Logotipo de ZombieLoad en una CPU Intel

RMIKKA / Shutterstock

Las CPU actuales tienen fallas de diseño. Spectre los expuso, pero ataques como Foreshadow y ahora ZombieLoad explotan debilidades similares. Estas fallas de ejecución especulativa solo se pueden solucionar realmente comprando una nueva CPU con protección incorporada.



Los parches a menudo ralentizan las CPU existentes

La industria ha estado luchando frenéticamente para parchear ataques de canal lateral como Spectre y Presagiar , que engañan a la CPU para que revele información que no debería. La protección para las CPU actuales se ha puesto a disposición a través de actualizaciones de microcódigo, correcciones a nivel del sistema operativo y parches para aplicaciones como navegadores web.

Las correcciones de espectro tienen ralentizó las computadoras con CPU antiguas , aunque Microsoft está a punto de acelerarlos de nuevo . La corrección de estos errores a menudo ralentiza el rendimiento de las CPU existentes.

Ahora, ZombieLoad plantea una nueva amenaza: para bloquear y proteger un sistema de este ataque por completo, debe desactivar Intel Hyper-Threading . Es por eso que Google acaba de deshabilitar el hyperthreading en los Chromebook Intel. Como de costumbre, las actualizaciones del microcódigo de la CPU, las actualizaciones del navegador y los parches del sistema operativo están en camino para intentar tapar el agujero. La mayoría de las personas no deberían necesitar deshabilitar Hyper-Threading una vez que estos parches estén en su lugar.

Las nuevas CPU Intel no son vulnerables a ZombieLoad

Pero ZombieLoad no es un peligro en los sistemas con nuevas CPU Intel. Como Intel En otras palabras, ZombieLoad se aborda en hardware comenzando con procesadores Intel® Core ™ de octava y novena generación seleccionados, así como con la familia de procesadores escalables Intel® Xeon® de segunda generación. Los sistemas con estas CPU modernas no son vulnerables a este nuevo ataque.

Anuncio publicitario

ZombieLoad solo afecta a los sistemas Intel, pero Spectre también afectó a AMD y algunas CPU ARM. Es un problema de toda la industria.

Las CPU tienen defectos de diseño, lo que permite ataques

Como la industria se dio cuenta cuando Spectre asomó su fea cabeza , las CPU modernas tienen algunos defectos de diseño:

juegos para windows – en vivo

El problema aquí es la ejecución especulativa. Por razones de rendimiento, las CPU modernas ejecutan automáticamente instrucciones que creen que podrían necesitar ejecutar y, si no lo hacen, simplemente pueden rebobinar y devolver el sistema a su estado anterior ...

El problema central de Meltdown y Spectre radica en la memoria caché de la CPU. Una aplicación puede intentar leer la memoria y, si lee algo en la caché, la operación se completará más rápido. Si intenta leer algo que no está en la caché, se completará más lentamente. La aplicación puede ver si algo se completa rápido o lento y, mientras todo lo demás durante la ejecución especulativa se limpia y borra, el tiempo que tomó realizar la operación no se puede ocultar. Luego, puede usar esta información para construir un mapa de cualquier cosa en la memoria de la computadora, un bit a la vez. El almacenamiento en caché acelera las cosas, pero estos ataques aprovechan esa optimización y la convierten en una falla de seguridad.

En otras palabras, se está abusando de las optimizaciones de rendimiento en las CPU modernas. El código que se ejecuta en la CPU, quizás incluso solo el código JavaScript que se ejecuta en un navegador web, puede aprovechar estas fallas para leer la memoria fuera de su entorno de pruebas normal. En el peor de los casos, una página web en una pestaña del navegador podría leer su contraseña de banca en línea desde otra pestaña del navegador.

O, en servidores en la nube, una máquina virtual podría espiar los datos en otras máquinas virtuales en el mismo sistema. No se supone que esto sea posible.

RELACIONADO: ¿Cómo afectarán las fallas de Meltdown y Spectre a mi PC?

controlador xbox one controlador mac

Los parches de software son solo curitas

No es de extrañar que para evitar este tipo de ataque de canal lateral, los parches hayan hecho que las CPU funcionen un poco más lentamente. La industria está tratando de agregar controles adicionales a una capa de optimización del rendimiento.

La sugerencia de deshabilitar el hiperproceso es un ejemplo bastante típico: al deshabilitar una función que hace que su CPU se ejecute más rápido, la está haciendo más segura. El software malintencionado ya no puede explotar esa función de rendimiento, pero ya no acelerará su PC.

Anuncio publicitario

Gracias a mucho trabajo de mucha gente inteligente, los sistemas modernos se han protegido razonablemente de ataques como Spectre sin mucha ralentización. Pero parches como estos son solo curitas: estas fallas de seguridad deben corregirse a nivel de hardware de la CPU.

Las correcciones a nivel de hardware proporcionarán más protección, sin ralentizar la CPU. Las organizaciones no tendrán que preocuparse por si tienen la combinación correcta de actualizaciones de microcódigo (firmware), parches del sistema operativo y versiones de software para mantener sus sistemas seguros.

Como un equipo de investigadores de seguridad lo puso en un trabajo de investigación , estos no son meros errores, sino que, de hecho, se encuentran en la base de la optimización. Los diseños de CPU tendrán que cambiar.

Intel y AMD están incorporando soluciones a nuevas CPU

Gráfico de hardware de protección Intel Spectre que muestra vallas.

Intel

Las correcciones a nivel de hardware no son solo teóricas. Los fabricantes de CPU están trabajando arduamente en cambios arquitectónicos que solucionarán este problema a nivel de hardware de la CPU. O, como dijo Intel en 2018, Intel fue avanzando la seguridad a nivel de silicio con CPU de octava generación:

Hemos rediseñado partes del procesador para introducir nuevos niveles de protección mediante particiones que protegerán contra las variantes 2 y 3 de [Spectre]. Piense en esta partición como muros protectores adicionales entre aplicaciones y niveles de privilegios de usuario para crear un obstáculo para los malos actores.

Intel anunció previamente que sus CPU de novena generación incluir protección adicional contra Foreshadow y Meltdown V3. Estas CPU no se ven afectadas por el ataque ZombieLoad recientemente revelado, por lo que esas protecciones deben ayudar.

AMD también está trabajando en cambios, aunque nadie quiere revelar muchos detalles. En 2018, la directora ejecutiva de AMD, Lisa Su dicho : A largo plazo, hemos incluido cambios en nuestros futuros núcleos de procesador, comenzando con nuestro diseño Zen 2, para abordar aún más las posibles vulnerabilidades de tipo Spectre.

fórmula de la hoja de cálculo de Google para la multiplicación
Anuncio publicitario

Para alguien que quiere el rendimiento más rápido sin ningún parche que ralentice las cosas, o simplemente una organización que quiere estar completamente seguro de que sus servidores están lo más protegidos posible, la mejor solución será comprar una nueva CPU con esas correcciones basadas en hardware. Con suerte, las mejoras a nivel de hardware evitarán otros ataques futuros antes de que también se descubran.

Obsolescencia no planificada

Si bien la prensa a veces habla de obsolescencia programada (el plan de una empresa de que el hardware quedará obsoleto, por lo que tendrá que reemplazarlo), se trata de una obsolescencia no planificada. Nadie esperaba que se tuvieran que reemplazar tantas CPU por razones de seguridad.

El cielo no se cae. Todo el mundo hace que sea más difícil para los atacantes explotar errores como ZombieLoad. No tiene que salir corriendo y comprar una nueva CPU ahora mismo. Pero una solución completa que no perjudique el rendimiento requerirá hardware nuevo.

LEER SIGUIENTE