211service.com
Las fallas de ciberseguridad en los chips aún tardan demasiado en corregirse
ERIK CARTER erik carter
Cuando Intel y un grupo de investigadores de seguridad revelaron la existencia de nuevas fallas de seguridad en las generaciones anteriores de los microchips de la compañía en mayo, la noticia llegó con un detalle particularmente preocupante: tomó más de un año encontrar una solución para una de las fallas. .
Los investigadores dicen que alertaron a Intel sobre la vulnerabilidad, a la que denominaron ZombieLoad, en abril de 2018, pero no se implementó una solución general hasta el mes pasado. En comparación, las empresas de software normalmente no tardan más de 90 días en emitir parches después de que se descubre una vulnerabilidad en su código. Cuanto más tiempo permanezca un defecto sin resolver, mayores serán las posibilidades de que un hacker lo encuentre.
Daniel Gruss, profesor de la Universidad Tecnológica de Graz en Austria y uno de los investigadores que ayudó a sacar a la luz ZombieLoad , piensa que las cosas podrían moverse más rápido. En un correo electrónico a MIT Technology Review, Gruss dice que cuando él y otros investigadores notificaron a Intel sobre la vulnerabilidad en abril pasado, proporcionaron una prueba de concepto verificada de forma independiente para demostrar que se trataba de un problema real. En mayo de 2018, proporcionaron a Intel más detalles sobre la falla, que podría permitir a los piratas informáticos obtener datos confidenciales de las aplicaciones que se ejecutan en las máquinas.
Intel dice que inicialmente no pudo reproducir el agujero de seguridad que los investigadores habían señalado y, por lo tanto, necesitaba más evidencia antes de tomar cualquier medida. A principios de este año, finalmente estableció que efectivamente había una vulnerabilidad e implementó la solución.
La tensión subraya los desafíos de lidiar con fallas de hardware. A menudo, estos son mucho más costosos y difíciles de abordar que los problemas de software, lo que abre una ventana de vulnerabilidad que puede afectar a miles de millones de chips. Eso pone todo, desde servidores en centros de datos hasta tabletas y teléfonos móviles, en riesgo de ser pirateado.
Espectro y fusión
La presión por una respuesta más rápida ha aumentado desde principios de 2018, cuando los detalles de otro conjunto de fallas en el chip, denominado Spectre y Meltdown, se filtraron prematuramente. Se produjo el caos cuando las empresas se apresuraron a determinar qué tan vulnerables eran a los ataques, y las empresas de chips se apresuraron a emitir correcciones de software. El episodio dio más prominencia a las vulnerabilidades de los chips, lo que probablemente alentó a los piratas informáticos a buscarlas con más ahínco.
Por lo general, cuando los investigadores encuentran una falla de seguridad en el software o el hardware, lo informan confidencialmente a la empresa en cuestión. La falla se mantiene en secreto mientras el negocio trabaja en una solución para que los delincuentes no sean alertados de su existencia. Luego, una vez que la solución está lista, la compañía lanza una campaña publicitaria para que la gente la aplique lo más rápido posible.
Este proceso, conocido como divulgación coordinada de vulnerabilidades (CVD, por sus siglas en inglés), funciona bastante bien para parchear el software, lo que generalmente no toma más de 90 días en el marco de tiempo de la industria. Pero todavía está tomando un tiempo preocupante para algunos riesgos relacionados con los chips.
Es cierto que son más complejos de tratar. Una familia de chips puede contener docenas de versiones, cada una de las cuales utiliza un software operativo conocido como microcódigo que se ha diseñado para él. La reparación de fallas requiere actualizar el microcódigo para todas estas versiones.
Las soluciones a los agujeros de seguridad del hardware también pueden implicar actualizaciones de cosas como los sistemas operativos, lo que significa que los fabricantes de chips deben trabajar en secreto con otras empresas para garantizar que su microcódigo revisado aún funcione en armonía con otro software antes de que se implemente una solución.
Señales de progreso
Desde Spectre y Meltdown, la industria de los chips ha realizado algunas mejoras bienvenidas en el proceso de CVD. Bryan Jorgensen, director sénior de garantía y seguridad de productos de Intel, dice que las comunicaciones entre las empresas involucradas en ayudar a abordar los agujeros de seguridad en sus chips solían fluir a través de Intel. Ahora, a menudo, pueden colaborar directamente entre sí para verificar que un parche funcione con sus sistemas interconectados.
Los parches para fallas de hardware a menudo requieren que las empresas actualicen tanto el microcódigo como el software del sistema operativo. Estas han sido operaciones separadas, lo que aumenta el tiempo que lleva obtener una solución. Jorgensen dice que Intel ahora ha hecho posible agrupar las actualizaciones para que ambas se puedan hacer simultáneamente.
Dichos cambios son bienvenidos, pero todavía hay muchas otras áreas en las que se puede hacer más. Incluyen:
- Mejorar las relaciones con los investigadores de seguridad
Académicos e investigadores de la industria que encuentran e informan fallas en los chips dicen que los fabricantes de chips aún pueden ser demasiado reservados sobre lo que están haciendo para solucionarlos. Eso puede generar desconfianza. Gruss dice que, idealmente, las empresas de hardware deberían proporcionar actualizaciones diarias a los investigadores. También sugiere quizás tener un tercero neutral que supervise el manejo de los incidentes de ciberseguridad.
- Acuerdo para establecer una fecha límite de CVD de hardware
Un informe reciente del Center for Cybersecurity Policy and Law (CCPL), una organización sin fines de lucro, advierte que cuando un proceso para corregir fallas de hardware lleva más tiempo que la norma para parchear software, las empresas involucradas en el proceso de CVD podrían verse tentadas a tomar medidas unilaterales para proteger a sus clientes y a sus propios intereses.
Eso podría hacer que las fallas queden expuestas antes de que los parches se prueben por completo. Acordar un marco de tiempo para lidiar con los agujeros de seguridad del hardware ayudaría. La industria de los semiconductores podría comprometerse ahora con un cronograma para establecer dicho plazo de CVD.
- Educar a las personas sobre la necesidad de lidiar con los riesgos relacionados con el hardware
Desarrollar correcciones de software no tiene sentido si no se utilizan. La adopción no es buena para los parches de software, pero para el hardware [los] es realmente malo, dice Ari Schwartz, coordinador ejecutivo de CCPL y ex director senior de seguridad cibernética en el personal del Consejo de Seguridad Nacional de EE. UU.
Las cosas simples, como hacer que las personas reinicien sus enrutadores domésticos regularmente para que los chips en ellos reciban actualizaciones de software, siguen siendo un desafío. Intel y otras compañías de chips han lanzado más programas para educar a las personas sobre los riesgos y cómo abordarlos, pero se necesitará un esfuerzo aún mayor.
- Trabajando más duro para eliminar fallas de seguridad en los diseños de chips
Las últimas generaciones de chips que salen al mercado de Intel y otros ya no son vulnerables a ataques como ZombieLoad y Spectre, gracias a los cambios en su forma de funcionar. Pero siempre existe el riesgo de que surjan nuevos tipos de vulnerabilidades.
Para minimizarlo, los fabricantes de chips tendrán que dedicar más recursos a investigar las debilidades de las nuevas generaciones de chips de silicio y desarrollar diseños más seguros para sus semiconductores. Aumentar el gasto en estas áreas será doloroso para las empresas que operan en una industria intensamente competitiva, pero ahora que los chips están integrados en más y más dispositivos, desde vehículos autónomos hasta parlantes inteligentes en los hogares, el costo de las fallas de seguridad está aumentando drásticamente.