Exploits de Meltdown y Spectre:8 conocimientos esenciales para proteger sus sistemas

Casi todas las computadoras y dispositivos en todo el mundo han estado expuestos a fallas de seguridad que los dejan vulnerables a ataques. Por suerte no se ha reportado ninguna filtración de información hasta la fecha, pero los fallos descubiertos podrían considerarse como uno de los peores fallos de seguridad en los procesadores.

A continuación cubrimos casi todos los aspectos (tanto técnicos como comerciales) de este error. Entonces, averigüemos qué ha sucedido exactamente.

1. ¿Cuáles son los defectos?

Hay dos errores de seguridad similares, denominados Meltdown y Spectre.

Derretimiento:  Una vulnerabilidad de hardware que afecta a computadoras de escritorio, portátiles y servidores que funcionan con procesadores Intel. Rompe el aislamiento fundamental entre el sistema operativo y las aplicaciones del usuario, permitiendo que el programa acceda a la memoria y, por tanto, a los secretos de otros programas.

Específicamente, Meltdown aprovecha los efectos secundarios de la ejecución desordenada en los chips actuales para leer ubicaciones arbitrarias de la memoria del kernel. El ataque no se basa en ningún sistema operativo ni vulnerabilidades de software.

Una vez que el dispositivo se ve afectado, Meltdown puede leer la memoria de otros procesos o máquinas virtuales en la nube sin ningún privilegio o permiso de usuario, lo que afecta prácticamente a todos los usuarios de una PC.

Información detallada: Meltdown

Espectro: Tiene un alcance más amplio. Afecta a ordenadores, tablets y smartphones con tecnología Intel, AMD y ARM. Puede romper el aislamiento entre diferentes aplicaciones y permitir a los atacantes engañar a programas sin errores para que filtren sus datos privados.

Spectre explota la "ejecución especulativa" utilizada en casi todos los chips modernos. Engaña al procesador para que ejecute especulativamente secuencias de instrucciones que no deberían haberse ejecutado durante la ejecución correcta del programa.

Además de violar los límites de aislamiento de procesos mediante código nativo, los ataques de Spectre también se pueden utilizar en código JavaScript que se ejecuta en un navegador para acceder a la memoria en el proceso del atacante.

Información detallada: Ataques de espectro:explotación de la ejecución especulativa

Ambos utilizan canales laterales para extraer los datos de la ubicación de memoria a la que se accede. Si comparas estos dos, Spectre es bastante más difícil de explotar que Meltdown, pero también más difícil de mitigar.

2. ¿Qué tipo de información está en riesgo?

Estos errores pueden filtrar contraseñas en un navegador o administrador de contraseñas, pulsaciones de teclas, mensajes instantáneos, correos electrónicos, fotografías personales y datos críticos para el negocio.

3. ¿Qué sistemas se ven afectados y qué tamaño tiene?

Como mencionamos anteriormente, la falla Meltdown solo se aplica a los procesadores Intel (no a AMD ni a ARM). Los investigadores lo han probado en CPU lanzadas ya en 2011. En teoría, todos los procesadores Intel lanzados después de 1995 son un objetivo. Intel cree que estas fallas no tienen potencial para modificar, corromper o borrar información.

La falla de Spectre, por otro lado, es mucho peor:puede dañar todos los dispositivos que funcionan con procesadores Intel, AMD y ARM. Además, dependiendo del diseño y la infraestructura de los proveedores de la nube, podría ser posible robar datos confidenciales de otros clientes. Servicios como LXC, Docker y OpenVZ están en riesgo.

Entonces, si tiene curiosidad por saber si su dispositivo se ve afectado por estos errores, le diríamos que seguramente sí.

4. ¿Cómo proteger las computadoras?

Todas las empresas afectadas están trabajando para publicar parches lo antes posible. Afortunadamente, hay parches de software disponibles para Meltdown. Google, Microsoft y Mozilla están lanzando parches para sus navegadores como primera línea de defensa.

Aquí el paso rápido que puede tomar:

1. Actualice la última versión de Chrome (que se lanzará el 23 de enero) y Firefox 57.
2. Asegúrese de haber instalado KB4056892 para Windows 10.
3. Los usuarios de Linux pueden consultar KAISER.
4. Consulte el sitio web del OEM para obtener información de soporte y actualización del firmware y aplíquelo rápidamente.

Google dice que ha solucionado los problemas de sus dispositivos Android (Nexus y Pixel) con las últimas actualizaciones de seguridad.

Los investigadores también están trabajando para encontrar una solución permanente contra la futura explotación de Spectre. Como no es fácil de solucionar, nos perseguirá durante bastante tiempo.

5. ¿La solución ralentizará su dispositivo?

Lamentablemente, la respuesta es sí. Algunos investigadores afirmaron que cualquier solución podría ralentizar su dispositivo hasta en un 30 por ciento. Sin embargo, Intel cree que se trata simplemente de afirmaciones sobreestimadas. Según Intel, cualquier impacto en el rendimiento depende de la carga de trabajo; para los usuarios promedio de computadoras el impacto no debería ser significativo.

Eso significa que si usa su computadora para revisar su correo electrónico y navegar por la web, no experimentará ninguna diferencia.

6. ¿Cómo reaccionaron la industria y el mercado tecnológico?

Estos son probablemente uno de los peores errores de procesador jamás descubiertos, y esto es un gran problema para todas las industrias tecnológicas. Tendrán que rediseñar el sistema operativo y modificar la arquitectura del procesador.

Google declaró que notificó a las empresas afectadas sobre el error Spectre en junio de 2017 y luego informó sobre el error Meltdown en julio.

En noviembre de 2017, el director ejecutivo de Intel, Brain Krzanich, vendió acciones por valor de 24 millones de dólares. BusinessInsider informó que era consciente de la vulnerabilidad del chip cuando vendió acciones.

Estos errores están afectando duramente a las acciones de Intel, mientras que la participación de su rival AMD se está disparando.

Dado que Spectre y Meltdown descubren fallas muy fundamentales en la forma en que se estructuran los procesadores de las computadoras, habrá un impacto serio y se repensará cómo se desarrolla dicha tecnología en el futuro.

7. ¿Quién informó estos errores?

La falla de fusión fue descubierta y reportada por tres equipos:investigadores de Cyberus Technology, la Universidad Tecnológica de Graz y Google Project Zero.

Los mismos investigadores de Google Project Zero y la Universidad Tecnológica de Graz descubrieron e informaron sobre Spectre.

8. Referencias oficiales

Leer:15 peores virus informáticos de todos los tiempos | Explicado

El CVE (vulnerabilidades y exposiciones comunes) es el estándar para las vulnerabilidades de seguridad de la información y sus nombres e ID figuran en el sistema MITRE y en la base de datos nacional de vulnerabilidades de EE. UU.

La referencia oficial a Meltdown es CVE-2017-5754, mientras que para Spectre, es CVE-2017-5715 y CVE-2017-5753.