COMPUTING

Las divulgaciones de seguridad sobre fallas teóricas de la CPU Intel se están volviendo ridículas

La seguridad es un tema que me tomo en serio y trato de cubrir con mano pareja. Cuando las personas necesitan saber si una determinada pieza de software o hardware es segura, necesitan una visión clara de la situación en términos neutrales, no un montón de lenguaje colorido. Durante más de dos años, hemos cubierto problemas graves como Spectre y Meltdown, así como una variedad de ataques similares de clase Spectre. Si bien empresas como Apple, ARM y AMD se han visto afectadas hasta cierto punto, Intel ha sido la más afectada.

Desafortunadamente, está empezando a parecer que los departamentos de relaciones públicas que trabajan con investigadores de seguridad de todo el mundo se han enfrentado a un problema muy real con la fuga problemática de datos en ataques de canal lateral y ahora están dando vueltas a escenarios teóricos que no están respaldados por los datos en el documentos en sí mismos. Los datos recién publicados sobre LVI (Load Value Injection) son un ejemplo perfecto de esta tendencia. Así es como Sitio web de LVI describe este nuevo ataque:

Ataques LVI

Si lee los párrafos superiores, saldrá pensando que en realidad es peor que Meltdown, dado que pasa por alto las defensas Meltdown y puede generar una reducción de 19 veces en el rendimiento informático. Solo sobre la base del reloj, eso dejaría una CPU de 5 GHz funcionando como un chip de 263 MHz. No está bien. De Verdad no está bien. Y los investigadores dicen de antemano que LVI es más difícil de mitigar.

Lo que ellos no decir de antemano es que LVI es un ataque teórico. Hay una clara diferencia de tono entre los mensajes en el PDF de Bitdefender y los mensajes en el blog de Bitdefender. los Blog estados:

Este nuevo ataque puede ser particularmente devastador en entornos de múltiples inquilinos y cargas de trabajo que se ejecutan en hardware compartido entre grupos de cargas de trabajo dentro de una organización o entre organizaciones, como nubes públicas y privadas. Esto se debe a que, como el PoC [Proof of Concept] muestra, existe la posibilidad de que un proceso con menos privilegios bajo el control de un atacante se apropie especulativamente del flujo de control en un proceso con más privilegios cuando se cumplen requisitos específicos.

El riesgo más sencillo es el robo de datos secretos que, de lo contrario, deberían mantenerse privados por los límites de seguridad en los niveles de hardware, hipervisor y sistema operativo. Esta información puede incluir cualquier cosa, desde claves de cifrado hasta contraseñas u otra información que un atacante podría exfiltrar o utilizar para obtener un mayor control de un sistema objetivo.

La sección «Explotación de la vida real» del documento técnico de Bitdefender es bastante diferente. «Crear un exploit en la vida real», dice, «plantea algunos desafíos importantes». Esos desafíos son:

1. Identificar un dispositivo adecuado para uno de los escenarios; esto depende mucho de la víctima y del código que contenga; Es posible que algunos dispositivos no sean adecuados en absoluto.

2. Asegurarse de que la instrucción pivote cuente con una asistencia de microcódigo para que cargue datos controlados por el atacante desde los LFB.

3. Encontrar una forma de transmitir especulativamente el secreto de la víctima al proceso. Si bien la transmisión del secreto del kernel al usuario se puede hacer con bastante facilidad, hacerlo de un proceso a otro es más complicado.

El documento técnico de Bitdefender no contiene ningún lenguaje inflamatorio en el blog de la empresa ni se utiliza en el sitio web de divulgación de LVI. Afirma que el ataque solo existe actualmente como una prueba sintética de concepto y discute múltiples problemas relacionados con el aprovechamiento real de la falla. En otras palabras, los documentos contienen los datos reales que le dicen que esta no es una amenaza actual, mientras que las publicaciones de blog de cara al público están amplificadas para ofrecer la máxima ciudad de miedo.

La mensajería de dos caras se está convirtiendo en un problema

Hace unos años, una empresa llamada CTS-Labs intentó capitalizar lo que declaró eran un conjunto absolutamente asombroso de vulnerabilidades en los procesadores AMD que … en realidad no llegaron a nada en absoluto. La aparición de Spectre y Meltdown claramente ha desatado una ola de interés en estos proyectos y ha expuesto una serie de problemas de seguridad, particularmente en las CPU de Intel.SEEAMAZON_ET_135 Ver comercio de Amazon ET Todos estos problemas importantes deben solucionarse y estoy 100 por ciento a favor de que los proveedores rindan cuentas. Pero una reciente historia on LVI by ZDNet ejemplifica cómo el brazo de marketing de la industria de la seguridad y el brazo de investigación real no parecen tener mucho que ver entre sí en estos días.

Después de detallar todos los riesgos y problemas supuestamente asociados con LVI, la historia incluye lo siguiente:

Actualmente, se espera que muchos administradores omitan estos parches, principalmente debido al grave impacto en el rendimiento.

Por buenas razones, Intel ha minimizado la gravedad del ataque LVI y, por una vez, los investigadores han estado de acuerdo.

“Debido a los numerosos requisitos complejos que deben cumplirse para llevarse a cabo con éxito, Intel no cree que LVI sea un método práctico en entornos del mundo real donde se confía en el sistema operativo y VMM”, dijo un portavoz de Intel a ZDNet en un correo electrónico la semana pasada.

«De acuerdo con Intel», Bogdan Botezatu, Director de Investigación e Informes de Amenazas [at Bitdefender], dijo ayer a ZDNet. «Este tipo de ataque es mucho más difícil de realizar en la práctica, en comparación con otros ataques de canal lateral como MDS, L1TF, SWAPGS».

En otras palabras, los investigadores de seguridad (o las divisiones de relaciones públicas de las empresas de investigación de seguridad) ahora están publicando informes que afirman que las CPU de Intel están en riesgo catastrófico de ataques teóricos que aún no se han creado, a pesar de que estos ataques son increíblemente difíciles o francamente teóricos. . Esto es un absurdo.

Pedirle a una empresa que diseñe hardware de forma inteligente para mitigar los riesgos existentes o conocidos es una cosa. Pedirle que diseñe hardware que lo proteja contra ataques esotéricos que ni siquiera se han demostrado en las pruebas del mundo real es ridículo. Incluso el Director de Investigación de Amenazas de Bitdefender está de acuerdo en que este ataque no es uno contra el que Intel debería molestarse de manera realista en protegerse porque es muy difícil de implementar.

No se puede tolerar la mala mensajería

La tendencia favorable a las relaciones públicas de maximizar el miedo en torno a las divulgaciones de seguridad debe detenerse, no porque las empresas merezcan que se pasen por alto sus fallas, sino porque el uso de un lenguaje maximalista en este tipo de divulgaciones hace que sea imposible para cualquiera estimar el grado real de riesgo. Declaraciones como «Este tipo de ataque es mucho más difícil de llevar a cabo en la práctica», deben hacerse tanto en el cuerpo del informe formal como en los sitios web donde se hacen estas divulgaciones. Estamos empezando a escuchar acerca de los riesgos ‘teóricos’ para Intel y AMD y las amenazas que podrían surgir. algún día, pero, ya sabes, en realidad no existen en este momento. No hay nada de malo en planificar con anticipación, pero dados los largos ciclos de desarrollo que las CPUSEEAMAZON_ET_135 Ver comercio de Amazon ET pasar, no hay una forma práctica para que Intel construya una CPU 2020 para manejar todas las fallas de seguridad posibles que se puedan encontrar en el software, hardware o ambos para 2025. La naturaleza de las fallas de seguridad es que después de parchear una, la gente sale y encontrar otro.

Estoy cada vez más convencido de que estos informes no tratan de manera justa a Intel, y no solo a Intel. A principios de esta semana cubrimos otro caso en el que la palabrería de relaciones públicas en torno a una falla de AMD no coincidía con lo que los investigadores de seguridad reales dijeron en público. No quiero impugnar el buen trabajo que hacen los investigadores de seguridad, especialmente porque no sé si las personas que escriben la copia del sitio web de cara al público son las mismas personas que realmente realizan el trabajo, pero la desconexión entre las explosiones de relaciones públicas y los informes de documentos técnicos se está volviendo insostenible.

No se ve a muchos periodistas escribir historias que resten importancia a los problemas de seguridad por una sencilla razón: nadie quiere ser el tipo que juró que un problema de seguridad no era un problema justo antes de que se convierta en un problema mayor. Francamente, yo tampoco. Al mismo tiempo, la forma en que estos informes se están vendiendo al público hace que sea más difícil hacer mi trabajo. Si Intel tiene un interés obvio en restar importancia a cualquier informe de seguridad y la compañía que encontró la falla está haciendo todo lo posible para pintar esa falla en el lenguaje más apocalíptico posible, es mucho más difícil para nosotros, los periodistas, saber qué decirle a la gente.

No voy a decir que LVI no sea un problema o que Intel no debería solucionarlo. Intel, de hecho, ya ha lanzado algunas actualizaciones de software destinadas a corregir el problema. Dicho esto, Meltdown y Spectre existen desde hace más de dos años y aún no se ha encontrado ningún malware que los utilice. Lo que diré es que cuando el jefe de la división de análisis de amenazas de una empresa no cree que valga la pena reparar un problema, además puede que no merezca ser noticia de portada declarando que se ha encontrado otra falla en los chips Intel. Se brinda a los lectores buena información sobre amenazas urgentes y los equipos de relaciones públicas la utilizan para impulsar a una empresa en las noticias bajo la apariencia de informes de seguridad. Siempre estoy interesado en lo primero y completamente desinteresado en lo segundo.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar