Как да проверите дали вашият компютър или телефон е защитен срещу разтопяване и спектър

Предупреждение: Дори ако сте инсталирали кръпки от Windows Update, вашият компютър може да не е напълно защитен от дефектите на процесора Meltdown и Spectre. Ето как да проверите дали сте напълно защитени и какво да правите, ако не сте.

За да се защитите напълно срещу Meltdown и Spectre, трябва да инсталирате актуализация на UEFI или BIOS от производителя на компютъра, както и различните софтуерни пачове. Тези UEFI актуализации съдържат нов Intel или AMD процесор микрокод, който добавя допълнителна защита срещу тези атаки. За съжаление, те не се разпространяват чрез актуализацията на Windows - освен ако не използвате устройство на Microsoft Surface - така че трябва да се изтеглят от уебсайта на производителя и да се инсталират ръчно.

Актуализация: На 22 януари Intel обяви, че потребителите трябва да спрат да внедряват първоначалните актуализации на фърмуера на UEFI поради „по-високи от очакваните рестартирания и друго непредсказуемо поведение на системата“. Intel каза, че трябва да изчакате окончателния UEFI фърмуер. От 20 февруари Intel пусна стабилни актуализации на микрокодове за Skylake, Kaby Lake и Coffee Lake, което е 6-та, 7-та и 8-ма поколение Intel Core платформи. Производителите на компютри трябва скоро да започнат да предлагат нови фърмуерни актуализации на UEFI.

Ако сте инсталирали актуализация на фърмуера на UEFI от производителя, можете да изтеглите пластир от Microsoft, за да направите вашия компютър отново стабилен. Наличен като KB4078130, тази корекция забранява защитата срещу Spectre Variant 2 в Windows, което не позволява бъгите UEFI актуализации да причиняват системни проблеми. Необходимо е само да инсталирате тази корекция, ако сте инсталирали актуална актуализация на UEFI от вашия производител и не се предлага автоматично чрез Windows Update. Microsoft ще активира отново тази защита в бъдеще, когато Intel пусне стабилни актуализации на микрокод.

Лесният метод (Windows): Изтеглете InSpectre Tool

За да проверите дали сте напълно защитени, изтеглете инструмента за InSpectre на Gibson Research Corporation и го стартирайте. Това е лесен за използване графичен инструмент, който ще ви покаже тази информация, без да се налага да изпълнявате командите на PowerShell и да декодирате техническите изходни данни.

След като стартирате този инструмент, ще видите няколко важни подробности:

• Уязвима за разтопяване: Ако това се казва "ДА!", Ще трябва да инсталирате кръпката от Windows Update, за да защитите компютъра си от атаки с разрушаване и атаки на Spectre..
• Уязвима за Spectre: Ако това се казва "YES!", Ще трябва да инсталирате фърмуера на UEFI или актуализацията на BIOS от производителя на вашия компютър, за да защитите компютъра си от определени атаки на Spectre..
• производителност: Ако това казва нещо различно от "GOOD", имате по-стар компютър, който не разполага с хардуер, който прави лепенките да работят добре. Вероятно ще видите забележимо забавяне, според Microsoft. Ако използвате Windows 7 или 8, можете да ускорите някои неща, като надстроите до Windows 10, но ще ви е необходим нов хардуер за максимална производителност.

Можете да видите обяснение, което може да бъде прочетено от човека, какво точно се случва с вашия компютър чрез превъртане надолу. Например в скрийншота тук сме инсталирали пластира за операционната система на Windows, но не и UEFI или BIOS фърмуера на този компютър. Той е защитен срещу Meltdown, но се нуждае от UEFI или BIOS (хардуерна) актуализация, за да бъде напълно защитена срещу Spectre.

Методът на командния ред (Windows): Изпълнете Microsoft PowerShell Script

Microsoft предостави сценарий PowerShell, който бързо ще ви каже дали вашият компютър е защитен или не. Изпълнението ще изисква командния ред, но процесът е лесен за следване. За щастие, Gibson Research Corporation вече предоставя графичната помощна програма, която Microsoft трябва да има, така че вече не е нужно да правите това.

Ако използвате Windows 7, първо трябва да изтеглите софтуера Windows Management Framework 5.0, който ще инсталира по-нова версия на PowerShell на вашата система. Скриптът по-долу няма да работи правилно без него. Ако използвате Windows 10, вече имате инсталирана най-новата версия на PowerShell.

В Windows 10 щракнете с десния бутон върху бутона "Старт" и изберете "Windows PowerShell (Admin)". В Windows 7 или 8.1 потърсете в менюто "Старт" за "PowerShell", щракнете с десния бутон на мишката върху прекия път на Windows PowerShell и изберете "Run as Administrator"..

Въведете следната команда в подканата PowerShell и натиснете Enter, за да инсталирате скрипта на вашата система

Инсталирайте модул SpeculationControl

Ако бъдете подканени да инсталирате NuGet доставчика, въведете “y” и натиснете Enter. Може да се наложи да напишете отново "y" и да натиснете Enter, за да се доверите на софтуерното хранилище.

Стандартната политика за изпълнение няма да ви позволи да стартирате този скрипт. Така че, за да стартирате скрипта, първо ще запишете текущите настройки, за да можете да ги възстановите по-късно. След това ще промените политиката за изпълнение, така че скриптът да може да работи. Изпълнете следните две команди, за да направите това:

$ SaveExecutionPolicy = Get-ExecutionPolicy

Set-ExecutionPolicy RemoteSigned -Scope Currentuser

Напишете „y“ и натиснете Enter, когато бъдете помолени да потвърдите.

След това, за да стартирате скрипта, изпълнете следните команди:

Модул за импортиране на SpeculationControl

Get-SpeculationControlSettings

Ще видите информация за това дали вашият компютър има подходяща хардуерна поддръжка. По-специално, ще искате да търсите две неща:

• Поддръжката на Windows OS за смекчаване на инжекционната цел се отнася до софтуерната актуализация от Microsoft. Вие ще искате това да присъства, за да предпазите от атаки срещу Meltdown и Spectre.
• “Хардуерната поддръжка за смекчаване на инжекционното вграждане” се отнася до актуализацията на фърмуера / BIOS на UEFI, която ще ви е необходима от производителя на компютъра. Вие ще искате това да присъства, за да защитите срещу определени атаки на Spectre.
• "Хардуерът изисква сенки на ядрото VA" ще се покаже като "True" на хардуера на Intel, който е уязвим към Meltdown, и "False" на хардуера на AMD, който не е уязвим към Meltdown. Дори ако имате хардуер на Intel, сте защитени, докато се инсталира кръпката на операционната система и "поддръжката на Windows OS за ядрото VA е включена", гласи "True".

Така че на екрана по-долу, командата ми казва, че имам пластир за Windows, но не и UEFI / BIOS update.

Тази команда показва също така дали вашият процесор има хардуерна характеристика за оптимизация на производителността на PCID, която прави по-бързо корекцията тук. Intel Haswell и по-новите процесори имат тази функция, докато по-старите Intel процесори не разполагат с тази хардуерна поддръжка и могат да видят по-голяма производителност след инсталирането на тези пачове.

За да възстановите първоначалните настройки след като сте готови, изпълнете следната команда:

Set-ExecutionPolicy $ SaveExecutionPolicy -Scope Currentuser

Напишете „y“ и натиснете Enter, когато бъдете подканени да потвърдите.

Как да изтеглите Windows Update за вашия компютър

Ако „поддръжката на Windows OS за смекчаване на инжекцията с цел разклоняване е налице“ е невярна, това означава, че вашият компютър все още не е инсталирал актуализацията на операционната система, която да защитава срещу тези атаки.

За да получите пластира на Windows 10, отворете Settings> Update & security> Windows Update и щракнете върху "Check for updates", за да инсталирате всички налични актуализации. В Windows 7 отворете Контролен панел> Система и защита> Windows Update и кликнете върху "Проверка за актуализации".

Ако не са намерени актуализации, вашият антивирусен софтуер може да причинява проблема, тъй като Windows няма да я инсталира, ако антивирусният ви софтуер все още не е съвместим. Свържете се с доставчика на антивирусен софтуер и поискайте повече информация за това кога софтуерът им ще бъде съвместим с пластирът Meltdown и Spectre в Windows. Тази електронна таблица показва кой антивирусен софтуер е актуализиран за съвместимост с корекцията.

Други устройства: iOS, Android, Mac и Linux

Понастоящем има пачове, които предпазват от разтопяване и Spectre на голямо разнообразие от устройства. Не е ясно дали са засегнати игровите конзоли, кутии за стрийминг и други специализирани устройства, но знаем, че Xbox One и Raspberry Pi не са. Както винаги, препоръчваме ви да поддържате актуална информация за кръпките за сигурност на всичките си устройства. Ето как да проверите дали вече разполагате с кръпка за други популярни операционни системи:

• iPhone и iPads: Отидете в Настройки> Общи> Актуализация на софтуера, за да проверите текущата версия на инсталирания iOS. Ако имате поне iOS 11.2, сте защитени срещу Meltdown и Spectre. Ако не го направите, инсталирайте всички налични актуализации, които се появяват на този екран.
• Устройства с Android: Отидете в Настройки> Относно Телефон или За таблет и погледнете полето "Ниво на защитата на Android". Ако имате поне кръпка за сигурност от 5 януари 2018 г., сте защитени. Ако не го направите, докоснете опцията „Системни актуализации“ на този екран, за да проверите и инсталирате всички налични актуализации. Не всички устройства ще бъдат актуализирани, затова се свържете с производителя си или проверете техните подкрепящи документи за повече информация за това кога и дали ще бъдат налични лепенки за устройството ви..
• Mac-ове: Щракнете върху менюто Apple в горната част на екрана и изберете "About This Mac", за да видите каква версия на операционната система сте инсталирали. Ако имате поне macOS 10.13.2, сте защитени. Ако не го направите, стартирайте App Store и инсталирайте всички налични актуализации.
• Chromebooks: Този документ за поддръжка на Google показва кои Chromebook са уязвими за Meltdown и дали са били поправени. Устройството ви с Chrome OS винаги проверява за актуализации, но можете ръчно да инициирате актуализация, като се насочите към „Настройки“> „Chrome OS“> „Проверка и прилагане на актуализации“..
• Linux системи: Можете да изпълните този скрипт, за да проверите дали сте защитени срещу Meltdown и Spectre. Изпълнете следните команди в Linux терминала, за да изтеглите и стартирате скрипта:

  wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

  sudo sh spectre-meltdown-checker.sh

  Разработчиците на ядрото на Linux все още работят върху пачове, които ще защитят напълно Spectre. Консултирайте се с вашата Linux дистрибуция за повече информация относно наличността на кръпка.

Потребителите на Windows и Linux ще трябва да направят още една стъпка, за да защитят устройствата си.

Windows и Linux: Как да получите UEFI / BIOS Update за вашия компютър

Ако “поддръжката на хардуера за смекчаване на инжекционното вграждане” е невярна, ще трябва да получите актуализацията на UEFI или BIOS от производителя на компютъра. Така че, ако имате PC от Dell, например, отидете на страницата за поддръжка на Dell за вашия модел. Ако имате Lenovo компютър, отидете на уеб сайта на Lenovo и потърсете вашия модел. Ако сте си създали собствен компютър, проверете уеб сайта на производителя на дънната ви платка за актуализация.

След като намерите страницата за поддръжка на вашия компютър, отидете в раздела "Изтегляне на драйвери" и потърсете нови версии на фърмуера на UEFI или BIOS. Ако машината ви има процесор Intel, трябва да имате актуализация на фърмуера, която съдържа микрокода „декември / януари 2018“ от Intel. Но дори и системи с AMD процесор се нуждаят от актуализация. Ако не виждате такъв, проверете в бъдеще за актуализацията на компютъра, ако все още не е налице. Производителите трябва да издадат отделна актуализация за всеки пуснат на пазара модел, така че тези актуализации може да отнемат известно време.

След като изтеглите актуализацията, следвайте инструкциите в readme, за да я инсталирате. Обикновено това включва поставяне на файла за актуализация на флаш устройство, след това стартиране на процеса на обновяване от UEFI или BIOS интерфейса, но процесът ще варира от компютър до компютър.

Intel обяви, че ще пусне актуализации за 90% от процесорите, пуснати през последните пет години до 12 януари, 2018. AMD вече издава актуализации. Но след като Intel и AMD пуснаха тези обновления за микрокодовете на процесорите, производителите все още ще трябва да ги опаковат и да ги разпространяват. Не е ясно какво ще се случи с по-старите процесори.

След като инсталирате актуализацията, можете да проверите отново и да видите дали корекцията е активирана, като стартирате инсталирания скрипт отново. Тя трябва да покаже „Хардуерна поддръжка за смекчаване на инжекционната цел на отрасъл“ като „истинско“.

Също така трябва да обновите браузъра си (и може би други приложения)

Актуализацията на Windows и актуализацията на BIOS не са единствените актуализации, от които се нуждаете. Ще трябва също да поправите уеб браузъра си например. Ако използвате Microsoft Edge или Internet Explorer, корекцията е включена в Windows Update. За Google Chrome и Mozilla Firefox трябва да сте сигурни, че разполагате с най-новата версия - тези браузъри се актуализират автоматично, освен ако не сте се отказали да промените това, така че повечето потребители няма да трябва да правят много. Първоначалните поправки са налични във Firefox 57.0.4, който вече е бил освободен. Google Chrome ще получава пачове, започвайки с Chrome 64, който е предвиден за пускане на 23 януари 2018 година.

Браузърите не са единственият софтуер, който трябва да се актуализира. Някои хардуерни драйвери могат да бъдат уязвими за атаките на Spectre и да се нуждаят от актуализации. Всяко приложение, което интерпретира ненадежден код, подобно на това как уеб браузърите интерпретират JavaScript кода на уеб страниците, се нуждае от актуализация, за да се защити срещу атаките на Spectre. Това е още една добра причина да поддържате целия си софтуер актуален, през цялото време.

Кредит за снимката: Virgiliu Obada / Shutterstock.com и cheyennezj / Shutterstock.com