Intel, bajo la lupa

10
views
intel

Intel, bajo la lupa

Esta semana, dos nuevas vulnerabilidades de procesador desastrosas se extendieron a la luz pública, y el mundo de la tecnología aún se está reconciliando con el daño, luchando para emitir soluciones y máquinas seguras para sus clientes. Denominadas Meltdown y Spectre, afectan a casi todos los procesadores hechos en los últimos 20 años. Permiten a un atacante comprometer la memoria privilegiada de un procesador explotando la forma en que los procesos se ejecutan en paralelo, de igual forma, un atacante podría utilizar el código JavaScript que se ejecuta en un navegador, para acceder a la memoria. El contenido de la memoria podría ser contraseñas u otra información valiosa.

Meltdown y Spectre

Meltdown y Spectre aprovechan las vulnerabilidades críticas en los procesadores modernos. Estos errores de hardware permiten a los programas robar datos que actualmente se procesan en la computadora. Si bien, normalmente estos no tienen permiso para leer datos de otros, un programa malicioso puede explotar Meltdown y Spectre para obtener secretos guardados en la memoria de otros programas en ejecución. Esto podría incluir sus contraseñas almacenadas en un administrador de contraseñas o un navegador, fotos personales, correos electrónicos, mensajes instantáneos e incluso documentos críticos para el negocio.
Meltdown y Spectre trabajan en computadoras personales, dispositivos móviles y en la nube. Dependiendo de la infraestructura del proveedor de la nube, podría ser posible robar datos de otros clientes.
Meltdown es la amenaza inmediata, con exploits de prueba de concepto ya disponibles, pero Spectre es mucho más profundo y difícil de parchear, lo que potencialmente puede generar generaciones de exploits más sutiles en los años venideros.

Meltdown

Meltdown rompe el aislamiento más fundamental entre las aplicaciones del usuario y el sistema operativo. Este ataque permite que un programa acceda a la memoria y, por lo tanto, también a los secretos de otros programas y del sistema operativo.
Si su computadora tiene un procesador vulnerable y ejecuta un sistema operativo no parcheado, no es seguro trabajar con información confidencial sin la posibilidad de filtrar la información. Esto se aplica tanto a las computadoras personales como a la infraestructura de la nube. Afortunadamente, hay parches de software contra Meltdown.

Spectre

Spectre rompe el aislamiento entre diferentes aplicaciones. Permite a un atacante engañar a los programas sin errores, que siguen las mejores prácticas, para filtrar sus secretos. De hecho, los controles de seguridad de dichas mejores prácticas en realidad aumentan la superficie de ataque y pueden hacer que las aplicaciones sean más susceptibles a Spectre.
Spectre es más difícil de explotar que Meltdown, pero también es más difícil de mitigar. Sin embargo, es posible evitar exploits conocidos específicos basados en Spectre a través de parches de software.

Vulnerabilidad en la nube

El enfoque hasta ahora ha sido en dispositivos personales, con una avalancha de parches ya disponibles, pero muchos expertos creen que el daño más severo probablemente se produzca cuando los exploits se conecten a servicios en la nube.
“Estas vulnerabilidades permitirán a un inquilino analizar los datos de otro inquilino cohospedado… Esta es la razón por la cual muchas organizaciones evitan los servicios alojados cuando se trata de procesar información delicada”
Mounir Hahad, jefe de investigación de amenazas de Juniper Networks.
En una computadora personal, ese ataque sería más útil para la escalada de privilegios: un pirata informático que ejecute malware de bajo nivel podría usar un error de Spectre para poseer toda su computadora. Pero ya hay muchas formas de controlar una computadora una vez que tienes un punto de apoyo, y no está claro cuánto un nuevo ataque de procesador podría cambiar las cosas.
Pero la escalada de privilegios es mucho más fuerte en la nube, donde el mismo servidor podría funcionar para docenas de personas a la vez. Plataformas como Amazon Web Services y Google Cloud permiten que las empresas en línea difundan un solo programa en miles de servidores en centros de datos de todo el mundo, compartiendo hardware. El hardware colectivo no es un problema de seguridad porque incluso cuando diferentes usuarios están en el mismo servidor, están en diferentes instancias de software, sin posibilidad de pasar de una instancia a otra. Spectre podría cambiar eso, permitiendo que los atacantes roben datos de cualquier persona que comparte el mismo chip. Si un hacker querría realizar ese tipo de ataque, todo lo que tendrían que hacer es iniciar su propia instancia y ejecutar el programa.
Los servicios en la nube también son un objetivo lucrativo para cualquiera que desee sacar provecho de Spectre. Muchas empresas medianas administran toda su infraestructura en AWS o Google Cloud, a menudo confiando en la plataforma con información sensible y potencialmente lucrativa. Los intercambios de Bitcoin, las aplicaciones de chat e incluso las agencias gubernamentales mantienen contraseñas y otros datos confidenciales en los servidores de la nube. Si está ejecutando un servicio web moderno, simplemente no hay otra opción. Si alguien configuró un exploit nuevo en ejecución en una instancia de la nube, no hay forma de saber qué tipo de datos podrían fallar.
Hasta ahora, las plataformas en la nube toman en serio la amenaza y hacen todo lo posible para contenerla. Amazon Web Services, Google Cloud y Microsoft Azure implementaron inmediatamente parches contra el ataque Meltdown, y no hay indicios de que los exploits disponibles puedan funcionar contra ninguna de esas plataformas. Donde ha habido vulnerabilidades persistentes, es porque las compañías esperan parches de terceros, como las instancias basadas en Windows de Amazon EC2. Las principales plataformas han manejado bien la respuesta inmediata, y no hay razón para pensar que nos dirigimos hacia una catástrofe en la nube en los días inmediatamente posteriores.
El día de hoy, Intel realizó un comunicado donde asegura que ha emitido una actualización que convierte a los procesadores inmunes a las dos vulnerabilidades.

Comunicado completo de Intel

Intel ha desarrollado y está lanzando rápidamente actualizaciones para todo tipo de sistemas informáticos basados en Intel (incluidos ordenadores personales y servidores) que hacen que esos sistemas sean inmunes a ambos exploits (denominados “Spectre” y “Meltdown”) informados por Google Project Zero. Intel y sus socios han logrado avances significativos en la implementación de actualizaciones como parches de software y actualizaciones de firmware.
Intel ya ha emitido actualizaciones para la mayoría de los productos de procesador presentados en los últimos cinco años. A fines de la próxima semana, Intel espera haber emitido actualizaciones para más del 90 por ciento de los productos de procesador presentados en los últimos cinco años. Además, muchos proveedores de sistemas operativos, proveedores públicos de servicios en la nube, fabricantes de dispositivos y otros han indicado que ya han actualizado sus productos y servicios.
Intel continúa creyendo que el impacto en el rendimiento de estas actualizaciones depende en gran medida de la carga de trabajo y, para el usuario medio de la computadora, no debería ser significativo y se mitigará con el tiempo. Si bien en algunas cargas de trabajo discretas, el impacto en el rendimiento de las actualizaciones de software puede ser inicialmente mayor, la identificación, la prueba y la mejora posteriores a la implementación de las actualizaciones de software deberían mitigar ese impacto.
Las actualizaciones del sistema están disponibles a través de fabricantes de sistemas, proveedores de sistemas operativos y otros.
Intel continuará trabajando con sus socios y otros para abordar estos problemas, e Intel agradece su apoyo y asistencia. Intel alienta a los usuarios de computadoras de todo el mundo a utilizar las funciones de actualización automática de sus sistemas operativos y otros programas informáticos para garantizar que sus sistemas estén actualizados.

Para mas información puedes leer estos documentos que tienen todo el detalle tecnico:

Meltdown

Spectre

 

Dejar respuesta

Please enter your comment!
Please enter your name here