Las CPU actuales tienen fallas de diseño. Spectre los expuso, pero ataques como Foreshadow y ahora ZombieLoad explotan debilidades similares. Estas fallas de “ejecución especulativa” solo se pueden solucionar realmente comprando una nueva CPU con protección incorporada.
Los parches a menudo ralentizan las CPU existentes
La industria ha estado luchando frenéticamente para parchear "ataques de canal lateral" como Spectre y Presagiar , que engañan a la CPU para que revele información que no debería. La protección para las CPU actuales se ha puesto a disposición a través de actualizaciones de microcódigo, correcciones a nivel de sistema operativo y parches para aplicaciones como navegadores web.
Las correcciones de espectro tienen ralentizó las computadoras con CPU antiguas , aunque Microsoft está a punto de acelerarlos de nuevo . La corrección de estos errores a menudo ralentiza el rendimiento de las CPU existentes.
Ahora, ZombieLoad plantea una nueva amenaza: para bloquear y proteger un sistema de este ataque por completo, debe desactivar Intel Hyper-Threading . Es por eso que Google acaba de inhabilitar el hiperproceso en los Chromebook Intel. Como de costumbre, las actualizaciones del microcódigo de la CPU, las actualizaciones del navegador y los parches del sistema operativo están en camino para intentar tapar el agujero. La mayoría de las personas no deberían necesitar deshabilitar Hyper-Threading una vez que estos parches estén implementados.
Las nuevas CPU Intel no son vulnerables a ZombieLoad
Pero ZombieLoad no es un peligro en sistemas con nuevas CPU Intel. Como Intel dice, ZombieLoad "se aborda en hardware comenzando con procesadores Intel® Core ™ de octava y novena generación seleccionados, así como con la familia de procesadores escalables Intel® Xeon® de segunda generación". Los sistemas con estas CPU modernas no son vulnerables a este nuevo ataque.
ZombieLoad solo afecta a los sistemas Intel, pero Spectre también afectó a AMD y algunas CPU ARM. Es un problema de toda la industria.
Las CPU tienen fallas de diseño que permiten ataques
Como la industria se dio cuenta cuando Specter levantó su fea cabeza , las CPU modernas tienen algunos defectos de diseño:
El problema aquí es la "ejecución especulativa". Por razones de rendimiento, las CPU modernas ejecutan automáticamente instrucciones que creen que podrían necesitar ejecutar y, si no lo hacen, simplemente pueden rebobinar y devolver el sistema a su estado anterior ...
El problema central de Meltdown y Spectre radica en la memoria caché de la CPU. Una aplicación puede intentar leer la memoria y, si lee algo en la caché, la operación se completará más rápido. Si intenta leer algo que no está en la caché, se completará más lentamente. La aplicación puede ver si algo se completa rápido o lento y, mientras todo lo demás durante la ejecución especulativa se limpia y borra, el tiempo que tomó realizar la operación no se puede ocultar. Luego, puede usar esta información para construir un mapa de cualquier cosa en la memoria de la computadora, un bit a la vez. El almacenamiento en caché acelera las cosas, pero estos ataques aprovechan esa optimización y la convierten en una falla de seguridad.
En otras palabras, se está abusando de las optimizaciones de rendimiento en las CPU modernas. El código que se ejecuta en la CPU, tal vez incluso solo el código JavaScript que se ejecuta en un navegador web, puede aprovechar estas fallas para leer la memoria fuera de su entorno de pruebas normal. En el peor de los casos, una página web en una pestaña del navegador podría leer su contraseña de banca en línea desde otra pestaña del navegador.
O, en servidores en la nube, una máquina virtual podría espiar los datos en otras máquinas virtuales en el mismo sistema. No se supone que esto sea posible.
RELACIONADO: ¿Cómo afectarán las fallas Meltdown y Spectre a mi PC?
Los parches de software son solo curitas
No es de extrañar que para evitar este tipo de ataque de canal lateral, los parches hayan hecho que las CPU funcionen un poco más lentamente. La industria está tratando de agregar controles adicionales a una capa de optimización del rendimiento.
La sugerencia de deshabilitar el hiperproceso es un ejemplo bastante típico: al deshabilitar una función que hace que su CPU se ejecute más rápido, la está haciendo más segura. El software malintencionado ya no puede explotar esa función de rendimiento, pero ya no acelerará su PC.
Gracias a mucho trabajo de mucha gente inteligente, los sistemas modernos han sido razonablemente protegidos de ataques como Spectre sin mucha ralentización. Pero parches como estos son solo curitas: estas fallas de seguridad deben corregirse en el nivel del hardware de la CPU.
Las correcciones a nivel de hardware proporcionarán más protección, sin ralentizar la CPU. Las organizaciones no tendrán que preocuparse por si tienen la combinación correcta de actualizaciones de microcódigo (firmware), parches del sistema operativo y versiones de software para mantener sus sistemas seguros.
Como un equipo de investigadores de seguridad lo puso en un trabajo de investigación , estos "no son meros errores, sino que, de hecho, son la base de la optimización". Los diseños de CPU tendrán que cambiar.
Intel y AMD están incorporando arreglos en nuevas CPU
Las correcciones a nivel de hardware no son solo teóricas. Los fabricantes de CPU están trabajando duro en cambios arquitectónicos que solucionarán este problema a nivel de hardware de CPU. O, como dijo Intel en 2018, Intel fue " avanzando la seguridad a nivel de silicio ”Con CPU de octava generación:
Hemos rediseñado partes del procesador para introducir nuevos niveles de protección a través de particiones que protegerán contra [Spectre] Variantes 2 y 3. Piense en esta partición como "muros protectores" adicionales entre aplicaciones y niveles de privilegios de usuario para crear un obstáculo para los malos actores.
Intel anunció previamente que sus CPU de novena generación incluir protección adicional contra Foreshadow y Meltdown V3. Estas CPU no se ven afectadas por el ataque ZombieLoad recientemente revelado, por lo que esas protecciones deben ayudar.
AMD también está trabajando en cambios, aunque nadie quiere revelar muchos detalles. En 2018, la directora ejecutiva de AMD, Lisa Su dijo : "A largo plazo, hemos incluido cambios en nuestros núcleos de procesador futuros, comenzando con nuestro diseño Zen 2, para abordar aún más las posibles vulnerabilidades de tipo Spectre".
Para alguien que quiere el rendimiento más rápido sin ningún parche que ralentice las cosas, o simplemente una organización que quiere estar completamente seguro de que sus servidores están lo más protegidos posible, la mejor solución será comprar una nueva CPU con esas correcciones basadas en hardware. Con suerte, las mejoras a nivel de hardware evitarán otros ataques futuros antes de que también se descubran.
Obsolescencia no planificada
Si bien la prensa a veces habla de "obsolescencia programada" (el plan de una empresa de que el hardware quedará desactualizado, por lo que tendrá que reemplazarlo), se trata de una obsolescencia no planificada. Nadie esperaba que hubiera que reemplazar tantas CPU por razones de seguridad.
El cielo no se cae. Todo el mundo hace que sea más difícil para los atacantes explotar errores como ZombieLoad. No tiene que salir corriendo y comprar una nueva CPU ahora mismo. Pero una solución completa que no perjudique el rendimiento requerirá hardware nuevo.
