Volvemos con Meltdown y Spectre, los dos vectores de ataque que han puesto patas arriba el mundo de la computación y dejado a Intel en una situación un tanto difícil. Aunque casi todas las marcas y arquitecturas de CPU son vulnerables a Spectre, el hecho de que Intel sea de las pocas afectadas por Meltdown y la filtración antes de tiempo de ciertas informaciones han podido ser factores que hayan precipitado ciertos movimientos.
Una de las posibles consecuencias de esto ha sido la modificación por parte de Intel de su guía para clientes y socios contra Meltdown y Spectre. Según cuentan nuestros compañeros de MuyComputerPRO, el gigante del chip ha recomendado a “OEM, proveedores de servicios en la nube, fabricantes de sistemas, proveedores de software y usuarios finales detener el despliegue de las versiones actuales (de su software), ya que pueden producir reinicios y otros comportamientos impredecibles en los sistemas”. En otras palabras, está pidiendo que se detenga el despliegue de las actualizaciones contra Meltdown y Spectre debido que provocan reinicios aleatorios y muestran comportamientos injustificados que terminan impactando en el normal funcionamiento de los sistemas. Los problemas derivados de la aplicación de los parches no son de seguridad, sino técnicos.
Las recomendaciones actualizadas de la compañía para clientes y socios son las siguientes:
- Recomendamos que los OEM, proveedores de servicios en la nube, fabricantes de sistemas, proveedores de software y usuarios finales detengan el despliegue de las versiones actuales, ya que pueden introducir reinicios y otros comportamientos impredecibles en los sistemas. Para conocer la lista completa de las plataformas afectadas puedes consultar el Centro de seguridad de Intel .
- Pedimos que nuestros socios de la industria centren esfuerzos en probar las primeras versiones de la solución actualizada para que podamos acelerar su liberación. Esperamos compartir más detalles esta semana.
- Seguimos instando a todos los clientes a mantener las mejores prácticas de seguridad.
Navin Shenoy, vicepresidente ejecutivo y gerente general del Data Center Group en Intel Corporation, se ha visto forzado a tener que dar un paso adelante y pedir disculpas en nombre de la compañía por los problemas técnicos derivados de la aplicación de los parches contra Meltdown y Spectre, a lo cual ha sumado unas declaraciones diciendo que están trabajando intensamente para solventarlos cuanto antes.
Los dos vectores de ataque han dejado a muchísimos modelos de CPU comprometidos, hasta el extremo de que el CERT ha advertido que “debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar del software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada”. Aquí no solo hay que fijarse en los usuarios finales, sino también en muchas empresas que ven complicado el afrontar estos problemas debido a que para mitigarlos de forma definitiva solo pueden confiar en lo que puedan suministrarles sus proveedores.
Las compañías no solo tienen que hacer frente a las amenazas que representan Meltdown y Spectre, sino también a la pérdida de rendimiento que provocan los parches para el firmware de Intel y los distintos sistemas operativos. De hecho, se tuvo que optar por una medida extrema para mitigar Meltdown, separando totalmente la memoria del kernel de las aplicaciones ejecutadas por el usuario.
Lo peor es que, al necesitar las CPU de alto rendimiento de la ejecución especulativa para dar lo mejor de sí, se termina poniendo a muchos proveedores de servicios en una situación difícil. Los parches de Intel no tendrían que tener un gran impacto en el rendimiento para los usuarios finales, que generalmente utilizan aplicaciones que no interaccionan mucho con los componentes del sistema operativo (y aquí entran los videojuegos de última generación), sin embargo, aplicaciones y programas que interaccionan mucho con el sistema operativo, realizando operaciones de disco o de red, sí pueden notar una merma perceptible en el rendimiento.
La situación supone todo un reto para los Jefes de Seguridad de las empresas y proveedores de servicios, que tendrán que diseñar medidas para evitar los ataques mediante Meltdown y Spectre hasta que las soluciones de sus proveedores estén totalmente maduros. Aquí se puede mencionar la reciente incorporación en Linux de un mecanismo nativo para identificar el nivel de mitigación frente a Meltdown y las dos vulnerabilidades de Spectre.