Logo es.androidermagazine.com
Logo es.androidermagazine.com
» Ayuda y Cómo
Ayuda y Cómo

Hack de fusión y error de espectro: cómo afecta a los usuarios de Android y Chrome

Hack de fusión y error de espectro: cómo afecta a los usuarios de Android y Chrome

Tabla de contenido:

Anonim

Es posible que haya escuchado que el cielo se ha caído y que el apocalipsis de seguridad ha sucedido debido a dos nuevos ataques llamados Meltdown y Spectre. Si trabaja en TI o en cualquier otra área de infraestructura informática a gran escala, probablemente sienta que también lo ha hecho, y ya está esperando sus días de vacaciones 2018.

Los medios de comunicación escucharon por primera vez los rumores de esta hazaña de la madre de todos a fines de 2017, y los informes recientes fueron tremendamente especulativos y finalmente obligaron a compañías como Microsoft, Amazon y Google (cuyo equipo del Proyecto Cero descubrió todo) a responder con detalles. Esos detalles han sido una lectura interesante si estás interesado en este tipo de cosas.

Pero para todos los demás, sin importar qué teléfono o computadora utilices, mucho de lo que estás leyendo o escuchando puede parecer en un idioma diferente. Eso es porque lo es, y a menos que sea fluido en ciber-geek-security-techno-speak puede que tenga que pasarlo por algún tipo de traductor.

¡Buenas noticias! Encontraste ese traductor, y esto es lo que necesitas saber sobre Meltdown y Spectre, y lo que debes hacer al respecto.

Lo que ellos son

Meltdown y Spectre son dos cosas diferentes, pero dado que se revelaron al mismo tiempo y ambos tratan con la arquitectura de microprocesador a nivel de hardware, se habla de ellos juntos. El teléfono que está utilizando en este momento casi seguramente se ve afectado por el exploit Spectre, pero nadie ha encontrado una forma de usarlo, todavía.

El procesador dentro de su teléfono determina cuán vulnerable es a este tipo de exploits, pero es más seguro asumir que todos le afectan si no está seguro. Y dado que no están explotando un error y en su lugar están utilizando un proceso que se supone que debe suceder, no hay una solución fácil sin una actualización de software.

Mira el teléfono en tus manos; Es vulnerable a algunos de estos ataques.

Las computadoras (esto también incluye teléfonos y otras computadoras pequeñas) se basan en lo que se llama aislamiento de memoria para la seguridad entre aplicaciones. No es la memoria que se utiliza para almacenar datos a largo plazo, sino la memoria utilizada por hardware y software mientras todo funciona en tiempo real. Los procesos almacenan datos por separado de otros procesos, por lo que ningún otro proceso sabe dónde o cuándo se escribe o lee.

Todas las aplicaciones y servicios que se ejecutan en su teléfono quieren que el procesador haga un trabajo y constantemente le dan una lista de las cosas que necesitan ser calculadas. El procesador no realiza estas tareas en el orden en que se reciben, lo que significaría que algunas partes de la CPU están inactivas y esperando que otras partes terminen, por lo que el paso dos podría realizarse una vez finalizado el paso uno. En cambio, el procesador puede avanzar al paso tres o cuatro y hacerlo con anticipación. Esto se llama ejecución fuera de orden y todas las CPU modernas funcionan de esta manera.

Meltdown y Spectre no están explotando un error: atacan la forma en que un procesador calcula los datos.

Debido a que una CPU es más rápida de lo que podría ser cualquier software, también adivina un poco. La ejecución especulativa es cuando la CPU realiza un cálculo que aún no se le solicitó en función de los cálculos anteriores que se le pidió que realizara. Parte del software de optimización para un mejor rendimiento de la CPU es seguir algunas reglas e instrucciones. Esto significa que la mayoría de las veces hay un flujo de trabajo normal que se seguirá y una CPU puede saltar para tener datos listos cuando el software lo solicite. Y debido a que son tan rápidos, si la información no era necesaria después de todo, se descarta. Esto sigue siendo más rápido que esperar a que la solicitud realice un cálculo.

Esta ejecución especulativa es lo que permite que Meltdown y Spectre accedan a datos que de otro modo no podrían obtener, aunque lo hacen de diferentes maneras.

Fusión de un reactor

Los procesadores Intel, los procesadores más nuevos de la serie A de Apple y otros SoC ARM que usan el nuevo núcleo A75 (por ahora eso es solo el Qualcomm Snapdragon 845) son vulnerables a la explotación de Meltdown.

Meltdown aprovecha lo que se llama un "defecto de escalada de privilegios" que le da a una aplicación acceso a la memoria del kernel. Esto significa que cualquier código que pueda acceder a esta área de memoria, donde se produce la comunicación entre el núcleo y la CPU, esencialmente tiene acceso a todo lo que necesita para ejecutar cualquier código en el sistema. Cuando puede ejecutar cualquier código, tiene acceso a todos los datos.

Espectro

Spectre afecta a casi todos los procesadores modernos, incluido el de su teléfono.

Specter no necesita encontrar una forma de ejecutar código en su computadora porque puede "engañar" al procesador para que ejecute instrucciones para él, y luego otorgar acceso a los datos de otras aplicaciones. Esto significa que un exploit podría ver lo que otras aplicaciones están haciendo y leer los datos que han almacenado. La forma en que una CPU procesa las instrucciones fuera de orden en las ramas es donde Specter ataca.

Tanto Meltdown como Spectre pueden exponer datos que deberían estar protegidos. Lo hacen a nivel de hardware, por lo que su sistema operativo no lo hace inmune: Apple, Google, Microsoft y todo tipo de sistemas operativos de código abierto Unix y Linux se ven igualmente afectados.

Debido a una técnica que se conoce como programación dinámica que permite que los datos se lean a medida que se computan en lugar de que primero se deban almacenar, hay mucha información confidencial en la RAM para que un ataque pueda leerse. Si está interesado en este tipo de cosas, los libros blancos publicados por la Universidad Tecnológica de Graz son lecturas fascinantes. Pero no necesita leerlos ni comprenderlos para protegerse.

¿Estoy afectado?

Sí. Al menos lo eras. Básicamente, todos se vieron afectados hasta que las empresas comenzaron a parchear su software contra estos ataques.

El software que necesita actualización está en el sistema operativo, lo que significa que necesita un parche de Apple, Google o Microsoft. (Si usa una computadora que ejecuta Linux y no está en infosec, ya tiene el parche también. Use su actualizador de software para instalarlo o pídale a un amigo que esté en infosec que lo guíe a través de la actualización de su núcleo). La excelente noticia es que Apple, Google y Microsoft tienen parches ya implementados o en camino en el futuro inmediato para las versiones compatibles.

Los detalles

  • Los procesadores Intel desde 1995, excepto Itanium y la plataforma ATOM anterior a 2013, se ven afectados por Meltdown y Spectre.
  • Todos los procesadores AMD modernos se ven afectados por el ataque Spectre. Las CPU AMD PRO y AMD FX (AMD 9600 R7 y AMD FX-8320 se usaron como prueba de concepto) en una configuración no estándar (kernel BPF JIT habilitado) se ven afectadas por Meltdown. Se espera que sea posible un ataque similar contra la lectura de memoria del canal lateral contra todas las CPU de 64 bits, incluidos los procesadores AMD.
  • Los procesadores ARM con Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 y A75 son suspendibles para los ataques de Spectre. Los procesadores con núcleos Cortex A75 (Snapdragon 845) son vulnerables a los ataques Meltdown. Se espera que los chips que usan variantes de estos núcleos, como la línea Snapdragon de Qualcomm o la línea Exynos de Samsung, también tengan vulnerabilidades similares o iguales. Qualcomm está trabajando directamente con ARM y tiene esta declaración sobre los problemas:

Qualcomm Technologies, Inc. es consciente de la investigación de seguridad sobre vulnerabilidades de procesadores en toda la industria que se ha informado. Proporcionar tecnologías que respalden la seguridad y la privacidad sólidas es una prioridad para Qualcomm, y como tal, hemos estado trabajando con Arm y otros para evaluar el impacto y desarrollar mitigaciones para nuestros clientes. Estamos incorporando y desplegando activamente mitigaciones contra las vulnerabilidades de nuestros productos afectados, y continuamos trabajando para fortalecerlos lo más posible. Estamos en el proceso de implementar estas mitigaciones para nuestros clientes y alentar a las personas a actualizar sus dispositivos cuando haya parches disponibles.

  • NVIDIA ha determinado que estos exploits (u otros exploits similares que puedan surgir) no afectan la informática de la GPU, por lo que su hardware es principalmente inmune. Trabajarán con otras compañías para actualizar los controladores de dispositivos para ayudar a mitigar cualquier problema de rendimiento de la CPU, y están evaluando sus SoCs basados ​​en ARM (Tegra).

  • Webkit, la gente detrás del motor de renderizado del navegador de Safari y el precursor del motor de parpadeo de Google, tiene un excelente desglose de cómo estos ataques pueden afectar su código. Gran parte se aplicaría a cualquier intérprete o compilador y es una lectura increíble. Vea cómo están trabajando para solucionarlo y evitar que suceda la próxima vez.

En inglés simple, esto significa que, a menos que todavía esté usando un teléfono, una tableta o una computadora muy antiguos, debería considerarse vulnerable sin una actualización del sistema operativo. Esto es lo que sabemos hasta ahora en ese frente:

  • Google ha parcheado a Android contra los ataques de Spectre y Meltdown con los parches de diciembre de 2017 y enero de 2018.
  • Google ha parcheado Chromebooks usando las versiones 3.18 y 4.4 del núcleo en diciembre de 2017 con OS 63. Los dispositivos con otras versiones del núcleo (mira aquí para encontrar el tuyo) serán parcheados pronto. En inglés simple: el Toshiba Chromebook, el Acer C720, el Dell Chromebook 13 y los Chromebook Pixels de 2013 y 2015 (y algunos nombres de los que probablemente nunca haya oído hablar) aún no están parcheados, pero lo estarán pronto. La mayoría de las Chromeboxes, Chromebases y Chromebits no están parcheadas, pero lo estarán pronto.
  • Para los dispositivos Chrome OS que no están parcheados, una nueva característica de seguridad llamada Site Isolation mitigará cualquier problema de estos ataques.
  • Microsoft ha parcheado ambos exploits a partir de enero de 2018.
  • Apple ha parcheado macOS e iOS contra Meltdown a partir de la actualización de diciembre. La primera ronda de actualizaciones de Spectre se lanzó a principios de enero. Echa un vistazo a iMore para conocer todo lo que necesitas saber sobre estos defectos de la CPU y cómo afectan a tu Mac, iPad y iPhone.
  • Se han enviado parches a todas las versiones compatibles del kernel de Linux, y los sistemas operativos como Ubuntu o Red Hat se pueden actualizar a través de la aplicación de actualización de software.

Para las especificaciones de Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 y Pixel 2 XL han sido parcheados y debería ver una actualización pronto si aún no la ha recibido. También puede actualizar manualmente estos dispositivos si lo desea. El proyecto de código abierto de Android (el código utilizado para construir el sistema operativo para cada teléfono Android) también se ha parcheado y se pueden actualizar las distribuciones de terceros como LineageOS.

Cómo actualizar manualmente tu Pixel o Nexus

Samsung, LG, Motorola y otros proveedores de Android (compañías que fabrican teléfonos, tabletas y televisores) parchearán sus productos con la actualización de enero de 2018. Algunos, como el Note 8 o Galaxy S8, lo verán antes que otros, pero Google ha puesto el parche disponible para todos los dispositivos. Esperamos ver más noticias de todos los socios que nos permitan saber qué esperar y cuándo.

¿Que puedo hacer?

Si tiene un producto que es vulnerable, es fácil quedar atrapado en el bombo, pero no debería. Tanto Specter como Meltdown no "suceden" y dependen de que instales malware de algún tipo que los aproveche. Seguir algunas prácticas seguras lo mantendrá inmune a cualquier explotación en cualquier hardware de la computadora.

  • Solo instale software en el que confíe desde un lugar en el que confíe. Esta es una buena idea siempre, pero especialmente si está esperando un parche.
  • Asegure sus dispositivos con una buena pantalla de bloqueo y cifrado. Esto hace más que simplemente mantener alejada a otra persona, ya que las aplicaciones no pueden hacer nada mientras su teléfono está bloqueado sin su permiso.
  • Lea y comprenda los permisos sobre todo lo que ejecuta o instala en su teléfono. ¡No tengas miedo de pedir ayuda aquí!
  • Use un navegador web que bloquee el malware. Podemos recomendar Chrome o Firefox, y otros navegadores también pueden protegerlo contra malware basado en la web. Pregunte a las personas que los hacen y distribuyen si no está seguro. El navegador web que viene con su teléfono puede no ser la mejor opción aquí, especialmente si tiene un modelo anterior. Edge y Safari también son confiables para dispositivos Windows o MacOS e iOS.
  • No abra enlaces en las redes sociales, en un correo electrónico o en cualquier mensaje de alguien que no conozca. Incluso si son de personas que conoce, asegúrese de confiar en su navegador web antes de hacer clic o tocar. Esto se duplica para los enlaces de redireccionamiento que enmascaran la URL de un sitio. Usamos ese tipo de enlaces con bastante frecuencia y es probable que también haya muchos medios en línea que lea. Ten cuidado.
  • No seas estúpido Sabes lo que esto significa para ti. Confíe en su criterio y erre por precaución.

La buena noticia es que la forma en que se parchean estas vulnerabilidades de canal lateral no va a traer las enormes ralentizaciones que se promocionaron antes de que se publicaran las actualizaciones. Así es como funciona la web, y si lees acerca de cómo tu teléfono o computadora iba a ser un 30% más lento después de aplicar cualquier solución, fue porque el sensacionalismo vende. Los usuarios que ejecutan software actualizado (y lo han estado durante las pruebas) simplemente no lo ven.

El parche no tiene el impacto en el rendimiento que algunos afirmaron que traería, y eso es una gran cosa.

Todo esto ocurrió porque estos ataques miden intervalos de tiempo precisos y los parches iniciales cambian o deshabilitan la precisión de algunas fuentes de temporización a través del software. Menos preciso significa más lento cuando estás computando y el impacto fue exagerado para ser mucho más grande de lo que es. Incluso las pequeñas disminuciones de rendimiento que son el resultado de los parches están siendo mitigados por otras compañías y vemos que NVIDIA actualiza la forma en que sus GPU reducen los números o Mozilla trabaja en la forma en que calculan los datos para que sea aún más rápido. Su teléfono no será más lento en el parche de enero de 2018 y tampoco lo hará su computadora a menos que sea muy antigua, al menos no de manera notable.

Deja de preocuparte por eso y asegúrate de hacer todo lo posible para mantener tus datos seguros.

Qué quitar de todo

Los problemas de seguridad siempre tienen algún tipo de impacto real. Nadie ha visto ningún caso de Meltdown o Spectre en la naturaleza, y debido a que la mayoría de los dispositivos que usamos todos los días se actualizan o serán muy pronto, los informes probablemente se mantendrán de esta manera. Pero esto no significa que deberían ser ignorados.

Tómese en serio las amenazas de seguridad como esta, pero no se deje engañar; ¡Ser informado!

Estas vulnerabilidades de canal lateral tenían el potencial de ser un evento grande y serio que cambia el juego por el que las personas se preocupan cuando se trata de ciberseguridad. Cualquier vulnerabilidad que afecte al hardware es grave, y cuando ataca algo hecho a propósito en lugar de un error, se vuelve aún más grave. Afortunadamente, los investigadores y desarrolladores pudieron capturar, contener y parchear Meltdown y Spectre antes de que ocurriera un uso generalizado.

Lo realmente importante aquí es que obtienes la información correcta para que sepas qué hacer cada vez que escuchas sobre una nueva amenaza cibernética que quiere todas tus cosas digitales. Por lo general, hay una forma racional de mitigar los efectos graves una vez que cavas más allá de todos los titulares.

¡Mantenerse a salvo!

Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.

Ayuda y Cómo

Selección del editor