INFONET informa en la TVG sobre las vulnerabilidades Meltdown y Spectre de los procesadores Intel, AMD y ARM | INFONET
cabecera_6

INFONET informa en la TVG sobre las vulnerabilidades Meltdown y Spectre de los procesadores Intel, AMD y ARM

Meltdown y Spectre son los nuevos nombres de las nuevas vulnerabilidades de seguridad descubiertas que afectan a los procesadores Intel, AMD y ARM, es decir, para casi el 99% de los procesadores que son utilizados en los equipos informáticos empleados a nivel mundial: pc’s, portátiles, servidores, sistemas de almacenamiento, dispositivos móviles, teléfonos, televisiones inteligentes y también y muy importante para todos los sistemas que también utilizamos y que no vemos que son los servidores existentes en los centros de datos mundiales que permiten hacer funcionar “la nube”, y que también hace vulnerables los servicios de gigantes como Microsoft, Google, Amazon, etc.

Podríamos decir, que todo el planeta está afectado por esta vulnerabilidad descubierta por una división especializada en investigar fallos de seguridad creada por Google y denominada Project Zero (https://googleprojectzero.blogspot.com.es/) junto con Cyberus Technology, Graz University of Technology, Universidad de Pennsylvania y Maryland, Rambus, Universidad de Adelaide y Data6.

El miércoles 3 de Enero de 2018, Jann Horn, Werner Haas, Thomas Prescher, Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz, Paul Kocher, Daniel Genkin, Mike Hamburg, Moritz Lipp, Yuval Yarom hacían públicos los informes donde evidenciaban que era posible acceder a una parte de la memoria de los procesadores en la que se almacena temporalmente información que puede ser leída por un potencial atacante, y que permitiría por ejemplo tener acceso a datos como contraseñas, tarjetas de crédito, etc. Esta funcionalidad denominada ejecución predictiva, presente en casi todos los procesadores del mercado, permite a los procesadores ser más rápidos en sus operaciones de cálculo al poner en una memoria separada información que predice que le puede hacer falta más adelante para ejecutar un proceso posterior y en la que se podría almacenar información sensible.

En otras palabras, lo descubierto es equivalente a que si en una comunidad de vecinos, donde hay buzones, se han percatado de que debido a un fallo de seguridad es posible acceder a uno de ellos, sin necesidad de tener las llaves del mismo (sin permisos o privilegios), y por lo tanto, acceder al contenido e información que puntualmente es entregada por el cartero. La problemática reside, en que los buzones con este fallo de seguridad son todos aquellos fabricados desde el año 1995, lo que en cronología informática equivale a todos los procesadores existentes en el mundo, y por lo tanto, todos los ordenadores personales, tabletas, portátiles, smartphones, servidores, etc. existentes hoy en día, y que en muchos casos son utilizados no sólo a nivel personal y empresarial, sino que también regulan infraestructuras y servicios críticos.

Otra parte de la gravedad del asunto,  reside en que los proveedores de infraestructura en la nube, que en muchas ocasiones comparten sus servidores entre varios clientes, en caso de llegar a ser utilizada esta vulnerabilidad permitiría llegar a hacer accesible al atacante información de todos los clientes alojados en los mismos servidores. En otras palabras, es como si los vecinos de un mismo edificio, aprovechando este fallo, pudieran abrir las puertas y acceder al contenido de la información de los demás vecinos.

La gran diferencia entre Meltdown y Spectre, que es como se ha bautizado esta vulnerabilidad reside en que Meltdown permite el acceso a la memoria cache utilizada por el kernel del sistema operativo, mientras que Spectre va más allá, ya que la información almacenada en esta memoria por las aplicaciones también es accesible, con el consiguiente riesgo de que el procesador almacene de forma aleatoria datos que le sean necesarios para la ejecución de un proceso posterior, como una contraseña, una tarjeta de crédito, una foto, etc.

Pero que no cunda el pánico, que se haya descubierto esta vulnerabilidad no quiere decir que se esté utilizando actualmente, si evidencia, la necesidad de realizar a tiempo acciones correctivas para evitar el uso de esta funcionalidad, y para la que los fabricantes de software están desarrollando parches y actualizaciones para poder ser instalados por parte de los usuarios evitando así el acceso a esta memoria por parte del sistema operativo y las aplicaciones.

Los parches para solucionar este problema, más bien mitigarlo, ya que es un problema inherente al diseño del sistema de funcionamiento de los procesadores, y por lo tanto requeriría su reprogramación inhabilitando la función de ejecución predictiva, lo que podría implicar una reducción de la velocidad de proceso, por lo que la solución mientras tanto consiste en la instalación de parches a nivel de sistema y de aplicación. Para ello, en el caso del kernel de linux están disponibles actualizaciones mediante el sistema KAISER o mediante los gestores de paquetes, Microsoft ha publicado un parche de emergencia para todos los dispositivos Windows 10 para su instalación manual y tiene previsto implementarlo próximamente para su instalación a través de las actualizaciones automáticas de Windows Update, Apple ha publicado un parche parcial para MacOS disponible en la versión 10.13.2. El navegador Chrome tiene previsto implementar la funcionalidad “aislamiento de sitios” el 23 de enero y por su parte Mozilla asegura que la última versión actualizada del navegador ya dispone de los parches de seguridad, el sistema operativo Android de Google, publicó ayer su parche de seguridad, y también los proveedores de servicios en la nube como Google, Amazon, Microsoft llevarán a cabo las actualizaciones necesarias, por ejemplo la plataforma de Microsoft, Azure, ha llevado acabo un mantenimiento programado durante la madrugada del 3 de enero.

En todo caso, lo importante ahora mismo, sería tener los sistemas operativos y aplicaciones actualizadas, con la finalidad de evitar que un atacante pueda hacer uso de esta vulnerabilidad en nuestros sistemas en el futuro, y poder así tener la tranquilidad de que nuestra información no está comprometida o ponerse en contacto con un proveedor informático profesional para poder llevar a cabo las acciones técnicas necesarias para tener la información siempre protegida.

Puede consultar más información actualizada en los siguientes links:

https://meltdownattack.com/

https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html