Las vulnerabilidades Spectre y Meltdown no podrán ser corregidas con implementaciones de software

Expertos de Google consideran que estas vulnerabilidades son inherentes al diseño de los procesadores modernos

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, las vulnerabilidades Spectre y Meltdown fueron reportadas por primera vez hace aproximadamente un año; desde entonces, incontables equipos de especialistas e investigadores independientes han tratado múltiples métodos para mitigar el riesgo de explotación de estos errores, esperando sean erradicados por completo en el futuro.  

Desafortunadamente, para los especialistas en seguridad en redes de Google, estas vulnerabilidades parecen ser una característica inherente a los procesadores modernos. En otras palabras, las técnicas de corrección y mitigación basadas en software no son suficientes para superar estas vulnerabilidades.

No está por demás recordar que los ataques de Meltdown y Spectre se aprovechan de la ejecución especulativa, función propia de los procesadores actuales. Esto significa que un procesador podrá suponer que una condición puede ser verdadera o falsa. Si resulta ser verdadera, los resultados especulativos se mantienen; si la condición resulta ser falsa, los resultados serán descartados.

Inicialmente los especialistas en seguridad en redes asumían que la ejecución especulativa era invisible para los programas en ejecución, pues se trata de una característica de las implementaciones. No obstante, posteriormente se descubrió evidencia de que algunos rastros de falsa especulación no son eliminados por completo.

Un usuario malicioso podría tomar control de estos datos a través de un canal lateral. Además, los atacantes pueden engañar a las computadoras para que carguen datos confidenciales, como información de los administradores, contraseñas, etc. Para mitigar los riesgos que representan estas vulnerabilidades, los desarrolladores han recurrido al uso de técnicas basadas en software, como el uso de entornos de sandbox, o evitando que el procesador ejecute información sensible.

Si bien estas técnicas de software son bastante funcionales, los expertos de Google afirman que esto es sólo una solución superficial. Una prueba realizada en el navegador Chrome demostró que, al tratar de implementar una solución integral contra un ataque Spectre, los administradores generaban una caída considerable en el rendimiento de sus desarrollos.

En conclusión, no es posible solucionar las vulnerabilidades del tipo Spectre sólo con implementaciones de software. La ejecución especulativa es parte fundamental de un procesador moderno, por lo que muchos especialistas consideran que Spectre y Meltdown estarán dando problemas por un largo tiempo.

(Visited 299, 1 times)