211service.com
Los chips pueden ser intrínsecamente vulnerables a los ataques Spectre y Meltdown
Songsak Wilairit / EyeEm
El software malicioso representa una amenaza continua para la vida moderna, ya que ataca todo, desde bases de datos y cámaras hasta comercio electrónico, centrales eléctricas y hospitales. En sus formas más insidiosas, el malware puede robar información confidencial sin que nadie sepa que se ha producido una filtración.
La lucha contra estos ataques se basa en un supuesto importante: que un software adecuadamente potente y bien diseñado puede garantizar la seguridad de cualquier información. De hecho, vastos negocios de ciberseguridad se basan en esta idea.
Pero hoy, Ross McIlroy y sus colegas de Google dicen que esta suposición es peligrosamente incorrecta. Su trabajo se centra en una nueva generación de ataques maliciosos que les han obligado a reconsiderar la naturaleza de la ciberseguridad y su funcionamiento.
Los nuevos ataques, conocidos como Spectre y Meltdown, se han estudiado desde principios de 2018. Pero su significado más amplio solo ahora se está aclarando.
El impactante descubrimiento de Google es que explotan una falla fundamental en la forma en que funcionan los procesadores de información. Y debido a esto, es posible que los expertos en seguridad nunca puedan proteger estos dispositivos, incluso en principio.
El equipo de Google dice que la amenaza afecta a todos los fabricantes de chips, incluidos Intel, ARM, AMD, MIPS, IBM y Oracle. Esta clase de fallas son más profundas y están más ampliamente distribuidas que quizás cualquier falla de seguridad en la historia, y afectan a miles de millones de CPU en producción en todas las clases de dispositivos, dicen McIlroy y compañía.
En el pasado, el malware tendía a explotar el código mal diseñado y los errores que contenía. Estos errores proporcionan a los actores maliciosos formas de interrumpir los cálculos o acceder a información confidencial. Por lo tanto, un enfoque importante es corregir estos errores con parches de software antes de que puedan explotarse.
Pero cuando la falla está en los cimientos del diseño de la computadora, los parches de software ofrecen poca protección. El desafío es que la naturaleza misma de la computación permite que la información se filtre a través de mecanismos llamados canales laterales.
Un ejemplo de un canal lateral son las luces parpadeantes de un módem, un enrutador o incluso una PC. Varios investigadores de seguridad han señalado que el parpadeo está correlacionado con la transferencia de datos y que un actor malintencionado puede simplemente mirar los parpadeos para escuchar a escondidas. De hecho, los investigadores de seguridad han demostrado ataques similares con una desconcertante variedad de canales secundarios, incluido el consumo de energía, micrófonos y cámaras de alta resolución.
La nueva amenaza es más insidiosa porque existe en la interfaz entre el hardware y el software, conocida como arquitectura de la máquina. En este nivel, un procesador trata todos los lenguajes de programación de la misma manera. Ejecuta comandos uno tras otro sin importar qué programa los solicitó.
Los informáticos siempre han asumido que estos comandos se pueden separar de forma que se garantice la confidencialidad. La idea es que algún software adecuadamente avanzado debería poder ordenar los comandos de una manera que los mantenga separados.
Pero el resultado clave del equipo de Google es mostrar que esta suposición es incorrecta. Un procesador no puede diferenciar entre un buen comando y uno malicioso, incluso en principio. Entonces, si un comando le dice que envíe información a un área de la memoria a la que se pueda acceder fácilmente más tarde, la máquina obedece.
Es fácil imaginar que esto se puede evitar con un software que separa los buenos comandos de los malos. Pero el equipo de Google muestra que esto solo agrega otra capa de complejidad al desafío, junto con un nuevo conjunto de posibles canales secundarios.
Para mostrar la ubicuidad de la amenaza, el equipo de Google construyó un dispositivo de lectura universal. Este es el espía definitivo: una rutina que puede leer toda la memoria direccionable en un procesador, sin que el usuario lo sepa.
De ninguna manera es una pieza perfecta de software. A veces funciona de manera probabilística y, por lo tanto, puede fallar. Pero no hay forma de evitar que funcione cuando lo hace.
McIlroy y compañía crearon cuatro variantes de este dispositivo. Desarrollamos pruebas de concepto en C++, JavaScript y WebAssembly para todas las vulnerabilidades reportadas, dice el equipo. Descubrieron que estos dispositivos de lectura filtraban información a velocidades de hasta 2,5 kilobytes por segundo.
La variante 4 del dispositivo de lectura universal es particularmente preocupante. McIlroy y compañía dicen que no pudieron encontrar una forma efectiva de combatirlo o reducir su amenaza. No creemos que la variante 4 se pueda mitigar de manera efectiva en el software, dicen.
Los intentos del equipo para combatir estos ataques tuvieron un impacto significativo en el rendimiento informático. Por ejemplo, una forma de mitigación para la primera variante del dispositivo de lectura universal condujo a una ralentización de 2,8 veces, según lo medido por un programa de evaluación comparativa de Java llamado Octane.
Durante el último año, Intel ha rediseñado sus chips para intentar mitigar las amenazas más graves de los ataques Spectre y Meltdown. Pero, según los informes, esto se ha producido a costa de una caída del rendimiento de hasta un 14%. Y es poco probable que las modificaciones sean a prueba de fallas.
Una de las razones de la preocupación de Google es la amenaza al comercio electrónico. No es difícil imaginar un ataque que revele las claves criptográficas utilizadas para asegurar las transacciones, lo que permite el robo a gran escala.
Entonces, la compañía ya envió versiones de Chrome con las primeras líneas de defensa. Las versiones 64 a 67 previenen ataques en el navegador a través de JavaScript.
Pero la amenaza es mucho más profunda. Muchos de los problemas surgen debido a la compleja arquitectura de los dispositivos basada en la propiedad intelectual que se guarda cuidadosamente.
Esta complejidad es en sí misma parte del problema. Los diseños se basan en modelos abstractos que se han vuelto más complejos a medida que los fabricantes persiguen el objetivo de una computación más rápida. McIlroy y compañía muestran que estos modelos abstractos siempre tienen canales laterales que existen fuera del modelo. Descubrimos que el código no confiable puede construir un dispositivo de lectura universal para leer toda la memoria en el mismo espacio de direcciones a través de canales laterales, dicen. Esto pone en riesgo los datos arbitrarios en memoria, incluso los datos 'en reposo' que actualmente no están involucrados en los cálculos y que anteriormente se consideraban a salvo de los ataques de canal lateral.
Sin embargo, hay algunas buenas noticias. Hasta el momento no se conocen ataques que exploten Spectre o Meltdown. Por el momento, la amenaza se limita a los laboratorios de investigadores de ciberseguridad como McIlroy y sus colegas.
Pero eso proporciona poco consuelo a los fabricantes de chips y expertos en seguridad. No es difícil imaginar que los actores malintencionados, incluidos los equipos patrocinados por el estado, podrían estar desarrollando formas de explotar esta vulnerabilidad. Este es un problema, como dicen McIlroy y compañía, que parece destinado a perseguirnos durante mucho tiempo.
Ref: arxiv.org/abs/1902.05178 : Spectre llegó para quedarse: un análisis de los canales laterales y la ejecución especulativa