Fallos de seguridad en los CPU de AMD e Intel traen parches para Linux
Parches para Linux solucionan fallos de seguridad en CPU de AMD e Intel
No es realmente un problema de Linux, pero como suele ocurrir, los desarrolladores del kernel de Linux tienen que limpiar después de AMD e Intel. Ocurrió de nuevo con las últimas vulnerabilidades de las CPU de los fabricantes de chips: AMD Inception e Intel Downfall. Para solucionar estos problemas, el creador de Linux, Linus Torvalds, ha lanzado un nuevo conjunto de parches.
Curiosamente, ambos son ataques especulativos de canal lateral, que pueden provocar la fuga de datos privilegiados a procesos no privilegiados. Torvalds los describió como “otro problema en el que el espacio de usuarios envenena una estructura microarquitectural que luego puede usarse para filtrar información privilegiada a través de un canal lateral”.
También: Cómo elegir la distribución de escritorio Linux adecuada para ti
¿Suena familiar? Lo será para los expertos en seguridad de Linux. Sí, es otro ejemplo de las vulnerabilidades de seguridad que hicieron famosos a Meltdown y Spectre de Intel en los círculos de Linux. Afortunadamente, a diferencia de esos dos casos anteriores, los desarrolladores esta vez sabían con antelación que había problemas con el silicio, por lo que los parches salieron antes de que aparecieran noticias de los últimos agujeros.
En esta fusión reciente, Torvalds y su equipo incorporaron medidas del lado del kernel que contrarrestan la vulnerabilidad de desbordamiento de la pila de direcciones de retorno especulativa (RAS) de AMD en sus arquitecturas Zen 3 y Zen 4. Esta vulnerabilidad permite al espacio de usuarios contaminar una estructura microarquitectural, que posteriormente puede ser explotada para extraer información privilegiada a través de un canal lateral.
- Cómo la IA me ayudó a poner mi música en todos los principales serv...
- 5 casos de uso emergentes de la IA generativa en el comercio, según...
- La función de Instrucciones Personalizadas de ChatGPT ya está dispo...
AMD te dirá que no es tan grave: el gigante de los chips cree que esta vulnerabilidad solo es potencialmente explotable localmente, como a través de malware descargado. Sin embargo, AMD “recomienda a los clientes que apliquen las mejores prácticas de seguridad, como ejecutar software actualizado y herramientas de detección de malware”.
Sin embargo, los investigadores de seguridad de ETH Zurich que encontraron la falla no son tan optimistas. Creen que Inception podría ser utilizado por un atacante en la computación en la nube, donde los clientes suelen compartir los mismos recursos de hardware de procesamiento.
Los investigadores dicen que Inception es una nueva clase de ataques de ejecución transitoria que utiliza el entrenamiento en ejecución transitoria (TTE). En lugar de intentar filtrar datos en una ventana transitoria, los ataques TTE abusan de la ventana transitoria para insertar nuevas predicciones en el predictor de ramificación. Combinado con el Phantom, que es una forma de desencadenar ventanas transitorias a partir de instrucciones arbitrarias, Inception puede ser una forma desagradable de extraer datos privados.
También: Si buscas aumentar la seguridad de tu computadora de escritorio, Linux podría ser tu mejor opción
Curiosamente, Peter Zijlstra, un veterano desarrollador del kernel de Linux afiliado a Intel, refinó los parches de AMD. Es algo irónico presenciar a un ingeniero de Intel liderando el perfeccionamiento del código de mitigación de AMD en el kernel. ¡Bienvenido al espíritu de la comunidad de código abierto!
Los desarrolladores del kernel de Linux también abordaron la vulnerabilidad de Intel Gather Data Sampling (GDS), conocida como Downfall. Esta vulnerabilidad en particular afecta a los procesadores Intel Core desde la sexta generación Skylake hasta la undécima generación Tiger Lake. En resumen, es probable que tu PC, tus servidores y tus procesadores en la nube sean vulnerables.
Según Daniel Moghimi, el científico investigador senior de Google que descubrió Downfall, “la vulnerabilidad es causada por características de optimización de memoria en los procesadores Intel que revelan involuntariamente registros internos de hardware al software. Esto permite que el software no confiable acceda a los datos almacenados por otros programas, a los que normalmente no debería tener acceso”.
Entonces, ¿qué tan grave es? Moghimi ha demostrado que se puede utilizar un exploit para robar claves y contraseñas de seguridad de otro usuario. Aún peor, tales ataques son “altamente prácticos”, señala Moghimi. “Me llevó dos semanas desarrollar un ataque de extremo a extremo que roba claves de cifrado de OpenSSL. Solo requiere que el atacante y la víctima compartan el mismo núcleo del procesador físico, lo que ocurre con frecuencia en las computadoras modernas que implementan multitarea preemptiva y simultánea”.
También: AMD vs Intel: ¿Qué procesador de escritorio es el adecuado para ti?
Las Extensiones de Guardia de Software de Intel (SGX), una función de seguridad de hardware de Intel disponible en CPUs Intel para proteger los datos de los usuarios contra software malicioso, también son inútiles contra esta vulnerabilidad.
Para algunos usuarios, la solución puede parecer más problemática que el problema en sí. Según Intel, algunas cargas de trabajo pueden experimentar hasta un 50% de sobrecarga. ¡Eso es una ralentización considerable! Moghimi advierte, sin embargo, “Esto es una mala idea. Incluso si tu carga de trabajo no utiliza instrucciones vectoriales, las CPU modernas dependen de registros vectoriales para optimizar operaciones comunes, como copiar memoria y cambiar el contenido de los registros”.
Sin embargo, para Linux, la ralentización puede no ser tan grave. Michael Larabel, un ingeniero de software de Linux y editor en jefe del sitio hardcore de Linux Phoronix, ha realizado pruebas de rendimiento de los parches de Downfall. Larabel encontró que en lugar de afectar la E/S o las interacciones entre el espacio de usuario y el kernel, como lo hicieron las correcciones para Meltdown, Spectre y sus variantes, la corrección de Downfall solo afecta al software del espacio de usuario. También descubrió que aunque el impacto en el rendimiento tiende a no ser tan malo como lo predijo Intel, todavía hay algunas ralentizaciones significativas.
Los parches de seguridad de Linux se han incorporado al repositorio de Linux Git para el próximo kernel de Linux 6.5. Las últimas versiones estables que incorporan estos parches incluyen las versiones de Linux 6.4.9, 6.1.44, 5.15.125, 5.10.189, 4.19.290 y 4.14.321. Estas versiones abarcan la serie estable actual de Linux 6.4 y las series de kernels compatibles a largo plazo (LTS).
También: Las mejores computadoras todo en uno: Mac, Lenovo y más comparadas
Los parches facilitan la detección del estado de las vulnerabilidades de ejecución especulativa de la CPU e introducen nuevos controles para modificar su comportamiento junto con el microcódigo más reciente de la CPU. Por supuesto, para que estos parches funcionen, también debes instalar las actualizaciones de microcódigo de AMD e Intel.
Entonces, ¿qué debes hacer? Prepárate para instalar el nuevo microcódigo tan pronto como esté disponible. Luego, sigue actualizando tus sistemas Linux a medida que los parches estén disponibles. Esto no será un gran problema para los usuarios de escritorio de Linux, pero sí lo será para aquellos que ejecutan Linux en sus servidores y nubes.
