¿Spectre y Meltdown siguen siendo una amenaza? Los parches que necesitas
Anuncio
Las revelaciones de vulnerabilidad del procesador Spectre y Meltdown fueron un comienzo sorprendente para 2018. Las vulnerabilidades afectan a casi todos los procesadores, en prácticamente todos los sistemas operativos y arquitecturas. Los fabricantes de procesadores y los desarrolladores de sistemas operativos emitieron rápidamente parches para protegerse contra las vulnerabilidades.
Pero también hubo algunos problemas serios de dentición.
Ahora, más de un año después de los informes iniciales, ¿estamos más cerca de corregir genuinamente las vulnerabilidades Meltdown y Spectre?
Vulnerabilidades de espectro y deshielo Últimas
Las vulnerabilidades de Spectre y Meltdown descubiertas a principios de 2018 continúan impactando en la informática. Meltdown afecta específicamente a los microprocesadores Intel que se remontan a 1995. La longevidad de este problema significa que la mayoría de los procesadores Intel del mundo están en riesgo e incluso servicios como Microsoft Azure y Amazon Web Services.
Specter tiene un efecto global similar. La vulnerabilidad de Spectre afecta a los microprocesadores de Intel, así como a otros diseñadores importantes, incluidos AMD y ARM. Por lo tanto, Specter y Meltdown hacen que la mayor parte de la informática del mundo sea vulnerable, una situación que se remonta a más de 20 años.
#Meltdown & #Spectre - Una comparación de lado a lado # ciberseguridad #DatosBreach #humanfactors # CES2018 #malware #Tecnología
CC: @ ipfconline1 @JimMarous @evankirstel @MikeQuindazzi @pierrepinna @ jblefevre60 @ reach2ratan @KirkDBorne @Ronald_vanLoon pic.twitter.com/0S79P5jDbV
- Shira Rubinoff (@Shirastweet) 10 de enero de 2018
Es comprensible que las revelaciones sigan causando consternación tanto para los consumidores como para las empresas. La preocupación es multifacética. Intel, AMD y ARM lanzaron parches para las vulnerabilidades; ¿funcionarán esos parches? ¿Es más sencillo reemplazar existencias enteras de microprocesadores? ¿Cuándo llegará al mercado un procesador totalmente seguro? ¿Y qué hay del costo?
"Nunca hemos visto un error tan extenso como este que afecte literalmente a todos los procesadores principales", dice David Kennedy, CEO de TrustedSec, que realiza pruebas de penetración y consultoría de seguridad para empresas.
“Estuve al menos diez llamadas la semana pasada con grandes compañías y dos ayer explicando lo que está sucediendo. No tienen idea de qué hacer cuando se trata de parches. Realmente está causando un desastre ".
Specter Next Generation
No, no es el crossover de James Bond-Star Trek con el que has estado soñando. Specter Next Generation es la segunda generación de vulnerabilidades de Specter. La segunda generación fue descubierta por el Proyecto Cero de Google (que también reveló la primera generación).
Project Zero es el grupo de trabajo de Google para encontrar y divulgar de manera responsable las vulnerabilidades de día cero antes de que personas nefastas las descubran.
No voy a profundizar en todos los detalles aquí, pero aquí hay un artículo que explica las implicaciones de Specter Next Generation La vulnerabilidad de espectro de Intel regresa como un fantasma del pasado La vulnerabilidad de espectro de Intel regresa como un fantasma del pasado Las revelaciones de Specter / Meltdown a principios de 2018 sacudió el mundo de la informática. Ahora, los investigadores de seguridad han descubierto ocho nuevas vulnerabilidades de estilo Spectre que afectan a las CPU de Intel, lo que podría significar que su computadora está en mayor riesgo. Lee mas .
¿Hay parches de espectro y deshielo?
La gran variedad de dispositivos vulnerables ofrece otro problema. Cada tipo de hardware necesita una solución ligeramente diferente diseñada individualmente. El proceso de parche desde enero de 2018 no ha sido nada sorprendente.
Intel se apresuró a desarrollar y lanzar un parche de seguridad. La desventaja fueron los graves problemas de rendimiento. Intel dijo infamemente: "cualquier impacto en el rendimiento depende de la carga de trabajo y, para el usuario promedio de la computadora, no debe ser significativo y se mitigará con el tiempo". La declaración era falsa en ese momento y lo sigue siendo en el momento de la redacción.
Incluso los procesadores más nuevos que acaban de llegar al mercado todavía sienten los efectos.
De hecho, el 22 de enero de 2018, Intel retiró uno de sus parches Spectre porque estaba causando un problema de reinicio aleatorio. Intel sugirió que los administradores de red simplemente reviertan las actualizaciones ya instaladas, y el vicepresidente ejecutivo de Intel, Neil Shenoy, dijo: "Pido disculpas por cualquier interrupción que pueda causar este cambio de orientación". VMware, Lenovo y Dell hicieron anuncios similares al mismo tiempo hora.
Luego, a fines de enero, Microsoft también anunció que los parches Spectre y Meltdown para Windows 10 estaban comprometiendo el rendimiento y causando errores fatales al azar, confirmando que sus soluciones de seguridad tenían errores.
Ah, y Apple también se retractó de las reclamaciones con respecto a las protecciones para máquinas más antiguas, lanzando una gran cantidad de parches para High Sierra, Sierra y El Capitan.
Linus y Linux
Linus Torvalds, el creador y desarrollador principal del kernel de Linux, sigue siendo muy crítico con todo el proceso de parche Specter / Meltdown. (¿Qué es un kernel, de todos modos? El kernel de Linux: una explicación en términos simples) El kernel de Linux: una explicación en términos simples Hay solo una cosa de facto que las distribuciones de Linux tienen en común: el kernel de Linux. Pero aunque a menudo se habla de él, mucha gente realmente no sabe exactamente lo que hace. Leer más). De hecho, Torvalds fue tan lejos como para declarar los parches de Intel como "BASURA COMPLETA Y EXTERIOR".
Puedes leer el resto de su diatriba aquí. Valio la pena leerlo.
Linus analizó los parches. Encontró que Intel intentaba hacer que los parches de seguridad fueran opcionales, así como basados en el sistema operativo para que no tengan que revisar por completo su diseño de CPU (que es la única opción para la seguridad real; explicaré por qué en un momento).
Una alternativa sería emitir dos parches donde uno habilita los parches de seguridad y otro que implementa las correcciones en el núcleo.
En cambio, Torvalds sostiene que Intel está forzando a los dos juntos a pasar por alto los golpes de rendimiento al permitir un "Modo seguro opcional", por el cual el usuario debe optar por su CPU en la solución y hacer que el rendimiento golpee la decisión del cliente, en lugar de que Intel tome la decisión. . Además, si los usuarios inician un sistema operativo más antiguo que nunca ha conocido el parche, serán vulnerables al instante.
El 29 de enero, se puso a disposición el kernel Linux 4.15, que presenta capacidades de seguridad recientemente ampliadas en las CPU Intel y AMD en dispositivos Linux. Y si bien la queja de Linus Torvalds estaba centrada en Linux, está claro que los parches de Intel no estaban a la altura de ningún sistema operativo.
¿Sabía China acerca de Spectre y Meltdown?
A pesar de que Intel esquivó una bala con respecto a sus informes de ganancias (a pesar de la vulnerabilidad crítica que se encuentra en la mayoría de las computadoras del mundo, las ganancias de Intel se acumulan bastante bien), Intel recibió muchas críticas por divulgar tanto Meltdown como Spectre a sus enormes clientes chinos, como Alibaba y Lenovo, antes de decirle al gobierno de los Estados Unidos.
Varias agencias importantes de los EE. UU. Solo tuvieron conocimiento de Spectre y Meltdown cuando los informes se hicieron públicos, en lugar de cualquier proceso de notificación previa a la divulgación. Y aunque no hay indicios de que la información se haya utilizado incorrectamente (por ejemplo, transmitida y utilizada por el gobierno chino), plantea preocupaciones importantes sobre la elección de Intel de a quién informar.
Dada la profundidad y escala de la vigilancia de Internet en China, parece completamente improbable que el gobierno chino no estuviera al tanto de las vulnerabilidades ante el gobierno de los Estados Unidos.
Windows 10 Retpoline Spectre Fix
Retpoline es una "construcción de software para prevenir la inyección de blanco de rama". En otras palabras, es un parche que protege contra Spectre al introducir una rama de predicción alternativa, manteniendo el sistema a salvo de los ataques de especulación al estilo Spectre.
En diciembre de 2018, Microsoft puso a disposición la solución retpoline para su programa Insider. El programa Insider y las Vistas previas de Insider son donde Microsoft prueba la próxima versión de Windows 10 antes de que llegue a la versión principal. La última actualización, 19H1, contiene la actualización retpoline.
Sin embargo, en marzo de 2019, Microsoft anunció que la solución retpoline está disponible para cualquier persona que quiera descargarla. Hay un par de estipulaciones:
- El sistema debe ejecutar la actualización de Windows 10 de octubre de 2018.
- La solución solo funciona para procesadores Skylake anteriores a Intel y anteriores (la solución también funciona para máquinas AMD, lectores AMD).
¿No estás seguro de qué versión de Windows 10 estás usando actualmente? Presione la tecla de Windows + I, luego Sistema> Acerca de. Puede ver su versión actual de Windows bajo la especificación de Windows . Si dice 1809, puede instalar la actualización. De lo contrario, tendrá que esperar hasta que su versión de Windows se ponga al día.
La actualización retpoline, KB4470788, llegará a su sistema a través del proceso regular de actualización de Windows. Sin embargo, puede descargar la actualización KB4470788 a través del Catálogo de actualizaciones de Microsoft. Descargue la versión correcta para la arquitectura de su sistema operativo (por ejemplo, x64 para 64 bits, x86 para 32 bits), luego instálela.
¿Se corregirá alguna vez Specter y Meltdown para siempre?
La primera generación de parches Spectre y Meltdown fueron soluciones temporales. La responsabilidad no debe recaer en los consumidores para habilitar los parches de bloqueo de vulnerabilidades, y mucho menos tener que decidir sobre el equilibrio entre los problemas de seguridad a nivel del núcleo y los problemas de rendimiento de la CPU. Es simplemente injusto, y mucho menos totalmente poco ético.
La implementación lenta de las soluciones de retpoline es mejor para los consumidores, parcheando las vulnerabilidades del sistema y devolviendo la velocidad del sistema a los niveles anteriores. Aún así, algunos usuarios no tienen el beneficio de una solución retpoline, por lo que no es una curita mágica.
A principios de 2018, el informe financiero de Intel presentó información del CEO Brian Krzanich, quien prometió que los chips con verdaderas correcciones de hardware comenzarían a enviarse este año. Desafortunadamente, Krzanich no dio más detalles sobre lo que significaba esa declaración audaz.
Sin embargo, debido a que Krzanich confirmó que Intel planea continuar desarrollando sus productos de 14nm (CPU Intel a partir de 2014: Kaby Lake, Coffee Lake, Skylake, etc.) durante 2018. Esto crea posibilidades: soluciones "en silicio" para la generación actual de CPU y arreglos para los próximos procesadores Cannon Lake, o uno u otro.
Más tarde, en 2018, Intel anunció que las correcciones de hardware, es decir, una solución basada en procesador basada en silicio, llegarán con la próxima generación de CPU Intel. Algunas soluciones se implementarán con la serie de procesadores de baja potencia, Whiskey Lake, mientras que otras llegarán con los procesadores de facto de décima generación, Ice Lake. La nueva generación de CPU Intel también debería proteger contra la vulnerabilidad de Foreshadow.
¿Crees que no te afectan Specter and Meltdown? Consulte la lista de hardware de la computadora que no se ve afectado por las vulnerabilidades ¿Hay computadoras que no se vean afectadas por los errores de fusión y espectro? ¿Hay computadoras que no se vean afectadas por los errores de fusión y espectro? Las vulnerabilidades Meltdown y Spectre han afectado el hardware en todo el mundo. Parece que todo es inseguro. Pero ese no es el caso. Consulte esta lista de hardware seguro y nuestros consejos para el futuro. Lea más y piense de nuevo.
Explore más sobre: Procesador informático, Seguridad informática, CPU, Malware.