Meltdown y Spectre son llamadas de atención para la industria de la tecnología

Meltdown y Spectre son llamadas de atención para la industria de la tecnología

Pero podría ser peor.

No es retorica decir que las vulnerabilidades de Meltdown y Spectre CPU son un desastre. Afectan prácticamente a todos los procesadores utilizados en las últimas dos décadas y prácticamente a todos los dispositivos. En las manos correctas, podrían revelar cosas como contraseñas y otra información segura. Si bien muchas compañías se apresuraron a parchear contra Meltdown, que afecta específicamente a los chips de Intel y permite que los hackers accedan a la memoria de las aplicaciones utilizadas por un sistema operativo, Spectre es más terco. No se resolverá por completo hasta que los fabricantes de chips se muevan a nuevas arquitecturas, un proceso que podría llevar años.

Si bien estos son algunos de los exploits más críticos que ha visto el mundo de la informática, su existencia ha dejado en claro que, en casos extremos como este, las compañías de tecnología tienen que trabajar juntas. Eso no es exactamente noticia para la comunidad de investigación de seguridad centrada en la colaboración, que inicialmente descubrió las vulnerabilidades y alertó a las empresas afectadas. Pero ahora, incluso los principales competidores se ven obligados a abordar esta cuestión juntos para evitar un potencial apocalipsis informático.

"Las compañías de chips y los proveedores de sistemas operativos están haciendo un buen trabajo al manejar esto", dijo Jack Gold, presidente de la consultora estratégica J. Gold Associates, a Engadget. "El hecho de que Intel, AMD y ARM estuvieran trabajando al unísono en esto, lo que en realidad nunca hacen, es un buen augurio para la industria ya que todos tratan de mitigar esta amenaza potencial".

Ambos exploits se basan en el uso de "ejecución especulativa" en la arquitectura de chip moderna, que es una de las formas en que los fabricantes aceleran el rendimiento. La técnica permite a los procesadores realizar algún trabajo potencial con anticipación, lo que les da la ventaja en caso de que sea algo que necesiten que hagan. Podrían usarse para acceder a las ubicaciones de memoria, que previamente pensábamos que estaban protegidas, y obtener cualquier información potencialmente segura que posean.

Notablemente, sin embargo, no permiten que los hackers accedan a información en dispositivos de almacenamiento como discos duros. Y, como señala Gold en un informe, también podría ser difícil para ellos acceder a los datos en memoria en primer lugar ya que "requiere comprender la relación entre ubicaciones de datos que son altamente variables y el contenido de datos real, y requiere un buen cantidad de procesamiento / decodificación". Básicamente, aunque estos exploits son potencialmente graves, actualmente es difícil para alguien usarlos fácilmente.

Para la próxima semana, Intel dice que habrá parcheado el 90 por ciento de sus CPU afectadas lanzadas en los últimos cinco años. ARM ha lanzado parches para varios de sus chips afectados por Spectre, y AMD dice que hay un "riesgo casi cero" para sus productos en este momento. Microsoft, Google, Apple y la comunidad Linux también han lanzado parches para protegerse contra Meltdown. Podría haber un posible golpe de rendimiento para los usuarios de Intel, pero la compañía dice que será "altamente dependiente de la carga de trabajo" y no notable para los usuarios típicos. Los investigadores, mientras tanto, especulan que los parches podrían reducir la velocidad de la CPU en un 20 a 30 por ciento, algo que podría reducir drásticamente el tiempo de renderizado o el rendimiento del juego.

Paul Kocher, un investigador independiente que trabajó con los equipos en Google Project Zero y Rambus, que inicialmente descubrió las hazañas, dijo al New York Times que Specter es un ejemplo de cómo la industria de la tecnología enfatiza la velocidad por encima de la seguridad. Pero Gold rechaza esa afirmación:

"Fue una cuestión de diseñar una arquitectura en los chips que nadie previó podría explotarse efectivamente", dijo. "Tanto el chip como el sistema operativo se esforzaron para tratar de que la memoria del kernel estuviera protegida y segura, pero en este caso, otros encontraron una forma de evitarlo. El hecho de que no haya casos conocidos de este exploit en la naturaleza significa que durante muchos años, se asumió que era una implementación segura. No olvide que Intel y otros han estado utilizando esta misma arquitectura básica durante décadas, y ahora está saliendo a la luz que puede haber un problema. Esto significa que es bastante difícil, vulnerabilidad esotérica para descubrir ".

Siempre y cuando actualice sus dispositivos personales, es probable que no tenga que preocuparse mucho por estos exploits. La situación es más difícil para los proveedores de computación en la nube como Google, Amazon y Microsoft, ya que un hacker podría concebir el uso de Meltdown para acceder a la información de otros clientes en un servidor compartido. Google dice que ya implementó dos técnicas contra el exploit en sus servidores, y hasta ahora se ha visto un impacto de rendimiento "insignificante". Microsoft ha parcheado sus servidores Azure , aunque algunos usuarios en Europa Occidental ahora están reportando problemas con sus máquinas virtuales. Y Amazon Web Services también fue rápido para asegurar sus sistemas, pero algunos clientes también están informando retrasos en sus instancias.

Fiel a su nombre, Spectre perseguirá al mundo de la tecnología durante años. Los proveedores de servicios de nube, en particular, deberán permanecer atentos a posibles ataques. En este punto, casi todos los servicios al consumidor dependen de la nube de alguna forma; es simplemente demasiado costoso e inconveniente administrar su propio hardware de servidor. En lugar de apresurarse a entregar los chips más rápidos posibles, la próxima carrera para Intel, AMD y ARM es crear una nueva arquitectura que detendrá a Spectre para siempre.[full-post]