Hoe te controleren of uw pc of telefoon is beveiligd tegen speekselafscheiding en spook
Waarschuwing: Zelfs als u patches van Windows Update hebt geïnstalleerd, is uw pc mogelijk niet volledig beschermd tegen de CPU-fouten van de Meltdown en Spectre. Hier leest u hoe u kunt controleren of u volledig beschermd bent en wat u moet doen als u dat niet bent.
Om volledig te beschermen tegen Meltdown en Spectre, moet u een UEFI- of BIOS-update installeren van de pc-fabrikant en de verschillende softwarepatches. Deze UEFI-updates bevatten een nieuwe Intel- of AMD-processormicrocode die extra bescherming biedt tegen deze aanvallen. Helaas worden ze niet gedistribueerd via Windows Update, tenzij je een Microsoft Surface-apparaat gebruikt, dus moeten ze worden gedownload van de website van je fabrikant en handmatig worden geïnstalleerd.
Bijwerken: Op 22 januari kondigde Intel aan dat gebruikers zouden stoppen met het implementeren van de eerste UEFI-firmware-updates vanwege "hoger dan verwachte reboots en ander onvoorspelbaar systeemgedrag". Intel zei dat je moest wachten op een laatste UEFI-firmware-patch. Vanaf 20 februari heeft Intel stabiele microcode-updates uitgebracht voor Skylake, Kaby Lake en Coffee Lake, dat is het 6e, 7e en 8e generatie Intel Core-platform. PC-fabrikanten zouden binnenkort met het uitrollen van nieuwe UEFI-firmware-updates beginnen.
Als u een UEFI-firmware-update van uw fabrikant hebt geïnstalleerd, kunt u een patch van Microsoft downloaden om uw pc opnieuw stabiel te maken. Deze patch is beschikbaar als KB4078130 en schakelt de beveiliging tegen Spectre Variant 2 in Windows uit, waardoor wordt voorkomen dat de buggy UEFI-update systeemproblemen veroorzaakt. U hoeft deze patch alleen te installeren als u een buggy UEFI-update van uw fabrikant hebt geïnstalleerd en deze niet automatisch wordt aangeboden via Windows Update. Microsoft zal deze bescherming in de toekomst opnieuw inschakelen wanneer Intel stabiele microcode-updates vrijgeeft.
De eenvoudige methode (Windows): download de InSpectre-tool
Om te controleren of je volledig beschermd bent, download je de InSpectre-tool van Gibson Research Corporation en voer je het uit. Het is een eenvoudig te gebruiken grafisch hulpmiddel dat u deze informatie toont, zonder het gedoe van het uitvoeren van PowerShell-opdrachten en het decoderen van de technische uitvoer.
Nadat u deze tool heeft uitgevoerd, ziet u enkele belangrijke details:
- Kwetsbaar voor afsmelting: Als dit "JA!" Zegt, moet u de patch installeren vanaf Windows Update om uw computer te beschermen tegen Meltdown- en Spectre-aanvallen.
- Kwetsbaar voor Spectre: Als dit "JA!" Zegt, moet u de UEFI-firmware of BIOS-update van de fabrikant van uw pc installeren om uw computer tegen bepaalde Spectre-aanvallen te beschermen.
- Prestatie: Als dit iets anders zegt dan "GOED", hebt u een oudere pc die niet over de hardware beschikt waarmee de patches goed werken. U ziet waarschijnlijk een merkbare vertraging, volgens Microsoft. Als u Windows 7 of 8 gebruikt, kunt u dingen versnellen door een upgrade uit te voeren naar Windows 10, maar u hebt nieuwe hardware nodig voor maximale prestaties.
Je kunt een voor mensen leesbare uitleg zien van wat er precies met je pc gebeurt door naar beneden te scrollen. In de schermafbeeldingen hier hebben we bijvoorbeeld de Windows-besturingssysteempatch geïnstalleerd, maar geen UEFI- of BIOS-firmware-update op deze pc. Het is beschermd tegen Meltdown, maar heeft de UEFI- of BIOS (hardware) -update nodig om volledig beschermd te zijn tegen Spectre.
De opdrachtregelmethode (Windows): voer Microsoft PowerShell Script uit
Microsoft heeft een PowerShell-script beschikbaar gesteld dat u snel laat weten of uw pc is beveiligd of niet. Voor het uitvoeren ervan is de opdrachtregel vereist, maar het proces is eenvoudig te volgen. Gelukkig biedt Gibson Research Corporation nu het grafische nut dat Microsoft zou moeten hebben, zodat u dit niet meer hoeft te doen.
Als u Windows 7 gebruikt, moet u eerst de Windows Management Framework 5.0-software downloaden, waarmee een nieuwere versie van PowerShell op uw systeem wordt geïnstalleerd. Het onderstaande script zal niet goed werken zonder dit script. Als u Windows 10 gebruikt, is de nieuwste versie van PowerShell al geïnstalleerd.
Klik in Windows 10 met de rechtermuisknop op de knop Start en selecteer "Windows PowerShell (Admin)". Op Windows 7 of 8.1, doorzoek het menu Start voor "PowerShell", klik met de rechtermuisknop op de snelkoppeling "Windows PowerShell" en selecteer "Uitvoeren als beheerder".
Typ de volgende opdracht in de PowerShell-prompt en druk op Enter om het script op uw systeem te installeren
Installatiemodule SpeculationControl
Als u wordt gevraagd de NuGet-provider te installeren, typt u "y" en drukt u op Enter. Mogelijk moet u ook "y" opnieuw typen en op Enter drukken om de softwarerepository te vertrouwen.
Het standaard uitvoeringsbeleid staat niet toe dat u dit script uitvoert. Dus, om het script uit te voeren, bewaart u eerst de huidige instellingen, zodat u ze later kunt herstellen. Vervolgens wijzigt u het uitvoeringsbeleid zodat het script kan worden uitgevoerd. Voer de volgende twee opdrachten uit om dit te doen:
$ SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Type "y" en druk op Enter als je gevraagd wordt om te bevestigen.
Voer vervolgens de volgende opdrachten uit om het script daadwerkelijk uit te voeren:
Import-Module SpeculationControl
Get-SpeculationControlSettings
U zult informatie zien over of uw pc de juiste hardware-ondersteuning heeft. In het bijzonder, wil je twee dingen zoeken:
- De "Windows OS-ondersteuning voor branchespecifieke injectie-mitigatie" verwijst naar de software-update van Microsoft. Je zult willen dat dit aanwezig is om je te beschermen tegen zowel Meltdown als Spectre aanvallen.
- De "hardware-ondersteuning voor branchespecifieke injectiebeperking" verwijst naar de UEFI-firmware / BIOS-update die u van uw pc-fabrikant nodig zult hebben. Je zult willen dat dit aanwezig is om je te beschermen tegen bepaalde Spectre-aanvallen.
- De "Hardware vereist kernel VA-schaduw" wordt weergegeven als "True" op Intel-hardware, die kwetsbaar is voor Meltdown, en "False" op AMD-hardware, die niet kwetsbaar is voor Meltdown. Zelfs als u Intel-hardware hebt, bent u beschermd zolang de patch voor het besturingssysteem is geïnstalleerd en "Windows OS-ondersteuning voor kernel VA-schaduw is ingeschakeld" luidt "True".
Dus in de onderstaande schermafbeelding vertelt het commando me dat ik de Windows-patch heb, maar niet de UEFI / BIOS-update.
Deze opdracht geeft ook aan of uw CPU de hardwarefunctie "PCID-prestatie-optimalisatie" heeft, waardoor de fix hier sneller werkt. Intel Haswell en latere CPU's hebben deze functie, terwijl oudere Intel-processors niet over deze hardwareondersteuning beschikken en na het installeren van deze patches mogelijk meer een prestatieklimmer zien.
Voer de volgende opdracht uit om het uitvoeringsbeleid terug te zetten naar de oorspronkelijke instellingen nadat u klaar bent:
Set-ExecutionPolicy $ SaveExecutionPolicy -Scope Currentuser
Typ 'y' en druk op Enter als u hierom wordt gevraagd om te bevestigen.
Hoe de Windows Update-patch voor uw pc te krijgen
Als "Windows OS-ondersteuning voor branchespecifieke injectiebeperking aanwezig is" is onjuist, betekent dit dat uw pc de update van het besturingssysteem die tegen deze aanvallen beschermt nog niet heeft geïnstalleerd.
Om de patch op Windows 10 te krijgen, ga je naar Instellingen> Update en beveiliging> Windows Update en klik je op "Controleren op updates" om beschikbare updates te installeren. Ga in Windows 7 naar Configuratiescherm> Systeem en beveiliging> Windows Update en klik op "Controleren op updates".
Als er geen updates worden gevonden, veroorzaakt uw antivirussoftware mogelijk het probleem, omdat Windows het niet zal installeren als uw antivirussoftware nog niet compatibel is. Neem contact op met uw antivirussoftwareprovider en vraag om meer informatie over wanneer hun software compatibel zal zijn met de Meltdown- en Spectre-patch in Windows. Dit spreadsheet laat zien welke antivirussoftware is bijgewerkt voor compatibiliteit met de patch.
Andere apparaten: iOS, Android, Mac en Linux
Er zijn nu patches beschikbaar om te beschermen tegen Meltdown en Spectre op een breed scala aan apparaten. Het is onduidelijk of gameconsoles, streaming boxes en andere gespecialiseerde apparaten worden beïnvloed, maar we weten dat de Xbox One en de Raspberry Pi dat niet zijn. Zoals altijd raden we aan up-to-date te blijven met beveiligingspatches op al uw apparaten. Hier leest u hoe u kunt controleren of u de patch al hebt voor andere populaire besturingssystemen:
- iPhones en iPads: Ga naar Instellingen> Algemeen> Software-update om de huidige versie van iOS te controleren die u hebt geïnstalleerd. Als je op zijn minst iOS 11.2 hebt, ben je beschermd tegen Meltdown en Spectre. Als dat niet het geval is, installeer dan alle beschikbare updates die op dit scherm verschijnen.
- Android-apparaten: Ga naar Instellingen> Over de telefoon of Over de tablet en bekijk het veld "Beveiligingsniveau van Android". Als u ten minste de beveiligingspatch van 5 januari 2018 heeft, bent u beschermd. Als dat niet het geval is, tikt u op de optie "Systeemupdates" op dit scherm om beschikbare updates te controleren en te installeren. Niet alle apparaten worden bijgewerkt, dus neem contact op met uw fabrikant of raadpleeg hun ondersteunende documenten voor meer informatie over wanneer en of er patches beschikbaar zijn voor uw apparaat.
- Macs: Klik op het Apple-menu boven aan uw scherm en selecteer "Over deze Mac" om te zien welke versie van het besturingssysteem u hebt geïnstalleerd. Als je tenminste macOS 10.13.2 hebt, ben je beschermd. Als u dat niet doet, start u de App Store en installeert u eventuele beschikbare updates.
- Chromebooks: Dit ondersteuningsdocument van Google laat zien welke Chromebooks kwetsbaar zijn voor Meltdown en of ze zijn gepatcht. Uw Chrome OS-apparaat controleert altijd op updates, maar u kunt handmatig een update starten door naar Instellingen> Over Chrome OS> Controleren en updates toe te passen.
- Linux-systemen: U kunt dit script uitvoeren om te controleren of u bent beveiligd tegen Meltdown en Spectre. Voer de volgende opdrachten uit in een Linux-terminal om het script te downloaden en uit te voeren:
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
sudo sh spectre-meltdown-checker.sh
Linux-kernelontwikkelaars werken nog steeds aan patches die volledig beschermen tegen Spectre. Raadpleeg uw Linux-distributie voor meer informatie over de beschikbaarheid van patches.
Windows- en Linux-gebruikers zullen echter nog een stap moeten zetten om hun apparaten te beveiligen.
Windows en Linux: hoe u de UEFI / BIOS-update voor uw pc kunt downloaden
Als "hardware-ondersteuning voor branchespecifieke injectiebeperking" niet klopt, moet u de UEFI-firmware of BIOS-update ophalen van de fabrikant van uw pc. Dus als u bijvoorbeeld een Dell-pc heeft, ga dan naar de ondersteuningspagina van Dell voor uw model. Als u een Lenovo-pc hebt, ga dan naar de Lenovo-website en zoek naar uw model. Als je je eigen pc hebt gebouwd, kijk dan op de website van je moederbordfabrikant voor een update.
Nadat u de ondersteuningspagina voor uw pc hebt gevonden, gaat u naar het gedeelte Stuurprogramma-downloads en zoekt u naar nieuwe versies van de UEFI-firmware of het BIOS. Als uw machine een Intel-processor heeft, hebt u een firmware-update nodig die de "december / januari 2018-microcode" van Intel bevat. Maar zelfs systemen met een AMD-processor hebben een update nodig. Als u er geen ziet, kijk dan in de toekomst of uw pc nog werkt als deze nog niet beschikbaar is. Fabrikanten moeten een afzonderlijke update uitgeven voor elk pc-model dat ze hebben uitgebracht, dus deze updates kunnen enige tijd duren.
Nadat u de update hebt gedownload, volgt u de instructies in de readme om deze te installeren. Meestal houdt dit in dat u het updatebestand op een flashstation plaatst en vervolgens het updateproces start vanuit uw UEFI- of BIOS-interface, maar het proces varieert van pc tot pc.
Intel zegt dat het updates zal publiceren voor 90% van de processors die in de afgelopen vijf jaar zijn uitgebracht tegen 12 januari 2018. AMD is al bezig met het vrijgeven van updates. Maar nadat Intel en AMD die updates van de processor-microcode hebben vrijgegeven, moeten fabrikanten ze nog steeds verpakken en aan u uitdelen. Het is onduidelijk wat er met oudere CPU's zal gebeuren.
Nadat u de update hebt geïnstalleerd, kunt u nogmaals controleren of de fix is ingeschakeld door het geïnstalleerde script opnieuw uit te voeren. Het moet "Hardware-ondersteuning voor branchespecifieke injectie-mitigatie" weergeven als "waar".
Je moet ook je browser patchen (en misschien andere applicaties)
De Windows-update en de BIOS-update zijn niet de enige twee updates die u nodig hebt. U moet ook uw webbrowser patchen, bijvoorbeeld. Als u Microsoft Edge of Internet Explorer gebruikt, is de patch opgenomen in Windows Update. Voor Google Chrome en Mozilla Firefox moet u ervoor zorgen dat u beschikt over de nieuwste versie: deze browsers worden automatisch bijgewerkt, tenzij u er alles aan hebt gedaan om dit te wijzigen, zodat de meeste gebruikers niet veel hoeven te doen. De eerste fixes zijn beschikbaar in Firefox 57.0.4, die al is uitgebracht. Google Chrome ontvangt patches die beginnen met Chrome 64, die is gepland voor release op 23 januari 2018.
Browsers zijn niet het enige stukje software dat moet worden bijgewerkt. Sommige hardwarestuurprogramma's zijn mogelijk kwetsbaar voor Spectre-aanvallen en hebben ook updates nodig. Elke toepassing die niet-vertrouwde code interpreteert, zoals hoe webbrowsers JavaScript-code interpreteren op webpagina's, heeft een update nodig om te beschermen tegen Spectre-aanvallen. Dit is nog een reden te meer om al uw software altijd up-to-date te houden.
Beeldcredits: Virgiliu Obada / Shutterstock.com en cheyennezj / Shutterstock.com