sábado, 13 de enero de 2018

Las vulnerabilidades del procesador: “SPECTRE” y “MELTDOWN”

Meltdown-y-spectre-en-Android-700x500[1]Es posible que ya haya oído hablar de las vulnerabilidades que se hicieron públicas el pasado 4 de Enero, sobre la existencia de un error en el diseño de los procesadores Intel, AMD y ARM que  afecta a diferentes sistemas operativos como Windows  y Linux  entre otros. Esta vulnerabilidad descubierta por Project Zero de Google, y de importancia crítica según el Instituto Nacional de Ciberseguridad (INCIBE) afecta a múltiples fabricantes de procesadores y por ende, los sistemas operativos que se ejecutan sobre los mismos.

Estos ataques se presentan en tres variantes distintas: CVE-2017-5715  / CVE-2017- 5753 / CVE-2017-5754, dos de ellas de Spectre, otra de Meltdown.

El Colegio junto al Centro de Operaciones de Seguridad de ICA trabaja en implementar las mejores soluciones, aplicando medidas paliativas sobre las plataformas en producción para asegurar la continuidad de las operaciones, específicamente en los servicios del Colegio Digital


Las Vulnerabilidades

Estas vulnerabilidades, en caso de ser explotadas con fines malintencionados, potencialmente pueden recopilar datos sensibles.

La solución /mitigación de las vulnerabilidades comienza por aplicar las actualizaciones y parches disponibles tan pronto como sea posible. Además, se aconseja seguir las recomendaciones conocidas de buenas prácticas tanto el sistema, como en el perímetro que lo protege, ayudando a proteger el sistema contra la posible explotación de las vulnerabilidades conocidas como Mealtdown y Spectre:

  •   Mantener un control de la seguridad del entorno en donde conviven los sistemas.
  • Regularmente comprobar actualizaciones de software y firmware disponible
  • Disponer de las últimas versiones recomendadas en los servicios expuestos de forma pública.  
  • Eliminar servicios no necesarios de los sistemas  
  • Mantener un uso apropiado de los privilegios y ejecutar los servicios con sockets en servicio a redes públicas son los privilegios de ejecución mínimos.  
  • Servir dichos sockets en interfaces unívocos y no efectuar los bindings en 0.0.0.0 para evitar posibles movimientos laterales con otros servicios de otras máquinas o hacer reenvío de información en interfaces de la misma máquina.  
  • Mantener una política de concienciación de usuarios (Evitar el “click” donde no se debe) 
  • Mantener una buena política de contraseñas en los sistemas evitando contraseñas débiles o por defecto.  
  • Mantener una correcta configuración del hardware de seguridad perimetral como Firewall o IDS/IPS que además posibilite la detección de ataques.  


 
Preguntas y Respuestas

  1. ¿Estoy afectado por la vulnerabilidad? Sin duda, sí.
  1. ¿Puedo detectar si alguien ha explotado en mis sistemas Meltdown o Spectre? Probablemente no. La explotación no deja ningún rastro en los archivos de registro tradicionales.
  1. ¿Mi antivirus puede detectar o bloquear este ataque? Aunque es posible en teoría, esto es poco probable en la práctica. A diferencia del malware habitual, Meltdown y Spectre son difíciles de distinguir de las aplicaciones normales benignas. Sin embargo, su antivirus puede detectar malware que usa los ataques comparando binarios una vez que se conozcan.
  1. ¿Qué datos se pueden filtrar? Si está afectado es posible acceso a datos confidenciales, incluido contraseñas y otros datos almacenados en el sistema. .
  1. ¿Hay una solución / paliativo? Hay parches contra Meltdown para Linux, Windows y OS X. También se está desarrollando para la protección contra una futura explotación de Spectre .
  1. ¿Qué sistemas se ven afectados por Meltdown? Los ordenadores personales, portátiles y servidores en la nube están afectados por Meltdown. En realidad, cualquier sistema que incorpore procesadores Intel modernos, aún no se ha verificado sobre AMD. Según ARM, algunos de sus procesadores también se ven afectados..
  1. ¿Qué sistemas se ven afectados por Spectre? Ordenadores personales, portátiles, servidores en la nube y smartphones, afecta a casi todos los sistemas. Se ha verificado los procesadores Intel, AMD y ARM.
  1. ¿Qué proveedores de la nube se ven afectados por Meltdown? Proveedores cloud que usan CPU Intel y Xen PV como virtualización sin parchear. Además, los proveedores en la nube que dependen de plataformas de virtualización que comparten kernel, como Docker, LXC o OpenVZ.
  1. ¿Cuál es la diferencia entre Meltdown y Spectre? Meltdown permite el acceso a la zona de memoria utilizada por el sistema operativo, mientras que Spectre permite el acceso de un programa a la zona de datos de otro.