Speculative Store Bypass o el último problema de diseño de procesadores

Los chicos de Red Hat han hecho un vídeo explicativo estupendo sobre esta vulnerabilidad, que os dejo traducido por si el inglés no es lo vuestro. Definitivamente el hecho de que haya proliferado tanto el IoT (Internet de las cosas), que no suele recibir actualizaciones, está llevandonos a la curiosa situación de que en los últimos años en vez de atacarnos mediante Software, ahora vayan a través de los fallos diseño de hardware (así que ya sabéis, actualizad las bombillas si os dió por poner “bombillas inteligentes”).

 

“Si las noticias sobre una amenaza de seguridad que permite que los cibercriminales te roben información sensible a través de uclaquier navegador te están dando sensación de deja-vu, no estás solo.

Muchos están comparando este nuevo problema, llamado “Sobrepaso por el buffer de almacenamiento especulativo” (Speculative Store Buffer Bypass), al las amenzas de Spectre y Meltdown de principios de 2018. Y al igual que cuando Spectre y Meltdown fueron anunciados, los parches de software están listos para ayudar con esta nueva amenaza.
Así que, ¿qué hace al “sobrepaso por el buffer de almacenamiento especulativo” diferente?

Imagina que tu ordenador es un restaurante. Los camareros se mueven de mesa en mesa apuntando pedidos, llamados almacenamientos, en sus libretas de tickets. Piensa en estos tickets como buffers de memoria que permiten servir a varias mesas de forma mas eficiente. en algún momento, un camarero irá a un punto común para transferir los pedidos de su cuaderno a la cuenta de sus clientes.

Él podría decidir imprimir algunas cuentas para tenerlas listas, pero para hacer esto, tiene que especular que él es el único atendiendo a sus clientes. En general tiene razón, pero a veces un cliente llama a otro camarero y pide añadir alguna cosa mas (¿me puede traer un café?). El nuevo camarero lo añade al pedido, pero ahora la factura impresa es incorrecta. Cuando llega el momento de pagar, el primer camarero debe comprobar que el cliente ya no cuadra con la factura impresa. Tira la factura vieja e imprime una nueva.

Un proceso similar sucede en tu ordenador cuando los procesadores son los camareros atareados, almacenado y cargando datos de direcciones de memoria. Están colocando pedidos en el buffer y usando ejecuciones especulativas para asegurarse de que todo esto sucede tan pronto como sea posible. Para evitar errores, los procesadores revisarán si alguna dirección usada en la carga era parte de un almacenamiento reciente en dicha dirección, y si es así, los datos especulativos se desechan, tal como el camarero tiró la factura incorrecta.

El problema es que eta especulación sucede en un área compartida e insegura, por lo que es posible que usuarios no autorizados la vean. Esto permite a un atacante crear un fragmento de código malicioso que engañe al procesador para que este lea de una dirección mientras piensa que está leyendo de otro lugar. Al engañar al procesador, el atacante puede robar datos, como passwords y números de tarjeta de crédito, sin se detectado.

Así que, ¿cómo puedes protegerte de este tipo de amenaza, que no parece una amenaza? Las empresas tecnológicas de nuevo se han unido para crear unos parches que apaguen la ejecución especulativa de los buffers de almacenamiento. Esto evita que los usuarios no autorizados puedan explotar esta vulnerabilidad. Es crítico instalar estos parches de inmediato, y estar al día con las últimas actualizaciones de sistemas operativos. Esto reducirá ligeramente el rendimiento de algunas operaciones, pero no de forma tan significativa como los parches de Meltdown y Spectre. Los parches seguirán siendo optimizados para reducir el impacto de rendimiento aún mas, y los futuros diseños de hardware los terminarán de eliminar.

Las nuevas amenazas tecnológicas no son un dej-vu, son un reto continuo al que tenemos que enfrentarnos. por eso es esencial mantener las vías de comunicación abiertas entre las compañías tecnológicas, las comunidades y los investigadores, para detener las amenazas antes de que se conviertan en enormes problemas.”

Anuncios

¿Marcapasos con conexión wifi?

Recientemente estuve leyendo un artículo sobre cómo las últimas remesas de marcapasos que se están instalando en USA llevan tecnología wifi que permiten “que se conecten a una app del móvil para evitar tener que llevar un monitor, y enviar los datos al hospital sin tener que ir allí en persona”.

¿Marcapasos con conexión wifi?

Esto me lleva a hacer 2 preguntas: “¿qué datos recopila el cacharrito exactamente?” y la omnipresente pregunta de todo dispositivo que se conecta a Internet: “¿está securizado?”

La primera puede parecer algo tonta, pero con todos los datos que recopilan de nosotros los múltiples servicios de Internet, y el nivel de privacidad que en teoría deberían de tener los datos médicos, hay algo que no termina de casar, especialmente con lo barato que suele ser el firmware de este tipo de conexiones.

La segunda es algo mas dura: ¿qué pasaría si alguien hackease el marcapasos y se colase en él? Porque por mucho que dijesen “quién querría hackear una bombilla con Internet”, se hackeó y se usó como entrada para robar datos de una empresa… ahora imaginad que se cuelan en un marcapasos, que ya de por sí es algo de quien depende la vida de una persona, que es un sistema de telemetría bidireccional (es decir, que envía y emite datos del paciente al hospital y viceversa). Automáticamente se ganaría acceso tanto al paciente como a los historiales médicos (supongo que el número dependería de hasta que punto se colasen en el sistema del hospital), definitivamente un escenario que no suena nada bien si esto se va de las manos.

En conclusión, si esto sigue así, me apuntaré que demas de tener que actualizar las bombillas ahora también habrá que actualizar los marcapasos. En serio, ¿por qué ponen Internet en estas cosas?

El desastre del F-35 (con Internet)

Tiendo a leer las noticias de tecnología cada mañana: echo una ojeada mientras me tomo un cola-cao a mis variopintos feeds y dejo las que son mas largas en pocket, para seguir leyendo en el bus desde el móvil. Y es que la noticia del F-35 me dejó patidifusa…

El desastre del F-35

It took several days for the crews to get ALIS working on the local base network. After extensive troubleshooting, IT personnel figured out they had to change several settings on Internet Explorer so ALIS users could log into the system. This included lowering security settings, which DOT&E noted with commendable understatement was “an action that may not be compatible with required cybersecurity and network protection standards.”

Que en el avión, entre sus muchos desastres, tenían que cambiar la configuración de Internet Explorer para que funcionase. Mi primer pensamiento, obviamente fue: ¿para qué quieres un navegador de internet para pilotar un avión? Seguido de: ¿en serio Internet Explorer?  ¿Es un chiste malo, no? Pero no, no lo es. Si pensábamos que ese Eurofighter era de chiste, aquí tenemos algo parecido, pero como no, con conexión a Internet 😀

Una vez mas, ¿seguro que era necesario darle esa funcionalidad? Sé de sobra que está de moda que todo se conecte a Internet, pero un elemento conectado es un elemento vulnerable a ataques. Puede que sea mi vena friki, pero la comparación me es inevitable: la nave viejuna que era la Battlestar Galactica resistió porque era la única que no tenía los sistemas principales conectados en red. Igual si a esta gente les da ver ciencia ficción quizás les dé por plantearse algo.

Reflexión frustrante del día: qué estamos haciendo con el IoT…

Me gusta programar. Disfruto trabajando en el sector tecnológico, el tener la posibilidad de mejorar las vidas de las personas. Y de repente ves que en vez de invertir esfuerzos en sectores de sanidad se están dedicando a hacer lavavajillas inteligentes sin securizar, capaz de convertirse en un servidor y generando una enorme vulnerabilidad de red con un simple comando GET. Y una vez mas me pregunto: ¿para qué quieren conectar un lavavajillas a Internet? ¿A qué viene esa brillante idea?

Reflexión frustrante del día: qué estamos haciendo con el IoT...

Ya puedo esperar que en el próximo Terminator Skynet sea un lavavajillas. Estoy oficialmente deprimida.

La solución a la falta de seguridad en IoT, ¿un router mejor?

Esta semana leí un artículo bastante curioso, en el que se hablaba de cómo Norton (una de las típicas empresas de seguridad informática que nos ha bombardeado tantos y tantos años con sus anuncios), anunciaba que estba construyendo un nuevo router. ¿El motivo? Buscar una solución para el problema del IoT.

Y es que el problema es real, pues esos dispositivos “inteligentes”, para ser mas baratos, recortan en sistemas de protección. Es más, en muchos casos, ni siquiera tienen capacidad de procesamiento para ello.

La solución a la falta de seguridad en IoT, ¿un router mejor?

La solución que propone esta gente es un “router con esteroides”, que tiene la capacidad de monitorizar todo el tráfico, incluído el de los desipositivos IoT, para frenarlos cuando empiezan a tener comportamientos extraños, tal como pasó con el incidente de Mirai. Pero claro, nos conocemos y Norton querrá hacer dinero con esto, así que asumamos que será un router con subscripciones para actualizarse, y aque de paso estará fisgando nuestra actividad de red, así que no termina de inspirarme confianza el hecho de que pueda filtrar mas contenidos de lo que debería. La verdad es que esto tampoco soluciona los problemas de infraestructura de los botnets, puesto que poca gente lo comprará por su precio (si el IoT triunfa es porque gran parte de él es ridículamente barato), así apenas marcará una diferencia real.