Es posible que haya escuchado que el cielo se ha caído y que el apocalipsis de la seguridad ha ocurrido debido a dos nuevos ataques llamados Meltdown y Spectre. Si trabaja en TI o en cualquier otra área de infraestructura informática a gran escala, probablemente sienta que también lo ha hecho, y ya está esperando sus días de vacaciones de 2018.
Los medios de comunicación escucharon por primera vez los rumores de esta madre-de-todos-exploits a fines de 2017, y los informes recientes fueron tremendamente especulativos y finalmente obligaron a empresas como Microsoft, Amazonasy Google (cuyo El equipo de Project Zero lo descubrió todo) para responder con detalles. Esos detalles han sido una lectura interesante si está interesado en este tipo de cosas.
Pero para todos los demás, sin importar qué teléfono o computadora usen, mucho de lo que está leyendo o escuchando puede parecer en un idioma diferente. Eso es porque lo es, y a menos que domines el lenguaje cibernético-geek-seguridad-tecno, es posible que tengas que ejecutarlo con un traductor de algún tipo.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
¡Buenas noticias! Encontraste ese traductor, y esto es lo que tú necesita saber acerca de Meltdown y Spectre, y lo que debe hacer al respecto.
Lo que ellos son
Meltdown y Spectre son dos cosas diferentes, pero como se revelaron al mismo tiempo y ambos tratan con la arquitectura de microprocesador a nivel de hardware, se habla de ellos juntos. Es casi seguro que el teléfono que estás usando ahora se vea afectado por el exploit de Spectre, pero nadie ha encontrado la manera de usarlo, todavía.
El procesador dentro de su teléfono determina qué tan vulnerable es a este tipo de exploits, pero es más seguro asumir que todos lo afectan si no está seguro. Y dado que no están explotando un error y en su lugar están utilizando un proceso que supuesto que suceda, no hay solución fácil sin una actualización de software.
Mire el teléfono en sus manos; es vulnerable a algunos de estos ataques.
Las computadoras (esto incluye teléfonos y otras computadoras diminutas también) dependen de lo que se llama aislamiento de memoria por seguridad entre aplicaciones. No la memoria que se usa para almacenar datos a largo plazo, sino la memoria que usa el hardware y el software mientras todo funciona en tiempo real. Los procesos almacenan datos por separado de otros procesos, por lo que ningún otro proceso sabe dónde o cuándo se escribe o lee.
Todas las aplicaciones y servicios que se ejecutan en su teléfono quieren que el procesador haga algún trabajo y constantemente le brindan una lista de las cosas que necesitan para ser computadas. El procesador no realiza estas tareas en el orden en que se reciben; eso significaría que algunas partes del La CPU está inactiva y esperando que terminen otras partes, por lo que el paso dos podría realizarse después del paso uno. terminado. En cambio, el procesador puede avanzar al paso tres o al paso cuatro y hacerlo antes de tiempo. Se llama ejecución fuera de servicio y todas las CPU modernas funcionan de esta manera.
Meltdown y Spectre no están explotando un error, atacan la forma en que un procesador calcula los datos.
Debido a que una CPU es más rápida de lo que podría ser cualquier software, también hace algunas conjeturas. Ejecución especulativa es cuando la CPU realiza un cálculo que aún no se le pidió que hiciera en base a cálculos anteriores que estaba pidió actuar. Parte de la optimización del software para un mejor rendimiento de la CPU es seguir algunas reglas e instrucciones. Esto significa que la mayoría de las veces hay un flujo de trabajo normal que se seguirá y una CPU puede adelantarse para tener los datos listos cuando el software lo solicite. Y debido a que son tan rápidos, si los datos no fueron necesarios después de todo, se descartan. Esto sigue siendo más rápido que esperar a que la solicitud realice un cálculo.
Esta ejecución especulativa es lo que permite tanto a Meltdown como a Spectre acceder a datos a los que de otro modo no podrían acceder, aunque lo hacen de diferentes formas.
Fusión de un reactor
Los procesadores Intel, los procesadores de la serie A más nuevos de Apple y otros SoC ARM que usan el nuevo núcleo A75 (por ahora, es solo el Qualcomm Snapdragon 845) son vulnerables al exploit Meltdown.
Meltdown aprovecha lo que se llama una "falla de escalada de privilegios" que le da a una aplicación acceso a la memoria del kernel. Esto significa cualquier código que pueda acceder a esta área de memoria, donde la comunicación entre los el kernel y la CPU sucede, esencialmente tiene acceso a todo lo que necesita para ejecutar cualquier código en el sistema. Cuando puede ejecutar cualquier código, tiene acceso a todos los datos.
Espectro
Spectre afecta a casi todos los procesadores modernos, incluido el de su teléfono.
Spectre no necesita encontrar una manera de ejecutar código en su computadora porque puede "engañar" al procesador para que ejecute instrucciones para él y luego otorgue acceso a los datos de otras aplicaciones. Esto significa que un exploit podría ver lo que están haciendo otras aplicaciones y leer los datos que han almacenado. La forma en que una CPU procesa las instrucciones fuera de orden en las sucursales es donde Spectre ataca.
Tanto Meltdown como Spectre pueden exponer datos que deberían estar en un espacio aislado. Lo hacen a nivel de hardware, por lo que su sistema operativo no lo vuelve inmune: Apple, Google, Microsoft y todo tipo de sistemas operativos Unix y Linux de código abierto se ven igualmente afectados.
Debido a una técnica que se conoce como programación dinámica que permite que los datos se lean mientras se procesan en lugar de tener que almacenarlos primero, hay mucha información confidencial en la RAM para que la lea un ataque. Si está interesado en este tipo de cosas, los informes técnicos publicados por Universidad Tecnológica de Graz son lecturas fascinantes. Pero no es necesario leerlos ni comprenderlos para protegerse.
¿Me afecta?
Si. Al menos, lo estabas. Básicamente, todo el mundo se vio afectado hasta que las empresas comenzaron a parchear su software contra estos ataques.
El software que necesita actualizarse está en el sistema operativo, lo que significa que necesita un parche de Apple, Google o Microsoft. (Si usa una computadora que ejecuta Linux y no está en seguridad de información, también tiene el parche. Utilice su actualizador de software para instalarlo o pídale a un amigo que esté en la seguridad de información que le ayude a actualizar su kernel). La gran noticia es que Apple, Google y Microsoft tienen parches ya implementados o en camino en el futuro inmediato para versiones compatibles.
Los detalles
- Procesadores Intel desde 1995 excepto para Itanium y la plataforma ATOM anterior a 2013 se ven afectados por Meltdown y Spectre.
- Todos los procesadores AMD modernos se ven afectados por el ataque Spectre. CPU AMD PRO y AMD FX (las CPU AMD 9600 R7 y AMD FX-8320 se utilizaron como prueba de concepto) en una configuración no estándar (kernel BPF JIT habilitado) se ven afectados por Meltdown. Se espera que un ataque similar contra la lectura de memoria del canal lateral sea posible contra todas las CPU de 64 bits incluidos los procesadores AMD.
- Procesadores ARM con núcleos Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 y A75 son susceptibles de sufrir ataques Spectre. Procesadores con Cortex A75 (el Snapdragon 845) los núcleos son vulnerables a los ataques Meltdown. Se espera que los chips que usen variantes de estos núcleos, como Línea Snapdragon de Qualcomm o Línea Exynos de Samsung, también tendrá vulnerabilidades similares o iguales. Qualcomm está trabajando directamente con ARM y tiene esta declaración sobre los problemas:
Qualcomm Technologies, Inc. está al tanto de la investigación de seguridad sobre las vulnerabilidades del procesador en toda la industria que se han informado. Proporcionar tecnologías que admitan una seguridad y privacidad sólidas es una prioridad para Qualcomm, y como tal, hemos estado trabajando con Arm y otros para evaluar el impacto y desarrollar mitigaciones para nuestro clientes. Estamos incorporando e implementando activamente mitigaciones contra las vulnerabilidades de nuestros productos afectados y continuamos trabajando para fortalecerlos tanto como sea posible. Estamos en el proceso de implementar estas mitigaciones para nuestros clientes y alentamos a las personas a actualizar sus dispositivos cuando los parches estén disponibles.
NVIDIA ha determinado que estos exploits (u otros exploits similares que puedan surgir) no afectan la computación GPU, por lo que su hardware es mayormente inmune. Trabajarán con otras empresas para actualizar los controladores de dispositivos a fin de ayudar a mitigar cualquier problema de rendimiento de la CPU y están evaluando sus SoC basados en ARM (Tegra).
Webkit, las personas detrás del motor de renderizado del navegador de Safari y el precursor del motor Blink de Google, tienen un excelente desglose de cómo estos ataques pueden afectar su código exactamente. Gran parte se aplicaría a cualquier intérprete o compilador y es una lectura increíble. Vea cómo están trabajando para solucionarlo y evitar que suceda la próxima vez.
En términos sencillos, esto significa que, a menos que todavía esté usando un teléfono, tableta o computadora muy antiguo, debe considerarse vulnerable sin una actualización del sistema operativo. Aquí está Lo que sabemos hasta ahora en ese frente:
- Google ha parcheado Android contra los ataques de Spectre y Meltdown con diciembre de 2017 y Enero de 2018 parches.
- Google ha parcheado Chromebooks con las versiones 3.18 y 4.4 del kernel en Diciembre de 2017 con OS 63. Dispositivos con otras versiones del kernel (mira aquí para encontrar el tuyo) será parcheado pronto. En inglés simple: La Chromebook Toshiba, Acer C720, Dell Chromebook 13 y Chromebook Pixels de 2013 y 2015 (y algunos nombres de los que probablemente nunca haya oído hablar) aún no están parcheados, pero lo estarán pronto. La mayoría de los Chromebox, Chromebases y Chromebits son no parcheado, pero lo estará pronto.
- Para los dispositivos Chrome OS que no están parcheados, una nueva función de seguridad llamada Aislamiento del sitio mitigará cualquier problema de estos ataques.
- Microsoft ha parcheado ambos exploits a partir de enero de 2018.
- Apple ha parcheado macOS e iOS contra Meltdown a partir de la actualización de diciembre. La primera ronda de actualizaciones de Spectre se lanzó a principios de enero.. Echa un vistazo a iMore para Todo lo que necesitas saber sobre estos defectos de la CPU y cómo afectan a su Mac, iPad y iPhone.
- Se han enviado parches a todas las versiones compatibles del kernel de Linux, y los sistemas operativos como Ubuntu o Red Hat se pueden actualizar a través de la aplicación de actualización de software.
Para obtener información específica sobre Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2y Pixel 2 XL han sido parcheados y debería ver una actualización pronto si aún no la ha recibido. También puede actualizar manualmente estos dispositivos si lo desea. El proyecto de código abierto de Android (el código utilizado para construir el sistema operativo para cada teléfono Android) también ha sido parcheado y distribuciones de terceros como LineageOS se puede actualizar.
Cómo actualizar manualmente tu Pixel o Nexus
Samsung, LG, Motorolay otros proveedores de Android (empresas que fabrican teléfonos, tabletas y televisores) actualizarán sus productos con la actualización de enero de 2018. Algunos, como el Nota 8 o Galaxy S8, lo verá antes que otros, pero Google ha puesto el parche disponible para todos dispositivos. Esperamos ver más noticias de todos los socios para saber qué esperar y cuándo.
¿Que puedo hacer?
Si tiene un producto que es vulnerable, es fácil quedar atrapado en la publicidad, pero no debería hacerlo. Tanto Spectre como Meltdown no "simplemente ocurren" y dependen de tú instalar malware de algún tipo que los aproveche. Seguir algunas prácticas seguras lo mantendrá inmune a cualquiera de las vulnerabilidades en cualquier hardware de computadora.
- Solo instale software en el que confíe desde un lugar en el que confíe. Siempre es una buena idea, pero especialmente si está esperando un parche.
- Asegure sus dispositivos con una buena pantalla de bloqueo y cifrado. Esto hace más que mantener fuera a otra persona, ya que las aplicaciones no pueden hacer nada mientras su teléfono está bloqueado sin su permiso.
- Lea y entienda los permisos de todo lo que ejecute o instale en su teléfono. ¡No temas pedir ayuda aquí!
- Utilice un navegador web que bloquee el malware. Podemos recomendar Chrome o Firefox, y otros navegadores también pueden protegerlo contra el malware basado en la web. Pregunte a las personas que los hacen y distribuya si no está seguro. Es posible que el navegador web que viene con su teléfono no sea la mejor opción aquí, especialmente si tiene un modelo anterior. Edge y Safari también son confiables para dispositivos Windows o MacOS e iOS.
- No abra enlaces en las redes sociales, en un correo electrónico o en cualquier mensaje de alguien que no conoce. Incluso si son de personas que conoce, asegúrese de confiar en su navegador web antes de hacer clic o tocar. Esto se duplica para los enlaces de redireccionamiento que enmascaran la URL de un sitio. Usamos ese tipo de enlaces con bastante frecuencia y es probable que muchos de los medios en línea que lees también lo hagan. Ten cuidado.
- No seas estupido. Sabes lo que esto significa para ti. Confíe en su juicio y sea precavido.
La buena noticia es que la forma en que se parchean estos exploits de canal lateral no es traerá las enormes ralentizaciones que se promocionaron antes de que se lanzaran las actualizaciones. Así es como funciona la web, y si lees acerca de cómo tu teléfono o computadora iban a ser un 30% más lentos después de aplicar cualquier corrección, es porque el sensacionalismo vende. Los usuarios que están ejecutando software actualizado (y lo han estado durante las pruebas) simplemente no lo ven.
El parche no tiene el impacto en el rendimiento que algunos afirmaron que traería, y eso es algo genial.
Todo esto se debió a que estos ataques miden intervalos de tiempo precisos y los parches iniciales cambian o desactivan la precisión de algunas fuentes de tiempo a través del software. Menos preciso significa más lento cuando está computando y el impacto fue exagerado para ser mucho mayor de lo que es. Incluso las leves disminuciones de rendimiento que son el resultado de los parches están siendo mitigadas por otras empresas y vemos NVIDIA actualiza la forma en que sus GPU procesan números o Mozilla trabaja en la forma en que calculan los datos para igualarlos Más rápido. Su teléfono no será más lento en el parche de enero de 2018 y tampoco lo hará su computadora a menos que sea muy vieja, al menos no de una manera notable.
Deje de preocuparse por eso y, en cambio, asegúrese de hacer todo lo posible para mantener sus datos seguros.
Que quitar de todo
Las amenazas de seguridad siempre tienen algún tipo de impacto real. Nadie ha visto casos de Meltdown o Spectre que se usen en la naturaleza, y debido a que la mayoría de los dispositivos que usamos todos los días se actualizan o lo estarán muy pronto, los informes probablemente seguirán así. Pero esto no significa que deban ignorarse.
Tómese en serio las amenazas de seguridad como esta, pero no se deje engañar por todo el bombo publicitario; ¡Ser informado!
Estos exploits de canal lateral tenían el potencial de ser ese gran evento que cambia el juego y que la gente se preocupa cuando se trata de ciberseguridad. Cualquier exploit que afecte al hardware es serio, y cuando ataca algo hecho a propósito en lugar de un error, se vuelve aún más serio. Afortunadamente, los investigadores y desarrolladores pudieron capturar, contener y parchear Meltdown y Spectre antes de que ocurriera un uso generalizado.
Lo que es realmente importante aquí es que obtenga la información correcta para que sepa qué hacer cada vez que se entera de una nueva ciberamenaza que quiere todo su material digital. Por lo general, existe una forma racional de mitigar los efectos graves una vez que se pasa por alto todos los titulares.
¡Mantenerse a salvo!
¿Has escuchado el podcast central de Android de esta semana?
Cada semana, el Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está funcionando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas hasta por tres años.
Asegure su hogar con estos timbres y cerraduras SmartThings.
Una de las mejores cosas de SmartThings es que puede usar una gran cantidad de otros dispositivos de terceros en su sistema, timbres y cerraduras incluidos. Dado que todos comparten esencialmente el mismo soporte de SmartThings, nos hemos centrado en qué dispositivos tienen las mejores especificaciones y trucos para justificar su adición a su arsenal de SmartThings.