CERT (Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información creado en 1988 como respuesta al incidente del gusano Morris. Mientras Microsoft, Amazon y Google afirman que sus equipos están protegidos, CERT asegura que la mejor solución es cambiar la CPU afectada.
|
etiquetas: cert , intel , amd , meltdown , spectre
Esta es la pregunta que me hago yo ahora mismo: ¿qué pasa con la inmensa cantidad de procesadores que hay en circulación y que se suponen que aun están cubiertos por la garantía de 2 años?. Y por no hablar del inmenso stockage de procesadores por vender y que tienen el fallo. Algunos podéis decir que, oye, el procesador funciona, no te lo van a cambiar, pero yo no lo veo de esa manera. Es como si compras un VW diesel de bajas emisiones y gran potencia y al tiempo descubres que todos esos coches por un mal diseño del motor están emitiendo partículas por encima de lo legal, pero que con un "parche en la centralita" se pone en niveles casi legales pero perdiendo un huevo de potencia ... ¿os suena esto? (preguntadle a los de VW como les ha salido de barata la gracia, incluso creo que hay algún directivo engrilletado por ello)
Señores, no me extraña nada que el CEO de Intel vendiera hace un mes todas las acciones que pudo de su propia compañía, ahora veo el terrible motivo que le ha llevado a esto.
PD.- Sería interesante aclarar el tema de las garantías y como afectaría a los usuarios. Es un error en el diseño, eso está claro.
Es importante entender que esta es la primera demostración de la idea de que se pueden atacar sistemas "trasteando" con la ejecución predictiva que hacen prácticamente todos los procesadores "potentes" del mercado (desde hace años!). Los que tuvieron esa idea pensaron en formas concretas de ponerla en práctica. El resultado son, actualmente, dos ataques concretos: "Meltdown" y "Spectre".
MELTDOWN, que solo afecta a procesadores Intel, es el que más ha preocupado a corto plazo: resulta que, usando este tipo de ataque, es posible saltarse las protecciones de memoria que debería asegurar el procesador. Eso significa que un atacante puede leer CUALQUIER parte de la memoria que le de la gana, incluida la memória de otras máquinas virtuales alojadas en el mismo hardware, desde dentro de una máquina virtual mismo!
Esto dejaba "en bolas" a todos los tinglados cloud porque cualquiera podría robarle info a "sus vecinos" (que son otros clientes). Este bug es el que se han apresurado a mitigar por todos lados (ya hay patches para Linux, Windows y MacOS). Estos parches lo que hacen es putear al procesador a drede para que la ejecución predictiva no funcione, evitando así que se pueda "disparar" el bug (a costa de disminuir el rendimiento de la CPU claro!).
De aquí viene la idea de "si no virtualizo no hay problema", pero es una idea falsa. Si no virtualizas pero tienes CPU intel, lo que pasa con este ataque es que un programa cualquiera, ejecutado por un usuario cualquiera, puede leer la memoria del sistema operativo, y por tanto obtener privilegios de root/administrador/sistema y controlar tu pc por completo (el sueño de todo worm/virus/cosa maliciosa). Por eso el parche también te lo aplican a ti que no virtualizas.
SPECTRE es otro ataque, más sutil y difícil de explotar. Con este ataque (en realidad son dos) lo que se consigue es leer cualquier parte de la memoria *de tu mismo proceso* (no puedes leer lo de otros procesos). Esto puede sonar poco peligroso, pero no lo es por un sencillo motivo: ahora mismo estás usando un programa (tu navegador web) que ejecuta programas de otra gente sin preguntarte (scripts javascript). Usando este ataque, es teóricamente posible que una web cualquiera lea los datos de las otras webs que tienes abiertas, incluyendo contraseñas, cookies de sesión, etc. Vamos, que visitando una web cualquiera… » ver todo el comentario
CERT asegura que la mejor solución es cambiar la CPU afectada.
y los problemas afectan a CPUs fabricadas desde hace !!!!!20 años!!!!!! casi ná.
Con los PowerPC estábamos mejor, esto de cambiar a Intel fue una conspiración desde el principio para obligarnos a renovar el ordenador
mundowdg.com/blog/2013/05/06/la-chica-de-practicas/
Daisy pasa otra vez de vuelta a su PC a medio montar con uno alicates de corte en la mano. Hija de puta. Esta criatura no atasca.
-Daisy, bonita, ¿qué vas a hacer con los alicates?
-No entra la RAM.
-Déjame ver… – me acerco a ver el interior de la carcasa. Ha elegido una placa AMD AM3 y dos módulos de memoria DDR. Si hay algún lego en la materia en la sala, por favor, sírvase de visualizar la siguiente imagen para comprender por qué Daisy, en ese momento perdió mi respeto.
Adaptador de memoria DDR a DDR3 por cojones edition:
Hay varias comparaciones por ahí ya publicadas. El cambio que te puedes esperar es por debajo del 1%.
Resumen: si cambias de CPU cambias de placa base y puede que hasta de RAM.
Es imposible.
No van a hacer nada, como mucho el próximo modelo con el bug arreglado se podrá usar como reemplazo directo del último actual y ya está .
Por otro lado es que si afectara al usuario y se obrara el milagro de que reemplazaran los microprocesadores defectuosos sería un tema complicado, primero porque los procesadores que tendrían que darnos no existen y tendrían que desarrollarlos y fabricarlos, lo que llevaría un tiempo considerable. Además tendrían que hacerlos compatibles con las placas de los procesadores a reemplazar.
En el resto del mundo Intel tendrá que indemnizar, aquí incluso les saldrá rentable.
A ver si veo la foto, sino os subo una nueva, de momento os dejo mi opinión sobre Intel:
Estos del CERT son unos cachondos.
Por partes: Ambos bug's, lo "único" que permiten, es acceder a partes de la memoria que no corresponden al aplicativo en ejecución, además, de una manera relativamente lenta y tosca.
Esto no implica menos seguridad "per se" si ningún software lo utiliza dado que, estos "fallos de diseño" no tienen una forma de ser explotados de manera remota.
Por lo tanto, es necesario tener en tu PC un software en ejecución (Software o script con acceso nativo, no nos vale una web) que tenga las malvadas intenciones de ejecutar este tipo de "funcionalidad no esperada".
Ese software, lo único que podría hacer con esa "funcionalidad no esperada" es acceder a lo que hay en memoria de tu PC, en memoria RAM, en ejecución (no en el disco duro), con lo cual es prácticamente irrelevante. Vale, no es irrelevante si consiguen hacerlo (Que lo veo difícil) una escala de privilegios en base a esto.
Así pues, en principio, no es más peligroso (y si mucho más dificil para quien tenga estas intenciones) que dar permiso de adminsitrador a un ejecutable (cosa que nos pasamos el dia haciendo) o que tener Windows XP donde todo se ejecuta con administrador per se.
Dicho esto, el fallo, es relevante únicamente (a mi parecer), y con relevante me refiero a una mejora de panorama para un supuesto atacante, en servidores donde hay máquinas virtuales corriendo (Entiéndase como el famoso y popular actual cloud), pues desde tu máquina virtual que puedes contratar desde 2,99 € al mes, puedes acceder a los datos en memoria de todo el sistema (otras máquinas) pudiendo, tras trabajo pero con recompensa casi segura, ver toda su memoria y probablemente aprovechar algo de lo "robado" en tus supuestos fines maquiavélicos.
Así que, todos los que habláis de cambiar de procesado o que esto sea para vender cpu's etc. etc: No digáis gilipolleces, pues a los usuarios que utilizamos nuestro propio PC sin dar acceso a otros a través de maquinas virtuales no nos afecta en "prácticamente" nada pues que un hacker decida utilizar esto es por ahora inviable, dado que tendría que conseguir una escala de privilegios a través de ese bug para poder instalar un ransom o algo a lo que le sacase más provecho que a ver que pestañas tienes abiertas en el Chrome.
Esto es solo un golpe al Cloud, que por otro lado, gracias Jesusito por que se está yendo de las manos.
Ah, y si, me creo que sea un fallo de diseño pues la NSA y demás paranoias que apuntáis lo tienen mucho más fácil por otros lados.
Este bug no vale para demasiado con los accesos que ya se ha demostrado que tienen.
Lo que están diciendo "sutilmente" es que mandemos a la mierda a Intel
En estos momentos hay carreras para encontrar una aplicación efectiva para explotar el bug.
Primero, que la vulnerabilidad no sea explotable de forma remota no significa que sea menos grave, sobretodo si se puede explorar haciendo que un usuario visite una simple web.
Segundo, la escalada de privilegios la puedes dar por hecha en Meltdown y aunque para Spectre, en principio no seria posible (falta por ver cómo evoluciona el tema), si no ves el problema en un script de cualquier web que es capaz de trazar las páginas que visitas y las contraseñas que escribes, no sé quién es el tonto aqui...
Aparte fíjate en el lenguaje que utilizaron en la declaración de ayer "nuestros procesadores funcionan tal como fueron diseñados", es decir no aceptan que sea un problema de ellos.
Pero ya puestos: ¿Existe una tabla de equivalencias
PwnedIntel VS AMD si por casualidad me pusiera a cambiar el procesador manteniendo todo lo demás? ¿Es posible eso, o las placas madre son específicas para Intel o AMD?> Por lo tanto, es necesario tener en tu PC un software en ejecución (Software o script con acceso nativo, no nos vale una web) que tenga las malvadas intenciones de ejecutar este tipo de "funcionalidad no esperada".
Eso lo dices tú, pero no es lo que opinan los expertos en seguridad. Es cierto que es más complicado conseguir un exploit desde javascript porque por medio está el JIT compiler (que es donde quieren mitigar el problema) pero si no se mitiga, es solo cuestión de tiempo que alguien lo consiga.
> Ese software, lo único que podría hacer con esa "funcionalidad no esperada" es acceder a lo que hay en memoria de tu PC, en memoria RAM, en ejecución (no en el disco duro), con lo cual es prácticamente irrelevante. Vale, no es irrelevante si consiguen hacerlo (Que lo veo difícil) una escala de privilegios en base a esto.
Si hablamos de Meltdown (que permite leer la memoria del kernel), esa escalada es facilísima. Por ejemplo encontrando un file descriptor de escritura a un archivo de sistema, o conseguir leer el teclado del usuario mientras hace login, o ... mil otras formas. Si puedes leer la memoria del kernel la máquina es tuya 100% seguro.
> Así que, todos los que habláis de cambiar de procesado o que esto sea para vender cpu's etc. etc: No digáis gilipolleces, pues a los usuarios que utilizamos nuestro propio PC sin dar acceso a otros a través de maquinas virtuales no nos afecta en "prácticamente" nada
Como mínimo te afectará cuando se te instale el parche que acaba de sacar Microsoft/Apple/Linux, que enlentece la CPU para ciertos workloads (como por ejemplo aquellos en que tu flamante nuevo pc lea datos a tope de un disco NVMe).
Lo de la NSA es una paranoia, estoy de acuerdo. Y los primeros y más afectados han sido los proveedores cloud, eso también es cierto (y lo explico en #49 ). Salud!
Si fuese de la compania te puedo argumentar facilmente que te devolvemos tu procesador ya que al testearlo en el SAT esta en buen estado y funciona con su potencia comercial.
Tal y como esta diseñado el procesador, este prioriza ciertas partes del mismo para diferentes tareas, entre ellas la de gestionar permisos de acceso a informacion entre las partes del mismo por cuestiones de seguridad.
As a proof-of-concept, JavaScript code was written that, when run in the Google Chrome browser, allows JavaScript to read private memory from the process in which it runs (cf. Listing 2). The portion of the JavaScript code used to perform the leakage is as follows.
Dentro del articulo tienes el código en javascript y el desensamblado. La prueba demuestra que es posible por parte de codigo javascript leer la memoria del proceso que lo ejecuta (el navegador). Si tienes curiosidad, la parte de codigo en javascript exacta que engaña al BP:
if (index < simpleByteArray.length) {
index = simpleByteArray[index | 0];
index = (((index * TABLE1_STRIDE)|0) & (TABLE1_BYTES-1))|0;
localJunk ^= probeTable[index|0]|0;
}
Es un poco mas lento que uno normal, ya que hay ciertas limitaciones, pero funciona.
Dado que el white paper igual no es suficiente para ti, aqui tienes a la gente de Mozilla explicando lo que van a hacer para mitigar el problema:
blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-tim
Presta atencion a lo que dice aqui:
Our internal experiments confirm that it is possible to use similar techniques from Web content to read private information between different origins
Esa es la confirmación de que es vulnerable via ataques de JS.
Pero nada, tu sigue en tus trece.
2) Pero de momento no existe una CPU alternativa que sea válida para evitar este problema, o al menos que sea competitiva.
3) Conclusión: casi nos están diciendo que la única salida es apagar durante unos añitos nuestro internet
www.amazon.es/Intel-Core-i7-7700K-Procesador-Subprocesos/dp/B01LTI1JEM
www.amazon.es/Intel-Core-i5-7500-Procesador-Subprocesos/dp/B01MZZJ1P0/
Parece que algunas tiendas ya han empezado a deshacerse del stock
Aunque yo preferiría este, si no está afectado por meltdown y spectre
www.amazon.es/HP-Intel-Xeon-E5520-Procesador/dp/B00A1ZVLNO/ref=sr_1_fk
* alguna vulnerabilidad remota o algo.
- Grandes vendedores de ordenadores: Apple y todos sus Mac,
- Cloud: Amazon AWS+ Microsoft Azure, Digital Ocean y todos los demás proveedores de cloud, que podrían reclamar que les paguen el coste de cambiar todas las CPUs de todos los servidores que tienen,
- proveedores de HW específico para seguridad (como Firewalls, etc.)
Ja ja ja ja ja ja ja ja
Está claro que no sabes lo complejísimo que es un microprocesador moderno. Además de que no estamos hablando de un fallo menor en una unidad funcional concreta, si no del mecanismo de ejecución especulativa y de la predicción de saltos. Habría que rediseñar prácticamente toda la lógica de control, y eso no se hace en un par de meses.
El cambio, afecta al monitor también, si tienes uno de los últimos y carísimos G-Sync (intel+nvidia) o freesync (amd)
Yo en todos estos largos años, empecé con intel, luego AMD, luego Intel, luego AMD, y finalmente un I7 de intel.
Yo ya sabía que Intel, en su día, en la época del 386 y el 486 (muchos tendréis que ir a wikipedia para ver de que hablo), había 2 modelos, el SX y el DX. El SX era más barato porque no tenía coprocesador matemático, el DX era más caro porque sí lo traía.
Intel en realidad fabricaba el mismo procesador, y antes de venderlo se cargaba el copro a propósito y lo vendía como SX
Estamos hablando de gentuza, que lleva décadas siendo gentuza. Nunca adoptaron tecnologías novedosas como Silicon Graphics, y las que salieron lo hicieron décadas después a base de estirar la gallina de los huevos de oro, o retrocompatiblidad que le llamaban ellos, y seguimos arrastrando una arquitectura que no permite apenas a los ordenadores actuales trabajar en paralelo salvo entre un par de componentes con buses dedicados y multiplicar sus prestaciones de todo el ordenador en general.
Ahora, nada más quedaba saber este último escándalo, a lo que añado, que igual algunos no lo recordáis, que cuando salió el PENTIUM había una división que jodía el procesador y tuvieron que arreglarlo cambiando micros. De eso igual ya tampoco se acuerda nadie... hace 17 años.
Y otra cosa, los AMD se te podían quemar, aunque tenían una aviso de temperatura, si fallaba el ventilador o hacía demasiado calor. Pero Intel, hacía como la indigna Apple (otros miserables), te tocaba el rendimiento del hardware por bajo mano sin avisarte ni nada,
de tú hardware, el que tú habías comprado. Supongo que ahí es donde empezaron a perder el respeto al cliente que le costeaba sus micros y todo lo imaginable y empezaron a maltratar a la gente.
Lo de la división me gustaría matizarlo: el procesador no se estropeaba, sino que la división la hacían mal y les tocó cambiar procesadores.
Lo del DX y SX también me gustaría matizarlo: lo que hacían era que si el procesador de punto flotante funcionaba mal, lo anulaban, lo que ya no se es si llegaron a anular procesadores en buen estado.
Respecto a las arquitecturas, también hay que valorar una cosa: hoy en día muchos programas antiguos funcionan bien en ordenadores actuales... si hacemos cambios de arquitectura... adiós muy buenas. También hay que decir que esto podría arreglarse con más código abierto y compilación.
Diseñar, probar, arreglar errores, volver a diseñar, construir, ....
El proceso anterior costó una década, no creo que se tarde menos de cinco años antes de tener un producto seguro a la altura del actual.
Ademas, que todo eso sería para volver a donde estabamos hace 10 años. Si se quiere hacer algo mas moderno, se tiene que hacer un trabajo de investigación del copón.
Supongo que estabas exagerando en #48, pero.. no es un curro de pocos meses ni de coña.
www.guru3d.com/articles_pages/windows_vulnerability_cpu_meltdown_patch
Aquí muestro 3 demandas que ya se han presentado contra Intel:
es.scribd.com/document/368434221/District-of-Oregon
es.scribd.com/document/368434313/northern-district-of-californian
es.scribd.com/document/368434285/southern-district-of-indiana
A los demás, os recomiendo leeros estos papers antes de opinar:
Meltdown: meltdownattack.com/meltdown.pdf
Spectre: spectreattack.com/spectre.pdf
La cuestión es la siguiente; si tú tienes un ordenador con un procesador i7 de segunda generación, e Intel saca una nueva versión sin el fallo, pero que además mejore el rendimiento en un 50% o un 100% ¿comprarías el procesador nuevo y lo cambiarías?
Además, en las versiones en caja Intel ofrece 3 años de garantía: www.intel.es/content/www/es/es/support/articles/000005862/processors.h
De todas formas, en un caso como éste, en que está claro y reconocido que es un fallo de fábrica, se podría con la ley en la mano obligar a Intel a cambiar todos los procesadores vendidos en los últimos 2 años y todos los vendidos en caja los últimos 3 años por uno nuevo sin el fallo.
El problema es que no hay procesadores sin el fallo, han de re-diseñarlos y ponerse a fabricar ya mismo.
El tema es que el problema no es un valor en un tabla, sino que es un tema de arquitectura. Hay que hacer una arquitectura nueva, probar que funciona, fabricarlo y venderlo.
Vamos, que tenemos que rehacer los 10 últimos años de la tecnología caché y temas de predicciones de código.
Por otro lado debemos reconocer que somos dependientes de esas tres multinacionales. Simplemente no pueden caer porque no disponemos de alternativas a su mismo nivel, no podemos permitirnos prescindir de ellas. La tecnología actual depende de ellas y en buena de media depende de sus patentes y secretos corporativos en diseños y procesos de fabricación. Es lo que hay si los gobiernos no se toman los temas de la independencia tecnológica totalmente en serio.
(CC #15)
Los procesadores que están actualmente diseñados para sacarlos al mercado tal vez dentro de un par de años, y que tal vez ya estén en proceso de fabricación, tienen una gran diferencia en capacidad de procesamiento comparados con procesadores que salieron al mercado hace ya varios años. Me baso sobre todo en la ley de Moore.