Etiqueta: Seguridad

Los problemas de seguridad de los procesadores son habituales, y si no que se lo pregunten a Intel. Pero cuando se trata de los procesadores de dispositivos móviles el problema es aún mayor porque la mayoría de los móviles y tabletas jamás reciben una triste actualización de seguridad, y los que la reciben lo hacen unas pocas veces durante un año, dos si tienen suerte, y tres si es un dispositivo de Google. Siendo los Snapdragon los más populares en móviles, también son los más atacados por los piratas, y ahora se han sumado más de 400 nuevas vulnerabilidades, aunque todas están agrupadas en unos poco códigos de vulnerabilidad.

Los problemas de Intel en cuanto a la seguridad de sus productos de los últimos años se ha visto agravada por la llegada a internet de una enorme cantidad de información confidencial de la compañía en la que se ha venido a llamar la filtración «Exconfidential Lake». Son más de 20 GB de información de la compañía que incluye código fuente, herramientas de depurado, y otra propiedad intelectual de la compañía.

Las vulnerabilidades en los procesadores no son exclusivas de Intel, aunque en los últimos tiempos se hayan cebado con la compañía. Es el resultado de que durante mucho tiempo la inmensa mayoría de procesadores de cliente vendidos han sido los de Intel, pero a medida que vaya pasando el tiempo se irán descubriendo fallos de seguridad en otras plataformas, como los procesadores ARM en móviles o los de AMD. El último problema afecta en especial a las unidades de procesamiento acelerado (APU) de esta última compañía, y ya tiene código de vulnerabilidad (CVE-2020-12890).

Intel ha tenido multitud de problemas de seguridad en sus productos en los últimos años, afectando sobre todo a sus procesadores. Por eso se ha ido tomando cada vez más en serio este apartado y en los últimos años ha promovido la tecnología de aseveración de control de flujo (CET, control-flow enforcement technology). Aunque fue introducida en 2016, es ahora cuando va a empezar a llegar en sus procesadores, empezando por los Tiger Lake que serán presentados en el tercer trimestre.

Cuando surgieron las vulnerabilidad Spectre y Meltdown de los procesadores Intel se le hizo evidente a Intel que habría multitud de formas de explotarlas y por eso pidió la ayuda de los investigadores para encontrarlas. Ahora llega un nuevo método conocido como muestreo del registro especial del búfer de datos (CVE-2020-0543) para el cual han desarrollado una herramienta de ejemplo para explotarla a la que han llamado CrossTalk.

Como vengo diciendo en los últimos meses, lo mejor del descubrimiento de nuevas vulnerabilidades en soportes lógicos y físicos del mundo de la tecnología son los logos de las mismas. En menor medida, también los nombres, unas veces con cierta creatividad y otras un poco de niño de tres años. Que cada uno decida dónde cae la nueva vulnerabilidad Thunderspy que afecta a los puertos Thunderbolt, el cual es un estándar desarrollado por Intel y que conforma el grueso de la próxima especificación USB 4.0.

Las vulnerabilidades de Windows son bastante habituales, como lo son en cualquier sistema operativo, pero lo que no es habitual es que Microsoft se retrase a la hora de distribuir una solución. Esto ha ocurrido con una vulnerabilidad de día cero de Windows, que además Microsoft ha tenido que avisar de que está siendo explotada por los piratas y por tanto todo el mundo, o al menos los que tengan equipos más sensibles, debería tomar medidas para evitarla mientras distribuyen un parche.

Intel está atravesando una mala racha en todos los aspectos, tanto por los problemas de que no cubre la demanda como por los problemas de sus procesos litográficos, pero el más importante es el de las vulnerabilidades que tienen sus procesadores. Ahora llega otra más basada en los problemas de la ejecución especulativa de Meltdown y Spectre, pero haciéndolo a la inversa.

En los últimos tiempos, y con las crecientes recompensas por encontrar fallos, están surgiendo cada vez más vulnerabilidades en todo tipo de dispositivos y programas. Las más notorias tienen que ver con los procesadores de Intel, pero eso no quiere decir que los procesadores de AMD sean más seguros. Con los procesadores Ryzen siendo superventas es normal que los investigadores estén cada vez más interesados en buscar vulnerabilidades en ellos.

Intel lleva unos años bastante malos en lo referente a la seguridad de sus procesadores, y este 2020 no parece que sea muy diferente. Tras años de no cuidar lo suficiente la seguridad, los problemas se le acumulan, y la última vulnerabilidad conocida destruye algo básico para la criptografía de un procesador: la raíz de confianza en la que siempre, siempre se puede confiar.