Alarma generalizada ante la vulnerabilidad de los procesadores de Intel, AMD y ARM
Apenas ha comenzado 2018 y ya se ha desatado la primera gran amenaza informática, siguiendo la estela de un 2017 en el que los problemas de seguridad coparon las portadas de todos los medios, especializados o no. En esta ocasión el origen del problema no está en la acción de unos ciberatacantes (aunque serían ellos los que podrían beneficiarse), sino en fallos de diseño en los procesadores de Intel, AMD y ARM.
Este miércoles saltaban todas las alarmas cuando se hacía público en un primer momento, a través de The Register, el problema de los procesadores de Intel. Se trata de Meltdown, una vulnerabilidad que al parecer afecta a los chips comercializados por el fabricante en los últimos 10 años, que facilitaría el control de una parte importante de la memoria de ordenadores, tablets y demás a los hackers, y cuyo parche para remediarse provocaría importantes problemas de rendimiento. Sin embargo, horas más tarde al problema se añadía la aparición de Spectre, un fallo parecido al de Intel pero de mayor gravedad si cabe, al afectar tanto a los procesadores de Intel como a los de AMD y ARM.
A continuación reproducimos el artículo publicado en Clipset, del diario 20 Minutos, bajo licencia Creative Commons, acerca del problema inicial de Meltdown en los procesadores de Intel:
Todos los procesadores de Intel de los 10 últimos años tienen un grave fallo de seguridad
Intel ha comenzado el año igual de mal que terminó el pasado: con un grave fallo de seguridad en sus microchips. Pero en esta ocasión la vulnerabilidad descubierta es mucho más grave debido a que afecta a todos los chips fabricados en la última década. Esto significa miles de millones de ordenadores que deberán acogerse a una solución provisional mediante software ya que parece no existir ningún parche capaz de arreglar el problema en el origen.
Lo peor de a solución propuesta es que requiere modificar el kernel (núcleo) del sistema operativo del ordenador. En las primeras pruebas esto ha generado una ralentización del ordenador de hasta un 30% lo cual es un problema importante.
En Linux ya están trabajando en ello y desde Microsoft aseguran que tendrán una actualización la próxima semana. Apple aún no se ha pronunciado, pero igualmente tendrá que ofrecer una actualización en breve. Y es que todos los principales sistemas operativos están afectados ya que todos usan procesadores Intel en el interior de sus equipos. En cualquier caso un rediseño del kernel no es algo ni fácil ni rápido y sí muy comprometido.
Los detalles del error no e han hecho públicos aún por parte de Intel, ya que esperan que se pueda encontrar una solución a nivel de kernel, antes de que los ciberdelincuentes puedan aprovecharse de ello. Pero sin duda debe de ser un fallo muy grave en el diseño del firmware, y que además se ha mantenido durante 10 años dentro del sistema sin que nadie lo haya solucionado.
Por lo que se ha podido saber el error, que afecta al control entre el kernel de los sistemas operativos y la CPU, permite que algunas aplicaciones tengan acceso a procesos para los cuales no están autorizados. Esto significa que algunos programas podrían tener acceso a información de sensible de seguridad personal que se almacena en el kernel. En resumen, permitirían acceder a una zona donde se guardan todos los ‘secretos’ del usuario -claves, cuentas bancarias, etc.-
Artículo escrito por Juan Castromil y publicado en Clipset 20minutos.es
Bajo Licencia Creative Commons
Tras la noticia, la propia compañía Intel respondía a la alarma suscitada declarando que, según sus investigaciones, los problemas referidos no son exclusivos de su empresa, sino que podrían afectar a "muchos tipos de dispositivos informáticos, con todo tipo de procesadores y sistemas operativos de diferentes proveedores". Esto que en un primer momento podía sonar a “echar balones fuera”, quedaba desgraciadamente confirmado horas más tarde (casualidad o no), cuando se revelaba el problema conocido como Spectre, que también afecta a AMD y ARM.
Éste artículo de Xataka resume con detalle los pormenores conocidos hasta el momento sobre ambas vulnerabilidades (recomendamos su lectura). Suponemos que el tema seguirá dando que hablar, así que seguiremos antentos.
Comentario de Red Hat sobre el fallo de seguridad Spectre y Meltdown.
Actualización (5 de enero)
Intel ha habilitado un microsite con información sobre el tema y que se irá actualizando con la información nueva que vayan haciendo pública desde la compañía:
Además, Intel también acaba de publicar otro comunicado que refleja los primeros resultados de las actualizaciones de seguridad lanzadas: Apple, Amazon, Google y Microsoft declaran no estar experimentando grandes impactos en el rendimientos tras las actualizaciones. Se puede leer aquí: https://newsroom.intel.es/news-releases/las-pruebas-realizadas-por-el-sector-demuestran-que-las-actualizaciones-de-seguridad-publicadas-recientemente-no-afectan-al-rendimiento-en-implementaciones-reales/
Artículo de opinión: En qué consiste el error en los procesadores de Intel
Actualización (9 de enero)
El CEO de Intel, Brian Krzanich, ha realizado unas declaraciones durante su discurso en CES 2018 en relación a los recientes sucesos relacionados con los resultados de las investigaciones sobre seguridad: https://newsroom.intel.es/news-releases/el-ceo-de-intel-habla-de-los-resultados-de-la-investigacion-sobre-seguridad-durante-su-ponencia-en-el-ces-2018/