Tu computadora va mal, dale gracias a los parches contra Meltdown y Spectre

A principios de este año, les informaba sobre dos importantes vulnerabilidades en procesadores: Spectre y Meltdown, dichas vulnerabilidades nos afectan a todos (sí también a los usuarios de Mac-Apple).

A través de estas vulnerabilidades, los atacantes (hackers) no necesitan ningún permiso para acceder a nuestra computadora. Ya que estas vulnerabilidades son a través de la arquitectura de los chips de nuestros ordenadores y no son por el sistema operativo como es habitual, por eso la envergadura del problema. 

A continuación se explica de manera un poco más técnica que es cada una de las vulnerabilidades. Para después dar paso al al estado actual del tema y qué se viene al respecto.


La vulnerabilidad Meltdown es un agujero de seguridad en el hardware que afecta a los procesadores Intel x86, a los procesadores IBM POWER, y también a algunos procesadores basados en la arquitectura ARM, y que permite que un proceso maligno pueda leer de cualquier lugar de la memoria virtual, aún sin contar con autorización para hacerlo.


Spectre es una vulnerabilidad que afecta a los microprocesadores modernos que utilizan predicción de saltos.​ En la mayoría de los procesadores, la ejecución especulativa que surge de un fallo de la predicción puede dejar efectos observables colaterales que pueden revelar información privada a un atacante. Por ejemplo, si el patrón de accesos a la memoria realizados por la mencionada ejecución especulativa depende de datos privados, el estado resultante del caché de datos constituye un canal lateral mediante el cual un atacante puede ser capaz de obtener información acerca de los datos privados empleando un ataque sincronizado. Otro sencillo ejemplo: Un sitio web podría leer información guardada en el navegador que pertenece a otro sitio web, o acceder a información alojada en la memoria que está utilizando el navegador.


Las primeras respuestas han empezado a llegar de la mano de Intel y Microsoft, que lanzaron parches de urgencia a principios de enero y continuarán haciéndolo.

Esa respuesta tiene, sin embargo, dos velocidades: por un lado, la corrección de los errores mediante parches de actualización (software) y, por otro, el inicio de una nueva fase de producción en los chips que se fabriquen a partir de ahora (hardware). Mientras que la vulnerabilidad Meltdown se van corrigiendo, los usuarios y empresas afectadas han empezado ya a instalar las actualizaciones pertinentes. Sin embargo, algunos usuarios han remitido fallos en el sistema operativo una vez instalados, que en algunos casos les impide incluso instalar los archivos mientras que otros lamentan que se produzcan reinicios forzados de sus equipos.


Usuarios de todo el mundo están reportando que las actualizaciones que Windows ha lanzado con el fin de solucionar el riesgo que representan Spectre y Meltdown están dejando a las PC con procesadores AMD inservibles.

Hace unos días la compañía Intel dio a conocer que dos errores en sus dispositivos permiten el acceso a los datos de los usuarios: "Spectre" y "Meltdown", y aunque la exposición a los riesgos informáticos era menor para AMD, las actualizaciones de Microsoft parecen estar afectando a los equipos con estos últimos procesadores.

Este problema, de acuerdo a los expertos, afecta a los dispositivos creados desde hace 20 años, ya que la vulnerabilidad se encuentra presente en la mayoría de los procesadores utilizados por gran parte de los fabricantes.

Aunque las empresas de tecnología trabajan ahora para solucionar el problema, algunos expertos sostienen que solo se puede solucionar completamente con el reemplazo de los procesadores.


AMD se ha encontrado de repente con una demanda presentada por un grupo de inversores por la vulnerabilidad Spectre. Los inversores acusan a la compañía de conocer el problema desde hace tiempo pero no haber hecho nada para solucionarlo en sus procesadores. Esta demanda se suma a las 4 que se han presentado contra Intel por esa causa.

Dichas demandas por negligencia, se basan en que ambas empresas conocían la posibilidad de este tipo de vulnerabilidades en sus chips, sin embargo, no hicieron nuevos chips diseñados para mitigar este fallo en sus productos.

El 1 de febrero AV-Test (famosa empresa que realiza ensayos independientes de software antivirus) público a través de su cuenta en Twitter: "#Spectre & #Meltdown: hasta ahora, el AV-TEST Institute descubrió 139 muestras que parecen estar relacionadas con las vulnerabilidades de la CPU recientemente informadas. CVE-2017-5715, CVE-2017-5753 y CVE-2017-5754".



Lo que hace que Spectre y Meltdown se destaquen es la magnitud de su impacto. Afectan no solo a Intel, sino también a los principales fabricantes de chips AMD y ARM, que impulsan los productos de Apple, los dispositivos domésticos y otros. (Apple reveló que todos sus productos Mac e iOS se ven afectados, excepto el Apple Watch).

Specter and Meltdown puede explotarse en los chips de miles de millones de dispositivos: prácticamente todas las computadoras, teléfonos inteligentes, tabletas y otros productos que usan chips de computadora, desde autos habilitados para Internet hasta copiadoras multifuncionales que se encuentran en oficinas en todo el mundo. Los defectos también se encuentran en los servidores de centros de datos y servicios en la nube, como los ofrecidos por Amazon y Microsoft. Los hackers podrían explotarlos para robar contraseñas y otra información sensible. Lo que es más es que "Meltdown y Spectre dejan muy pocos rastros detrás de ellos".

El lado bueno de las cosas: Como resultado del descubrimiento de Meltdown y Spectre, la industria ahora tendrá que priorizar la seguridad, así como la funcionalidad y la eficiencia.

Las empresas están luchando por enviar parches de software para protegerse contra los defectos: Intel, AMD, ARM, Google, Microsoft, Apple, Oracle, Amazon y otros. Si bien las vulnerabilidades se encuentran en el hardware físico, el chip, la forma de solucionar la situación, salvo la sustitución del chip en sí, es reforzar las protecciones a su alrededor. Google, Apple y Microsoft no fabrican ningún chip, pero sí hacen los navegadores web que las personas utilizan para navegar por Internet. Están implementando correcciones para hacer que sus navegadores sean más resistentes a Spectre y Meltdown.

Intel, AMD y ARM están emitiendo parches para el firmware, el software que desarrollaron y que se ubica entre el hardware y el sistema operativo (Mac OS, Windows, iOS) para que la computadora haga cosas como encenderse antes de que el sistema operativo se haga cargo. La esperanza es que al poner vallas fuertes alrededor de las fichas defectuosas, frenarían o incluso frustrarían los ataques de Meltdown y Spectre.

Algunos parches han resultado ser problemáticos, causando que las computadoras no arranquen entre otras complicaciones. También existe la preocupación de que los parches están ralentizando el rendimiento, según los informes hasta en un 30%.

Sin embargo, incluso una desaceleración del 10% al 20% es significativa y se traducirá en mayores costos para las empresas, ya que tendrán que reemplazar sus equipos antes de lo esperado.

Microsoft lanza segunda actualización por el caso de Spectre (recomendable leer la nota completa para saber más específicamente de lo que se trata).

En definitiva, el problema va para largo, porque depende de cuando salgan al mercado los nuevos chips "inmunes" a Meltdown y Spectre, de ahí que pase un tiempo de pruebas, fallos y errores (que tienen que pagar los usuarios que compran un artículo de 1º generación) y mientras tanto, no es recomendable comprarse un nuevo dispositivo que no traiga chips de los nuevos (cuando salgan). Las recomendaciones técnicas para alargar la vida de tu dispositivo (principalmente en computadoras portátiles y de escritorio) formatear o mejorar tu rendimiento a través de la instalación de un Disco de Estado Sólido (SSD).

Comentarios

Entradas populares de este blog

¿Qué significan los números en el triángulo de reciclaje de los plásticos?

Metallica versus Megadeth ¿quien es mejor? la estadística nos da la respuesta

Los programas más usados por economistas