน 24 ล้านดอลลาร์ในช่วงปลายเดือนพฤศจิกายนตามรายงานของ Business Insider
ยังไม่มีหลักฐานว่าแฮกเกอร์ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย แต่เมื่อข้อบกพร่องถูกเปิดเผยต่อสาธารณะ อุปกรณ์ของคุณจะกลายเป็นเป้าหมายที่พร้อม และเป็นเพียงเรื่องของเวลาก่อนที่แฮ็กเกอร์จะหาวิธีเข้าถึงข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน บัญชีธนาคารออนไลน์ และอีเมลของคุณ หากคุณทิ้งอุปกรณ์ไว้โดยไม่มีการป้องกัน
โชคไม่ดีที่ทุกวันนี้ การแสวงหาผลประโยชน์เป็นเรื่องปกติ
เนื่องจากนักวิจัยด้านความปลอดภัยมีส่วนร่วมในการแข่งขันอาวุธกับแฮกเกอร์และแม้แต่ประเทศต่างๆเพื่อสร้างกำแพงรอบโลกของอุปกรณ์ที่เชื่อมต่อกันมากขึ้น
ใช้เวลาในเดือนมิถุนายนไปกับนิยายเกี่ยวกับลัทธิล่าอาณานิคม ระบบทุนนิยมทางเทคโนโลยี และมะพร้าว
การล่มสลายและ Spectre นั้นอยู่นอกเหนือบรรทัดฐาน อย่างไรก็ตาม เนื่องจากอนุญาตให้ใช้ช่องโหว่ในระดับฮาร์ดแวร์ ซิลิกอนในเครื่องของคุณ นั่นทำให้การแก้ไขปัญหามีความท้าทายมากขึ้น เนื่องจากช่องโหว่ดังกล่าวทำให้สามารถเข้าถึงส่วนพื้นฐานที่สุดของคอมพิวเตอร์ของคุณได้
Meltdown และ Spectre ทำงานอย่างไร
โปรเซสเซอร์เป็นหนึ่งในองค์ประกอบสำคัญของอุปกรณ์ดิจิทัล ช่วยให้อุปกรณ์ของคุณ “คิด” ด้วยการคำนวณจำนวนเล็กน้อยต่อวินาที
อุปกรณ์สมัยใหม่ทำงานใน “แบบขนาน” ทำให้โปรเซสเซอร์สามารถคำนวณแอปพลิเคชันต่างๆ ได้ในเวลาเดียวกัน นอกจากนี้ยังสามารถเก็บข้อมูลเล็กๆ น้อยๆ ได้อีกด้วย พวกเขาสามารถดำเนินการ “การเก็งกำไร” โดยคาดเดาการกระทำที่น่าจะเป็นไปได้มากที่สุดที่คุณอาจดำเนินการเพื่อให้สามารถประมวลผลได้เร็วขึ้น
ความซับซ้อนของโปรเซสเซอร์นี้เป็นสิ่งที่สามารถใช้ประโยชน์ได้อย่างแท้จริง ทำให้สามารถเข้าถึง “เคอร์เนล” ซึ่งเป็นระบบควบคุมระดับสูงสุดของคอมพิวเตอร์ของคุณ
ตามที่The Verge อธิบาย :
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถประนีประนอมหน่วยความจำพิเศษของโปรเซสเซอร์ได้โดยการใช้ประโยชน์จากวิธีการทำงานแบบคู่ขนานกัน พวกเขายังอนุญาตให้ผู้โจมตีใช้โค้ด JavaScript ที่ทำงานในเบราว์เซอร์เพื่อเข้าถึงหน่วยความจำในกระบวนการของผู้โจมตี เนื้อหาในหน่วยความจำนั้นอาจมีการกดแป้น รหัสผ่าน และข้อมูลที่มีค่าอื่นๆ
ดูเหมือนว่าการล่มสลายจะส่งผลกระทบต่อโปรเซสเซอร์ของ Intel เท่านั้น แต่บริษัทมีการผูกขาดโปรเซสเซอร์สำหรับคอมพิวเตอร์ส่วนบุคคลและเซิร์ฟเวอร์ อย่างไรก็ตาม Spectre เป็นข้อบกพร่องทั่วไปและอาจส่งผลกระทบต่ออุปกรณ์มากขึ้น แม้ว่าผู้เชี่ยวชาญกล่าวว่าข้อบกพร่องนั้นยากที่จะใช้ประโยชน์
ตามที่นักวิจัยด้านความปลอดภัยที่ค้นพบช่องโหว่ ข้อมูลที่มีความเสี่ยง “อาจรวมถึงรหัสผ่านของคุณที่จัดเก็บไว้ในตัวจัดการรหัสผ่านหรือเบราว์เซอร์ รูปภาพส่วนตัว อีเมล ข้อความโต้ตอบแบบทันที และแม้แต่เอกสารที่สำคัญทางธุรกิจ”
การเชื่อมต่อที่เพิ่มขึ้นของสินค้าอุปโภคบริโภค เช่น ตู้เย็นหรือ คั้นน้ำผลไม้อัจฉริยะทำให้การหาประโยชน์เหล่านี้เป็นอันตรายอย่างยิ่ง
ตามรายงานของ Times แฮกเกอร์สามารถเช่าพื้นที่บนบริการคลาวด์ที่ไม่ได้รับการแก้ไขและเข้าถึงข้อมูลลูกค้าได้อย่างง่ายดาย:
นั่นเป็นภัยคุกคามที่สำคัญต่อการทำงานของระบบคลาวด์คอมพิวติ้ง บริการคลาวด์มักใช้เครื่องร่วมกับลูกค้าจำนวนมาก — และเป็นเรื่องปกติที่เซิร์ฟเวอร์เครื่องเดียวจะทุ่มเทให้กับลูกค้ารายเดียว แม้ว่าเครื่องมือรักษาความปลอดภัยและโปรโตคอลจะมีจุดประสงค์เพื่อแยกข้อมูลของลูกค้า แต่ข้อบกพร่องของชิปที่เพิ่งค้นพบจะช่วยให้ผู้ไม่หวังดีสามารถหลีกเลี่ยงการป้องกันเหล่านี้ได้
บริษัทผู้ให้บริการระบบคลาวด์ที่ใหญ่ที่สุด เช่น Google และ Amazon กล่าวว่าพวกเขาได้แก้ไขปัญหาเกี่ยวกับระบบแล้ว แต่บริการคลาวด์เป็นส่วนที่เพิ่มขึ้นของธุรกิจออนไลน์และออฟไลน์จำนวนมาก ซึ่งอาจไม่ได้ดำเนินการอย่างรวดเร็ว
ฉันจะป้องกันตัวเองได้อย่างไร
การแก้ไขอยู่ในระหว่างดำเนินการสำหรับ Meltdown และบางส่วนได้ดำเนินการไปแล้ว เพื่อสร้างปัญหาเพิ่มเติมเท่านั้น Intel จะออกอัพเดตเฟิร์มแวร์ในเดือนนี้สำหรับโปรเซสเซอร์ที่ผลิตในช่วงห้าปีที่ผ่านมา
การอัปเดตทั้งหมดนั้นเพียงแค่ต้องตรวจสอบว่าคุณได้อัปเดตระบบปฏิบัติการของอุปกรณ์เป็นเวอร์ชันล่าสุดแล้ว อย่างไรก็ตาม หากคุณประสบปัญหาการปิดระบบหรือปัญหาอื่นๆ กับคอมพิวเตอร์ของคุณ คุณอาจต้องดาวน์โหลดการย้อนกลับของการอัปเดตด้วยตนเอง อย่างไรก็ตาม การทำเช่นนี้จะทำให้อุปกรณ์ของคุณมีความเสี่ยง
การแก้ไขสำหรับ Spectre อาจต้องมีการเปลี่ยนแปลงฮาร์ดแวร์ ซึ่งอาจต้องใช้เวลาหลายปีกว่าจะออกมาดีในขณะที่ผู้คนซื้ออุปกรณ์ใหม่ Intel ได้ประกาศว่าชิปโปรเซสเซอร์รุ่นต่อไปจะป้องกัน Spectre
ในขณะที่คุณรอการแก้ไข สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือเปิดใช้งานการตรวจสอบสิทธิ์สองปัจจัยซึ่งใช้รหัสเข้าสู่ระบบจากโทรศัพท์หรืออีเมลของคุณ เปิดใช้งานสิ่งนี้ในบัญชีที่ละเอียดอ่อนให้ได้มากที่สุด สร้างรหัสผ่านที่ยาว และอย่าใช้ซ้ำ พิจารณาตัวจัดการรหัสผ่านด้วย ซึ่งสามารถสร้างรหัสผ่านให้คุณได้ (แต่ตรวจสอบให้แน่ใจว่าตัวจัดการนั้นปลอดภัย)
นี่เป็นเพียงคำแนะนำที่ดีโดยทั่วไป ไม่ว่าข้อบกพร่องเฉพาะเหล่านี้จะถูกเอาเปรียบโดยแฮ็กเกอร์หรือไม่ก็ตาม ข้อบกพร่องในอนาคตก็จะเป็นเช่นนั้นอย่างแน่นอน
และการแก้ไขซอฟต์แวร์สำหรับ Meltdown อาจไม่สมบูรณ์แบบ: Patches for Meltdown อาจทำให้คอมพิวเตอร์ทำงานช้าลงในบางกรณี Andres Freund ผู้พัฒนาซอฟต์แวร์บอกกับ New York Times ว่าเขาได้ยืนยันการชะลอตัวอย่างมีนัยสำคัญในการทดสอบบนเครื่อง Linux แต่ผู้เชี่ยวชาญคนอื่นบางคนกล่าวว่าการลดลงอย่างมากมักจะมีผลกับเซิร์ฟเวอร์และบริการคลาวด์เท่านั้น
Intel ได้เผยแพร่สถานการณ์ “กรณีที่ดีที่สุด”สำหรับการอัปเดต Windows และโปรเซสเซอร์ โดยแสดงการลดลงถึง 7 เปอร์เซ็นต์สำหรับงานบางอย่าง และมักจะน้อยกว่ามาก แต่บริษัทกล่าวว่าผู้ใช้ Windows ที่ใช้ระบบปฏิบัติการเวอร์ชันเก่าแทน Windows 10 อาจเห็นช่องว่างด้านประสิทธิภาพที่ใหญ่กว่า
สิ่งสำคัญที่สุด: อย่ารอช้าที่จะอัพเดทอุปกรณ์ของคุณเพราะกลัวว่าจะทำให้อุปกรณ์ช้าลง แต่ถ้าคุณยังใช้ Windows 7 หรือ 8 อยู่ ในที่สุดก็ถึงเวลาเปลี่ยนมาใช้ Windows 10 แล้ว
ฉันต้องสนใจเรื่องนี้จริงๆเหรอ?
ตอนนี้คุณคงลาออกจากวงจรความตื่นตระหนกของโค้ดที่เป็นอันตรายแล้ว: ข้อบกพร่องถูกค้นพบหรือใช้ประโยชน์ ข้อมูลส่วนบุคคลที่ละเอียดอ่อนนับล้านนั้น/ไม่ถูกบุกรุก และเราทุกคนกดปุ่มสองสามปุ่มเพื่อแก้ไข — และขอให้แฮ็กเกอร์เพิกเฉยต่อความไร้อำนาจของเรา .
แม้ว่าการคุกคามของข้อบกพร่องที่เพิ่งค้นพบเหล่านี้ยังคงเป็นเรื่องสมมุติ อาจจำเป็นต้องมีความรู้ด้านเทคนิคเพียงเล็กน้อยเพื่อใช้ประโยชน์จาก Meltdown โดยเฉพาะอย่างยิ่ง ทั้งหมดที่สามารถทำได้คือโฆษณาแบนเนอร์ที่น่ารำคาญเพื่อประนีประนอมอุปกรณ์ของคุณ
เพื่อความชัดเจน: คุณต้องกดปุ่มเหล่านั้นจริงๆ แม้ว่าจะมีการอัพเดทที่เร่งรีบที่ยุ่งเหยิงก็ตาม น่าเสียดายที่ข้อบกพร่องด้านความปลอดภัยระดับฮาร์ดแวร์อาจไม่ถูกยกเลิกในเร็ว ๆ นี้