Speculative Store Bypass o el último problema de diseño de procesadores

Los chicos de Red Hat han hecho un vídeo explicativo estupendo sobre esta vulnerabilidad, que os dejo traducido por si el inglés no es lo vuestro. Definitivamente el hecho de que haya proliferado tanto el IoT (Internet de las cosas), que no suele recibir actualizaciones, está llevandonos a la curiosa situación de que en los últimos años en vez de atacarnos mediante Software, ahora vayan a través de los fallos diseño de hardware (así que ya sabéis, actualizad las bombillas si os dió por poner “bombillas inteligentes”).

 

“Si las noticias sobre una amenaza de seguridad que permite que los cibercriminales te roben información sensible a través de uclaquier navegador te están dando sensación de deja-vu, no estás solo.

Muchos están comparando este nuevo problema, llamado “Sobrepaso por el buffer de almacenamiento especulativo” (Speculative Store Buffer Bypass), al las amenzas de Spectre y Meltdown de principios de 2018. Y al igual que cuando Spectre y Meltdown fueron anunciados, los parches de software están listos para ayudar con esta nueva amenaza.
Así que, ¿qué hace al “sobrepaso por el buffer de almacenamiento especulativo” diferente?

Imagina que tu ordenador es un restaurante. Los camareros se mueven de mesa en mesa apuntando pedidos, llamados almacenamientos, en sus libretas de tickets. Piensa en estos tickets como buffers de memoria que permiten servir a varias mesas de forma mas eficiente. en algún momento, un camarero irá a un punto común para transferir los pedidos de su cuaderno a la cuenta de sus clientes.

Él podría decidir imprimir algunas cuentas para tenerlas listas, pero para hacer esto, tiene que especular que él es el único atendiendo a sus clientes. En general tiene razón, pero a veces un cliente llama a otro camarero y pide añadir alguna cosa mas (¿me puede traer un café?). El nuevo camarero lo añade al pedido, pero ahora la factura impresa es incorrecta. Cuando llega el momento de pagar, el primer camarero debe comprobar que el cliente ya no cuadra con la factura impresa. Tira la factura vieja e imprime una nueva.

Un proceso similar sucede en tu ordenador cuando los procesadores son los camareros atareados, almacenado y cargando datos de direcciones de memoria. Están colocando pedidos en el buffer y usando ejecuciones especulativas para asegurarse de que todo esto sucede tan pronto como sea posible. Para evitar errores, los procesadores revisarán si alguna dirección usada en la carga era parte de un almacenamiento reciente en dicha dirección, y si es así, los datos especulativos se desechan, tal como el camarero tiró la factura incorrecta.

El problema es que eta especulación sucede en un área compartida e insegura, por lo que es posible que usuarios no autorizados la vean. Esto permite a un atacante crear un fragmento de código malicioso que engañe al procesador para que este lea de una dirección mientras piensa que está leyendo de otro lugar. Al engañar al procesador, el atacante puede robar datos, como passwords y números de tarjeta de crédito, sin se detectado.

Así que, ¿cómo puedes protegerte de este tipo de amenaza, que no parece una amenaza? Las empresas tecnológicas de nuevo se han unido para crear unos parches que apaguen la ejecución especulativa de los buffers de almacenamiento. Esto evita que los usuarios no autorizados puedan explotar esta vulnerabilidad. Es crítico instalar estos parches de inmediato, y estar al día con las últimas actualizaciones de sistemas operativos. Esto reducirá ligeramente el rendimiento de algunas operaciones, pero no de forma tan significativa como los parches de Meltdown y Spectre. Los parches seguirán siendo optimizados para reducir el impacto de rendimiento aún mas, y los futuros diseños de hardware los terminarán de eliminar.

Las nuevas amenazas tecnológicas no son un dej-vu, son un reto continuo al que tenemos que enfrentarnos. por eso es esencial mantener las vías de comunicación abiertas entre las compañías tecnológicas, las comunidades y los investigadores, para detener las amenazas antes de que se conviertan en enormes problemas.”

Anuncios

FaceId, y por qué no me parece una buena idea

Apple ha desvelado su nuevo iPhone X, en el que hay un gran cambio: si característico botón único ha desaparecido. Esto me lleva de entrada a pensar 2 cosas:

  • Todo ese desarrollo de lectura de huellas dactilares, a donde fue?
  • Sin ese botón, ¿como se desbloquea? ¿Se abandona la biométrica de huellas dactitilares después de todo lo que se invirtió en ella?

Pues la respuesta es que la biométrica sigue allí, pero con otro campo: la identificación facial. Aún sabemos poco de cómo se supone que funciona, pero lo que se ha mostrado es que al apuntar el teléfono hacia tu cara, si eres el propietario, se desbloquea, y aunque parezca cómodo, hay una serie de cuestiones qur me preocupan, mas allá de los evidentes chistes de parecidos razonables que no se pueden evitar compartir.

FaceId, y por qué no me parece una buena idea
Los chistes de identificación facial con parecidos razonables no se hicieron esperar
  • Asumo que Apple se habrá dejado un dineral en ese desarrollo y es probable que me equivoque, pero en mi experiencia, el reconocimiento de imágenes mediante inteligencia artificial es altamente dependiente de la luz (lo comprobé trabajando en el reconocimiento de señales de tráfico para coches inteligentes), lo que me hace plantearme incluso un paso mas… ¿Se puede desbloquear a oscuras? Ya no solo requiriria una gran cantidad de fotos de entrenamiento básico para superar el problema de la iluminación, sino que igual la cámara tendrá visión nocturna a lo peli de Bond.
  • Qué pasa si se colocan varias fotos del propietario delante, ¿se desbloquea? Hoy en día con tanta red social es muy simple conseguir una imagen de alguien.
  • Tema 100% legal: en los aeropuertos de Estados Unidos, se puede solicitar que desbloquees tu teléfono para que revisen tu correo y cuentas de redes sociales. Es perfectamente legal el no compartir la contraseña, pero la ley actual si permite pedir el uso de huellas dactilares, lo que ya permitía burlar modelos anteriores de iPhone. Cómo es de fácil que apunten el teléfono hacia tu cara y que accedan del tirón?
  • ¿Dónde se almacena esa información bionétrica? ¿Qué pasa si es robada? Cambiar de contraseña es mucho mas fácil que cambiar de cara.

Así que sentíos libres de llamarme clásica, pero me quedo con los clasicos pines (numéricamente 10^4 posibilidades, con los dibujos uniendo puntos 9 sobre 8 combinaciones) cualquier dia de la semana. En resumidas cuentas, es mas simple, seguro, y se puede cambiar en cualquier momento sin costes ni dolores.

La pesadilla informática de LexNET

Quizás hayais oído hablar de LexNET, o quizas vuestros filtros os hayan hecho ignorarlo, como suele pasar con la mayoría de las cosas de derecho. El “legalés” (término jocos que utilizamos para definir la jerga legal) no es un idioma que controle y soy la primera que tiende a desconectar al escucharlo, pero este tema es curioso a la vez que terrible.

La pesadilla informática de LexNET
El logo de LexNET

Para quien no lo sepa, los sistemas digitales de los juzgados son cada uno de su padre y de su madre, lo que probablemente no resulte sorprendente, ya que tenemos una situación similar con los chips de las mascotas a nivel autonómico. LexNET fue un programa que se pretendía implantar a nivel nacional, lo que suena bonito. Lo que no suena tan bien es su extrema inseguridad, lo que me llevó a buscar información mas especializada: resulta que los datos de usuario se pasan en llamadas SOAP no securizadas, lo que quiere decir que los datos se ven de forma plana en la URL (ejemplo el ID de mi usuario), y con sustituir este por cualquier otro, un usuario se puede colar en la pantalla de otro.

¿Qué significa esto? Pues que cualquiera con credenciales de acceso al sistema puede acceder a cualquier cosa del mismo. Imaginaos que las partes enfrentadas puedan acceder a la información de los que sientan enfrente, o mas curioso aún: que alguien que trabaje en el juzgado y tenga alguna denuncia pueda acceder a los datos privados de quien lo ha denunciado.

¿Podría haberse prevenido? Pues de entrada se podrían securizar las llamadas SOAP para comparar el usuario que lo pide con el identificador que está pasando como parámetro, o usar quizás sistemas REST, de manera que los parámetros no se vean en la URL y no sean tan fáciles de hackear. Lo que denota esto es extrema dejadez y lo que es peor… ¿Esta gente no tiene un personal de testing serio? ¿Cuántas leyes de protección de datos se salta esto? Una vez mas me sorprendo del país en el que vivo, y parece que esto solo puede ser la punta del iceberg con lo que han hecho…

Wannacry o qué paso el viernes 12 de mayo

Hago un resumen de las preguntas mas habituales del incidente de ransomware WannaCry, que me tuvo bastante entretenida el fin de semana.

Wannacry o qué paso el viernes 12 de mayo

  • ¿Qué es #WannaCry?

Se trata de un ransomware, que viene de ransom o pedir rescate. Consiste en términos muy básicos en un virus de gusano para equipos Windows.

  • ¿Eso cómo se pilla?

Pues es unos de sos virus que vienen en un correo electrónico. Por triste que os resulte, hay personas que aún se creen que un príncipe nigeriano se quiere casar con ellas. Una vez se infecta un equipo, se puede propagar por intranets (redes internas).

  • ¿Y eso se puede prevenir?

Pues este bicho en cuestión utiliza una debilidad antigua y sonada, pues es parte del Vault7 de la CIA que publicó Wikileaks en marzo, y que Microsofft parcheó ese mismo mes. Así que si tienes instaladas las actualizaciones de Windows de aquella fecha, estás a salvo. Y aún mas si en lugar de Windows usas Linux 😉

  • ¿Y si tiene un tiempo, cómo es que tantas empresas están afectadas?

Porque en las empresas los usuarios no suelen tener derechos de administrador para instalar cualquier programa, o las actualizaciones de sistema. El departamento de IT las suele distribuir en paquetes de parches cada cierto periodo de tiempo una vez se han probado (¿cuántas veces ha frito algo una actualización de Windows? Yo no les culpo por querer estar seguros antes de instalar en secciones críticas), y en muchos casos esos periodos pueden ser bien largos. Luego hay casos mas extremos de organizaciones que aún usan Windows XP en sus equipos, sistema deprecado y que obviamente no tiene parche que lo proteja. Si teneís curiosidad, yo los ví recientemente en un centro de salud.

  • ¿Esto es un ciberataque?

No, esto no es ni de lejos un ciberataque ni ha estallado la tercera guerra mundial sin que nadie lo sepa, como decían algunos medios que se dieron tanta prisa en dar noticias que se pusieron a publicar sin tener ni idea de lo que hablaban. Lo que sí se demuestra es que el día que venga uno de verdad muchos no estarán ni de broma preparados si siguen manteniendo estos niveles de seguridad.

  • Esto afecto a Telefónica y yo uso su red, ¿me afectará a mi?

No, no se propaga así. Solo te infectas si tienes un equipo Windows y abres un correo que no deberías en tu ordenador, o si lo hace alguien en tu intranet. Vamos, que es de andar por casa.

  • ¿Y si lo pillas y pagas, te desencriptan los datos?

Las probabilidades son bajas, directamente formatea tu equipo y pon tu copia de seguridad mas reciente. No pagues el chantaje.

El desastre del F-35 (con Internet)

Tiendo a leer las noticias de tecnología cada mañana: echo una ojeada mientras me tomo un cola-cao a mis variopintos feeds y dejo las que son mas largas en pocket, para seguir leyendo en el bus desde el móvil. Y es que la noticia del F-35 me dejó patidifusa…

El desastre del F-35

It took several days for the crews to get ALIS working on the local base network. After extensive troubleshooting, IT personnel figured out they had to change several settings on Internet Explorer so ALIS users could log into the system. This included lowering security settings, which DOT&E noted with commendable understatement was “an action that may not be compatible with required cybersecurity and network protection standards.”

Que en el avión, entre sus muchos desastres, tenían que cambiar la configuración de Internet Explorer para que funcionase. Mi primer pensamiento, obviamente fue: ¿para qué quieres un navegador de internet para pilotar un avión? Seguido de: ¿en serio Internet Explorer?  ¿Es un chiste malo, no? Pero no, no lo es. Si pensábamos que ese Eurofighter era de chiste, aquí tenemos algo parecido, pero como no, con conexión a Internet 😀

Una vez mas, ¿seguro que era necesario darle esa funcionalidad? Sé de sobra que está de moda que todo se conecte a Internet, pero un elemento conectado es un elemento vulnerable a ataques. Puede que sea mi vena friki, pero la comparación me es inevitable: la nave viejuna que era la Battlestar Galactica resistió porque era la única que no tenía los sistemas principales conectados en red. Igual si a esta gente les da ver ciencia ficción quizás les dé por plantearse algo.