Si crees que 2017 fue el año de las pesadillas de seguridad, 2018 parece ser aún peor. El año acaba de comenzar y ya tenemos dos grandes vulnerabilidades que afectan a casi todos los procesadores fabricados en los últimos 20 años.
Quizás ya hayas leído mucho al respecto en detalle en varios sitios web. Voy a resumirlos aquí para que conozcan los elementos esenciales de estas vulnerabilidades, sus impactos y cómo pueden protegerse de Meltdown y Spectre en este breve artículo.
Primero, veamos cuáles son estos errores en realidad.
¿Qué son los errores Meltdown y Spectre?
Meltdown y Spectre son vulnerabilidades similares que afectan a los procesadores de una computadora (también llamada CPU). Tu teléfono inteligente y tu tableta también son un tipo de computadora y, por lo tanto, estas vulnerabilidades de la CPU también pueden afectarlos.
Si bien las vulnerabilidades son similares, no son lo mismo. Hay algunas diferencias.
Meltdown
La vulnerabilidad de Meltdown permite a un programa acceder a las áreas de memoria privada del kernel. Esta memoria puede contener los secretos (incluidas las contraseñas) de otros programas y del sistema operativo.
Esto hace que tu sistema sea vulnerable a ataques donde un programa malicioso (incluso un JavaScript que se ejecuta en un sitio web) puede tratar de encontrar las contraseñas de otros programas en la zona de memoria privada del kernel.
Esta vulnerabilidad es exclusiva de las CPU de Intel y puede explotarse en sistemas compartidos en la nube. Afortunadamente, puede ser parcheado por las actualizaciones del sistema. Microsoft, Linux, Google y Apple ya comenzaron a proporcionar la solución.
Spectre
Spectre también se ocupa de la memoria del núcleo, pero es ligeramente diferente. Esta vulnerabilidad realmente permite que un programa malicioso engañe a otro proceso que se ejecuta en el mismo sistema para filtrar su información privada.
Esto significa que un programa malicioso puede engañar a otros programas como tu navegador web para revelar la contraseña en uso.
Esta vulnerabilidad afecta los dispositivos Intel, AMD y ARM. Esto también significa que los chips usados en teléfonos inteligentes y tabletas también están en riesgo aquí.
Spectre es difícil de parchear, pero es difícil de explotar también. Las discusiones están en curso para proporcionar una solución a través de un parche de software.
Recomiendo leer este artículo en The Register para obtener los detalles técnicos sobre Meltdown y Spectre.
¿Es catastrófico?
Fue Google quien identificó por primera vez estas vulnerabilidades en junio del año pasado y alertó a Intel, AMD y ARM. Según CNBC, los investigadores de seguridad tuvieron que firmar el acuerdo de confidencialidad y mantenerlo en secreto mientras trabajaban para solucionar el problema.
Curiosamente, Canonical afirma que todos los sistemas operativos acordaron proporcionar la solución el 9 de enero de 2018 al mismo tiempo que la divulgación pública de la vulnerabilidad de seguridad, pero esto no sucedió.
Si bien estos errores afectan a una gran cantidad de dispositivos, hasta ahora no ha habido ataques generalizados. Esto se debe a que no es sencillo obtener los datos confidenciales de la memoria del kernel. Es una posibilidad pero no una certeza. Así que no deberías empezar a entrar en pánico todavía.
¿Cómo proteger tu computadora de Meltdown y Spectre?
Bueno, no hay nada que puedas hacer de tu parte excepto esperar a que lleguen las actualizaciones. Ubuntu debería recibir las correcciones el 9 de enero o antes. Otras distribuciones de Linux y sistemas operativos también deberían obtener la solución pronto (si aún no la tienen).
¿Arreglará Meltdown la velocidad de tu computadora?
La respuesta corta a esta pregunta es sí, lo hará. Si usa la CPU Intel, puedes observar una caída del 10-30% en el rendimiento después de aplicar la actualización de software para Meltdown. De hecho, varios investigadores afirman que Intel mantuvo deliberadamente la vulnerabilidad abierta para obtener un leve aumento en el rendimiento de su competidor AMD.
Intel llama a Meltdown “trabajando como se diseñó“
Lo que es peor es que Intel intentó defenderlo en un Comunicado de prensa que solo dice una cosa: todo funciona según lo previsto.
El creador de Linux, Linus Torvalds, parece no estar contento con las excusas de Intel y lo acusó de no querer proporcionar una solución. The Register tiene un artículo aún más hilarante sobre el comunicado de prensa de Intel.
Desde que se reveló la vulnerabilidad, los precios de las acciones de Intel han caído y AMD ha subido.
