1. Forum
  2. Fidonet Spanish
  3. ESP.SEGURIDAD

  • Meltdown, Spectre... empezamos bien el a�o!

    From Enric Lleal Serra@2:343/107.1 to All on Thu Jan 4 13:32:02 2018
    �Hola All!


    Me imagino a Yeray ri�ndose como un loco en su sill�n de cuero negro, mientras acaricia a su gato de Angora... :-/


    *Spectre: la vulnerabilidad que afecta a todos los microprocesadores del mundo* >Por Eduardo Arcos 4/01/18 - 01:24

    Spectre: la vulnerabilidad que afecta a todos los microprocesadores del
    mundo

    Horas atr�s se descubri� y anunci� una vulnerabilidad conocida como Meltdown que afecta a pr�cticamente todos los microprocesadores fabricados por Intel. Su
    soluci�n ser� un parche al que llaman Kaiser y probablemente haga que los chips
    de la compa��a funcionen entre 5 y 30% m�s lento.

    Pero tambi�n se ha descubierto y anunciado una segunda vulnerabilidad que afecta a virtualmente todos los microprocesadores del mercado, incluyendo chips
    de ARM y AMD, llamada Spectre.

    Aunque es cierto que Spectre es una vulnerabilidad mucho m�s dif�cil de aprovechar, su soluci�n tambi�n ser� mucho m�s complicada de resolver: se necesitar� repensar por completo la arquitectura y la forma en que se dise�an los procesadores, tanto as� que probablemente tendremos que vivir con el hueco de seguridad durante cinco a diez a�os antes de ver una soluci�n final.
    �Por qu� todos los microprocesadores tienen una vulnerabilidad que no puede resolverse con un parche de seguridad?

    Parte del motivo por el cual Spectre afecta a todos los procesadores y no puede
    resolverse con un parche de seguridad es porque parte del dise�o y la arquitectura de los chips que hacen funcionar pr�cticamente todos los equipos electr�nicos que usamos premian la velocidad por encima de la seguridad.

    En este caso, la vulnerabilidad se aprovecha de la ejecuci�n especulativa que consiste en ejecutar c�digo desde el procesador aunque este no sea necesario pero que por medio de una serie de reglas, un algoritmo o alg�n otro m�todo de predicci�n se considera que tal vez el usuario lo requiera. �No hace falta? Simplemente se elimina.

    En t�rminos simples, el problema es que cuando los procesadores recurren a este
    tipo de optimizaci�n, no se hacen las pruebas de seguridad necesarias, de tal forma que un hacker podr�a ejecutar c�digo, hacerlo pasar por especulativo y as� obtener datos que residan en la memoria, a�n cuando no deber�a tener acceso
    a este.

    En ese sentido, Meltdown y Spectre son similares, pues todos los procesadores modernos usan este tipo de optimizaciones predictivas y especulativas para acelerar procesos.

    Hay que repensar el dise�o de los microprocesadores

    Spectre simplemente pone sobre la mesa el eterno dilema de velocidad versus seguridad. En caso que se quiera eliminar por completo la vulnerabilidad, los procesadores tendr�an que hacer revisiones de seguridad cuando se haga ejecuci�n especulativa, pero el proceso puede alentarse tanto que deja de tener
    sentido recurrir a ese m�todo de predicci�n.

    Es por eso que hay que repensar la forma en que se dise�an microprocesadores y se recurre a m�todos de optimizaci�n. El problema es que la ejecuci�n especulativa y sus variantes son tan intr�nsecas al funcionamiento actual de los chips que impulsan la mayor�a de los dispositivos electr�nicos que usamos que tal vez pasen muchos a�os hasta que se encuentren alternativas de optimizaci�n sin comprometer seguridad.

    No podemos hacer nada ante la vulnerabilidad

    Lamentablemente contra Spectre no se puede hacer nada, tendremos que vivir con la vulnerabilidad por varios a�os, no solo en Macs y PCs, tambi�n en smartphones y tablets. Desde ya Intel est� intentando minimizar el fallo frente
    a medios, como era de esperarse. AMD asegura que sus procesadores no son v�ctimas del problema y ARM ha aceptado qu s� est�n afectados, pero aclaran que
    los pasos para aprovechar el hueco de seguridad son muchos y es sumamente complicado.

    En el caso de Meltdown podemos esperar actualizaciones de sistema en sistemas operativos que usen procesadores Intel en los pr�ximos d�as y tal vez tengamos que sufrir realentizaciones importantes. Con Spectre quedamos desprotegidos.


    [1]https://hipertextual.com/2018/01/spectre-vulnerabilidad-procesadores


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... S�lo las 'CHERNOBIL' de la Companyia Sant Logan son las aut�nticas!
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)