Etiqueta: Seguridad

Microsoft puso de requisito la segunda versión del módulo de plataforma de confianza (TPM 2.0) para Windows 11 con la idea de mejorar la seguridad de los equipos. Una acción que considero necesaria, pero como cualquier otro sistema no está exento de sufrir vulnerabilidades. Ahora se han descubierto dos que afectan a los cientos de millones de dispositivos que tienen TPM 2.0, ya sea versión por firmware (UEFI) o por hardware porque se encuentra en la propia especificación del módulo.

Los juegos más populares siempre son los multijugador con juego en línea, pero eso abre una nueva vía para hacer trampas en ellos. Dependiendo de qué usen y cómo, las herramientas de trampas no son ilegales y terminan siendo muy populares en los títulos más jugados. Como por ejemplo DotA 2, del que Valve a tenido que ir jugando al gato y al ratón con los tramposos. Aunque los piratas suelen ser cuidadosos con cómo explotan vulnerabilidades para no caer en las trampas de los desarrolladores, de vez en cuando caen en ellas. Es lo que ha conseguido Valve en DotA 2, vetando a la postre a más de 40 000 tramposos.

Los problemas de seguridad en los programas de gestión son comunes, pero el que se ha encontrado en Ryzen Master, la utilidad de gestión de los procesadores Ryzen, es grave. Tiene el código CVE-2022-27677 y es un problema grave porque se puede explotar para conseguir acceso a cualquier equipo que lo tenga instalado. También se puede explotar remotamente.

Cada vez más gente lleva encima una unidad de estado sólido (SSD) portátil para sustituir a las memorias USB que empiezan a parecer algo muy antiguo. La mejora de rendimiento que proporcionan las SSD tienen como pega un coste mucho mayor. Pero es lo que las hace ideales para los que necesitan llevar mucha información encima, preferentemente cifrada. Aunque hay diversas formas de cifrar el contenido, la serie Ironkey Vault Privacy 80 de Kingston lo que ofrece son SSD con bloque hardware, por lo que no se podrá usar hasta que no se introduzca un código en la propia unidad.

Cada vez hay más interés en explotar los problemas de seguridad de las empresas y eso está llevando a una sucesión de filtraciones de información de las más importantes del sector de la tecnología. La última en sufrir una filtración ha sido Intel, que ha confirmado que se ha filtrado el código base utilizado por los fabricantes de placas base para crear el BIOS —o más propiamente dicho, la UEFI— que se incluye en ellas. Eso sí, parece que no ha sido un ataque a ella sino una filtración procedente de un tercero.

Nunca te puedes reír muchos de las vulnerabilidades del prójimo porque nunca saber cuándo te pueden ocurrir a tus productos. Bien es cierto que las vulnerabilidades de canal lateral han hecho mucho daño a los procesadores de Intel, pero los Ryzen y EPYC también han tenido hasta ahora algunos, aunque no tan severos. Pero acaba de anunciarse una vulnerabilidad de canal lateral en los Ryzen que necesitaría desactivar el multihilo simultáneo (SMT) para que solucionarlo. AMD le ha dado el número AMD-SB-1039, confirmando su existencia, y a su vez tiene el CVE-2021-46778.

Son habituales los problemas de seguridad en los BIOS de los portátiles debido a la mayor flexibilidad para modificarlos que tienen los fabricantes de portátiles, pero a su vez es una fuente de problemas. En los últimos tiempos se han ido poniendo más límites y mejorando la seguridad, pero no hay sistema totalmente seguro. Ahora Lenovo ha distribuido actualizaciones de BIOS para setenta modelos de portátiles distintos.

Las vulnerabilidades en los procesadores son cada vez más habituales, pero tras las conocidas como Meltdown y Spectre que afectaban a los procesadores de Intel se puso la mirada en las mecánicas menos evidentes de los procesadores para intentar encontrar nuevas brechas. Esas suelen ser las vulnerabilidades de canal lateral que aprovechan alguna característica física del procesador para acceder a la información que procesa en lugar de sus características lógicas. La última es Hertzbleed, que afecta a los procesadores de Intel y AMD.

La Unión Europea (UE) algunas veces da un paso adelante en unos terrenos y otras veces da un pasito atrás en otros, siempre según los intereses de la potencia de turno. En el caso de la privacidad de las comunicaciones, la Comisión Europea ha hecho una propuesta para eliminar de facto la encriptación de extremo a extremo alegando la persecución de actitudes criminales. Volveríamos diez años atrás a los tiempos en que EE. UU. pinchaba con el programa PRISM con el beneplácito de Microsoft, Apple, Google y otras tecnológicas.

Los fallos de seguridad son una constante hoy en día en cualquier pieza de software, y se notifican cientos de ellos cada día, pública o privadamente, pero generalmente son poco graves. Uno notificado recientemente sobre 7-Zip hacía soltar las alarmas porque aparentemente permitía fácilmente un escalado de privilegios de manera remota, al menos en boca de su descubridor que lo hizo público en GitHub. Pero otros investigadores más reputados y conocidos, incluido los del Proyecto Cero dentro de Google, le han quitado hierro al asunto.